多年来,IT部门一直在关注影子IT和自携设备(BYOD)带来的安全风险。令人担心的是,这些未授权的做法确实为企业系统带来了风险,引入了新的安全漏洞并扩大了攻击面。
如今,一波未平一波又起,又一个“影子”军团正在迅速崛起:影子物联网。在物联网时代,世界比以往任何时候都更加互联,而物联网的发展变革也导致设备连接快速增长。ZKResearch预测,到2023年底,将有800亿个连接的端点,这无疑为企业IT带来了许多新的安全风险。
何为“影子物联网(ShadowIoT)”
“影子物联网”是指组织内部员工在没有IT团队授权和认知的情况下使用连接互联网(即物联网)的设备或传感器。最突出的例子就是,在自携设备(BYOD)策略提出之前,员工将个人的智能手机或其他移动设备用于工作目的。802Secure公司首席安全官(CSO)MikeRaggo表示,
“影子物联网是影子IT的一种扩展延伸,只是其涉及的范围是另一个全新的领域。这不仅源于每位员工不断增加的设备数量,还源于设备的类型、功能和用途。”
多年来,员工们一直习惯将个人平板电脑和移动设备连接到企业网络中。如今,员工也越来越多地在工作中使用智能音箱、无线拇指驱动器以及其他物联网设备。一些部门甚至在会议室中安装智能电视,或者在办公室内设厨房中使用支持物联网的设备,例如智能微波炉和咖啡机等等。
除此之外,建筑设施通常会通过工业物联网(IIoT)传感器进行升级,例如由具有Wi-Fi功能的恒温器控制的采暖通风和空调(HVAC)系统。办公场所内置的饮料机也越来越多地通过Wi-Fi连接到互联网,以接受ApplePay付款功能。当这些传感器在IT人员不知情或未授权的情况下连接到组织的网络时,它们便成为了“影子物联网”。
影子物联网有多普遍?
调研机构Gartner公司称,至2020年全球会有204亿台物联网设备投入使用,高于2017年的84亿台。因此,影子物联网已经变得越来越普遍。根据802Secure公司于2018年发布的一份报告指出,2017年,在接受调查的企业组织中,有100%的企业组织表示在企业网络上发现了“流氓”消费级物联网设备;有90%的组织表示,发现了与企业基础设施分离的先前未检测到的物联网或工业物联网无线网络。
根据Infloblox公司发布的关于影子设备的报告指出,在美国、英国和德国的企业中,有三分之一的企业网络连接了1,000多个影子物联网设备。Infoblox公司的研究发现,企业网络上最常见的物联网设备包括:
健身追踪器,例如Fitbits,占49%;
数字助理,例如亚马逊Alexa和谷歌之家等,占47%;
智能电视,占46%;
智能厨房设备,例如联网微波炉,占33%;
游戏控制台,例如Xbox或PlayStations,占30%。
计算机安全服务公司OrdrInc.的最新报告也发现,连接设备存在许多漏洞和风险。2019年6月-2020年6月之间,Ordr公司针对超过500万个非托管物联网和“医疗物联网”或IoMT设备进行了汇总分析,发布了《机器的崛起:企业物联网的采用和风险报告》,并指出在部署物联网的企业中,有20%的企业在支付卡、虚拟局域网或VLAN合规性方面存在违规行为。Ordr还发现,零售物联网设备竟然使用与平板电脑、打印机和物理安全设备相同的子网。更令人震惊的是,有75%的部署存在VLAN违规行为,在某些情况下,网络甚至正在与许多USB读卡器和其他设备共享连接。
该报告还指出,医疗保健行业似乎是最受影子物联网问题困扰的行业。Ordr发现,医疗设备部署在与非医疗物联网设备同一个VLAN上。此外,绝大多数(95%)的医疗保健部署都在其环境中激活了AmazonAlexa和Echo设备以及医院监控设备,由于这些语音助手可能会窃听并记录医患对话记录,所以很大可能会违反《HIPAA隐私法》,致使医疗组织面临违规处罚。
当然,在保护和管理物联网设备方面,深受困扰的可不只有医疗保健行业。ZKResearch数据显示,有61%的IT团队对于“是否知道哪些设备连接到他们的网络”表示没有信心或信心不足。这比几年前的51%有所增加,这表明安全和运营需要先进的解决方案来解决影子物联网问题。
影子物联网存在哪些风险?
物联网设备通常是在没有固有的企业级安全控制的情况下构建的,习惯使用网络攻击分子可以通过互联网搜索轻松找到的默认ID和密码进行设置,有时甚至还会在没有IT授权的情况下被添加到组织的主要Wi-Fi网络中。因此,物联网传感器在组织的网络上并不总是可见的。IT管理者无法控制或保护他们看不见的设备,由此也使得智能连接设备成为黑客和网络犯罪分子最易得手的攻击目标。
Inflobox公司的报告指出,脆弱的连接设备可以轻松地通过搜索引擎(例如Shodan)在线搜索到与Internet连接的设备。即使在搜索简单术语时,Shodan公司也会提供可识别设备的详细信息,其中包括横幅信息、HTTP、SSH、FTP和SNMP服务等等。由于识别设备是访问设备的第一步,因此这就等于为低级别的犯罪分子提供了一种可以轻松识别企业网络上大量设备的简便方法,随后,犯罪分子就可以针对这些设备漏洞实施攻击。
为什么大多数影子物联网设备都不安全?
Raggo指出,几十年前,当个人电脑(PC)首次发布时,其操作系统并没有内置的安全性。因此,保护个人电脑免受病毒和恶意软件攻击仍然是一场持续的斗争。
相比之下,iOS和Android移动操作系统的设计则具备集成的安全性,例如应用程序沙盒等。虽然,这并不意味着移动设备就是绝对安全的,但它们通常要比台式机和笔记本电脑安全得多。
Raggo表示:
“遗憾的是,对于当今的物联网和工业物联网设备来说,设备制造商就像忘记了我们从移动操作系统中获取到的所有关于安全性的知识一样。如今,市场上充斥了太多物联网制造商,而构建这些设备的供应链又遍布世界各地,这就导致了市场高度分散的局面。”
由于物联网设备往往只专注于一项或两项任务,因此它们通常缺乏基本协议(例如具有漏洞的WPA2Wi-Fi)之外的安全功能。其结果是:在全球范围内,数十亿台不安全的物联网设备正在IT人员不知情或未授权的情况下,在企业网络上使用。
Sophos公司首席研究科学家chesterwisniewski表示:
“几年前,我购买了10或15台物联网设备来检查其安全性。令我震惊的是,我能够很快找到他们的漏洞,这意味着任何人都可以破解它们。更糟糕的是,有些设备甚至并不具备上报漏洞的相关程序。”
网络犯罪分子是否已经成功地将影子物联网设备作为攻击目标?
很遗憾,答案是肯定的。迄今为止,最著名的例子可能要数2016年Mirai僵尸网络攻击,在该攻击事件中,黑客入侵了不安全的物联网设备(例如IP摄像头和家庭网络路由器等),以构建庞大的僵尸网络大军。该僵尸网络军团实施了破坏性极强的分布式拒绝服务(DDoS)攻击,例如使美国东海岸地区的大部分互联网无法访问的攻击。Mirai源代码也已在互联网上共享,供黑客用作未来僵尸网络军队的构建块。
根据Infoblox公司的报告指出,还有其他漏洞可以使网络犯罪分子控制物联网设备。例如,在2017年,维基解密公布了一个名为“哭泣天使”(WeepingAngel)的美国中央情报局工具的详细信息,该工具解释了代理商如何将三星智能电视转变为现场麦克风。《消费者报告》杂志还发现了主流品牌智能电视中的漏洞,这些漏洞可以用来窃取数据以及操纵电视播放令人反感的视频,并安装不需要的应用程序。
根据Infoblox公司的说法,除了不断壮大僵尸网络军队和进行DDoS攻击外,网络犯罪分子还可以利用不安全的物联网设备进行数据泄露和勒索软件攻击。
在迄今为止最离奇的一次物联网攻击中,犯罪分子入侵了赌场大厅鱼缸内的智能温度计,以访问其网络。一旦进入网络,攻击者便能够窃取赌场数据库的私密数据。
针对物联网的网络攻击的未来潜力足以引起企业首席安全官(CSO)和其他IT安全专业人员的关注。试想一下,如果有人连接到不安全的Wi-Fi恒温器,并将数据中心温度更改为95℃,则可能致使重要IT设备受损。例如,2012年,网络犯罪分子入侵了州政府机构和制造厂的恒温器,并改变了建筑物内部的温度。而该恒温器就是通过专门用于互联网设备的搜索引擎Shodan发现的。
Wisniewski表示,到目前为止,就利用敏感或私人数据而言,物联网设备的利用并未对任何特定企业造成巨大的负面影响。但是,当黑客弄清楚如何利用物联网设备来赚取巨额利润时(例如使用智能电视进行会议室间谍活动),影子物联网安全风险问题将引起所有人的注意。
缓解影子物联网安全风险的方法
1.规范用户正式添加物联网设备的流程
组织拥有影子IT和影子物联网的原因,通常是因为IT部门拒绝了使用智能电视等设备的请求。在可能的情况下(例如在请求发生后30分钟内)快速地跟踪他们的批准,而不是直接禁止使用物联网设备,可以帮助减少影子物联网的存在。
具体来说,IT部门可以发布并分发审批流程,让用户填写一份简短的表格,让他们知道会有多快回复他们。尽可能使请求过程变得灵活且容易,因此他们不会试图隐藏他们想要使用的东西。
2.实时监控和主动搜寻缺一不可
在危机时刻,当务之急是确保组织优先考虑网络安全。COVID-19大流行迫使许多行业进行物联网转型——从医疗保健行业中支持IP的呼吸机和EKG机器,到制造业中的无线温度和振动传感器,一切都是超连接的。随着网络犯罪分子利用易受攻击的服务和不安全的连接,与COVID-19相关的恶意软件和勒索软件攻击也在增加。
企业组织必须重视网络安全问题,定期检查所有连接的设备和网络。此外,还需要越出自己的网络来积极主动地寻找影子物联网,因为很多影子物联网并不存在于企业网络中。超过80%的物联网具有无线功能。因此,对影子物联网设备和网络的无线监控可以实现对这些设备和网络的可见性和资产管理。
传统的安全产品通过媒体访问控制(MAC)地址或供应商的组织唯一标识符(OUI)列出设备,但是在具有多种不同类型设备的环境中,它们却基本上发挥不了什么作用。Raggo补充道,
“IT人员很想知道‘那个设备是什么?’,以便确定它是“流氓”设备还是经过许可的设备。在当今深度数据包检测和机器学习的世界中,成熟的安全产品应该为发现的资产提供人性化的分类,以简化资产管理和安全过程。”
3.隔离物联网
Wisniewski表示,理想情况下,新的物联网设备和工业物联网设备应通过专用于IT控制设备的独立Wi-Fi网络连接到互联网。网络应该配置为“使物联网设备能够传出信息并阻止它们接收任何传入信息”。通过设置单独的网络,可以方便IT人员为经过批准的影子物联网设备提供技术支持,同时尽可能保护好核心企业网络。
4.教育培训必不可少
确保您的团队了解威胁,并尝试获得关键的物联网策略和安全措施的支持。根据802Secure公司发布的报告指出,“在美国和英国,有88%的受访IT领导者认为他们已经制定了有效的策略来减轻来自连接设备的安全风险。但是参与调查的员工中,有24%的员工说他们甚至都不知道存在这样的政策,而只有20%的自称了解这些政策的人实际上遵守了这些政策。”
当然,我们可能永远无法获得100%的参与,但是如果人们连存在何种政策都不清楚的话,还谈何参与和遵守。