近幾年物聯(lián)網(wǎng)應(yīng)用規(guī)模的急速擴張,令攻擊者將其視作為一個絕佳的目標,由于物聯(lián)網(wǎng)設(shè)備的安全屬性此前并未受到足夠的重視,因此當前所運轉(zhuǎn)的大量設(shè)備中所潛藏的除了基本的安全問題之外,還有許多高風險的漏洞,而它們正越來越頻繁地被攻擊者利用,甚至也成為了國家背景黑客組織的攻擊目標。
據(jù)工業(yè)網(wǎng)絡(luò)安全企業(yè)Claroty表示,與2021年下半年相比,2022年上半年在擴展物聯(lián)網(wǎng)(XIoT)產(chǎn)品中發(fā)現(xiàn)的漏洞增長了57%。同時,來自另外一家物聯(lián)網(wǎng)安全企業(yè)Phosphorus根據(jù)其部署在企業(yè)環(huán)境中的數(shù)百萬IoT設(shè)備的分析中,發(fā)現(xiàn)其存在高風險和關(guān)鍵漏洞的情況非常普遍,有差不多50%的物聯(lián)網(wǎng)設(shè)備存在8分(CVSS評,下同)以上的漏洞,有20%的設(shè)備則存在9-10分的關(guān)鍵漏洞,而與此同時,這些設(shè)備在密碼保護和固件管理方面也存在有較大的安全問題。
由此可見,物聯(lián)網(wǎng)風險形勢已經(jīng)愈發(fā)嚴峻,但需要指出的是,正如很多行業(yè)、場景一樣,我們雖然無法消除所有的風險,但至少可以降低,在經(jīng)過整理后,我們認為以下六種方法將會有利于幫助企業(yè)降低自身物聯(lián)網(wǎng)設(shè)備的攻擊面。
1 建立完整的資產(chǎn)清單并及時更新
對于安全來說,任何時候最基礎(chǔ)的工作就是做好資產(chǎn)發(fā)現(xiàn)、梳理工作,“你沒辦法保護你看不到的東西。”這句話在幾乎所有的安全領(lǐng)域中都適用。
根據(jù)Phosphorus的報告顯示,有近八成的企業(yè)安全團隊無法識別他們網(wǎng)絡(luò)中的多數(shù)物聯(lián)網(wǎng)設(shè)備,這個數(shù)字的確非常驚人,在這樣的條件下還有什么安全可言?這意味著攻擊者入侵成功后在其設(shè)備間可以肆意地橫向移動甚至波及IT網(wǎng)絡(luò)。
當然, 物聯(lián)網(wǎng)設(shè)備的資產(chǎn)清點并不容易,因為傳統(tǒng)的IT資產(chǎn)發(fā)現(xiàn)工具從來都不是為了物聯(lián)網(wǎng)而設(shè)計的,由于物聯(lián)網(wǎng)的流量大多都是加密的,因此傳統(tǒng)的網(wǎng)絡(luò)行為檢測系統(tǒng)難以識別,
更好的方法是通過查詢設(shè)備所使用的本機語言發(fā)現(xiàn)物聯(lián)網(wǎng)設(shè)備,這將允許組織創(chuàng)建一個包含物聯(lián)網(wǎng)設(shè)備詳細信息的清單,如設(shè)備版本、型號、固件版本、序列號、運行服務(wù)、證書和憑據(jù),這使得企業(yè)除了發(fā)現(xiàn)他們之外,還有利于發(fā)現(xiàn)問題并在必要時對風險進行補救。
2 做好設(shè)備密碼管理,避免初始密碼用一生
物聯(lián)網(wǎng)設(shè)備還有一個非常普遍的不安全特征,那就是初始密碼,相信有大量已在運行的物聯(lián)網(wǎng)設(shè)備仍在使用初始密碼,因此針對它們的攻擊就很容易實施。根據(jù)數(shù)家物聯(lián)網(wǎng)安全企業(yè)發(fā)布近幾年發(fā)布的報告數(shù)據(jù)綜合來看,在運行的物聯(lián)網(wǎng)設(shè)備中,仍使用初始密碼的比例大約在50%,如果是在一些特定類別的設(shè)備(如一些音視頻類的物聯(lián)網(wǎng)設(shè)備)中,這一比例甚至還會更高一些。而即便是不使用初始密碼,在其整個設(shè)備使用的生命周期中,大多也只修改過一次密碼,是的,就是剛開始使用時變更設(shè)置的那一次。
在理想情況下,所有的物聯(lián)網(wǎng)設(shè)備都應(yīng)該有自己唯一且復(fù)雜的密碼,還要做到每一個月、一個季度進行一次更改,對于那些只能支持4位密碼的老式物聯(lián)網(wǎng)設(shè)備,更改的頻率最好還要更密集一些。當然,如果成本不是太高,還是建議使用更新且支持復(fù)雜密碼的設(shè)備對那些老式設(shè)備進行替換,因為從安全的角度衡量,如果因這些老設(shè)備的弱口令問題導(dǎo)致安全事件發(fā)生,其帶來的損失可能還會遠遠高于更換設(shè)備的成本。
3 做好設(shè)備的固件管理
固件也是物聯(lián)網(wǎng)設(shè)備面臨安全風險的一大入口,而與其相關(guān)的漏洞時常都會被發(fā)現(xiàn),證明這是一個普遍性問題。固件漏洞是令設(shè)備容易遭受攻擊的常見弱點,包括惡意軟件、后門程序、遠程
大多數(shù)物聯(lián)網(wǎng)設(shè)備運行在過時的固件上,這帶來了重大的安全風險,因為漏洞非常普遍。固件漏洞使設(shè)備容易受到攻擊,包括商用惡意軟件、復(fù)雜的植入和后門、遠程代碼執(zhí)行、數(shù)據(jù)竊取、勒索軟件甚至物理破壞等等,在一般情況下,一個設(shè)備的固件壽命大概是6年左右,超過這個時間之后,供應(yīng)商一般不會在提供支持維護。
同所有連接網(wǎng)絡(luò)的軟硬件設(shè)備一樣,物聯(lián)網(wǎng)設(shè)備也應(yīng)及時使用供應(yīng)商提供的最新固件版本和安全補丁進行更新,但不可否認,這的確可能是一個挑戰(zhàn),特別是在大型組織中,它們會有數(shù)十萬到數(shù)百萬個這樣的設(shè)備。可即便如此,越是大型企業(yè)就越是必須采取措施來保證網(wǎng)絡(luò)的安全。
此外,需注意的是有時設(shè)備固件可能會采取降級的措施以保障安全,而不是更新,偶爾當一個漏洞被廣泛利用,而沒有可用的補丁(物聯(lián)網(wǎng)供應(yīng)商發(fā)布補丁的時間間隔通常比傳統(tǒng)IT設(shè)備供應(yīng)商更久),那么暫時將設(shè)備降級到不包含該漏洞的較早固件版本反而是可取的。
4 實施嚴格的訪問控制
并切斷與設(shè)備運轉(zhuǎn)非必需的網(wǎng)絡(luò)連接
很多物聯(lián)網(wǎng)設(shè)備都具備很多種連接網(wǎng)絡(luò)的方式,如有線和無線網(wǎng)絡(luò)連接、藍牙、telnet等等,這種混雜多樣的網(wǎng)絡(luò)連接就很容易被外部攻擊者所利用。因而對企業(yè)來說,像對待IT網(wǎng)絡(luò)那樣去對系統(tǒng)進行加固就非常重要,包括關(guān)閉一些無用的端口和不必要的功能,比如既然使用了有線以太網(wǎng)連接,那就無須開啟WiFi,藍牙功能如不常用也應(yīng)關(guān)閉。
限制物聯(lián)網(wǎng)設(shè)備的互聯(lián)網(wǎng)接入將減輕依賴于安裝命令和控制惡意軟件類(如勒索軟件和數(shù)據(jù)竊取)的攻擊。
5 確保證書有效
確保安全授權(quán)、加密和數(shù)據(jù)完整性的物聯(lián)網(wǎng)數(shù)字證書經(jīng)常會出現(xiàn)管理不善、過時的情況,這個問題有時甚至?xí)l(fā)生在一些關(guān)鍵的網(wǎng)絡(luò)設(shè)備上,如無線網(wǎng)絡(luò)接入點等等,這意味網(wǎng)絡(luò)的初始接入點就沒有得到足夠的保護。因此,要驗證這些證書的狀態(tài)并管理起來,這方面可以有一些證書管理類的解決方案可以利用,有利于糾正可能發(fā)生的風險,如TLS版本、過期日期等。
6 設(shè)備加固后要關(guān)注后期可能會出現(xiàn)的各種變化
一旦物聯(lián)網(wǎng)設(shè)備被安全加固,確保它們保持這種加固狀態(tài)是很重要的。設(shè)備的設(shè)置和配置可能會隨著時間的推移而改變,因為包括固件更新、操作錯誤或人為破壞等多種可能性導(dǎo)致設(shè)備出現(xiàn)問題。
這方面尤其是要注意關(guān)鍵設(shè)備可能會出現(xiàn)的重要更改,比如權(quán)限的設(shè)定、因設(shè)備重置導(dǎo)致密碼恢復(fù)為初始默認的狀態(tài)等,還包括可以的賬戶口令修改、固件調(diào)整以及突然重啟等一些不安全的行為。
數(shù)字化進程的加速在推動發(fā)展的同時,眾多行業(yè)、領(lǐng)域的攻擊面也在加速擴大,雖然形勢都非常嚴峻,但至少目前看并非缺少應(yīng)對之策,重點是在于這些對策是否在執(zhí)行,而且是在有效執(zhí)行,否則就等同于將企業(yè)的大門主動向攻擊者打開。物聯(lián)網(wǎng)安全領(lǐng)域目前面臨的挑戰(zhàn)的確比傳統(tǒng)IT領(lǐng)域更多,但IT領(lǐng)域在安全方面的成功經(jīng)驗依然可以借鑒,比如文中提到的資產(chǎn)清單、密碼管理以及固件管理等等,都被證明是有效的,雖然它們無法阻擋住所有的攻擊,但在收斂攻擊面,降低遭受攻擊的可能性方面仍能發(fā)揮巨大作用,值得參考和運用。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<
