报告:连接设备的真正风险
连接设备和风险是现今这个快速发展的数字时代的一个广泛公认的副产品。但是,信息技术、物联网(IoT)、医疗物联网(IoMT)和操作技术(OT)设备易受攻击的比率各不相同。
有些人面临的风险要比其他人大得多,特别是在网络犯罪分子继续以快速的速度创新,以获得访问和利用连接设备来实现其目标的情况下。
每个行业中连接设备的数量和多样性都在不断增加,这为企业理解和管理所面临的风险带来了新的挑战。如今,攻击面几乎涵盖了每个组织中的IT、IoT和OT,此外,医疗保健领域还增加了IoMT,这加剧了互连网络的漏洞增加。
事实上,根据Ponemon Institute最近的一份报告,65%的受访组织表示,物联网和OT设备是其网络中安全性最低的部分之一;而50%的组织表示,针对这些设备的攻击有所增加。在这些组织中,88%的IT和IT安全从业人员将物联网设备连接到互联网,56%将OT设备连接到互联网,51%将OT网络连接到IT网络。
现实情况是,连接设备现在存在于每个垂直领域,并且继续对所有部门的组织构成相当大的和广泛的安全风险,因为许多组织仍然容易受到已知和旧的漏洞的影响。为了确定设备类型、行业部门和网络安全政策固有的风险点,最近的研究分析了金融服务、政府、医疗保健、制造和零售领域超过1900万台设备的风险状况,以揭示2022年风险最高的连接设备。
研究结果表明:
IT设备仍然是最受欢迎的目标
路由器和无线接入点,以及其他网络基础设施设备,正成为恶意软件和高级持久性威胁的更常见入口点。路由器是有风险的,因为其经常暴露在网上,连接内部和外部网络,具有危险的暴露开放端口,并且具有许多经常被恶意行为者迅速利用的漏洞。
虚拟机管理程序,或托管虚拟机(VM)的专用服务器,已成为2022年勒索软件团伙最喜欢的目标,因为它们允许攻击者一次加密多台VM。勒索软件开发人员正在转向Go和Rust等语言,这些语言允许更轻松地跨编译,并且可以针对Linux和Windows。
物联网设备更难修补和管理
企业网络上越来越多的物联网设备正被积极利用,因为它们比IT设备更难修补和管理。物联网设备由于薄弱凭据或未修补漏洞而受到损害,主要是成为分布式拒绝服务(DDoS)僵尸网络的一部分。
IP摄像头、VoIP和视频会议系统是最具风险的物联网设备,因为其通常暴露在互联网上,并且针对它们的威胁行为者活动由来已久。例如,2019年APT28入侵了VoIP电话以初步访问多个网络,2021年Conti将摄像头定位为在受影响的组织内部移动,2022年UNC3524和TAG-38都将视频会议和摄像头作为指挥和控制的目标基础设施。
自动取款机之所以出现在排名中,是因为其在金融机构中具有明显的业务重要性。且数据表明,许多自动取款机与其他物联网设备相邻,如安全摄像头和物理安全系统,这些设备经常暴露在外。
打印机不仅包括用于连接办公室的多功能打印和复印设备,还包括用于打印收据、标签、票据、腕带和其他用途的专用设备。虽然打印机与网络风险没有广泛关联,但也应该被关联起来。与IP摄像头一样,也曾被APT28等威胁行为者在入侵中利用,并多次被黑客发送垃圾邮件。或自动提款机,打印机经常连接到敏感设备,如收据打印机的销售点系统和办公室打印机的具有特权用户的传统工作站。
X光机和病人监护仪是最危险的IoMT设备之一
联网医疗设备显然存在风险,因为其对医疗服务和患者安全有潜在影响。针对医疗系统企业IT网络的多次勒索软件攻击波及到医疗设备,导致医疗设备无法使用。例如2017年的WannaCry,2019年阿拉巴马州一家医院受到的攻击影响胎儿监测器,以及2020年以来影响美国和爱尔兰辐射信息系统的几次攻击。
被列为风险最高的DICOM工作站、核医学系统、成像设备和PACS都是与医学成像相关的设备,其都有一些共同点:它们通常运行遗留的易受攻击的IT操作系统,具有广泛的网络连接,以允许共享成像文件,并使用DICOM标准共享这些文件。
DICOM定义了存储医学图像的格式和用于交换图像的通信协议。该协议支持消息加密,但其使用由医疗机构配置。通过不同组织之间的未加密通信,攻击者可以获取或篡改医学图像,包括传播恶意软件。
此外,患者监护仪是医疗机构中最常见的医疗设备之一,也是最脆弱的设备之一。与医学成像设备一样,其通常使用不加密的协议进行通信,这意味着攻击者可以篡改其读数。
OT设备是关键任务,但设计上不安全
在过去的十年中,国家支持的针对OT系统和设备的攻击已经变得司空见惯。研究发现,制造业拥有最高比例的高风险设备(11%),但更令人不安的是,针对这些设备的网络犯罪和黑客活动正在上升。最近,勒索软件组织多次侵入了自来水公司的SCADA系统,黑客活动分子还侵入了佛罗里达州一家水处理设施的HMI的访问权限。
总的来说,PLC和HMI是风险最高的OT设备,因为它们非常关键,可以完全控制工业过程,且在设计上不安全。虽然PLC通常不连接到互联网,但许多HMI连接到互联网,以实现远程操作或管理。这些设备不仅在制造业等关键基础设施行业很常见,在零售等行业也很常见,它们推动了物流和仓库自动化。
然而,其他观察到的有风险的OT设备比PLC和HMI更广泛。例如,不间断电源(UPS)出现在许多企业和数据中心网络中,紧挨着计算机、服务器和物联网设备。UPS在电源监控和数据中心电源管理方面起着至关重要的作用。对这些设备的攻击可能会产生物理影响,如切断关键位置的电源或篡改电压以损坏敏感设备。
环境监控和楼宇自动化系统对于设施管理至关重要,这是大多数组织的共同需求。智能建筑完美地体现了IT、物联网和OT在同一网络上融合的跨行业领域。有几个例子表明,威胁行为者利用智能建筑使控制器无法使用,为僵尸网络招募易受攻击的物理访问控制设备,或利用工程工作站进行初始访问。这些设备危险地将OT的不安全设计特性与物联网的互联网连接性混合在一起,并且经常发现即使在关键位置也经常暴露在网上。
多层次保护设备
设备制造商和用户都有责任开发和维护其网络安全防御,监管的发展正在强化这一前景。
制造商必须利用安全的软件开发生命周期。这包括代码审查、漏洞扫描和渗透测试等流程。最重要的是,这些流程不能局限于制造商生产的软件,而要包括进入设备的所有组件,包括第三方库。
至于监管的发展,拟议中的欧盟网络安全法规如果实施,将强制供应商获得物联网设备的网络安全认证。从用户的角度来看,强制披露网络安全事件也有很大的推动作用,这无疑将迫使企业提高其安全态势
不幸的是,没有单一的快速解决方案来保护连接的设备。但所有组织都可以采取一些切实可行的措施,首先是创建一个完整的、自动化的、持续的网络资产清单。一旦知道了所有设备及其配置,就可以进行风险评估,以突出需要特别注意的设备。这些设备要么是不安全的,要么是对业务关键的。
然后可以实施缓解措施。这些措施包括修补已知的漏洞、通过禁用未使用的服务来强化设备、使用强大且唯一的密码、分段网络以隔离有风险的设备,以及使用全面的网络监控来检测利用设备的企图。
保护连接设备免受攻击是一项共同的责任。在发现风险和保护基础设施免受日益复杂的策略影响方面,我们都有责任。一切都要从暴露我们盔甲上的任何潜在漏洞开始。
----------------------------
近期,由千家网主办的2022年第23届中国国际建筑智能化峰会将正式拉开帷幕,本届峰会主题为“数智赋能,碳索新未来”,届时将携手全球知名建筑智能化品牌及专家,共同分享AI、云计算、大数据、IoT、智慧城市、智能家居、智慧安防等热点话题与最新技术应用,并探讨如何打造“更低碳、更安全、更稳定、更开放”的行业生态,助力“双碳”目标的实现。
欢迎建筑智能化行业同仁报名参会,分享交流!
报名方式
上海站(11月23日):https://www.huodongxing.com/event/3638582473900
北京站(11月25日):https://www.huodongxing.com/event/4638577546900
广州站(12月08日):https://www.huodongxing.com/event/2638587914600
成都站(12月20日):https://www.huodongxing.com/event/5657854318600
西安站(12月22日):https://www.huodongxing.com/event/4638585444400
更多2022年峰会信息,详见峰会官网:http://summit.qianjia.com/
参与评论 (0)