近年來,隨著國家對物聯網(IoT)技術發展的關注與投入,尤其是“十四五”規劃中被劃定為我國7大數字經濟重點產業之一,物聯網在我國必將迎來全面利好的高速發展時期。然而值得注意的是,隨著物聯設備的不斷普及,其面對的網絡攻擊正與日俱增,而且變得越來越復雜并更具破壞性。近來多份不同報告均已看到大量實例,數十萬臺互聯設備遭到惡意軟件的攻擊,被勒索軟件、加密貨幣挖礦軟件、木馬、僵尸網絡等感染的報道屢見不鮮。
針對這一現狀,Check Point公司的安全專家分享并探討了這些漏洞存在的原因、網絡犯罪分子如何獲取訪問權限,以及用戶如何實施一些最佳實踐來保護貴組織免遭網絡攻擊。
此類攻擊如何發生?
如同知名的“木桶原則”,在網絡安全領域,用戶的網絡保護強度僅取決于最薄弱的一環。對于單臺設備來說是這樣,對于整個網絡也是如此。
關于網絡中最薄弱的環節,指的是可通過互聯網訪問的面向邊界網絡的設備。其中包括許多不同的設備類型,從低端 IP 攝像頭、路由器及企業園區傳感器到高端氣泵、EV 充電器 及 ATM 等不一而足。所有這些設備都連接到互聯網并支持遠程訪問。
邊界安全
當攻擊者企圖破壞網絡時,他們通常會掃描網絡來搜尋這些互聯設備,以將其用作網絡入侵的切入點。
物聯網設備是發起網絡攻擊的跳板,因為它們通常運行過時軟件或不受安全事件監控。由于這些設備規模大、種類多(例如,一個大學校園可能管理數十種不同設備),因此傳統的事件響應措施可能不像往常那樣有效。當網絡中的大量資產同時遭到攻擊時,網絡安全負責人很難即刻了解漏洞的來源。
進一步感染
為獲得更大利益,攻擊者往往會長時間潛伏,等待合適的時機才出手,他們同時會執行偵察任務,以在發起攻擊之前先熟悉潛在受害者的網絡。
發動攻擊時,攻擊者的目標之一是在整個目標網絡中實現橫向運動。他們希望在整個網絡中隨意移動,攻擊其他內部資產和實體。通過利用服務器、PC 和常見辦公設備(如打印機和路由器),攻擊者可提高其對網絡進行更廣泛控制的能力。通常,攻擊者會利用這種控制達到各種目的,例如數據竊取、勒索、勒索軟件感染等。最初的一系列外圍設備入侵事件很快就會演變成一場可能帶來毀滅性后果的全面攻擊活動。
實際案例:攻擊通常如何實施?
勒索軟件感染入侵用戶的網絡后,便可感染更多數字資產,因此很難清除。
Vedere Labs 發布的 R4IoT 研究論文中提到了一個攻擊示例,其中用戶物聯網設備網絡首先遭到劫持,繼而感染大量惡意軟件、加密貨幣挖礦軟件。這場“攻擊”首先利用了在安訊士攝像頭(CVE-2018-10660、CVE-2018-10661)和 Zyxel NAS (CVE-2020-9054) 中發現的漏洞。通過使用這些網絡節點進行橫向傳播,惡意軟件能夠控制許多網絡設備、竊取信息并使其他設備感染勒索軟件。在本例中,研究人員利用(相對)較舊的漏洞(從 2018 年到 2020 年)演示了惡意軟件對固件未修補的設備造成的影響。這些漏洞允許攻擊者通過設備上未經身份驗證的接口獲得完全訪問權限。
此外,最近 Mitel IP 電話被爆攻擊漏洞 (CVE-2022-29499)。該漏洞允許攻擊者在這些設備上運行任意命令,進而為所欲為。與 R4IoT 研究論文中介紹的漏洞(可使用基于簽名的傳統產品解決)不同,任何利用這一 Mitel 漏洞的攻擊者可以幾乎不受阻礙地持續感染用戶網絡。
同時還有最近發生的 ZuoRAT 攻擊事件。在這場極其廣泛的攻擊活動中,至少 80 種不同類型的設備及 Netgear、Asus 和 DrayTek 家用路由器受到感染。這種允許攻擊者遠程訪問的木馬惡意軟件已存在多年,并像野火般持續蔓延。在當下居家辦公的大環境下,這帶來了一個嚴重的安全風險,如果家用設備遭到感染,那么就可能對用戶所在企業的資產和整體業務產生毀滅性影響。
發動類似惡意軟件攻擊的方法遠比大眾想象的簡單。通常,前面提到的這些攻擊可通過不受監管的市場低價購買。幾周前,美國司法部取締了一個名為 RSOCKS 的網站。這個網站所銷售的代理工具可供攻擊者實施加密貨幣挖礦活動、DDOS 攻擊等。大多數攻擊者只需使用默認憑證或猜測弱密碼即可控制聯網設備和資產。難以置信的是,這種猜測憑證或嘗試默認用戶名和密碼的方法聚起了一個由 350,000 多臺消費類、辦公及家用設備組成的惡意網絡。
內部保護,面向未來
在如今的網絡環境中,企業聯網設備和資產必須能夠防范下一次攻擊。針對發現的各個漏洞和利用程序安裝一個又一個補丁往往不切實際。研究表明,即使軟件廠商頻繁發布設備更新,設備管理員和最終用戶通常也不會第一時間維護其設備并確保及時更新。在這種情況下,當務之急是采用一款面向未來的解決方案來解決這些難題。
Check Point 具備IOT防護能力的Quantum產品,在物聯網安全方面引入了一種創新方法,側重于檢測和防御,而不是像目前市場上的大多數解決方案一樣只是強調檢測。Check Point Nano-Agent 不僅提供了設備運行時保護,而且還能夠在每臺物聯網設備上運行,確保其在網絡環境、離線或物理隔離環境中安全無虞。該解決方案可監控設備的軟件,確保設備行為符合預期。如果網絡攻擊者企圖利用已知或未知漏洞,Check Point的零日保護將會檢測到任何偏差,并即時阻止。
網絡安全之戰是一場持久戰,不法分子不斷翻新花樣,升級裝備。因此,在如今的現代網絡環境中,基本監控和檢測安全解決方案已遠遠不能滿足用戶的安全需求。選擇一款既能實時檢測又能防御網絡攻擊的網絡安全解決方案,將是未來很長一段時間內的大勢所趨。
