我們?nèi)绾谓鉀Q物聯(lián)網(wǎng)的嚴(yán)重安全問(wèn)題?
物聯(lián)網(wǎng)的應(yīng)用幾乎無(wú)處不在。從家庭到汽車,再到辦公室和工廠,物聯(lián)網(wǎng)現(xiàn)在在連接到我們的家庭、蜂窩網(wǎng)絡(luò)和商業(yè)網(wǎng)絡(luò)的設(shè)備數(shù)量中占很大比例。
2022年,全球物聯(lián)網(wǎng)普及率增長(zhǎng)了18%。現(xiàn)在家里到處都是各種各樣的物聯(lián)網(wǎng)設(shè)備,可以在我們外出時(shí)吸塵和拖地,可以讓我們看到誰(shuí)在前門(mén)按鈴,監(jiān)控房屋及寵物。
物聯(lián)網(wǎng)還使我們能夠通過(guò)向智能音箱發(fā)出語(yǔ)音指令,來(lái)實(shí)現(xiàn)家庭的許多功能的自動(dòng)化,如開(kāi)燈、拉窗簾或任何其他曾經(jīng)由人類執(zhí)行的日常任務(wù)。這些設(shè)備的便利性對(duì)我們所有人來(lái)說(shuō)都是顯而易見(jiàn)的,尤其是當(dāng)晚上不想起床關(guān)燈時(shí)。
物聯(lián)網(wǎng)個(gè)人設(shè)備的安全問(wèn)題
物聯(lián)網(wǎng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)是不太明顯的。特別是當(dāng)這些設(shè)備連接到用于銀行業(yè)務(wù)、股票交易或工作的同一個(gè)未分段的家庭網(wǎng)絡(luò)時(shí)。如果不希望自己的家庭照片被網(wǎng)絡(luò)犯罪分子刪除或勒索,物聯(lián)網(wǎng)設(shè)備就像智能電視一樣,需要單獨(dú)的防火墻網(wǎng)絡(luò)。然而,我們大多數(shù)人對(duì)這些以及生活中的許多其他網(wǎng)絡(luò)安全風(fēng)險(xiǎn)一無(wú)所知。
例如,很少人意識(shí)到智能音箱正在監(jiān)聽(tīng)和記錄日常對(duì)話,除非先禁用或關(guān)閉。或者將智能設(shè)備連接到最佳網(wǎng)絡(luò)信號(hào)以連接互聯(lián)網(wǎng),無(wú)論那是鄰居的WiFi還是自己的。這同樣適用于鄰居,無(wú)論其選擇使用互聯(lián)網(wǎng)連接做什么。
這些設(shè)備通常用于家庭和工作場(chǎng)所,如攝像頭門(mén)鈴,可以被黑客入侵。
工作場(chǎng)所的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)
物聯(lián)網(wǎng)的安全問(wèn)題在工作場(chǎng)所也很普遍,其日益廣泛的使用大大增加了網(wǎng)絡(luò)攻擊面。在如今的醫(yī)院中,75%的IP連接資產(chǎn)現(xiàn)在不受醫(yī)院IT部門(mén)管理,其中絕大多數(shù)是醫(yī)療和其他物聯(lián)網(wǎng)設(shè)備。也許是一側(cè)連接到患者,而另一側(cè)連接到互聯(lián)網(wǎng)的設(shè)備。這包括從X射線、CT、PET和超聲波等診斷系統(tǒng)到用于治療患者的放療和化療系統(tǒng),以及用于患者或垂死者輸送藥物的網(wǎng)絡(luò)連接輸液泵。其包括患者氧飽和度、脈搏、心跳、血壓和其他重要指標(biāo)的監(jiān)測(cè)系統(tǒng)。還包括重要的醫(yī)院建筑管理系統(tǒng),如HVAC,用于管理正負(fù)氣流,以保持OR清潔和無(wú)病,并防止COVID患者感染其他人。此外,還有用于在樓層之間運(yùn)送患者的電梯、用于監(jiān)控門(mén)和走廊的閉路電視攝像頭,以及用于在刷安全門(mén)禁卡時(shí)打開(kāi)和關(guān)閉建筑物安全部分的電子門(mén)鎖。
這些只是現(xiàn)在連接到醫(yī)院網(wǎng)絡(luò)的眾多物聯(lián)網(wǎng)系統(tǒng)中的一部分,并且通常由數(shù)英里外的第三方供應(yīng)商通過(guò)互聯(lián)網(wǎng)進(jìn)行管理。如今天的醫(yī)院到處都是連接的自主機(jī)器人,用于藥房、手術(shù)、藥物分發(fā)、實(shí)驗(yàn)室和血液制品的運(yùn)輸和分析。物聯(lián)網(wǎng)有助于提高速度和效率,同時(shí)降低成本。其他行業(yè)也是如此。物聯(lián)網(wǎng)已經(jīng)變得無(wú)處不在,而且?guī)缀跛形锫?lián)網(wǎng)現(xiàn)在都已連接。
物聯(lián)網(wǎng)本質(zhì)上是不安全的
在考慮網(wǎng)絡(luò)安全之前,這一切都是很好的。物聯(lián)網(wǎng)本質(zhì)上是不安全的。其從未被設(shè)計(jì)為安全的。一個(gè)簡(jiǎn)單的可編程邏輯控制器(PLC)專為簡(jiǎn)單的重復(fù)性任務(wù)而設(shè)計(jì),例如在其使用壽命期間在正確位置打開(kāi)和關(guān)閉電梯門(mén)數(shù)百萬(wàn)次。由于電纜拉伸但PLC保持不變,因此可能需要技術(shù)人員定期進(jìn)行一些調(diào)整。其創(chuàng)建者的商業(yè)模式也沒(méi)有考慮到為關(guān)鍵安全補(bǔ)丁或更新的開(kāi)發(fā)、測(cè)試和發(fā)布提供支持。結(jié)果是,很多物聯(lián)網(wǎng)被認(rèn)為是一次性的。使用它,直到壞了,然后被送到垃圾填埋場(chǎng)。
物聯(lián)網(wǎng)在很大程度上不受監(jiān)管,盡管正在緩慢地變化。物聯(lián)網(wǎng)旨在重復(fù)執(zhí)行簡(jiǎn)單的任務(wù)。其不是為了防止網(wǎng)絡(luò)犯罪而設(shè)計(jì)的,其架構(gòu)也不是為可擴(kuò)展性或壽命而設(shè)計(jì)的。結(jié)果是,即使用戶可以安裝安全補(bǔ)丁或更新的操作系統(tǒng),物聯(lián)網(wǎng)設(shè)備也可能缺少運(yùn)行該更新的系統(tǒng)資源。其根本不像PC那樣是為未來(lái)而設(shè)計(jì)的。
如今很少有人會(huì)考慮在Windows 95 PC上進(jìn)行網(wǎng)上銀行業(yè)務(wù),但許多讓我們的親人在醫(yī)院里活著的醫(yī)療設(shè)備正在運(yùn)行的正是Windows XP的嵌入式版本。物聯(lián)網(wǎng)可能是醫(yī)院最大的患者安全風(fēng)險(xiǎn),也是家庭最大的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。甚至聯(lián)網(wǎng)汽車由于對(duì)越來(lái)越多的互聯(lián)物聯(lián)網(wǎng)的依賴,也無(wú)法免受網(wǎng)絡(luò)攻擊。
2017年針對(duì)NHS的WannaCry攻擊,2021年針對(duì)新西蘭部分衛(wèi)生系統(tǒng)的Zeppelin攻擊,以及最近針對(duì)巴黎醫(yī)院的攻擊,都利用了醫(yī)療和其他物聯(lián)網(wǎng)設(shè)備的漏洞。
這些物聯(lián)網(wǎng)風(fēng)險(xiǎn)是眾所周知的。在民意調(diào)查中,約64%的醫(yī)療保健安全專業(yè)人員將不安全的醫(yī)療設(shè)備列為最大的安全問(wèn)題。然而,大多數(shù)組織對(duì)其網(wǎng)絡(luò)缺乏可見(jiàn)性,這意味著其無(wú)法準(zhǔn)確了解連接到其網(wǎng)絡(luò)的是什么,以及每個(gè)端點(diǎn)的風(fēng)險(xiǎn)。組織管理物聯(lián)網(wǎng)安全的方式,與管理IT環(huán)境中的安全風(fēng)險(xiǎn)和補(bǔ)丁的方式不同,特別是當(dāng)該環(huán)境基于Windows的,并且每個(gè)月的在固定時(shí)間需要安裝100多個(gè)補(bǔ)丁時(shí)。
物聯(lián)網(wǎng)部署數(shù)量的增長(zhǎng)速度遠(yuǎn)快于IT的增長(zhǎng)速度。這種增長(zhǎng)也在組織外部擴(kuò)散。在COVID高峰期,康復(fù)中的患者被盡快從醫(yī)院送回家,以便為其他人騰出床位。他們經(jīng)常帶著各種患者監(jiān)測(cè)設(shè)備被送回家,這些設(shè)備會(huì)向醫(yī)院或當(dāng)?shù)氐淖o(hù)理團(tuán)隊(duì)報(bào)告。這些物聯(lián)網(wǎng)設(shè)備通過(guò)互聯(lián)網(wǎng)從患者家中連接,主要是通過(guò)VPN,但有時(shí)不是。與此同時(shí),遠(yuǎn)程醫(yī)療的采用逐步升級(jí)。這意味著現(xiàn)在的網(wǎng)絡(luò)威脅面比2019年更大,其中大部分是由物聯(lián)網(wǎng)驅(qū)動(dòng)的。
如何降低物聯(lián)網(wǎng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)
首先,無(wú)法保護(hù)所不了解的內(nèi)容,且大多數(shù)組織最多只能擁有有限的連接到其網(wǎng)絡(luò)的IoT端點(diǎn)庫(kù)存。電子表格和資產(chǎn)庫(kù)存系統(tǒng)依賴于人類,而人類很容易出錯(cuò)。網(wǎng)絡(luò)掃描僅在進(jìn)行掃描時(shí)報(bào)告所連接到網(wǎng)絡(luò)的內(nèi)容。與服務(wù)器和PC不同,物聯(lián)網(wǎng)系統(tǒng)會(huì)根據(jù)需要打開(kāi)和關(guān)閉電源,因此任何時(shí)間點(diǎn)評(píng)估都是在某個(gè)時(shí)間點(diǎn)進(jìn)行的。普通的網(wǎng)絡(luò)掃描也無(wú)法告知,在掃描過(guò)程中可能看到的數(shù)萬(wàn)個(gè)設(shè)備中的每一個(gè)。
使用可以進(jìn)行深度網(wǎng)絡(luò)流量分析的解決方案非常重要,可以準(zhǔn)確識(shí)別設(shè)備,并進(jìn)行明智的漏洞風(fēng)險(xiǎn)和威脅分析。此外,使用可以創(chuàng)建已發(fā)現(xiàn)設(shè)備“數(shù)字孿生”的系統(tǒng),以在不中斷操作或與設(shè)備進(jìn)行物理交互的情況下,對(duì)設(shè)備行為進(jìn)行實(shí)時(shí)數(shù)據(jù)包級(jí)分析。
并非所有物聯(lián)網(wǎng)設(shè)備都會(huì)對(duì)網(wǎng)絡(luò)構(gòu)成安全風(fēng)險(xiǎn),但確實(shí)需要解決,并在可能的情況下進(jìn)行補(bǔ)救。業(yè)主有多種選擇,通過(guò)關(guān)閉設(shè)備來(lái)消除風(fēng)險(xiǎn),但這可能會(huì)非常昂貴。如果可能的話,通過(guò)
補(bǔ)丁來(lái)消除所述風(fēng)險(xiǎn)。暫時(shí)接受風(fēng)險(xiǎn),并盡快計(jì)劃更換,通過(guò)風(fēng)險(xiǎn)保險(xiǎn)或第三方管理轉(zhuǎn)移風(fēng)險(xiǎn),或采用補(bǔ)償性安全控制措施來(lái)減輕風(fēng)險(xiǎn)因素。
一些物聯(lián)網(wǎng)設(shè)備,如醫(yī)療設(shè)備,可能非常昂貴。例如,一臺(tái)新的CT掃描儀需要3000萬(wàn)英鎊。大多數(shù)人的預(yù)期壽命最好以幾十年而不是幾年來(lái)衡量,因此,大量的資本支出會(huì)在幾十年內(nèi)攤銷在醫(yī)院賬簿上。這意味著,僅僅因?yàn)椴话踩头艞壱豁?xiàng)運(yùn)作良好的3000萬(wàn)英鎊資產(chǎn),這不是一個(gè)好選擇,特別是對(duì)于像NHS這樣資金緊張的醫(yī)療系統(tǒng)。這意味著信托基金和其他機(jī)構(gòu)需要找到一種不同的方式,以補(bǔ)償安全控制的形式來(lái)管理風(fēng)險(xiǎn)。
在大多數(shù)情況下,這意味著通過(guò)使用軟件定義網(wǎng)絡(luò)(SDN)工具和網(wǎng)絡(luò)訪問(wèn)控制(NAC)來(lái)遵循“零信任”原則來(lái)鎖定有風(fēng)險(xiǎn)的設(shè)備,其中大部分已經(jīng)由信托機(jī)構(gòu)擁有和實(shí)施。使用這些工具的困難在于,首先需要為每個(gè)設(shè)備創(chuàng)建,并驗(yàn)證準(zhǔn)確的網(wǎng)絡(luò)通信配置文件。再乘以可能有13萬(wàn)個(gè)危險(xiǎn)設(shè)備,例如一個(gè)典型的醫(yī)院信托或制造工廠,這可能需要一個(gè)小團(tuán)隊(duì)手動(dòng)創(chuàng)建這些配置文件。
一些網(wǎng)絡(luò)安全解決方案可以自動(dòng)化這一過(guò)程,但自動(dòng)化和編排不應(yīng)止步于此。系統(tǒng)必須能夠向SOC(安全運(yùn)營(yíng)中心)中的安全運(yùn)營(yíng)工具報(bào)告異常活動(dòng),以進(jìn)行SIEM(安全信息和事件管理)和其他警報(bào)。鑒于當(dāng)今網(wǎng)絡(luò)攻擊發(fā)生的速度,速度是至關(guān)重要的。自動(dòng)化也是如此。決策需要由人工審核的那一刻就會(huì)帶來(lái)延遲,屆時(shí)惡意軟件可能已經(jīng)在網(wǎng)絡(luò)的大部分區(qū)域傳播,影響數(shù)百個(gè)系統(tǒng),而不僅僅是幾個(gè)系統(tǒng)。安全團(tuán)隊(duì)也沒(méi)有足夠的資源來(lái)管理每個(gè)警報(bào),這意味著可能會(huì)錯(cuò)過(guò)警報(bào),這會(huì)帶來(lái)風(fēng)險(xiǎn)。
安全,就像駕駛賽車一樣,需要出色的可視性和閃電般的反應(yīng)。如今物聯(lián)網(wǎng)連接設(shè)備如此之多,我們需要知道自己的資產(chǎn)在哪以及各自帶來(lái)的風(fēng)險(xiǎn)。隨著越來(lái)越多的物聯(lián)網(wǎng)資產(chǎn)連接到網(wǎng)絡(luò),發(fā)生災(zāi)難的可能性每天都在增加。這就是為什么我們需要盡快使用自動(dòng)化工具來(lái)應(yīng)對(duì)不斷上升的風(fēng)險(xiǎn)。如果做不到這一點(diǎn),我們每個(gè)人都可能會(huì)成為頭條新聞。
