由于缺乏網(wǎng)絡安全的設(shè)計，并且長期使用默認密碼，物聯(lián)網(wǎng)設(shè)備正迅速成為網(wǎng)絡攻擊者最喜歡的攻擊目標。除此之外，在運營技術(shù)(OT)網(wǎng)絡中，分配給每個高級物聯(lián)網(wǎng)傳感器的許多角色和身份的迅速增加，以及它們與運行業(yè)務的關(guān)鍵任務系統(tǒng)的接近，網(wǎng)絡攻擊者喜歡將物聯(lián)網(wǎng)設(shè)備作為攻擊目標也就不足為奇了。

調(diào)研機構(gòu)Forrester公司在最近發(fā)表的一份名為《2023年物聯(lián)網(wǎng)安全狀況研究報告》中解釋了導致網(wǎng)絡攻擊者喜歡攻擊物聯(lián)網(wǎng)設(shè)備的一些因素。

物聯(lián)網(wǎng)攻擊的增長速度明顯快于主流攻擊?？ò退够?a href="http://www.www27dydycom.cn/v/tag/204/" target="_blank">工業(yè)控制系統(tǒng)網(wǎng)絡應急響應小組(Kaspersky ICS CERT)發(fā)現(xiàn)，在2022年下半年，全球34.3%的工業(yè)部門的服務器遭到了網(wǎng)絡攻擊，僅在2021年上半年，針對物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡攻擊就達到15億次，40%以上的OT系統(tǒng)遭到網(wǎng)絡攻擊。SonicWall Capture實驗室的網(wǎng)絡威脅研究人員在2022年記錄了1.123億個物聯(lián)網(wǎng)惡意軟件攻擊實例，與2021年相比增加了87%。

全球安全隔離與信息交換系統(tǒng)提供商Airgap Networks公司的首席執(zhí)行官Ritesh Agrawal指出，雖然物聯(lián)網(wǎng)端點可能不是業(yè)務關(guān)鍵點，但它們很容易被攻破，并被用于將惡意軟件直接傳播到企業(yè)最有價值的系統(tǒng)和數(shù)據(jù)。他建議企業(yè)對每個物聯(lián)網(wǎng)端點堅持使用網(wǎng)絡安全的基本措施——發(fā)現(xiàn)、細分和身份識別。

在最近接受行業(yè)媒體采訪時，Agrawal建議企業(yè)尋找一些不需要強制升級、并且在部署過程中不會破壞物聯(lián)網(wǎng)網(wǎng)絡的解決方案。這是他和聯(lián)合創(chuàng)始人在創(chuàng)建Airgap Networks公司時確定的一些網(wǎng)絡安全設(shè)計目標中的兩個。

制造業(yè)采用的物聯(lián)網(wǎng)設(shè)備成為高價值的目標

物聯(lián)網(wǎng)設(shè)備受到網(wǎng)絡攻擊是因為它們很容易成為目標，在正常運行時間對生存至關(guān)重要的行業(yè)中，它們可以迅速導致大量的勒索軟件攻擊。制造業(yè)受到的打擊尤其嚴重，因為網(wǎng)絡攻擊者知道任何一家工廠都無法承受長期停工的后果，因此他們索要的贖金是其他目標的兩到四倍。61%的入侵企圖和23%的勒索軟件攻擊主要針對OT系統(tǒng)。

調(diào)研機構(gòu)Forrester公司研究了物聯(lián)網(wǎng)設(shè)備成為如此高價值目標的原因，以及它們?nèi)绾伪挥脕碓谄髽I(yè)中發(fā)動更廣泛、更具破壞性的網(wǎng)絡攻擊。他們確定了以下四個關(guān)鍵因素：

1

物聯(lián)網(wǎng)設(shè)備的設(shè)計有安全盲點

目前安裝的大多數(shù)傳統(tǒng)物聯(lián)網(wǎng)設(shè)備在設(shè)計時都沒有將安全性作為優(yōu)先考慮的因素。很多都缺少刷新固件或加載新軟件代理的選項。盡管存在這些限制，但仍然有一些有效的方法來保護物聯(lián)網(wǎng)端點。

首先安全措施要覆蓋物聯(lián)網(wǎng)傳感器和網(wǎng)絡中的盲點。CrowdStrike公司物聯(lián)網(wǎng)安全產(chǎn)品管理總監(jiān)Shivan Mandalam在最近的一次采訪中表示，“企業(yè)必須消除與未管理或不受支持的遺留系統(tǒng)相關(guān)的盲點。隨著IT和OT系統(tǒng)的可見性和分析能力的提高，安全團隊可以在對手利用問題之前快速識別和解決問題?！?/p>

目前使用物聯(lián)網(wǎng)安全系統(tǒng)和平臺的領(lǐng)先網(wǎng)絡安全供應商包括AirGap Networks、Absolute Software、Armis、Broadcom、Cisco、CradlePoint、CrowdStrike、Entrust、Forescout、Fortinet、Ivanti、JFrog和Rapid7。在2022年舉辦的Fal.Con大會上，CrowdStrike公司推出了增強的Falcon Insight，包括Falcon Insight XDR和Falcon Discover for IoT，旨在彌合工業(yè)控制系統(tǒng)(ICS)內(nèi)部和之間的安全差距。

2

長期使用默認管理密碼(包括憑據(jù))很常見

網(wǎng)絡安全方面比較薄弱的制造商在物聯(lián)網(wǎng)傳感器上使用默認管理密碼是很常見的。他們通常使用默認設(shè)置，因為制造IT團隊沒有時間設(shè)置每個細節(jié)，或者沒有意識到存在這樣做的選項。Forrester公司指出，這是因為許多物聯(lián)網(wǎng)設(shè)備在初始化時并沒有要求用戶設(shè)置新密碼，也不要求企業(yè)強制設(shè)置新密碼。Forrester公司還指出，管理憑據(jù)在舊設(shè)備中通常無法更改。

因此，首席信息安全官、安全團隊、風險管理專業(yè)人員和IT團隊在其網(wǎng)絡上擁有已知憑據(jù)的新舊設(shè)備。

提供網(wǎng)絡安全解決方案以提高密碼和身份級別物聯(lián)網(wǎng)端點安全性的領(lǐng)先供應商包括Armis、Broadcom、Cisco、CradlePoint、CrowdStrike、Entrust、Forescout、Fortinet、Ivanti和JFrog。Ivanti公司是該領(lǐng)域的領(lǐng)導者，成功開發(fā)并推出了四種物聯(lián)網(wǎng)安全解決方案：用于RBVM的Ivanti Neurons、用于UEM的Ivati Neuron、支持醫(yī)療物聯(lián)網(wǎng)(IoMT)的醫(yī)療保健Ivanti Neurons，以及基于該公司收購Wavelink的用于保護工業(yè)物聯(lián)網(wǎng)安全的Ivanti Neurons。

Ivanti公司的首席產(chǎn)品官Srinivas Mukkamala博士在最近接受行業(yè)媒體采訪時解釋說：“物聯(lián)網(wǎng)設(shè)備正在成為網(wǎng)絡攻擊者的熱門目標，根據(jù)IBM公司發(fā)布的一份調(diào)查報告，物聯(lián)網(wǎng)攻擊在2021年占全球惡意軟件攻擊的12%以上，高于2019年的1%。為了解決這個問題，企業(yè)必須實施統(tǒng)一的端點管理(UEM)解決方案，該解決方案可以發(fā)現(xiàn)企業(yè)網(wǎng)絡上的所有資產(chǎn)，甚至是企業(yè)休息室中采用Wi-Fi聯(lián)網(wǎng)的烤面包機?！?/p>

Mukkamala說：“統(tǒng)一的端點管理(UEM)和基于風險的漏洞管理解決方案的結(jié)合對于實現(xiàn)無縫、主動的風險響應，以修復企業(yè)環(huán)境中所有設(shè)備和操作系統(tǒng)上的漏洞至關(guān)重要?！?/p>

3

幾乎所有醫(yī)療保健、服務和制造企業(yè)

都依賴于傳統(tǒng)的物聯(lián)網(wǎng)傳感器

從醫(yī)院部門、病房到車間，傳統(tǒng)的物聯(lián)網(wǎng)傳感器是這些企業(yè)獲取運營所需實時數(shù)據(jù)的支柱。醫(yī)療保健和服務這兩個行業(yè)都是網(wǎng)絡攻擊者的高價值目標，他們的目標是入侵物聯(lián)網(wǎng)，從而在網(wǎng)絡上發(fā)起橫向移動。73%基于物聯(lián)網(wǎng)的靜脈輸液泵是可攻擊的，50%的IP語音系統(tǒng)也是如此?？傮w而言，在一家傳統(tǒng)的醫(yī)院中，50%的聯(lián)網(wǎng)設(shè)備目前存在嚴重風險。

Forrester公司指出，造成這些漏洞的主要原因之一是，這些設(shè)備運行的是不受支持的操作系統(tǒng)，無法保護或更新。如果網(wǎng)絡攻擊者破壞了物聯(lián)網(wǎng)設(shè)備并且無法修補，這會增加設(shè)備 “磚頭化”的風險。

4

物聯(lián)網(wǎng)的問題在于互聯(lián)網(wǎng)，而不是技術(shù)

Forrester公司觀察到，物聯(lián)網(wǎng)設(shè)備一旦連接到互聯(lián)網(wǎng)，就會立即成為安全隱患。一位不愿透露姓名的網(wǎng)絡安全供應商在接受采訪時表示，他們一個最大的客戶一直在掃描網(wǎng)絡，以解析從該公司外部發(fā)出的IP地址。這個IP地址來自一家制造工廠前廳的監(jiān)控攝像頭。網(wǎng)絡攻擊者一直在監(jiān)控人員進出，并試圖混入上班的員工中進入該工廠內(nèi)部，并在其網(wǎng)絡上植入他們的傳感器。毫無疑問，F(xiàn)orrester公司觀察到物聯(lián)網(wǎng)設(shè)備已經(jīng)成為指揮和控制攻擊的渠道，或者成為僵尸網(wǎng)絡，就像眾所周知的Marai僵尸網(wǎng)絡攻擊一樣。

遭到物聯(lián)網(wǎng)攻擊是什么感覺

一些制造商表示，他們不確定如何保護傳統(tǒng)的物聯(lián)網(wǎng)設(shè)備及其可編程邏輯控制器(PLC)?？删幊踢壿嬁刂破?PLC)提供運行業(yè)務所需的實時數(shù)據(jù)流。物聯(lián)網(wǎng)和可編程邏輯控制器(PLC)是為易于集成而設(shè)計的，這與網(wǎng)絡安全性相反，這使得任何沒有專職IT人員和安全人員的制造商都很難確保它們的網(wǎng)絡安全。

總部位于美國中西部的一家汽車零部件制造商遭遇了大規(guī)模勒索軟件攻擊，此次攻擊主要針對該公司在網(wǎng)絡上未受保護的物聯(lián)網(wǎng)傳感器和攝像頭進行攻擊。網(wǎng)絡攻擊者使用了一種R4IoT勒索軟件的變體，最初滲透了該公司用于自動化暖通空調(diào)、電力和機械預防性維護的物聯(lián)網(wǎng)、視頻監(jiān)控和可編程邏輯控制器(PLC)。

在入侵企業(yè)網(wǎng)絡之后，網(wǎng)絡攻擊者就會橫向移動，尋找基于Windows的系統(tǒng)，并用勒索軟件感染它們。網(wǎng)絡攻擊者還獲得了管理員權(quán)限，并禁用了Windows防火墻和第三方防火墻，然后通過網(wǎng)絡將R4IoT可執(zhí)行文件安裝到機器上。

這次攻擊使得這家制造商無法監(jiān)控機器的熱量、壓力、運行狀況和循環(huán)時間等參數(shù)，還凍結(jié)和加密了所有數(shù)據(jù)文件，使它們無法使用。更糟糕的是，網(wǎng)絡攻擊者威脅該公司，如果不支付贖金，將在24小時內(nèi)將該公司的所有定價、客戶和生產(chǎn)數(shù)據(jù)發(fā)布到暗網(wǎng)上。

這家制造商別無選擇，不得不支付了贖金，他們的網(wǎng)絡安全人才對如何應對網(wǎng)絡攻擊不知所措。網(wǎng)絡攻擊者知道，還有很多制造商沒有專門的網(wǎng)絡安全和IT團隊來應對這種威脅，也不知道如何應對這種威脅。這就是制造業(yè)仍然是受沖擊最嚴重的行業(yè)的原因。簡而言之，物聯(lián)網(wǎng)設(shè)備已經(jīng)成為首選的威脅載體，因為它們不受保護。

Agrawal表示，“物聯(lián)網(wǎng)給企業(yè)安全成熟度帶來了很大的壓力。將零信任擴展到物聯(lián)網(wǎng)是很困難的，因為端點各不相同，而且環(huán)境是動態(tài)的，充滿了傳統(tǒng)設(shè)備?！碑敱粏柤爸圃焐毯推渌唢L險行業(yè)目標如何開始進行安全防護時，Agrawal建議說：“準確的資產(chǎn)發(fā)現(xiàn)、細分和身份識別仍然是正確的答案，但在大多數(shù)物聯(lián)網(wǎng)設(shè)備無法接受代理的情況下，如何將它們與傳統(tǒng)解決方案一起部署？這就是許多企業(yè)采用像Airgap這樣的無代理網(wǎng)絡安全作為物聯(lián)網(wǎng)唯一可行的架構(gòu)的原因。”

編輯：黃飛

?