物联网是一个每天都在扩大的巨大攻击面,这些设备通常充满了基本的安全问题和高风险漏洞,它们正越来越频繁地成为网络犯罪分子的目标。
长期以来,许多人都将物联网攻击、分布式拒绝服务和加密挖掘僵尸网络等低级威胁联系在一起。但事实上,越来越多的勒索软件、间谍和数据盗窃攻击利用物联网作为进入更大IT网络,包括云在内的初始接入点。高级的威胁行为者也在使用物联网设备在这些网络中实现持久性,同时逃避检测。
在我们自己对部署在企业环境中的数百万物联网设备的分析中,我们发现高风险和关键漏洞都很普遍。一半的物联网设备存在至少为8分的漏洞,20%的设备存在CVSS评分为9-10分的严重漏洞。与此同时,这些设备在密码保护和固件管理方面也存在一些基本的安全故障。
虽然物联网风险不能完全消除,但可以降低。以下是企业应该采取的几个步骤。
创建全面、最新的资产清单
在我们的研究中,我们发现80%的企业安全团队甚至无法识别其网络上的大多数物联网设备。这是一个惊人的数字,它表明了问题的严重性。如果一家企业甚至不知道其网络上有哪些设备,那么在成功的物联网攻击后,它如何能够保护这些设备免受攻击?又将如何保护其it网络免受横向移动?
然而,物联网盘点并不容易。传统的IT发现工具从来都不是为物联网设计的。网络行为异常检测系统监听跨端口上的流量,但大多数物联网流量都是加密的,即使没有加密,传输的信息也没有足够的识别细节。
如果没有任何细节,仅仅知道某台打印机是不够的,尤其是如果它存在需要修复的漏洞。传统漏洞扫描器可以提供帮助,但它们通过发送格式错误的数据包进行操作,这对物联网识别来说不太好,甚至会使物联网设备离线。
更好的方法是通过查询设备的母语来发现物联网设备。这将允许企业创建一份包含物联网设备详细信息的清单,如设备版本、型号、固件版本、序列号、运行服务、证书和凭据。这使得企业能够真正地补救这些风险,而不仅仅是发现它们。这也使他们能够移除任何被美国政府认为高风险的设备,如华为、中兴、海康威视、大华。
密码安全至关重要
针对物联网设备的攻击很容易实施,因为许多物联网设备仍然有默认密码。我们发现,在大约50%的物联网设备中都是如此,在特定类别的设备中,这一比例甚至更高。
例如,95%的音视频设备物联网设备都有默认密码。即使设备不使用默认密码,它们中的大多数在长达10年的时间里只修改过一次密码。
理想情况下,物联网设备应该有唯一的、复杂的密码,每30天、60天或90天轮换一次。然而,并非所有设备都支持复杂密码。一些较老的物联网设备只能处理4位的pin码,而其他设备只允许10个字符,还有一些不接受特殊字符。
重要的是要了解物联网设备的所有细节和功能,这样才能使用有效的密码,并安全地进行更改。对于密码参数较弱或无法提供任何级别的身份验证的旧设备,请考虑使用更现代的产品替换这些设备,以实现更好的安全实践。
管理设备的固件
大多数物联网设备运行在过时的固件上,由于漏洞非常普遍,这会带来严重的安全风险。固件漏洞使设备容易受到攻击,包括商用恶意软件、复杂的植入、远程访问攻击、数据盗窃、勒索软件、间谍活动,甚至物理破坏。而设备固件的平均寿命是6年,大约四分之一的设备已经报废,不再由供应商提供支持。
物联网设备应使用供应商提供的最新固件版本和安全补丁进行更新。不可否认,这可能是一个挑战,特别是在大型企业中,实际上有数十万到数百万个这样的设备。但无论如何,必须采取措施来保证网络的安全。企业物联网安全平台可以大规模自动化这一和其他安全流程。
然而,有时设备固件应该降级,而不是更新。当漏洞被广泛利用,并且由于物联网供应商通常比传统IT设备制造商需要更长的时间来发布补丁,因此没有可用的补丁时,建议暂时将设备降级到不包含漏洞的早期固件版本。
关闭外部连接并限制网络访问
物联网设备通常很容易被发现,并且默认启用了太多连接功能,如有线和无线连接、蓝牙、其他协议、安全外壳和远程登录。这种混杂的访问使得它们很容易成为外部攻击者的目标。
对企业来说,像对It网络一样对物联网进行系统加固非常重要。物联网设备加固包括关闭这些无关的端口和不必要的功能。一些例子是运行安全外壳协议但不远程登录,使用有线以太网但不使用Wi-Fi,以及关闭蓝牙。
企业也应该限制其在网络之外进行通信的能力。这可以通过网络防火墙、单向二极管、访问控制列表和虚拟局域网在第2层和第3层完成。限制物联网设备的互联网接入将减轻依赖于安装命令和控制恶意软件,如勒索软件和数据盗窃的攻击。
确保证书有效
确保安全授权、加密和数据完整性的物联网数字证书经常过时,管理不善。这个问题甚至发生在关键的网络设备上,比如无线接入点,这意味着即使是网络的初始接入点也没有得到适当的保护。
验证这些证书的状态并将其与证书管理解决方案集成非常重要,以便纠正可能发生的任何风险,如安全传输层协议、过期日期和自签名。
注意环境漂移
一旦物联网设备被安全加固,确保它们保持这种状态是很重要的。由于固件更新、错误和人为干扰,设备设置和配置可能会随着时间的推移而改变,因此环境漂移是一种常见现象。
需要注意的关键设备更改是重置为默认值的密码或非PAM的其他凭证修改、固件降级以及突然重新打开的不安全服务。