導(dǎo)讀:隨著越來越多的公司開發(fā)從門鈴和安全攝像頭到冰箱和恒溫器等連網(wǎng)設(shè)備,那么,網(wǎng)絡(luò)犯罪分子發(fā)現(xiàn)新的漏洞并開發(fā)利用它們的新方法也就不令人意外了。
圖片來源:http://pxhere.com/zh/photo/386881
編譯:驕陽
物聯(lián)網(wǎng)正在迅速發(fā)展,支持物聯(lián)網(wǎng)的設(shè)備開始出現(xiàn)在我們生活中的各個方面。這不僅影響了消費(fèi)者,也影響了企業(yè),因為預(yù)計超過50%的組織將在2019年運(yùn)營某種形式的物聯(lián)網(wǎng)。物聯(lián)網(wǎng)設(shè)備的數(shù)量呈指數(shù)級增長,而且這種增長絲毫沒有放緩跡象,Gartner預(yù)測,到2020年,將有超過200億臺連網(wǎng)設(shè)備和機(jī)器投入使用。隨著越來越多的公司開發(fā)從門鈴和安全攝像頭到冰箱和恒溫器等連網(wǎng)設(shè)備,那么,網(wǎng)絡(luò)犯罪分子發(fā)現(xiàn)新的漏洞并開發(fā)利用它們的新方法也就不令人意外了。
新的攻擊面需要新的防御措施
物聯(lián)網(wǎng)提供了一個非常規(guī)的攻擊面,打開了額外的接入點(diǎn),攻擊者可以在這些接入點(diǎn)建立據(jù)點(diǎn)并利用公司網(wǎng)絡(luò)——通常不會被傳統(tǒng)的周邊防御發(fā)現(xiàn)??ò退够鶎?shí)驗室最近的一份報告證實(shí),這些漏洞正以驚人的速度被利用,僅在2018年上半年,研究人員就發(fā)現(xiàn)攻擊物聯(lián)網(wǎng)設(shè)備的惡意軟件樣本是2017年全年的三倍,是2016年總數(shù)的10倍。攻擊者不僅知道這些漏洞,而且正在加速攻擊它們。
對這種威脅的認(rèn)識正在增加,不僅在行業(yè)內(nèi),而且在執(zhí)法部門也是如此。今年8月,美國聯(lián)邦調(diào)查局(FBI)發(fā)布了一項名為“網(wǎng)絡(luò)行為者使用物聯(lián)網(wǎng)作為匿名代理和追蹤惡意網(wǎng)絡(luò)活動”的公共服務(wù)公告。該公告警告物聯(lián)網(wǎng)設(shè)備制造商和用戶,網(wǎng)絡(luò)固有的漏洞以及攻擊者試圖利用這些漏洞的常見方式。雖然該公告還就如何解決這些漏洞提出了一些建議,但這些建議既不全面,也不具有強(qiáng)制性。
美國各州也開始注意到這一點(diǎn),今年加州成為美國第一個通過監(jiān)管物聯(lián)網(wǎng)安全法案(SB-327)的州。該法案將要求制造商在2020年1月生效時為連網(wǎng)設(shè)備配備“合理的安全性及適合設(shè)備的性質(zhì)和功能”。該法案還包括具體的安全措施,包括一項任務(wù),即智能設(shè)備必須預(yù)先設(shè)定獨(dú)一無二的密碼——這是一項旨在解決最著名物聯(lián)網(wǎng)漏洞之一的法規(guī),也是一項被Mirai僵尸網(wǎng)絡(luò)等惡意軟件利用的著名法規(guī)。
不要只是對法規(guī)做出反應(yīng),還要積極采取措施。
雖然加州SB-327是很好的第一步,但該法案中的語言含糊不清,留下了很多需要解釋的地方。例如,什么是“合理的安全性”?政府如何確定哪些措施“適合設(shè)備的性質(zhì)和功能”?雖然特定的密碼管理指南可以解決某些漏洞,但這些法規(guī)感覺遠(yuǎn)遠(yuǎn)不夠完善,尤其是與其他行業(yè)相比時。比如像燈泡這樣簡單的事情,有明確的聯(lián)邦監(jiān)管和法規(guī),客戶可以很容易地找到UL評級、能效列表等等。
有鑒于此,安全團(tuán)隊和企業(yè)負(fù)責(zé)人需要采取主動措施來保護(hù)他們的環(huán)境免受有害攻擊,尤其是來自這些和其他新出現(xiàn)攻擊面的攻擊。對于許多人來說,這需要改變思維,因為傳統(tǒng)的網(wǎng)絡(luò)安全措施側(cè)重于周邊防御,并假設(shè)他們可以應(yīng)用安全控制,如反惡意軟件或其他政策,以防止攻擊。今天,這些措施已經(jīng)不夠用了。安全專業(yè)人員必須承認(rèn),他們可能不知道這些設(shè)備何時被引入其網(wǎng)絡(luò),而且他們需要知道這將產(chǎn)生額外的安全風(fēng)險,并且需要額外的安全措施。為了應(yīng)對這些設(shè)備的攻擊并進(jìn)一步加強(qiáng)其網(wǎng)絡(luò),安全團(tuán)隊需要一種新的方法,其中包括一套全面的檢測和響應(yīng)工具,旨在被感染的系統(tǒng)造成傷害之前對其進(jìn)行識別。
欺騙技術(shù)現(xiàn)在被認(rèn)為是檢測所有攻擊面網(wǎng)絡(luò)內(nèi)威脅的最有效方法之一——包括安全性差的物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、銷售點(diǎn)終端和其他設(shè)備。欺騙技術(shù)能夠檢測繞過傳統(tǒng)安全控制的威脅,它是一個特別強(qiáng)大的工具,用于減少“停留時間”或攻擊者在被檢測到之前在網(wǎng)絡(luò)中花費(fèi)的時間。該技術(shù)通過部署一個復(fù)雜的誘餌和陷阱網(wǎng)絡(luò),有效地檢測、隔離和防御網(wǎng)絡(luò)攻擊,旨在將入侵者吸引到一個真實(shí)的欺騙環(huán)境中,在此環(huán)境中,提升高保真警報并收集有關(guān)攻擊情報,并可與其他安全控制共享,以加快事件響應(yīng)速度。
Ovum首席分析師Rik Turner解釋道:“隨著攻擊面的不斷擴(kuò)大,企業(yè)越來越多地尋求能夠為專業(yè)環(huán)境提供早期檢測和可見性的解決方案。由于其功效,欺騙技術(shù)現(xiàn)在正進(jìn)入主流,并將很快成為大多數(shù)企業(yè)的有力武器。”
由于聯(lián)邦和州政府還在努力為不安全的智能設(shè)備制定可執(zhí)行的政策,因此安全法規(guī)繼續(xù)落后于物聯(lián)網(wǎng)創(chuàng)新的步伐。鑒于聯(lián)邦政府在確定治理方面的延遲,其他州將很快跟隨加州實(shí)施新的法規(guī),為供應(yīng)商和組織創(chuàng)建拼湊的“被子”,以便聯(lián)合起來創(chuàng)建合規(guī)性并維護(hù)其物聯(lián)網(wǎng)政策。也就是說,組織明智的是不要等待,并且應(yīng)該立即采取措施保護(hù)自己,因為這些設(shè)備越來越多地進(jìn)入他們的環(huán)境。欺騙技術(shù)與主動防御措施的使用將使組織為物聯(lián)網(wǎng)攻擊做好準(zhǔn)備,避免成為攻擊自身基礎(chǔ)設(shè)施或間接使用其設(shè)備攻擊他人的受害者。