物联网攻击的增长速度明显快于主流攻击。卡巴斯基工业控制系统网络应急响应小组(Kaspersky ICS CERT)发现,在2022年下半年,全球34.3%的工业部门的服务器遭到了网络攻击,仅在2021年上半年,针对物联网设备的网络攻击就达到15亿次,40%以上的OT系统遭到网络攻击。SonicWall Capture实验室的网络威胁研究人员在2022年记录了1.123亿个物联网恶意软件攻击实例,与2021年相比增加了87%。
全球安全隔离与信息交换系统提供商Airgap Networks公司的首席执行官Ritesh Agrawal指出,虽然物联网端点可能不是业务关键点,但它们很容易被攻破,并被用于将恶意软件直接传播到企业最有价值的系统和数据。他建议企业对每个物联网端点坚持使用网络安全的基本措施——发现、细分和身份识别。
在最近接受行业媒体采访时,Agrawal建议企业寻找一些不需要强制升级、并且在部署过程中不会破坏物联网网络的解决方案。这是他和联合创始人在创建Airgap Networks公司时确定的一些网络安全设计目标中的两个。
制造业采用的物联网设备成为高价值的目标
物联网设备受到网络攻击是因为它们很容易成为目标,在正常运行时间对生存至关重要的行业中,它们可以迅速导致大量的勒索软件攻击。制造业受到的打击尤其严重,因为网络攻击者知道任何一家工厂都无法承受长期停工的后果,因此他们索要的赎金是其他目标的两到四倍。61%的入侵企图和23%的勒索软件攻击主要针对OT系统。
调研机构Forrester公司研究了物联网设备成为如此高价值目标的原因,以及它们如何被用来在企业中发动更广泛、更具破坏性的网络攻击。他们确定了以下四个关键因素:
(1)物联网设备的设计有安全盲点
目前安装的大多数传统物联网设备在设计时都没有将安全性作为优先考虑的因素。很多都缺少刷新固件或加载新软件代理的选项。尽管存在这些限制,但仍然有一些有效的方法来保护物联网端点。
首先安全措施要覆盖物联网传感器和网络中的盲点。CrowdStrike公司物联网安全产品管理总监Shivan Mandalam在最近的一次采访中表示,“企业必须消除与未管理或不受支持的遗留系统相关的盲点。随着IT和OT系统的可见性和分析能力的提高,安全团队可以在对手利用问题之前快速识别和解决问题。”
目前使用物联网安全系统和平台的领先网络安全供应商包括AirGap Networks、Absolute Software、Armis、Broadcom、Cisco、CradlePoint、CrowdStrike、Entrust、Forescout、Fortinet、Ivanti、JFrog和Rapid7。在2022年举办的Fal.Con大会上,CrowdStrike公司推出了增强的Falcon Insight,包括Falcon Insight XDR和Falcon Discover for IoT,旨在弥合工业控制系统(ICS)内部和之间的安全差距。
(2)长期使用默认管理密码(包括凭据)很常见
网络安全方面比较薄弱的制造商在物联网传感器上使用默认管理密码是很常见的。他们通常使用默认设置,因为制造IT团队没有时间设置每个细节,或者没有意识到存在这样做的选项。Forrester公司指出,这是因为许多物联网设备在初始化时并没有要求用户设置新密码,也不要求企业强制设置新密码。Forrester公司还指出,管理凭据在旧设备中通常无法更改。
因此,首席信息安全官、安全团队、风险管理专业人员和IT团队在其网络上拥有已知凭据的新旧设备。
提供网络安全解决方案以提高密码和身份级别物联网端点安全性的领先供应商包括Armis、Broadcom、Cisco、CradlePoint、CrowdStrike、Entrust、Forescout、Fortinet、Ivanti和JFrog。Ivanti公司是该领域的领导者,成功开发并推出了四种物联网安全解决方案:用于RBVM的Ivanti Neurons、用于UEM的Ivati Neuron、支持医疗物联网(IoMT)的医疗保健Ivanti Neurons,以及基于该公司收购Wavelink的用于保护工业物联网安全的Ivanti Neurons。
Ivanti公司的首席产品官Srinivas Mukkamala博士在最近接受行业媒体采访时解释说:“物联网设备正在成为网络攻击者的热门目标,根据IBM公司发布的一份调查报告,物联网攻击在2021年占全球恶意软件攻击的12%以上,高于2019年的1%。为了解决这个问题,企业必须实施统一的端点管理(UEM)解决方案,该解决方案可以发现企业网络上的所有资产,甚至是企业休息室中采用Wi-Fi联网的烤面包机。”
Mukkamala说:“统一的端点管理(UEM)和基于风险的漏洞管理解决方案的结合对于实现无缝、主动的风险响应,以修复企业环境中所有设备和操作系统上的漏洞至关重要。”
(3)几乎所有医疗保健、服务和制造企业都依赖于传统的物联网传感器
从医院部门、病房到车间,传统的物联网传感器是这些企业获取运营所需实时数据的支柱。医疗保健和服务这两个行业都是网络攻击者的高价值目标,他们的目标是入侵物联网,从而在网络上发起横向移动。73%基于物联网的静脉输液泵是可攻击的,50%的IP语音系统也是如此。总体而言,在一家传统的医院中,50%的联网设备目前存在严重风险。
Forrester公司指出,造成这些漏洞的主要原因之一是,这些设备运行的是不受支持的操作系统,无法保护或更新。如果网络攻击者破坏了物联网设备并且无法修补,这会增加设备 “砖头化”的风险。
(4)物联网的问题在于互联网,而不是技术
Forrester公司观察到,物联网设备一旦连接到互联网,就会立即成为安全隐患。一位不愿透露姓名的网络安全供应商在接受采访时表示,他们一个最大的客户一直在扫描网络,以解析从该公司外部发出的IP地址。这个IP地址来自一家制造工厂前厅的监控摄像头。网络攻击者一直在监控人员进出,并试图混入上班的员工中进入该工厂内部,并在其网络上植入他们的传感器。毫无疑问,Forrester公司观察到物联网设备已经成为指挥和控制攻击的渠道,或者成为僵尸网络,就像众所周知的Marai僵尸网络攻击一样。
遭到物联网攻击是什么感觉
一些制造商表示,他们不确定如何保护传统的物联网设备及其可编程逻辑控制器(PLC)。可编程逻辑控制器(PLC)提供运行业务所需的实时数据流。物联网和可编程逻辑控制器(PLC)是为易于集成而设计的,这与网络安全性相反,这使得任何没有专职IT人员和安全人员的制造商都很难确保它们的网络安全。
总部位于美国中西部的一家汽车零部件制造商遭遇了大规模勒索软件攻击,此次攻击主要针对该公司在网络上未受保护的物联网传感器和摄像头进行攻击。网络攻击者使用了一种R4IoT勒索软件的变体,最初渗透了该公司用于自动化暖通空调、电力和机械预防性维护的物联网、视频监控和可编程逻辑控制器(PLC)。
在入侵企业网络之后,网络攻击者就会横向移动,寻找基于Windows的系统,并用勒索软件感染它们。网络攻击者还获得了管理员权限,并禁用了Windows防火墙和第三方防火墙,然后通过网络将R4IoT可执行文件安装到机器上。
这次攻击使得这家制造商无法监控机器的热量、压力、运行状况和循环时间等参数,还冻结和加密了所有数据文件,使它们无法使用。更糟糕的是,网络攻击者威胁该公司,如果不支付赎金,将在24小时内将该公司的所有定价、客户和生产数据发布到暗网上。
这家制造商别无选择,不得不支付了赎金,他们的网络安全人才对如何应对网络攻击不知所措。网络攻击者知道,还有很多制造商没有专门的网络安全和IT团队来应对这种威胁,也不知道如何应对这种威胁。这就是制造业仍然是受冲击最严重的行业的原因。简而言之,物联网设备已经成为首选的威胁载体,因为它们不受保护。
Agrawal表示,“物联网给企业安全成熟度带来了很大的压力。将零信任扩展到物联网是很困难的,因为端点各不相同,而且环境是动态的,充满了传统设备。”当被问及制造商和其他高风险行业目标如何开始进行安全防护时,Agrawal建议说:“准确的资产发现、细分和身份识别仍然是正确的答案,但在大多数物联网设备无法接受代理的情况下,如何将它们与传统解决方案一起部署?这就是许多企业采用像Airgap这样的无代理网络安全作为物联网唯一可行的架构的原因。”