在物聯網海洋中航行
有一個說法:“總有一天,冰箱會知道你的需求是什么,可以幫你自動從商店訂貨。冰箱比你更了解你的需求”
我們不擔心網絡攻擊。現在,物聯網(IoT)也可以使能設備,也可以預防潛在的攻擊。
數十年來,運營技術(OT),物聯網和醫療物聯網(IoMT)一直在影響著生產力,并且每個版本的每臺設備都變得“更智能”。越來越多的雇主要求安全專業人員保護所有這些設備。這意味著將它們帶入IT領域,并將其納入我們的漏洞管理程序中。踏上我們這廣闊的新海洋之旅。
物聯網的未知領域
在任何物聯網探索中,我稱其為航程,同時也包括OT和IoMT的第一個挑戰是對設備本身進行定位和分類。那么,物聯網X-Force,Nozomi,Cylera,Tenable.ot和Qualys IoT等物聯網掃描儀都使用被動掃描也就不足為奇了。這種類型的掃描實際上是在偵聽-就像潛水艇上的麥克風一樣-并且它要求我們將解決方案連接到網絡中可以“聽到”所有內容的位置。這取決于供應商和上下文,稱為鏡像端口,監視器會話或網絡分接頭。這些解決方案僅通過基于簽名的物聯網設備查找和指紋識別就可以盡早獲得成功。
為什么稱之為被動掃描?物聯網設備容易被損傷;如果我們向他們發送IT掃描附帶的大量活動請求,它們可能會枯萎。有沒有看到打印機噴出大量廢話?您可以感謝您友好的鄰居掃描儀。在真正的潛水艇中,“砰”一詞來自聲納從飛船彈起的聲音。物聯網設備處于棘手的“重要但脆弱”的區域,而這種手套式方法將物聯網掃描儀與其兄弟分隔開來。
一旦找到,物聯網掃描儀便會檢查設備的流量并將其與自己的配置文件數據庫進行比較,以確定其正在處理的生物種類。受到好評后,系統將使用已知風險針對檢測到的IoT固件版本交叉引用設備的配置文件。
新與舊相遇
這表示與其他類型的掃描有所不同;被動掃描器無需測量設備的響應方式,而是觀察設備的功能。從本質上講,現代物聯網掃描儀更像是一個入侵檢測系統,實際上,某些解決方案實際上試圖阻止不良行為,將其放入入侵防御系統中。這有優點也有缺點。我們可以了解有關該系統的更多信息,并且更有可能積極地識別它。另一方面,除非我們直接看到另一個系統連接到它,否則我們可能無法檢測到所有打開的端口。
對于現代的物聯網來說,這一切都很好,但是潛伏在深處的可怕的舊OT設備又如何呢?這些機構使用SONET環和串行連接的繁華時代的技術。這在很大程度上取決于系統如何管理這些東西。在大多數情況下,最好的結果是檢測相對最新的人機界面(HMI)。這些系統就像章魚一樣,具有多個觸手,它們通過另一種連接介質連接到傳感器,閥門,泵和其他OT設備。在攻擊者控制其中一個系統的情況下,由于帶有“ Valve Shutoff”和“ Release the Kraken”等標簽的按鈕,可能會發生可怕的事情。
安全設備的網關
在其他情況下,客戶端使用稱為串行網關的小型設備,這使它們可以連接到諸如安全外殼或知名的Telnet之類的服務,并像直接連接設備一樣管理該設備。
然后,物聯網掃描儀將檢測網絡上的這些HMI和串行網關系統。我們需要記住,從清單的角度來看,它們代表著更多的設備。無論是手工從HMI導入設備還是使用定制系統(例如tdi ConsoleWorks),通常都是需要幫助的地方。
尋找您的物聯網當前課程和速度
發現我們所有的物聯網系統后,問題就變成了“我們如何保護它們?” 控制層次結構的Purdue模型將成為我們的北極星。這是普渡大學與自動化工業協會99委員會之間合資的結果。它的四個區域和六個級別對應于實際物聯網設備(主要是OT設備)和企業網絡之間的差異層。此處提供了一個有用的文檔,該文檔參考了Purdue模型,供那些想要看看的人參考。
工業控制系統的Purdue模型
我們在物聯網的深海中發現的現實有時需要更大的動力。普渡大學模型非常特定于制造業。它還要依靠組織來改變其環境,以便從中獲得最大的價值。與IoMT用例形成對比,IoMT用例中,平板電腦,Windows XP計算機甚至秤都共享網絡,而分散的負擔卻是我的負擔。這些設備在生產環境中的有機采用既勇敢又令人生畏,使人員效率更高,同時每次功能升級都可以創造出充滿新攻擊角度的加油機。
快速而輕松地與現有網絡連接的新設備的數量增加了斗爭的難度。對于許多物聯網用例而言,產品經理正在竭盡全力,并試圖以比競爭對手更新穎,更好的功能將產品推向市場。對他們來說,Purdue模型是一張藏寶圖,其中X標記了C級執行官,他想要輕松修復并可以寫一張支票。
不足為奇的是,相關的行業論壇和標準如雨后春筍般冒出,以降低錨點并減慢這一速度。該IoXT聯盟它們是在參加好力(IBM是一個成員)智能高科技廠商一個很好的例子。和歐洲醫療器械監管是值得關注的,與執法有望在2021年開始。
這里是物聯網的怪物
當然,我們所有人都想避免的情況是,可怕的幽靈船上的那些海盜掌握了我們的個人身份信息和受保護的健康信息,甚至完全淹沒了我們的重要船只。換句話說,我們正在談論的這些設備既關鍵又脆弱。盡管它們變得越來越普遍,我們仍需要保護它們及其數據。
較新的設備足夠聰明,足以危險。他們可能會采用分布式Linux配置,并提供諸如小型但功能強大的服務器之類的服務。客戶端使用您可能沒有聽說過但可能在您每天使用的東西中運行的實時操作系統,將它們與其他設備混合在一起。您的汽車或雜貨店的自助退房可能包括這些。而且,這些設備中仍有更多運行Windows的嵌入式版本。在您擔心Myspace頁面的那些日子里,您可能會認識到它。
處理報廢設備
這些設備無法自衛。從支持的角度來看,許多功能完善的物聯網設備實際上已經壽終正寢,但直到有人意識到它們容易受到7年歷史的利用之后,它們仍在嗡嗡作響。
近期打擊消費者安全攝像機的云服務關閉證明了軟件和硬件功能之間的差異。它使這些原本可以工作的設備無處發送視頻。在工作中,這些相同的物聯網問題同樣適用-產品壽命短和對供應商的依賴性相同,即使設備一旦失去支持仍可以正常工作。這樣,憑借其獨立的特性,較舊的OT設備可以比依靠云的智能IoT同類產品更長壽。
考慮到所有這些挑戰,在海上容易感到迷路。物聯網掃描儀可以運行,查找新設備并告訴我們其風險。這些都是很好的解決方案,但是如果它們產生成千上萬的發現,而掃描儀往往會這樣做,那么我們如何處理它們的結果呢?而且,我們如何從基于風險的角度看待物聯網?
即時幫助:漏洞排名
掃描儀報告的幾乎所有漏洞(IoT或IT)都引用了常見的漏洞和披露(CVE)編號。MITER維護了此報告庫,其中報告了所有影響供應商軟件和硬件的漏洞。方便地,安全研究人員在發布針對該漏洞的概念驗證漏洞利用代碼時經常會引用此內容。并非所有漏洞都被公開證明是可以利用的-X-Force Red發現,只有大約16%的CVE屬于此類。
雖然Darknet和深度網絡潛水可以找到利用漏洞利用的特定實例,但從表面上衡量CVE漏洞利用的普及程度(例如Metasploit,ExploitDB和Github等網站),可以很好地了解安全研究人員所看到的內容。
此外,您可以結合動手實踐的攻擊經驗和人工智能,根據攻擊者部署CVE的方式對每個CVE進行評分。這有助于將現實添加到如此簡單的CVE中,以至于它們不需要漏洞利用代碼,并且對于沒有關聯CVE的基于配置的發現也是如此。
風險分析
由于物聯網風險可能非常復雜,因此在制定課程之前,必須同時考慮技術和業務風險。IBM合作伙伴AbedGraham的[CCOM2]等技術為發現增加了特定于醫療保健的風險,并確定了臨床工程團隊首先應關注的IoMT設備。
例如,盡管某些型號的患者監護儀存在固有的漏洞,但是拆除醫院的磁共振成像(MRI)機器的能力通常是更為緊迫的威脅。可以通過不同的角度來查看這些風險。在[CCOM2]的情況下,針對通常與臨床環境相關的風險來評估易受攻擊的系統。
此外,X-Force Red經常將這些東西拆開,以更好地了解下面可能還存在哪些其他風險。諸如FiniteState之類的工具可以幫助分析固件,并讓我們隨時了解這些設備的新威脅。X-Force Red硬件滲透測試可以幫助發現設備行為或其通信方法中可能存在的漏洞。
物聯網修復策略
修復物聯網漏洞可能需要很長時間。首先,除了一些基本配置外,我們通常對設備沒有太多控制。此外,受影響的設備有時是較大解決方案的一部分。我們的聯絡點可能無能為力。在最壞的情況下,供應商會提醒我們,受影響的設備已經停產并且不受支持。需要創造性思維,并且我們經常從多個角度處理這些情況。
攻擊檢測 是第一位的。無論我們是否可以阻止它,我們當然都可以發現一些嘗試利用它的scalawag。真正的攻擊 應該 很少見,而IoT掃描程序通過其偵聽流量的能力有時可以檢測甚至阻止這種行為。如果我們可以檢測到它,可以將其與事件響應手冊聯系在一起,知道在事件中正在嘗試什么以及尋找什么。
如果我們發現設備不適當或意外暴露,則有時也可以使用分段 。此過程在基礎架構級別增加了保護,以在設備周圍建立防波堤。本質上,如果我們將攻擊者放置在另一個受保護的網絡上,則攻擊者可能會與該設備完全斷開連接。
修補有時仍是IoT設備的一種選擇。但是,它比IT同行更不常見,執行起來也更困難。在最佳情況下,可以以低風險推出配置更改,以禁用易受攻擊的不需要的服務。如果確實存在補丁程序,則通常需要將設備停運才能進行補丁程序。在某些情況下,設備將需要物理訪問權限才能安裝補丁。固件更新失敗的設備被認為是“磚狀”的,通常需要將其送出進行維修。因此,修補高可用性,關鍵設備非常恐怖且危險,這又需要更改窗口和冗長的部署。
負責任的披露是我們在安全團隊或客戶發現設備中的新缺陷時所經歷的長期過程。由于我們之前談到的事情,這在物聯網領域更為常見。即,它來自于市場的搶占和網絡功能的快速啟用。這些設備中的許多都有缺陷,一旦將它們拆開,團隊便可以迅速發現它們。您可以說,這是物聯網中深處的漏洞的真正“大陷阱”。
揚帆起航
到此為止,航海的隱喻變得有些可疑了。但是,聲音。從工作站和服務器的相對可預測性轉向保護物聯網設備的安全,就像為未知的零件起航。您需要一個基于發現,優先級和補救的程序,以維持緊密的物聯網。
