連接設備和風險是現(xiàn)今這個快速發(fā)展的數(shù)字時代的一個廣泛公認的副產(chǎn)品。但是���,信息技術�、物聯(lián)網(wǎng)(IoT)��、醫(yī)療物聯(lián)網(wǎng)(IoMT)和操作技術(OT)設備易受攻擊的比率各不相同�����。
有些人面臨的風險要比其他人大得多���,特別是在網(wǎng)絡犯罪分子繼續(xù)以快速的速度創(chuàng)新��,以獲得訪問和利用連接設備來實現(xiàn)其目標的情況下����。
每個行業(yè)中連接設備的數(shù)量和多樣性都在不斷增加,這為企業(yè)理解和管理所面臨的風險帶來了新的挑戰(zhàn)���。如今��,攻擊面幾乎涵蓋了每個組織中的IT�、IoT和OT�����,此外���,醫(yī)療保健領域還增加了IoMT�����,這加劇了互連網(wǎng)絡的漏洞增加����。
事實上,根據(jù)Ponemon Institute最近的一份報告���,65%的受訪組織表示��,物聯(lián)網(wǎng)和OT設備是其網(wǎng)絡中安全性最低的部分之一���;而50%的組織表示,針對這些設備的攻擊有所增加��。在這些組織中��,88%的IT和IT安全從業(yè)人員將物聯(lián)網(wǎng)設備連接到互聯(lián)網(wǎng)��,56%將OT設備連接到互聯(lián)網(wǎng)�����,51%將OT網(wǎng)絡連接到IT網(wǎng)絡�����。
現(xiàn)實情況是���,連接設備現(xiàn)在存在于每個垂直領域����,并且繼續(xù)對所有部門的組織構成相當大的和廣泛的安全風險�,因為許多組織仍然容易受到已知和舊的漏洞的影響。為了確定設備類型�、行業(yè)部門和網(wǎng)絡安全政策固有的風險點,最近的研究分析了金融服務����、政府、醫(yī)療保健��、制造和零售領域超過1900萬臺設備的風險狀況����,以揭示2022年風險最高的連接設備。
研究結(jié)果表明:
IT設備仍然是最受歡迎的目標
包括計算機����、服務器、路由器和無線接入點在內(nèi)的IT設備是風險最高的設備�����,因為它們?nèi)匀皇前ɡ账鬈浖趦?nèi)的惡意軟件的主要目標,也是惡意行為者的主要初始接入點��。這些黑客利用互聯(lián)網(wǎng)暴露設備上的漏洞���,如運行未修補的操作系統(tǒng)和商業(yè)應用程序的服務器��,或使用社交工程和網(wǎng)絡釣魚技術欺騙員工�,在其計算機上運行惡意代碼����。
路由器和無線接入點,以及其他網(wǎng)絡基礎設施設備���,正成為惡意軟件和高級持久性威脅的更常見入口點�����。路由器是有風險的,因為其經(jīng)常暴露在網(wǎng)上�,連接內(nèi)部和外部網(wǎng)絡,具有危險的暴露開放端口�����,并且具有許多經(jīng)常被惡意行為者迅速利用的漏洞�。
虛擬機管理程序���,或托管虛擬機(VM)的專用服務器,已成為2022年勒索軟件團伙最喜歡的目標��,因為它們允許攻擊者一次加密多臺VM����。勒索軟件開發(fā)人員正在轉(zhuǎn)向Go和Rust等語言,這些語言允許更輕松地跨編譯�����,并且可以針對Linux和Windows����。
物聯(lián)網(wǎng)設備更難修補和管理
企業(yè)網(wǎng)絡上越來越多的物聯(lián)網(wǎng)設備正被積極利用,因為它們比IT設備更難修補和管理��。物聯(lián)網(wǎng)設備由于薄弱憑據(jù)或未修補漏洞而受到損害�����,主要是成為分布式拒絕服務(DDoS)僵尸網(wǎng)絡的一部分�����。
IP攝像頭、VoIP和視頻會議系統(tǒng)是最具風險的物聯(lián)網(wǎng)設備��,因為其通常暴露在互聯(lián)網(wǎng)上�,并且針對它們的威脅行為者活動由來已久。例如�,2019年APT28入侵了VoIP電話以初步訪問多個網(wǎng)絡,2021年Conti將攝像頭定位為在受影響的組織內(nèi)部移動�,2022年UNC3524和TAG-38都將視頻會議和攝像頭作為指揮和控制的目標基礎設施。
自動取款機之所以出現(xiàn)在排名中���,是因為其在金融機構中具有明顯的業(yè)務重要性�����。且數(shù)據(jù)表明�,許多自動取款機與其他物聯(lián)網(wǎng)設備相鄰����,如安全攝像頭和物理安全系統(tǒng)���,這些設備經(jīng)常暴露在外�����。
打印機不僅包括用于連接辦公室的多功能打印和復印設備����,還包括用于打印收據(jù)、標簽�、票據(jù)、腕帶和其他用途的專用設備�����。雖然打印機與網(wǎng)絡風險沒有廣泛關聯(lián)���,但也應該被關聯(lián)起來��。與IP攝像頭一樣����,也曾被APT28等威脅行為者在入侵中利用����,并多次被黑客發(fā)送垃圾郵件?�;蜃詣犹峥顧C,打印機經(jīng)常連接到敏感設備����,如收據(jù)打印機的銷售點系統(tǒng)和辦公室打印機的具有特權用戶的傳統(tǒng)工作站。
X光機和病人監(jiān)護儀是最危險的IoMT設備之一
聯(lián)網(wǎng)醫(yī)療設備顯然存在風險���,因為其對醫(yī)療服務和患者安全有潛在影響�。針對醫(yī)療系統(tǒng)企業(yè)IT網(wǎng)絡的多次勒索軟件攻擊波及到醫(yī)療設備��,導致醫(yī)療設備無法使用�。例如2017年的WannaCry,2019年阿拉巴馬州一家醫(yī)院受到的攻擊影響胎兒監(jiān)測器����,以及2020年以來影響美國和愛爾蘭輻射信息系統(tǒng)的幾次攻擊。
被列為風險最高的DICOM工作站�����、核醫(yī)學系統(tǒng)��、成像設備和PACS都是與醫(yī)學成像相關的設備�����,其都有一些共同點:它們通常運行遺留的易受攻擊的IT操作系統(tǒng)����,具有廣泛的網(wǎng)絡連接,以允許共享成像文件����,并使用DICOM標準共享這些文件。
DICOM定義了存儲醫(yī)學圖像的格式和用于交換圖像的通信協(xié)議��。該協(xié)議支持消息加密�,但其使用由醫(yī)療機構配置。通過不同組織之間的未加密通信�,攻擊者可以獲取或篡改醫(yī)學圖像,包括傳播惡意軟件����。
此外,患者監(jiān)護儀是醫(yī)療機構中最常見的醫(yī)療設備之一�,也是最脆弱的設備之一。與醫(yī)學成像設備一樣����,其通常使用不加密的協(xié)議進行通信,這意味著攻擊者可以篡改其讀數(shù)���。
OT設備是關鍵任務���,但設計上不安全
在過去的十年中��,國家支持的針對OT系統(tǒng)和設備的攻擊已經(jīng)變得司空見慣����。研究發(fā)現(xiàn)���,制造業(yè)擁有最高比例的高風險設備(11%)����,但更令人不安的是���,針對這些設備的網(wǎng)絡犯罪和黑客活動正在上升����。最近�����,勒索軟件組織多次侵入了自來水公司的SCADA系統(tǒng)����,黑客活動分子還侵入了佛羅里達州一家水處理設施的HMI的訪問權限��。
總的來說,PLC和HMI是風險最高的OT設備�����,因為它們非常關鍵���,可以完全控制工業(yè)過程�����,且在設計上不安全����。雖然PLC通常不連接到互聯(lián)網(wǎng)���,但許多HMI連接到互聯(lián)網(wǎng)��,以實現(xiàn)遠程操作或管理�����。這些設備不僅在制造業(yè)等關鍵基礎設施行業(yè)很常見����,在零售等行業(yè)也很常見,它們推動了物流和倉庫自動化���。
然而��,其他觀察到的有風險的OT設備比PLC和HMI更廣泛����。例如�����,不間斷電源(UPS)出現(xiàn)在許多企業(yè)和數(shù)據(jù)中心網(wǎng)絡中�����,緊挨著計算機�����、服務器和物聯(lián)網(wǎng)設備。UPS在電源監(jiān)控和數(shù)據(jù)中心電源管理方面起著至關重要的作用����。對這些設備的攻擊可能會產(chǎn)生物理影響,如切斷關鍵位置的電源或篡改電壓以損壞敏感設備�����。
環(huán)境監(jiān)控和樓宇自動化系統(tǒng)對于設施管理至關重要����,這是大多數(shù)組織的共同需求��。智能建筑完美地體現(xiàn)了IT�、物聯(lián)網(wǎng)和OT在同一網(wǎng)絡上融合的跨行業(yè)領域。有幾個例子表明���,威脅行為者利用智能建筑使控制器無法使用�����,為僵尸網(wǎng)絡招募易受攻擊的物理訪問控制設備��,或利用工程工作站進行初始訪問����。這些設備危險地將OT的不安全設計特性與物聯(lián)網(wǎng)的互聯(lián)網(wǎng)連接性混合在一起,并且經(jīng)常發(fā)現(xiàn)即使在關鍵位置也經(jīng)常暴露在網(wǎng)上�。
多層次保護設備
設備制造商和用戶都有責任開發(fā)和維護其網(wǎng)絡安全防御,監(jiān)管的發(fā)展正在強化這一前景���。
制造商必須利用安全的軟件開發(fā)生命周期���。這包括代碼審查、漏洞掃描和滲透測試等流程�。最重要的是,這些流程不能局限于制造商生產(chǎn)的軟件���,而要包括進入設備的所有組件��,包括第三方庫��。
至于監(jiān)管的發(fā)展�,擬議中的歐盟網(wǎng)絡安全法規(guī)如果實施�,將強制供應商獲得物聯(lián)網(wǎng)設備的網(wǎng)絡安全認證。從用戶的角度來看���,強制披露網(wǎng)絡安全事件也有很大的推動作用���,這無疑將迫使企業(yè)提高其安全態(tài)勢
不幸的是����,沒有單一的快速解決方案來保護連接的設備���。但所有組織都可以采取一些切實可行的措施����,首先是創(chuàng)建一個完整的���、自動化的、持續(xù)的網(wǎng)絡資產(chǎn)清單�����。一旦知道了所有設備及其配置���,就可以進行風險評估�,以突出需要特別注意的設備�。這些設備要么是不安全的,要么是對業(yè)務關鍵的���。
然后可以實施緩解措施����。這些措施包括修補已知的漏洞、通過禁用未使用的服務來強化設備�、使用強大且唯一的密碼、分段網(wǎng)絡以隔離有風險的設備���,以及使用全面的網(wǎng)絡監(jiān)控來檢測利用設備的企圖���。
保護連接設備免受攻擊是一項共同的責任。在發(fā)現(xiàn)風險和保護基礎設施免受日益復雜的策略影響方面�,我們都有責任。一切都要從暴露我們盔甲上的任何潛在漏洞開始���。
