如何保护您的组织免受物联网恶意软件的侵害 | 科技目标

为什么物联网设备容易受到恶意软件的攻击

物联网设备被归类为任何非标准计算设备。 它们可以是消费产品，其中包括智能电视和可穿戴设备，也可以是工业产品，例如控制系统、监控摄像头、资产跟踪器或 医疗器械。 无论其关注点如何，物联网设备已经改变了世界的工作和生活方式。

存在数千种不同类型的物联网设备，但它们都具有连接到网络的能力。 连接性使这些设备能够被远程控制，并能够访问和收集它们的数据。

尽管物联网设备有很多好处，但它们生成、收集和共享的数据以及执行的操作使得物联网设备对恶意黑客极具吸引力。 它们连接到网络的事实使它们容易受到远程攻击，而且它们的外形因素意味着它们缺乏必要的内置安全性来保护自己免受威胁和利用。

物联网的弱点和漏洞

根据 Bitdefender 的 2023 年物联网安全形势报告，美国家庭平均有 46 台设备连接到互联网，平均每 24 小时就会遭受 XNUMX 次针对这些设备的攻击。 这还只是消费级物联网设备。

2023 年 XNUMX 月，Nozomi Networks 的分布式物联网蜜罐每天都会发现数百个和数千个独特的攻击者 IP 地址。

物联网攻击的目的是获得设备的控制权、窃取或删除敏感数据，或者将其纳入一个组织中。 僵尸网络。 成功的攻击——特别是针对运行关键基础设施或医疗系统的连接设备的攻击——可能会导致严重的物理后果。

下列 安全问题 使物联网设备容易受到恶意软件的攻击：

• 设备限制。 大多数物联网设备的设计都具有足以执行其任务的最少硬件和软件功能。 这使得全面的安全机制或数据保护能力几乎为零，使它们更容易受到攻击。
• 硬编码和默认密码。 硬编码和默认密码使采用暴力策略的攻击者很有可能破解设备的身份验证。 例如，HEH 僵尸网络使用硬编码凭据和暴力破解密码来感染设备。
• 缺乏加密。 以明文形式存储或传输的数据很容易被窃听、损坏和劫持。 例如，从物联网设备发送的重要遥测信息可能会被操纵以提供错误的结果。
• 易受攻击的组件。 使用通用硬件组件意味着任何具有电子电路板和通信协议知识的人，例如 通用异步接收器/发送器 和内部集成电路，可以拆开设备并查找硬件漏洞。
• 设备多样性。 与台式机、笔记本电脑和手机相比，物联网设备在外形尺寸和操作系统方面存在显着差异。 物联网设备采用的网络技术和协议也是如此。 这种多样性需要更复杂的安全措施和控制来提供标准级别的保护。
• 缺乏审计能力。 攻击者危害和利用物联网设备，无需担心其活动被记录或检测到。 受感染的设备的性能或服务可能不会出现任何明显的下降。
• 更新机制差。 许多设备缺乏安全更新固件或软件的能力。 这一缺口要求公司投入大量资源来保护物联网设备免受新漏洞的影响，从而使许多设备暴露在外。 此外，物联网设备通常部署时间较长，因此保护它们免受新攻击模式的攻击变得越来越困难。
• 缺乏安全意识。 组织通常在部署物联网设备时没有充分了解其弱点及其对整体网络安全的影响。 同样，大多数消费者在将新设备连接到互联网之前缺乏更改默认密码和设置的知识，这使得该小工具很容易成为攻击者的目标。

物联网恶意软件和攻击

物联网设备可能涉及任意数量的网络安全漏洞和恶意软件感染，其影响可能是立竿见影、连锁反应并造成重大破坏。 攻击包括僵尸网络、勒索软件、破坏软件和流氓设备。

• 物联网僵尸网络。 僵尸网络恶意软件通常是开源的，可以在地下论坛上免费获得。 它旨在感染和控制尽可能多的设备，同时阻止其他僵尸网络恶意软件控制设备。 由于物联网设备的安全性较差，威胁行为者可以将其招募为机器人，并创建巨大的僵尸网络来发起毁灭性的 DDoS 攻击。 事实上，根据 2023 年诺基亚威胁情报报告，物联网僵尸网络产生的 DDoS 流量占当今所有 DDoS 流量的 40% 以上，比过去一年增加了五倍。 第一次重大物联网僵尸网络攻击发生在 2016 年 Mirai 僵尸网络攻击。 超过 600,000 台物联网设备受到感染，包括闭路电视摄像机和家用路由器。 几个主要网站瘫痪了几个小时。 物联网僵尸网络可以发起其他攻击，包括暴力攻击、网络钓鱼攻击和垃圾邮件活动。
• 勒索。 尽管许多物联网设备不在本地存储有价值的数据，但它们仍然可能成为勒索软件攻击的受害者。 物联网勒索软件会锁定设备的功能，冻结智能设备并关闭业务运营或关键基础设施。 例如，FLocker 和 El Gato 勒索软件以手机、平板电脑和智能电视为目标，攻击者要求在解锁受感染设备之前付款。 虽然可能可以重置受感染的物联网设备，但在重大情况发生之前对数百或数千台设备执行此操作会给攻击者带来很大的影响力。 在正确的时间或地点发生的勒索软件攻击使受害者几乎没有选择，只能支付赎金。
• 破坏软件。 这是一个虚构的术语，但它抓住了这种物联网恶意软件的意图。 破坏软件是一种旨在破坏基础设施以达到政治、意识形态或纯粹恶意目的的攻击。 典型的例子：2015 年乌克兰电网遭受的攻击。 这次精心策划的复杂攻击摧毁了整个电网； 几个月后才完全恢复运营。 部分攻击涉及覆盖关键串行以太网转换器上的固件，使真正的操作员无法发出远程控制。 受感染的设备必须更换为新设备。 类似的攻击 发生在2022中.
• 流氓设备。 许多网络犯罪分子不会尝试控制物联网设备，而是简单地将恶意设备连接到未得到充分保护的物联网网络。 这创建了一个接入点，攻击者可以从该接入点进一步进入网络。

如何检测物联网恶意软件攻击

物联网设备现在几乎是每个主要行业的重要组成部分。 安全团队必须了解特定于其部署和使用的复杂风险因素。 然而，物联网恶意软件检测技术仍在进行中。 例如，由于物联网设备的架构不同和资源限制，标准的机载动态和静态分析技术是不可能的。

检测物联网恶意软件的最佳方法是中央监控系统，该系统梳理设备活动，例如网络流量、资源消耗和用户交互，然后使用人工智能生成行为档案。 这些配置文件可以帮助检测由网络攻击或恶意软件修改引起的任何偏差，无论设备类型如何。 生成或处理机密数据的设备应使用 去中心化联邦学习模型 以确保模型训练时的数据隐私。

未来的物联网检测方法可能包括电磁信号分析。 例如，在 IRISA 工作的安全研究人员， 确定 通过分析电磁活动，在 Raspberry Pi 设备上运行的恶意软件的准确率达到 98%。 该技术的一大优点是任何恶意软件都无法检测、阻止或规避它。

如何预防物联网恶意软件

在找到可行且有效的方法来快速检测和阻止恶意软件之前，最好的方法是确保设备在部署之前和部署期间受到充分保护。

采取以下步骤：

• 启用强授权。 始终更改默认密码。 如果可能，请使用多因素身份验证。
• 使用始终在线的加密。 始终加密所有数据和网络通信通道。
• 禁用不必要的功能。 如果未使用某些功能（例如，如果设备通过 Wi-Fi 进行通信则使用蓝牙），则禁用它们以减少攻击面。
• 应用补丁和更新。 与所有其他网络资产一样，使所有物联网应用程序和设备保持最新状态，尤其是固件。 对于无法修补的旧设备来说，这可能会出现问题。 如果无法升级，请将设备放置在单独的网络上，以免其他设备面临风险。 网关设备 可以帮助保护这些类型的设备免遭发现和攻击。
• 安全 API。 API 是物联网生态系统的重要组成部分。 它们提供设备和后端系统之间的接口。 因此，对 IoT 设备使用的所有 API 进行压力测试并检查它们，以确保只有授权设备才能通过它们进行通信。
• 保持全面的资产库存。 将每个物联网设备添加到库存管理工具中。 记录 ID、位置、服务历史记录和其他重要指标。 这提高了物联网生态系统的可视性，帮助安全团队识别连接到网络的恶意设备，并标记可能表明正在进行的攻击的异常流量模式。 网络发现工具还可以帮助团队掌控大型且快速扩展的物联网网络。
• 实施强有力的网络安全。 隔离物联网设备连接的所有网络并部署专用的周边防御。
• 监控物联网后端应用程序。 设置警报以警告异常活动并定期扫描漏洞。
• 积极主动地做好安全工作。 当发现新的攻击方法或恶意软件时，实施缓解措施。 及时了解物联网威胁形势的发展。 制定一个经过充分演练的计划来检测和 应对勒索软件 和 DDoS 攻击。
• 制定在家工作政策。 随着越来越多的人将消费物联网设备连接到家庭网络，在家工作的员工必须严格遵守管理他们如何访问公司网络和资源的策略。 智能家居设备的安全性也可能较弱， 开放风险 攻击者可以创建进入公司网络的入口点。 让员工意识到他们的智能设备造成的安全风险以及如何确保他们免受攻击。
• 制定错误赏金计划。 向成功发现并报告物联网生态系统硬件或软件中的漏洞或错误的道德黑客提供奖励。

物联网攻击的未来

制定计划来缓解物联网恶意软件漏洞并确定如何应对物联网攻击是所有组织的首要任务。 随着世界越来越依赖智能技术，物联网攻击的频率只会增加。

物联网生态系统本质上很复杂，攻击面很大； 恶意黑客正确地将物联网设备视为唾手可得的果实。 缺乏全球公认的物联网安全标准使得确保物联网设备的安全变得更加困难。 倡议，例如来自 NIST, ENISA是， 欧洲电信标准协会 和 ioXt联盟，将大大提高未来物联网设备的内置安全性。 与此同时，欧盟的网络弹性法案旨在确保 制造商提高安全性 他们的数字设备。

Michael Cobb，CISSP-ISSAP，是一位著名的安全作家，在 IT 行业拥有 20 多年的经验。