減少物聯(lián)網(wǎng)攻擊面的六種方法
由于攻擊者的目標(biāo)是不斷增長的物聯(lián)網(wǎng)攻擊面,企業(yè)可以通過以下六種最佳安全實踐降低風(fēng)險。
物聯(lián)網(wǎng)是一個每天都在擴大的巨大攻擊面,這些設(shè)備通常充滿了基本的安全問題和高風(fēng)險漏洞,它們正越來越頻繁地成為網(wǎng)絡(luò)犯罪分子的目標(biāo)。
長期以來,許多人都將物聯(lián)網(wǎng)攻擊、分布式拒絕服務(wù)和加密挖掘僵尸網(wǎng)絡(luò)等低級威脅聯(lián)系在一起。但事實上,越來越多的勒索軟件、間諜和數(shù)據(jù)盜竊攻擊利用物聯(lián)網(wǎng)作為進入更大IT網(wǎng)絡(luò),包括云在內(nèi)的初始接入點。高級的威脅行為者也在使用物聯(lián)網(wǎng)設(shè)備在這些網(wǎng)絡(luò)中實現(xiàn)持久性,同時逃避檢測。
在我們自己對部署在企業(yè)環(huán)境中的數(shù)百萬物聯(lián)網(wǎng)設(shè)備的分析中,我們發(fā)現(xiàn)高風(fēng)險和關(guān)鍵漏洞都很普遍。一半的物聯(lián)網(wǎng)設(shè)備存在至少為8分的漏洞,20%的設(shè)備存在CVSS評分為9-10分的嚴(yán)重漏洞。與此同時,這些設(shè)備在密碼保護和固件管理方面也存在一些基本的安全故障。
雖然物聯(lián)網(wǎng)風(fēng)險不能完全消除,但可以降低。以下是企業(yè)應(yīng)該采取的幾個步驟。
創(chuàng)建全面、最新的資產(chǎn)清單
在我們的研究中,我們發(fā)現(xiàn)80%的企業(yè)安全團隊甚至無法識別其網(wǎng)絡(luò)上的大多數(shù)物聯(lián)網(wǎng)設(shè)備。這是一個驚人的數(shù)字,它表明了問題的嚴(yán)重性。如果一家企業(yè)甚至不知道其網(wǎng)絡(luò)上有哪些設(shè)備,那么在成功的物聯(lián)網(wǎng)攻擊后,它如何能夠保護這些設(shè)備免受攻擊?又將如何保護其it網(wǎng)絡(luò)免受橫向移動?
然而,物聯(lián)網(wǎng)盤點并不容易。傳統(tǒng)的IT發(fā)現(xiàn)工具從來都不是為物聯(lián)網(wǎng)設(shè)計的。網(wǎng)絡(luò)行為異常檢測系統(tǒng)監(jiān)聽跨端口上的流量,但大多數(shù)物聯(lián)網(wǎng)流量都是加密的,即使沒有加密,傳輸?shù)男畔⒁矝]有足夠的識別細(xì)節(jié)。
如果沒有任何細(xì)節(jié),僅僅知道某臺打印機是不夠的,尤其是如果它存在需要修復(fù)的漏洞。傳統(tǒng)漏洞掃描器可以提供幫助,但它們通過發(fā)送格式錯誤的數(shù)據(jù)包進行操作,這對物聯(lián)網(wǎng)識別來說不太好,甚至?xí)刮锫?lián)網(wǎng)設(shè)備離線。
更好的方法是通過查詢設(shè)備的母語來發(fā)現(xiàn)物聯(lián)網(wǎng)設(shè)備。這將允許企業(yè)創(chuàng)建一份包含物聯(lián)網(wǎng)設(shè)備詳細(xì)信息的清單,如設(shè)備版本、型號、固件版本、序列號、運行服務(wù)、證書和憑據(jù)。這使得企業(yè)能夠真正地補救這些風(fēng)險,而不僅僅是發(fā)現(xiàn)它們。這也使他們能夠移除任何被美國政府認(rèn)為高風(fēng)險的設(shè)備,如華為、中興、海康威視、大華。
密碼安全至關(guān)重要
針對物聯(lián)網(wǎng)設(shè)備的攻擊很容易實施,因為許多物聯(lián)網(wǎng)設(shè)備仍然有默認(rèn)密碼。我們發(fā)現(xiàn),在大約50%的物聯(lián)網(wǎng)設(shè)備中都是如此,在特定類別的設(shè)備中,這一比例甚至更高。
例如,95%的音視頻設(shè)備物聯(lián)網(wǎng)設(shè)備都有默認(rèn)密碼。即使設(shè)備不使用默認(rèn)密碼,它們中的大多數(shù)在長達10年的時間里只修改過一次密碼。
理想情況下,物聯(lián)網(wǎng)設(shè)備應(yīng)該有唯一的、復(fù)雜的密碼,每30天、60天或90天輪換一次。然而,并非所有設(shè)備都支持復(fù)雜密碼。一些較老的物聯(lián)網(wǎng)設(shè)備只能處理4位的pin碼,而其他設(shè)備只允許10個字符,還有一些不接受特殊字符。
重要的是要了解物聯(lián)網(wǎng)設(shè)備的所有細(xì)節(jié)和功能,這樣才能使用有效的密碼,并安全地進行更改。對于密碼參數(shù)較弱或無法提供任何級別的身份驗證的舊設(shè)備,請考慮使用更現(xiàn)代的產(chǎn)品替換這些設(shè)備,以實現(xiàn)更好的安全實踐。
管理設(shè)備的固件
大多數(shù)物聯(lián)網(wǎng)設(shè)備運行在過時的固件上,由于漏洞非常普遍,這會帶來嚴(yán)重的安全風(fēng)險。固件漏洞使設(shè)備容易受到攻擊,包括商用惡意軟件、復(fù)雜的植入、遠(yuǎn)程訪問攻擊、數(shù)據(jù)盜竊、勒索軟件、間諜活動,甚至物理破壞。而設(shè)備固件的平均壽命是6年,大約四分之一的設(shè)備已經(jīng)報廢,不再由供應(yīng)商提供支持。
物聯(lián)網(wǎng)設(shè)備應(yīng)使用供應(yīng)商提供的最新固件版本和安全補丁進行更新。不可否認(rèn),這可能是一個挑戰(zhàn),特別是在大型企業(yè)中,實際上有數(shù)十萬到數(shù)百萬個這樣的設(shè)備。但無論如何,必須采取措施來保證網(wǎng)絡(luò)的安全。企業(yè)物聯(lián)網(wǎng)安全平臺可以大規(guī)模自動化這一和其他安全流程。
然而,有時設(shè)備固件應(yīng)該降級,而不是更新。當(dāng)漏洞被廣泛利用,并且由于物聯(lián)網(wǎng)供應(yīng)商通常比傳統(tǒng)IT設(shè)備制造商需要更長的時間來發(fā)布補丁,因此沒有可用的補丁時,建議暫時將設(shè)備降級到不包含漏洞的早期固件版本。
關(guān)閉外部連接并限制網(wǎng)絡(luò)訪問
物聯(lián)網(wǎng)設(shè)備通常很容易被發(fā)現(xiàn),并且默認(rèn)啟用了太多連接功能,如有線和無線連接、藍(lán)牙、其他協(xié)議、安全外殼和遠(yuǎn)程登錄。這種混雜的訪問使得它們很容易成為外部攻擊者的目標(biāo)。
對企業(yè)來說,像對It網(wǎng)絡(luò)一樣對物聯(lián)網(wǎng)進行系統(tǒng)加固非常重要。物聯(lián)網(wǎng)設(shè)備加固包括關(guān)閉這些無關(guān)的端口和不必要的功能。一些例子是運行安全外殼協(xié)議但不遠(yuǎn)程登錄,使用有線以太網(wǎng)但不使用Wi-Fi,以及關(guān)閉藍(lán)牙。
企業(yè)也應(yīng)該限制其在網(wǎng)絡(luò)之外進行通信的能力。這可以通過網(wǎng)絡(luò)防火墻、單向二極管、訪問控制列表和虛擬局域網(wǎng)在第2層和第3層完成。限制物聯(lián)網(wǎng)設(shè)備的互聯(lián)網(wǎng)接入將減輕依賴于安裝命令和控制惡意軟件,如勒索軟件和數(shù)據(jù)盜竊的攻擊。
確保證書有效
確保安全授權(quán)、加密和數(shù)據(jù)完整性的物聯(lián)網(wǎng)數(shù)字證書經(jīng)常過時,管理不善。這個問題甚至發(fā)生在關(guān)鍵的網(wǎng)絡(luò)設(shè)備上,比如無線接入點,這意味著即使是網(wǎng)絡(luò)的初始接入點也沒有得到適當(dāng)?shù)谋Wo。
驗證這些證書的狀態(tài)并將其與證書管理解決方案集成非常重要,以便糾正可能發(fā)生的任何風(fēng)險,如安全傳輸層協(xié)議、過期日期和自簽名。
注意環(huán)境漂移
一旦物聯(lián)網(wǎng)設(shè)備被安全加固,確保它們保持這種狀態(tài)是很重要的。由于固件更新、錯誤和人為干擾,設(shè)備設(shè)置和配置可能會隨著時間的推移而改變,因此環(huán)境漂移是一種常見現(xiàn)象。
需要注意的關(guān)鍵設(shè)備更改是重置為默認(rèn)值的密碼或非PAM的其他憑證修改、固件降級以及突然重新打開的不安全服務(wù)。
