多年來,IT部門一直在關注影子IT和自攜設備(BYOD)帶來的安全風險。令人擔心的是,這些未授權的做法確實為企業系統帶來了風險,引入了新的安全漏洞并擴大了攻擊面。
如今,一波未平一波又起,又一個“影子”軍團正在迅速崛起:影子物聯網。在物聯網時代,世界比以往任何時候都更加互聯,而物聯網的發展變革也導致設備連接快速增長。ZKResearch預測,到2023年底,將有800億個連接的端點,這無疑為企業IT帶來了許多新的安全風險。
何為“影子物聯網(ShadowIoT)”
“影子物聯網”是指組織內部員工在沒有IT團隊授權和認知的情況下使用連接互聯網(即物聯網)的設備或傳感器。最突出的例子就是,在自攜設備(BYOD)策略提出之前,員工將個人的智能手機或其他移動設備用于工作目的。802Secure公司首席安全官(CSO)MikeRaggo表示,
“影子物聯網是影子IT的一種擴展延伸,只是其涉及的范圍是另一個全新的領域。這不僅源于每位員工不斷增加的設備數量,還源于設備的類型、功能和用途。”
多年來,員工們一直習慣將個人平板電腦和移動設備連接到企業網絡中。如今,員工也越來越多地在工作中使用智能音箱、無線拇指驅動器以及其他物聯網設備。一些部門甚至在會議室中安裝智能電視,或者在辦公室內設廚房中使用支持物聯網的設備,例如智能微波爐和咖啡機等等。
除此之外,建筑設施通常會通過工業物聯網(IIoT)傳感器進行升級,例如由具有Wi-Fi功能的恒溫器控制的采暖通風和空調(HVAC)系統。辦公場所內置的飲料機也越來越多地通過Wi-Fi連接到互聯網,以接受ApplePay付款功能。當這些傳感器在IT人員不知情或未授權的情況下連接到組織的網絡時,它們便成為了“影子物聯網”。
影子物聯網有多普遍?
調研機構Gartner公司稱,至2020年全球會有204億臺物聯網設備投入使用,高于2017年的84億臺。因此,影子物聯網已經變得越來越普遍。根據802Secure公司于2018年發布的一份報告指出,2017年,在接受調查的企業組織中,有100%的企業組織表示在企業網絡上發現了“流氓”消費級物聯網設備;有90%的組織表示,發現了與企業基礎設施分離的先前未檢測到的物聯網或工業物聯網無線網絡。
根據Infloblox公司發布的關于影子設備的報告指出,在美國、英國和德國的企業中,有三分之一的企業網絡連接了1,000多個影子物聯網設備。Infoblox公司的研究發現,企業網絡上最常見的物聯網設備包括:
健身追蹤器,例如Fitbits,占49%;
數字助理,例如亞馬遜Alexa和谷歌之家等,占47%;
智能電視,占46%;
智能廚房設備,例如聯網微波爐,占33%;
游戲控制臺,例如Xbox或PlayStations,占30%。
計算機安全服務公司OrdrInc.的最新報告也發現,連接設備存在許多漏洞和風險。2019年6月-2020年6月之間,Ordr公司針對超過500萬個非托管物聯網和“醫療物聯網”或IoMT設備進行了匯總分析,發布了《機器的崛起:企業物聯網的采用和風險報告》,并指出在部署物聯網的企業中,有20%的企業在支付卡、虛擬局域網或VLAN合規性方面存在違規行為。Ordr還發現,零售物聯網設備竟然使用與平板電腦、打印機和物理安全設備相同的子網。更令人震驚的是,有75%的部署存在VLAN違規行為,在某些情況下,網絡甚至正在與許多USB讀卡器和其他設備共享連接。
該報告還指出,醫療保健行業似乎是最受影子物聯網問題困擾的行業。Ordr發現,醫療設備部署在與非醫療物聯網設備同一個VLAN上。此外,絕大多數(95%)的醫療保健部署都在其環境中激活了AmazonAlexa和Echo設備以及醫院監控設備,由于這些語音助手可能會竊聽并記錄醫患對話記錄,所以很大可能會違反《HIPAA隱私法》,致使醫療組織面臨違規處罰。
當然,在保護和管理物聯網設備方面,深受困擾的可不只有醫療保健行業。ZKResearch數據顯示,有61%的IT團隊對于“是否知道哪些設備連接到他們的網絡”表示沒有信心或信心不足。這比幾年前的51%有所增加,這表明安全和運營需要先進的解決方案來解決影子物聯網問題。
影子物聯網存在哪些風險?
物聯網設備通常是在沒有固有的企業級安全控制的情況下構建的,習慣使用網絡攻擊分子可以通過互聯網搜索輕松找到的默認ID和密碼進行設置,有時甚至還會在沒有IT授權的情況下被添加到組織的主要Wi-Fi網絡中。因此,物聯網傳感器在組織的網絡上并不總是可見的。IT管理者無法控制或保護他們看不見的設備,由此也使得智能連接設備成為黑客和網絡犯罪分子最易得手的攻擊目標。
Inflobox公司的報告指出,脆弱的連接設備可以輕松地通過搜索引擎(例如Shodan)在線搜索到與Internet連接的設備。即使在搜索簡單術語時,Shodan公司也會提供可識別設備的詳細信息,其中包括橫幅信息、HTTP、SSH、FTP和SNMP服務等等。由于識別設備是訪問設備的第一步,因此這就等于為低級別的犯罪分子提供了一種可以輕松識別企業網絡上大量設備的簡便方法,隨后,犯罪分子就可以針對這些設備漏洞實施攻擊。
為什么大多數影子物聯網設備都不安全?
Raggo指出,幾十年前,當個人電腦(PC)首次發布時,其操作系統并沒有內置的安全性。因此,保護個人電腦免受病毒和惡意軟件攻擊仍然是一場持續的斗爭。
相比之下,iOS和Android移動操作系統的設計則具備集成的安全性,例如應用程序沙盒等。雖然,這并不意味著移動設備就是絕對安全的,但它們通常要比臺式機和筆記本電腦安全得多。
Raggo表示:
“遺憾的是,對于當今的物聯網和工業物聯網設備來說,設備制造商就像忘記了我們從移動操作系統中獲取到的所有關于安全性的知識一樣。如今,市場上充斥了太多物聯網制造商,而構建這些設備的供應鏈又遍布世界各地,這就導致了市場高度分散的局面。”
由于物聯網設備往往只專注于一項或兩項任務,因此它們通常缺乏基本協議(例如具有漏洞的WPA2Wi-Fi)之外的安全功能。其結果是:在全球范圍內,數十億臺不安全的物聯網設備正在IT人員不知情或未授權的情況下,在企業網絡上使用。
Sophos公司首席研究科學家chesterwisniewski表示:
“幾年前,我購買了10或15臺物聯網設備來檢查其安全性。令我震驚的是,我能夠很快找到他們的漏洞,這意味著任何人都可以破解它們。更糟糕的是,有些設備甚至并不具備上報漏洞的相關程序。”
網絡犯罪分子是否已經成功地將影子物聯網設備作為攻擊目標?
很遺憾,答案是肯定的。迄今為止,最著名的例子可能要數2016年Mirai僵尸網絡攻擊,在該攻擊事件中,黑客入侵了不安全的物聯網設備(例如IP攝像頭和家庭網絡路由器等),以構建龐大的僵尸網絡大軍。該僵尸網絡軍團實施了破壞性極強的分布式拒絕服務(DDoS)攻擊,例如使美國東海岸地區的大部分互聯網無法訪問的攻擊。Mirai源代碼也已在互聯網上共享,供黑客用作未來僵尸網絡軍隊的構建塊。
根據Infoblox公司的報告指出,還有其他漏洞可以使網絡犯罪分子控制物聯網設備。例如,在2017年,維基解密公布了一個名為“哭泣天使”(WeepingAngel)的美國中央情報局工具的詳細信息,該工具解釋了代理商如何將三星智能電視轉變為現場麥克風。《消費者報告》雜志還發現了主流品牌智能電視中的漏洞,這些漏洞可以用來竊取數據以及操縱電視播放令人反感的視頻,并安裝不需要的應用程序。
根據Infoblox公司的說法,除了不斷壯大僵尸網絡軍隊和進行DDoS攻擊外,網絡犯罪分子還可以利用不安全的物聯網設備進行數據泄露和勒索軟件攻擊。
在迄今為止最離奇的一次物聯網攻擊中,犯罪分子入侵了賭場大廳魚缸內的智能溫度計,以訪問其網絡。一旦進入網絡,攻擊者便能夠竊取賭場數據庫的私密數據。
針對物聯網的網絡攻擊的未來潛力足以引起企業首席安全官(CSO)和其他IT安全專業人員的關注。試想一下,如果有人連接到不安全的Wi-Fi恒溫器,并將數據中心溫度更改為95℃,則可能致使重要IT設備受損。例如,2012年,網絡犯罪分子入侵了州政府機構和制造廠的恒溫器,并改變了建筑物內部的溫度。而該恒溫器就是通過專門用于互聯網設備的搜索引擎Shodan發現的。
Wisniewski表示,到目前為止,就利用敏感或私人數據而言,物聯網設備的利用并未對任何特定企業造成巨大的負面影響。但是,當黑客弄清楚如何利用物聯網設備來賺取巨額利潤時(例如使用智能電視進行會議室間諜活動),影子物聯網安全風險問題將引起所有人的注意。
緩解影子物聯網安全風險的方法
1.規范用戶正式添加物聯網設備的流程
組織擁有影子IT和影子物聯網的原因,通常是因為IT部門拒絕了使用智能電視等設備的請求。在可能的情況下(例如在請求發生后30分鐘內)快速地跟蹤他們的批準,而不是直接禁止使用物聯網設備,可以幫助減少影子物聯網的存在。
具體來說,IT部門可以發布并分發審批流程,讓用戶填寫一份簡短的表格,讓他們知道會有多快回復他們。盡可能使請求過程變得靈活且容易,因此他們不會試圖隱藏他們想要使用的東西。
2.實時監控和主動搜尋缺一不可
在危機時刻,當務之急是確保組織優先考慮網絡安全。COVID-19大流行迫使許多行業進行物聯網轉型——從醫療保健行業中支持IP的呼吸機和EKG機器,到制造業中的無線溫度和振動傳感器,一切都是超連接的。隨著網絡犯罪分子利用易受攻擊的服務和不安全的連接,與COVID-19相關的惡意軟件和勒索軟件攻擊也在增加。
企業組織必須重視網絡安全問題,定期檢查所有連接的設備和網絡。此外,還需要越出自己的網絡來積極主動地尋找影子物聯網,因為很多影子物聯網并不存在于企業網絡中。超過80%的物聯網具有無線功能。因此,對影子物聯網設備和網絡的無線監控可以實現對這些設備和網絡的可見性和資產管理。
傳統的安全產品通過媒體訪問控制(MAC)地址或供應商的組織唯一標識符(OUI)列出設備,但是在具有多種不同類型設備的環境中,它們卻基本上發揮不了什么作用。Raggo補充道,
“IT人員很想知道‘那個設備是什么?’,以便確定它是“流氓”設備還是經過許可的設備。在當今深度數據包檢測和機器學習的世界中,成熟的安全產品應該為發現的資產提供人性化的分類,以簡化資產管理和安全過程。”
3.隔離物聯網
Wisniewski表示,理想情況下,新的物聯網設備和工業物聯網設備應通過專用于IT控制設備的獨立Wi-Fi網絡連接到互聯網。網絡應該配置為“使物聯網設備能夠傳出信息并阻止它們接收任何傳入信息”。通過設置單獨的網絡,可以方便IT人員為經過批準的影子物聯網設備提供技術支持,同時盡可能保護好核心企業網絡。
4.教育培訓必不可少
確保您的團隊了解威脅,并嘗試獲得關鍵的物聯網策略和安全措施的支持。根據802Secure公司發布的報告指出,“在美國和英國,有88%的受訪IT領導者認為他們已經制定了有效的策略來減輕來自連接設備的安全風險。但是參與調查的員工中,有24%的員工說他們甚至都不知道存在這樣的政策,而只有20%的自稱了解這些政策的人實際上遵守了這些政策。”
當然,我們可能永遠無法獲得100%的參與,但是如果人們連存在何種政策都不清楚的話,還談何參與和遵守。
