APP下载

连接设备的真正风险

2022-04-29陆英

计算机与网络 2022年21期
关键词:漏洞联网网络安全

陆英

连接设备和风险是数字时代的一个公认副产品。但是,信息技术、物联网(IoT)、医疗物联网(IoMT)和操作技术(OT)等设备易受攻击的比率各不相同。

有些人面临的风险要比其他人大得多,特别是在网络犯罪分子以快速创新的方式,获得访问和利用连接设备来实现其目标的情况下。

每个行业中连接设备的数量和多样性都在不断增加,这为企业理解和管理所面临的风险带来了新的挑战。如今,攻击面几乎涵盖了每个组织中的IT,IoT,OT。此外,医疗保健领域还增加了IoMT,这增加了互连网络的漏洞。

事实上,根据Ponemon Institute最近的一份报告,65 %的受访组织表示,物联网和OT设备是其网络中安全性最低的部分之一;而50 %的组织表示,针对这些设备的攻击有所增加。在这些组织中,88 %的IT和IT安全从业人员将物联网设备连接到互联网,56 %将OT设备连接到互联网,51 %将OT网络连接到IT网络。

现实情况是,连接设备现存在于每个垂直领域,并且继续对所有部门的组织构成极大的安全风险,因为许多组织仍然容易受到已知漏洞的影响。为了确定设备类型、行业部门和网络安全政策固有的风险点,最近的研究分析了金融服务、政府、医疗保健、制造和零售领域超过1 900万台设备的风险状况,以揭示2022年风险最高的连接设备。研究结果表明:

IT设备仍然是最受欢迎的目标

包括计算机、服务器、路由器和无线接入点在内的IT设备是风险最高的设备,因为它们仍然是包括勒索软件在内的恶意软件的主要目标,也是恶意行为者的主要初始接入点。这些黑客利用互联网暴露设备上的漏洞,例如利用未修补的操作系统和商业应用程序的服务器,或使用社交工程和网络钓鱼技术欺骗员工,在其计算机上运行恶意代码。

路由器和无线接入点,以及其他网络基础设施设备,正成为恶意软件和高级持久性威胁的常见入口点。路由器是有风险的,因为其经常暴露在网上连接内部和外部网络,具有危险的、暴露的开放端口,并且具有许多容易被恶意行为者利用的漏洞。

虚拟机管理程序,或托管虚拟机(VM)的专用服务器,已成为2022年勒索软件团伙最喜欢的目标,因为它们允许攻击者一次加密多台VM。勒索软件开发人员正在转向Go和Rust等语言,这些语言允许更轻松地跨平台编译,并且可以针对Linux和Windows。

物联网设备更难修补和管理

企业网络上越来越多的物联网设备正被积极利用,因为它们比IT设备更难修补和管理。物联网设备由于薄弱凭据或未修补漏洞而受到损害,主要是成为分布式拒绝服务(DDoS)僵尸网络的一部分。

IP摄像头、VoIP和视频会议系统是最具风险的物联网设备,因为其通常暴露在互联网上,并且针对它们的威胁行为者活动由来已久。例如,2019年APT28入侵了VoIP电话访问了多个网络,2021年Conti将摄像头定位在受影响的组织内部,2022年UNC3524和TAG-38都将视频会议和摄像头作为指挥和控制的目标基础设施。

自动取款机之所以出现在排名中,是因为其在金融机构中具有明显的业务重要性。数据表明,许多自动取款机与其他物联网设备相邻,如安全摄像头和物理安全系统,这些设备经常暴露在外。

打印机不仅包括用于连接办公室的多功能打印和复印设备,还包括用于打印收据、标签、票据、腕带和其他用途的专用设备。虽然打印机与网络风险没有直接关联,但也应该被关注起来,自动提款机或打印机经常连接到敏感设备,如收据打印机的销售点系统和办公室打印机具有特权用户的传统工作站。

X光机和病人监护仪是最危险的IoMT设备之一

联网医疗设备显然存在风险,因为其对医疗服务和患者安全有潜在影响。针对医疗系统企业IT网络的多次勒索软件攻击会波及到医疗设备,导致医疗设备无法使用。例如2017年的WannaCry,2019年阿拉巴马州一家医院受到的攻击影响胎儿监测器,以及2020年以来影响美国和爱尔兰辐射信息系统的几次攻击。

被列为风险最高的DICOM工作站、核医学系统、成像设备和PACS都是与医学成像相关的设备,它们的共同点是:通常运行老旧的、易受攻击的IT操作系统,且具有广泛的网络连接以允许共享文件,并使用DICOM标准共享这些文件。

DICOM定义了存储医学图像的格式和用于交换图像的通信协议。该协议支持消息加密,但其使用由医疗机构配置。通过不同组织之间的未加密通信,攻击者可以获取或篡改医学图像,包括传播恶意软件。此外,患者监护仪是医疗机构中最常见的医疗设备之一,也是最脆弱的设备之一。与医学成像设备一样,其通常使用不加密的协议进行通信,这意味着攻击者可以轻易篡改其读数。

OT设备是关键任务但设计上不安全

在过去的10年中,国家支持的针对OT系统和设备的攻击已经变得司空见惯。研究发现,制造业拥有最高比例的高风险设备(11 %),但更令人不安的是,针对这些设备的网络犯罪和黑客活动正在上升。最近,勒索软件组织多次侵入了自来水公司的SCADA系统,黑客活动还侵入了佛罗里达州一家水处理设施的HMI的访问权限。

总的来说,PLC和HMI是风险最高的OT设备,因为它们非常关键,可以完全控制工业过程,且在设计上不安全。虽然PLC通常不连接到互联网,但许多HMI连接到互聯网,以实现远程操作或管理。这些设备不仅在制造业等关键基础设施行业很常见,在零售等行业也很常见,它们推动了物流和仓库自动化。

然而,其他观察到的有风险的OT设备比PLC和HMI更广泛。例如,不间断电源(UPS)出现在许多企业和数据中心网络中,紧挨着计算机、服务器和物联网设备。UPS在电源监控和数据中心电源管理方面起着至关重要的作用,对这些设备的攻击可能会产生物理影响,如切断关键位置的电源或篡改电压以损坏敏感设备。

环境监控和楼宇自动化系统对于设施管理至关重要,这是大多数组织的共同需求。智能建筑完美地体现了IT、物联网和OT在同一网络上融合的跨行业领域。有几个例子表明,威胁行为者利用智能建筑使控制器无法使用,为僵尸网络招募易受攻击的物理访问控制设备,或利用工程工作站进行初始访问。这些设备危险地将OT的不安全设计特性与物联网的互联网连接性混合在一起,甚至还发现即使在关键位置也经常暴露在网上。

多层次保护设备

设备制造商和用户都有责任开发和维护其网络安全防御,监管的发展正在强化这一前景。制造商必须利用安全的软件开发生命周期,这包括代码审查、漏洞扫描和渗透测试等流程。最重要的是,这些流程不能局限于制造商生产的软件,还要包括进入设备的所有组件,乃至第三方库。

至于监管的发展,拟议中的欧盟网络安全法规如果实施,将强制供应商获得物联网设备的网络安全认证。从用户的角度来看,强制披露网络安全事件也有很大的推动作用,这无疑将迫使企业提高其安全态势。

不幸的是,没有单一的快速解决方案来保护连接的设备。但所有组织都可以采取一些切实可行的措施,首先是创建一个完整的、自动化的、持续的网络资产清单。一旦知道了所有设备及其配置,就可以进行风险评估,以突出需要特别注意的设备,这些设备要么是不安全的,要么是对业务很关键的。

然后可以实施缓解措施。这些措施包括修补已知的漏洞、通过禁用未使用的服务来强化设备、使用强大且唯一的密码、分段网络以隔离有风险的设备,以及使用全面的网络监控来检测利用设备的企图。

保护连接设备免受攻击是一项共同的责任。在发现风险和保护基础设施免受日益复杂的策略影响方面,我们都有责任。

猜你喜欢

漏洞联网网络安全
漏洞
“身联网”等五则
网络安全
网络安全人才培养应“实战化”
抢占物联网
上网时如何注意网络安全?
三明:“两票制”堵住加价漏洞
漏洞在哪儿
高铁急救应补齐三漏洞
我国拟制定网络安全法