物聯網攻擊的增長速度明顯快于主流攻擊。卡巴斯基工業控制系統網絡應急響應小組(Kaspersky ICS CERT)發現,在2022年下半年,全球34.3%的工業部門的服務器遭到了網絡攻擊,僅在2021年上半年,針對物聯網設備的網絡攻擊就達到15億次,40%以上的OT系統遭到網絡攻擊。SonicWall Capture實驗室的網絡威脅研究人員在2022年記錄了1.123億個物聯網惡意軟件攻擊實例,與2021年相比增加了87%。
全球安全隔離與信息交換系統提供商Airgap Networks公司的首席執行官Ritesh Agrawal指出,雖然物聯網端點可能不是業務關鍵點,但它們很容易被攻破,并被用于將惡意軟件直接傳播到企業最有價值的系統和數據。他建議企業對每個物聯網端點堅持使用網絡安全的基本措施——發現、細分和身份識別。
在最近接受行業媒體采訪時,Agrawal建議企業尋找一些不需要強制升級、并且在部署過程中不會破壞物聯網網絡的解決方案。這是他和聯合創始人在創建Airgap Networks公司時確定的一些網絡安全設計目標中的兩個。
制造業采用的物聯網設備成為高價值的目標
物聯網設備受到網絡攻擊是因為它們很容易成為目標,在正常運行時間對生存至關重要的行業中,它們可以迅速導致大量的勒索軟件攻擊。制造業受到的打擊尤其嚴重,因為網絡攻擊者知道任何一家工廠都無法承受長期停工的后果,因此他們索要的贖金是其他目標的兩到四倍。61%的入侵企圖和23%的勒索軟件攻擊主要針對OT系統。
調研機構Forrester公司研究了物聯網設備成為如此高價值目標的原因,以及它們如何被用來在企業中發動更廣泛、更具破壞性的網絡攻擊。他們確定了以下四個關鍵因素:
(1)物聯網設備的設計有安全盲點
目前安裝的大多數傳統物聯網設備在設計時都沒有將安全性作為優先考慮的因素。很多都缺少刷新固件或加載新軟件代理的選項。盡管存在這些限制,但仍然有一些有效的方法來保護物聯網端點。
首先安全措施要覆蓋物聯網傳感器和網絡中的盲點。CrowdStrike公司物聯網安全產品管理總監Shivan Mandalam在最近的一次采訪中表示,“企業必須消除與未管理或不受支持的遺留系統相關的盲點。隨著IT和OT系統的可見性和分析能力的提高,安全團隊可以在對手利用問題之前快速識別和解決問題。”
目前使用物聯網安全系統和平臺的領先網絡安全供應商包括AirGap Networks、Absolute Software、Armis、Broadcom、Cisco、CradlePoint、CrowdStrike、Entrust、Forescout、Fortinet、Ivanti、JFrog和Rapid7。在2022年舉辦的Fal.Con大會上,CrowdStrike公司推出了增強的Falcon Insight,包括Falcon Insight XDR和Falcon Discover for IoT,旨在彌合工業控制系統(ICS)內部和之間的安全差距。
(2)長期使用默認管理密碼(包括憑據)很常見
網絡安全方面比較薄弱的制造商在物聯網傳感器上使用默認管理密碼是很常見的。他們通常使用默認設置,因為制造IT團隊沒有時間設置每個細節,或者沒有意識到存在這樣做的選項。Forrester公司指出,這是因為許多物聯網設備在初始化時并沒有要求用戶設置新密碼,也不要求企業強制設置新密碼。Forrester公司還指出,管理憑據在舊設備中通常無法更改。
因此,首席信息安全官、安全團隊、風險管理專業人員和IT團隊在其網絡上擁有已知憑據的新舊設備。
提供網絡安全解決方案以提高密碼和身份級別物聯網端點安全性的領先供應商包括Armis、Broadcom、Cisco、CradlePoint、CrowdStrike、Entrust、Forescout、Fortinet、Ivanti和JFrog。Ivanti公司是該領域的領導者,成功開發并推出了四種物聯網安全解決方案:用于RBVM的Ivanti Neurons、用于UEM的Ivati Neuron、支持醫療物聯網(IoMT)的醫療保健Ivanti Neurons,以及基于該公司收購Wavelink的用于保護工業物聯網安全的Ivanti Neurons。
Ivanti公司的首席產品官Srinivas Mukkamala博士在最近接受行業媒體采訪時解釋說:“物聯網設備正在成為網絡攻擊者的熱門目標,根據IBM公司發布的一份調查報告,物聯網攻擊在2021年占全球惡意軟件攻擊的12%以上,高于2019年的1%。為了解決這個問題,企業必須實施統一的端點管理(UEM)解決方案,該解決方案可以發現企業網絡上的所有資產,甚至是企業休息室中采用Wi-Fi聯網的烤面包機。”
Mukkamala說:“統一的端點管理(UEM)和基于風險的漏洞管理解決方案的結合對于實現無縫、主動的風險響應,以修復企業環境中所有設備和操作系統上的漏洞至關重要。”
(3)幾乎所有醫療保健、服務和制造企業都依賴于傳統的物聯網傳感器
從醫院部門、病房到車間,傳統的物聯網傳感器是這些企業獲取運營所需實時數據的支柱。醫療保健和服務這兩個行業都是網絡攻擊者的高價值目標,他們的目標是入侵物聯網,從而在網絡上發起橫向移動。73%基于物聯網的靜脈輸液泵是可攻擊的,50%的IP語音系統也是如此。總體而言,在一家傳統的醫院中,50%的聯網設備目前存在嚴重風險。
Forrester公司指出,造成這些漏洞的主要原因之一是,這些設備運行的是不受支持的操作系統,無法保護或更新。如果網絡攻擊者破壞了物聯網設備并且無法修補,這會增加設備 “磚頭化”的風險。
(4)物聯網的問題在于互聯網,而不是技術
Forrester公司觀察到,物聯網設備一旦連接到互聯網,就會立即成為安全隱患。一位不愿透露姓名的網絡安全供應商在接受采訪時表示,他們一個最大的客戶一直在掃描網絡,以解析從該公司外部發出的IP地址。這個IP地址來自一家制造工廠前廳的監控攝像頭。網絡攻擊者一直在監控人員進出,并試圖混入上班的員工中進入該工廠內部,并在其網絡上植入他們的傳感器。毫無疑問,Forrester公司觀察到物聯網設備已經成為指揮和控制攻擊的渠道,或者成為僵尸網絡,就像眾所周知的Marai僵尸網絡攻擊一樣。
遭到物聯網攻擊是什么感覺
一些制造商表示,他們不確定如何保護傳統的物聯網設備及其可編程邏輯控制器(PLC)。可編程邏輯控制器(PLC)提供運行業務所需的實時數據流。物聯網和可編程邏輯控制器(PLC)是為易于集成而設計的,這與網絡安全性相反,這使得任何沒有專職IT人員和安全人員的制造商都很難確保它們的網絡安全。
總部位于美國中西部的一家汽車零部件制造商遭遇了大規模勒索軟件攻擊,此次攻擊主要針對該公司在網絡上未受保護的物聯網傳感器和攝像頭進行攻擊。網絡攻擊者使用了一種R4IoT勒索軟件的變體,最初滲透了該公司用于自動化暖通空調、電力和機械預防性維護的物聯網、視頻監控和可編程邏輯控制器(PLC)。
在入侵企業網絡之后,網絡攻擊者就會橫向移動,尋找基于Windows的系統,并用勒索軟件感染它們。網絡攻擊者還獲得了管理員權限,并禁用了Windows防火墻和第三方防火墻,然后通過網絡將R4IoT可執行文件安裝到機器上。
這次攻擊使得這家制造商無法監控機器的熱量、壓力、運行狀況和循環時間等參數,還凍結和加密了所有數據文件,使它們無法使用。更糟糕的是,網絡攻擊者威脅該公司,如果不支付贖金,將在24小時內將該公司的所有定價、客戶和生產數據發布到暗網上。
這家制造商別無選擇,不得不支付了贖金,他們的網絡安全人才對如何應對網絡攻擊不知所措。網絡攻擊者知道,還有很多制造商沒有專門的網絡安全和IT團隊來應對這種威脅,也不知道如何應對這種威脅。這就是制造業仍然是受沖擊最嚴重的行業的原因。簡而言之,物聯網設備已經成為首選的威脅載體,因為它們不受保護。
Agrawal表示,“物聯網給企業安全成熟度帶來了很大的壓力。將零信任擴展到物聯網是很困難的,因為端點各不相同,而且環境是動態的,充滿了傳統設備。”當被問及制造商和其他高風險行業目標如何開始進行安全防護時,Agrawal建議說:“準確的資產發現、細分和身份識別仍然是正確的答案,但在大多數物聯網設備無法接受代理的情況下,如何將它們與傳統解決方案一起部署?這就是許多企業采用像Airgap這樣的無代理網絡安全作為物聯網唯一可行的架構的原因。”
