一年回顾:12 个物联网安全注意事项
从消费者的角度来看,最大的物联网安全担忧是隐私-有关的。一个家庭可能会担心他们的安全摄像头会让陌生人瞥见他们的家。或者他们的智能扬声器收集的数据很容易受到攻击。
虽然这些担忧是合理的,但它们不适合最常见的威胁模型,也不代表最重要的物联网安全风险。针对物联网设备的攻击者更有可能将这些设备视为达到目的的手段。也许他们可以在分布式拒绝服务攻击中利用其中的数十个。或者将它们用作支点,以触及网络上更有价值的目标。
最近在拉斯维加斯 DEFCON 上的一次演讲中,Scythe 首席执行官、GRIMM 主席兼西点军校网络研究所顾问 Bryson Bort 阐明了网络安全领域的一些最有意义的趋势,与过去一年的物联网和工业控制系统。
1.民族国家归因越来越普遍
不久前,有组织的犯罪集团似乎是绝大多数网络攻击的幕后黑手。但现在,民族国家的行为者正在加大力度——有时会从网络黑社会招募人才。
Verizon 最新的数据泄露调查报告显示,自 2015 年以来,分配给有组织犯罪集团的数据泄露数量大幅下降。在同一时间范围内,与国家有关的活动有所增加。
随着民族国家活动水平的提高,确定特定攻击背后的国家的尝试也在增加。虽然网络安全研究人员通常关注攻击的技术方面,但 Bort 表示,了解民族国家在特定攻击中的可能动机所起的作用至关重要。
2.攻击物联网设备作为支点是一个真正的担忧
当您从淋浴间通过联网的摄像头走出浴室时,攻击者监视您的风险是真实存在的。但这种违规行为与威胁行为者更常见的经济利益目标或以企业或政府为目标的间谍活动不符。
然而,一个更重要的威胁是使用物联网设备进行横向攻击。攻破许多商品物联网设备相对微不足道,它为进一步的间谍活动或破坏活动提供了一个起点。
微软安全响应中心最近报告说,它观察到一个威胁攻击者的目标是“一部 VOIP 电话、一台办公室打印机和一个视频解码器”。攻击者的明显动机是访问各种公司网络。 “一旦攻击者成功建立了对网络的访问,通过简单的网络扫描来寻找其他不安全的设备,他们就可以发现并在网络中移动,以寻找可以授予访问更高价值数据的更高特权的帐户,”报告解释说。微软将此活动归于一个名为“Strontium”的组织,该组织也被称为 Fancy Bear 的 APT 28。该集体也被认为参与了 2016 年的 DNC 黑客攻击。
3.气隙(仍然)不存在
从理论上讲,气隙网络与世界其他地方在物理上是隔离的,使其免受穿越互联网的攻击。实际上,利用隐匿性安全方法的组织面临着更高的遭到破坏的风险。 “有人真的见过真正的气隙吗?”博特问道。 “不,因为它们实际上并不存在。在我在工业控制环境中进行渗透测试的整个生命中,没有一次 [我见过一次],”他补充道。
破坏据称是气隙系统的最著名的例子可能是 Stuxnet。在该漏洞中,攻击者能够访问伊朗核设施内的网络——可能是通过 USB 记忆棒。
4.绿色能源的阴暗面是网络安全
由于 Ted Koppel 等经验丰富的记者的努力,美国电网容易受到网络攻击而臭名昭著,他 2015 年出版的“熄灯”一书涵盖了这一主题。同样在 2015 年,据称俄罗斯黑客能够暂时关闭大约 230,000 人。在此期间,美国报纸发表了一系列文章,声称俄罗斯正在瞄准美国电网。最近有匿名爆料称,美国也在瞄准俄罗斯。
这种情况引发了一个问题:如果信息技术带来了一系列新威胁,为什么世界各国都在其电网中大量使用信息技术。
Bort 问:“为什么我们不回到完全模拟的状态?”
这个问题的部分答案是绿色能源。许多因素,从世界各地的人们购买电动汽车到在屋顶上安装太阳能电池板,从根本上改变了电力分配的方程式。几十年前,从变电站到消费者的电子流是单向的。但是现在,消费者通过太阳能等可再生能源间歇性地向电网回馈电力。 “现在,我需要计算机来处理复杂程度呈指数级增长的电网,”Bort 说。
5.民族国家越来越多地瞄准关键基础设施
网络战可能并不新鲜,但民族国家似乎正在加紧努力,瞄准竞争对手的工业控制系统和关键基础设施。此类基础设施范围从投票机到水电基础设施。
一般来说,拥有最先进网络部门的民族国家行为体是美国、英国、以色列、俄罗斯、朝鲜和伊朗。博尔特说,越南可能会获得荣誉奖。 “在过去的一年里,我们看到越南人在极端水平上进行民族国家间谍活动。
今年早些时候,彭博社报道称,“越南‘与国家结盟’的黑客”正在瞄准外国汽车公司,以支持该国迅速发展的汽车制造计划。
6.网络攻击帮助资助孤立的国家
2017 年,《纽约时报》报道称,特朗普政府已申请 40 亿美元资助用于破坏朝鲜导弹控制系统的网络武器。这笔资金还将支持无人机和战斗机在这些导弹到达美国海岸之前将其击落。同一出版物援引匿名消息人士的话说,至少自 2014 年以来,一场持续的网络攻击就针对该国的导弹系统。
这个故事的另一个问题是一份联合国报告,该报告披露了朝鲜如何帮助资助其武器计划。它指出,该国从金融机构和加密货币交易所窃取了 20 亿美元的资金。
博尔特表示,朝鲜很可能将这笔资金用于一系列采购。 “没有人关心(朝鲜的)货币。他们处于封闭的经济中,”他说。 “如果亲爱的领袖想要威士忌和法拉利,他不能用当地货币购买。他需要硬通货,”他补充道。 “因此,从网络角度来看,他们的主要动机是盗窃。”
7.一次网络攻击可造成数亿美元的损失
严格来说,WannaCry 及其变体并非明确以 IoT 或 ICS 为中心。但是,针对 Microsoft Windows 操作系统的恶意软件对其受害者造成了类似的损害。 WannaCry 表明,一种恶意软件可以干扰英国国家卫生服务机构的运作。 NHS 恶意软件的成本也导致 19,000 次预约的取消,为 9200 万英镑。与此同时,WannaCry 的堂兄 NotPetya 花费了全球航运集团 200-3 亿美元。
在恶意软件通过易受攻击的供应商引入制造工厂后,该工厂的黄金形象太旧了,无法修补。在将 WannaCry 变体部署到环境中后,“它破坏了它可以触及的一切,并摧毁了整个工厂,”Bort 说。
虽然美国将 WannaCry 归咎于朝鲜,但该民族国家不太可能打算感染该工厂。 “这家供应商碰巧有一张图片被感染并介绍了它,”博特说。 “我知道。太疯狂了。”
8. Trisis 应该是一个警钟
与 WannaCry 一样,Trisis 表面上始于 2017 年。 FireEye 认为与俄罗斯有联系的攻击者对受害者使用了网络钓鱼和基于水坑的活动的组合。攻击者首先针对 I.T.基础设施,然后横向移动到他们的 O.T.网络,在那里他们攻击了关键基础设施的安全仪表系统。 “这是一件大事,”博特说。 “在工业控制系统中,[SIS] 操作传感器和计算机来改变物理环境中的事物。”
Bort 说,虽然可编程逻辑控制器计算工业控制的物理环境中应该发生的事情,但“它们是愚蠢的计算机”。 “我不必破解 PLC。我所要做的就是告诉PLC该做什么。他们不认可我。他们不寻求权威。 [..] “这就是 SIS 所做的。”
虽然最早披露的 Trisis 受害者位于中东,但 CyberScoop 报道称,这次攻击的发起者现在正瞄准美国电网。
9.关键基础设施活动正在加速
可能有相对较少的例子表明世界各地的大量人口受到基于关键基础设施的网络攻击的影响。但是越来越多的黑客正在瞄准这种基础设施。 “关键基础设施攻击的重点是这些是迭代情报活动,”博特说。 “我们没有太多证据证明其意图是破坏性的。但我们绝对有证据证明 [进入] 基础设施的意图。”
10.勒索软件具有针对物联网设备的潜力
安全研究人员已经证明了将一系列物联网设备作为人质的可行性。但是,虽然勒索软件很普遍,但部署它的攻击者却倾向于针对传统计算设备。
Bort 预测,在未来五年内,勒索软件将传播到基于物联网的新领域。 “我认为在世界的某个地方,有人会在早上醒来,然后他们会下车去上班,”他说。 “他们一打开那辆车,信息娱乐系统就会弹出:‘勒索软件:发送 3 个比特币来打开它。’”
11.在互联世界中,供应商是风险模型的一部分
去年,彭博社声称中国通过损害全球最大的服务器主板供应商之一渗透到美国供应链,从而引起轰动。报道中提到的几家知名科技公司的负责人,包括超微、苹果和亚马逊,以及美国国土安全部和英国国家网络安全中心的代表都对这个故事提出了异议。
虽然文章的事实可能存在问题,但所谓的“离地生活”是一种威胁。 “攻击者不仅仅是将自己的工具带入游戏。他们正在利用那个环境中已经存在的东西来对付你,”博特说。 “任何涉及您的基础设施的东西都是您的风险模型的一部分。不再是你一个人了。”
12.您的数据正在激增。销售方式也是如此。
“你知道智能电视比没有智能功能的电视便宜吗?”博尔特在 DEFCON 会议上问道。 “这是为什么?他们通过您的遥测和数据赚钱。”
四月的商业内幕文章得出了相同的结论:“一些制造商收集有关用户的数据并将这些数据出售给第三方。数据可以包括您观看的节目类型、您观看的广告以及您的大致位置。”
Bort 说,一些汽车制造商正在部署类似的策略。 “有多种车型,汽车制造商正在研究当您开车时他们可以从您那里获取什么以及如何获取。”
美中经济与安全审查委员会的一份报告对中国政府“未经授权访问物联网设备和敏感数据”以及扩大“授权访问”表示担忧。报告解释说:“[中国]对美国消费者物联网数据的授权访问只会随着中国物联网公司利用其生产和成本优势在美国获得市场份额而增长。”
Bort 说,许多消费级物联网设备向中国发送数据。 “如果你真的想玩得开心,就在家里插入一个物联网设备,检查数据包,看看它们要去哪里,”他说。 “我还没有看到我插入的任何设备不会进入中国。现在,我并不是在暗示那是邪恶的或恶意的。”此类物联网设备向该国发送数据是很典型的。他问:“它们是在哪里制造的?”
物联网技术