近幾年物聯網應用規模的急速擴張,令攻擊者將其視作為一個絕佳的目標,由于物聯網設備的安全屬性此前并未受到足夠的重視,因此當前所運轉的大量設備中所潛藏的除了基本的安全問題之外,還有許多高風險的漏洞,而它們正越來越頻繁地被攻擊者利用,甚至也成為了國家背景黑客組織的攻擊目標。
據工業網絡安全企業Claroty表示,與2021年下半年相比,2022年上半年在擴展物聯網(XIoT)產品中發現的漏洞增長了57%。同時,來自另外一家物聯網安全企業Phosphorus根據其部署在企業環境中的數百萬IoT設備的分析中,發現其存在高風險和關鍵漏洞的情況非常普遍,有差不多50%的物聯網設備存在8分(CVSS評,下同)以上的漏洞,有20%的設備則存在9-10分的關鍵漏洞,而與此同時,這些設備在密碼保護和固件管理方面也存在有較大的安全問題。
由此可見,物聯網風險形勢已經愈發嚴峻,但需要指出的是,正如很多行業、場景一樣,我們雖然無法消除所有的風險,但至少可以降低,在經過整理后,我們認為以下六種方法將會有利于幫助企業降低自身物聯網設備的攻擊面。
1 建立完整的資產清單并及時更新
對于安全來說,任何時候最基礎的工作就是做好資產發現、梳理工作,“你沒辦法保護你看不到的東西。”這句話在幾乎所有的安全領域中都適用。
根據Phosphorus的報告顯示,有近八成的企業安全團隊無法識別他們網絡中的多數物聯網設備,這個數字的確非常驚人,在這樣的條件下還有什么安全可言?這意味著攻擊者入侵成功后在其設備間可以肆意地橫向移動甚至波及IT網絡。
當然, 物聯網設備的資產清點并不容易,因為傳統的IT資產發現工具從來都不是為了物聯網而設計的,由于物聯網的流量大多都是加密的,因此傳統的網絡行為檢測系統難以識別,
更好的方法是通過查詢設備所使用的本機語言發現物聯網設備,這將允許組織創建一個包含物聯網設備詳細信息的清單,如設備版本、型號、固件版本、序列號、運行服務、證書和憑據,這使得企業除了發現他們之外,還有利于發現問題并在必要時對風險進行補救。
2 做好設備密碼管理,避免初始密碼用一生
物聯網設備還有一個非常普遍的不安全特征,那就是初始密碼,相信有大量已在運行的物聯網設備仍在使用初始密碼,因此針對它們的攻擊就很容易實施。根據數家物聯網安全企業發布近幾年發布的報告數據綜合來看,在運行的物聯網設備中,仍使用初始密碼的比例大約在50%,如果是在一些特定類別的設備(如一些音視頻類的物聯網設備)中,這一比例甚至還會更高一些。而即便是不使用初始密碼,在其整個設備使用的生命周期中,大多也只修改過一次密碼,是的,就是剛開始使用時變更設置的那一次。
在理想情況下,所有的物聯網設備都應該有自己唯一且復雜的密碼,還要做到每一個月、一個季度進行一次更改,對于那些只能支持4位密碼的老式物聯網設備,更改的頻率最好還要更密集一些。當然,如果成本不是太高,還是建議使用更新且支持復雜密碼的設備對那些老式設備進行替換,因為從安全的角度衡量,如果因這些老設備的弱口令問題導致安全事件發生,其帶來的損失可能還會遠遠高于更換設備的成本。
3 做好設備的固件管理
固件也是物聯網設備面臨安全風險的一大入口,而與其相關的漏洞時常都會被發現,證明這是一個普遍性問題。固件漏洞是令設備容易遭受攻擊的常見弱點,包括惡意軟件、后門程序、遠程
大多數物聯網設備運行在過時的固件上,這帶來了重大的安全風險,因為漏洞非常普遍。固件漏洞使設備容易受到攻擊,包括商用惡意軟件、復雜的植入和后門、遠程代碼執行、數據竊取、勒索軟件甚至物理破壞等等,在一般情況下,一個設備的固件壽命大概是6年左右,超過這個時間之后,供應商一般不會在提供支持維護。
同所有連接網絡的軟硬件設備一樣,物聯網設備也應及時使用供應商提供的最新固件版本和安全補丁進行更新,但不可否認,這的確可能是一個挑戰,特別是在大型組織中,它們會有數十萬到數百萬個這樣的設備。可即便如此,越是大型企業就越是必須采取措施來保證網絡的安全。
此外,需注意的是有時設備固件可能會采取降級的措施以保障安全,而不是更新,偶爾當一個漏洞被廣泛利用,而沒有可用的補丁(物聯網供應商發布補丁的時間間隔通常比傳統IT設備供應商更久),那么暫時將設備降級到不包含該漏洞的較早固件版本反而是可取的。
4 實施嚴格的訪問控制
并切斷與設備運轉非必需的網絡連接
很多物聯網設備都具備很多種連接網絡的方式,如有線和無線網絡連接、藍牙、telnet等等,這種混雜多樣的網絡連接就很容易被外部攻擊者所利用。因而對企業來說,像對待IT網絡那樣去對系統進行加固就非常重要,包括關閉一些無用的端口和不必要的功能,比如既然使用了有線以太網連接,那就無須開啟WiFi,藍牙功能如不常用也應關閉。
限制物聯網設備的互聯網接入將減輕依賴于安裝命令和控制惡意軟件類(如勒索軟件和數據竊取)的攻擊。
5 確保證書有效
確保安全授權、加密和數據完整性的物聯網數字證書經常會出現管理不善、過時的情況,這個問題有時甚至會發生在一些關鍵的網絡設備上,如無線網絡接入點等等,這意味網絡的初始接入點就沒有得到足夠的保護。因此,要驗證這些證書的狀態并管理起來,這方面可以有一些證書管理類的解決方案可以利用,有利于糾正可能發生的風險,如TLS版本、過期日期等。
6 設備加固后要關注后期可能會出現的各種變化
一旦物聯網設備被安全加固,確保它們保持這種加固狀態是很重要的。設備的設置和配置可能會隨著時間的推移而改變,因為包括固件更新、操作錯誤或人為破壞等多種可能性導致設備出現問題。
這方面尤其是要注意關鍵設備可能會出現的重要更改,比如權限的設定、因設備重置導致密碼恢復為初始默認的狀態等,還包括可以的賬戶口令修改、固件調整以及突然重啟等一些不安全的行為。
數字化進程的加速在推動發展的同時,眾多行業、領域的攻擊面也在加速擴大,雖然形勢都非常嚴峻,但至少目前看并非缺少應對之策,重點是在于這些對策是否在執行,而且是在有效執行,否則就等同于將企業的大門主動向攻擊者打開。物聯網安全領域目前面臨的挑戰的確比傳統IT領域更多,但IT領域在安全方面的成功經驗依然可以借鑒,比如文中提到的資產清單、密碼管理以及固件管理等等,都被證明是有效的,雖然它們無法阻擋住所有的攻擊,但在收斂攻擊面,降低遭受攻擊的可能性方面仍能發揮巨大作用,值得參考和運用。
更多信息可以來這里獲取==>>電子技術應用-AET<<
