儘管近年來人們越來越關注網路安全,但資料洩露的數量仍在繼續上升。隨著企業越來越關注(並投入更多)安全,網路犯罪分子正在加緊努力。在針對物聯網設備的高階持續性威脅 (APT) 領域,我們尤其看到了這一點。
當代網路罪犯有很大的動機,無論是財務或其他方面的動機。
贖金軟體套件很容易在暗網 (Dark Web) 上取得,而且贖金軟體為犯罪者提供強大的財務動機。民族國家威脅份子也進入威脅領域,進行有政治動機的攻擊。
由於這些原因,以及其他原因,惡意軟體的數量 正在增加,並且隨著公司加強網路防禦工作,產生的惡意軟體變得越來越先進。
這種趨勢不太可能很快結束,因為壞人有太多的動機。
物聯網中的漏洞
物聯網 (IoT) 是指消費者和企業等使用的支援網路的設備網路。從聯網的心臟起搏器到Nest煙霧探測器,再到自動駕駛的特斯拉,一切都是物聯網設備。
物聯網設備越來越受歡迎。不幸的是,物聯網網路攻擊也越來越受歡迎。物聯網攻擊:
- 由於在暗網和 GitHub 等代碼儲存庫中都有公開可用的代碼,因此易於上手
- 有很高的成功率
- 難以檢測和修復,使APT成為可能
- 使攻擊者能夠在組織的網路中站穩腳跟
- 使攻擊者能夠將更多設備添加到其殭屍網路(殭屍網路可用於 DDoS 攻擊、垃圾郵件等)
漏洞的數量總體上在增加,對物聯網設備的攻擊尤其 增加。
物聯網攻擊面
攻擊者首先尋找易受攻擊的物聯網設備並試圖破壞它們。攻擊者可以集體這樣做。他們可以承受一次又一次地入侵設備,但物聯網設備只需要屈服於一次攻擊就會受到損害。
更糟糕的是,物聯網設備通常存在許多已知和未知的漏洞。物聯網漏洞的數量正在增加,使用者經常無法及時應用補丁或安裝更新,這使得攻擊者更容易破壞設備。
另一個值得關注的領域是,物聯網設備通常帶有從不更新的預設憑據。這使得漏洞和修補問題幾乎毫無意義:如果攻擊者可以暴力破解憑據,或者從公開可用的清單中獲取它們,那麼設備可能已經受到威脅。
物聯網高階持續性威脅的一些特點
規避技術
高階持續性威脅通常旨在透過代碼混淆、虛擬環境檢測和許多其他方法逃避檢測。
隱蔽技術
網路犯罪分子越來越善於隱藏感染系統的惡意軟體。
自我傳播
許多APT除了持續留在系統上外,還會尋找其他系統進行感染。
資源效率
這是將IoT APT與普通電腦上的傳統APT區分開來的一個因素。物聯網 APT 需要不到普通設備 5% 的計算能力才能運行,有時,惡意軟體足夠聰明,可以在檢測到設備的記憶體容量後自行調整。
新的物聯網網路殺傷鏈
網路殺傷鏈是威脅行為者執行的一系列步驟。從理論上講,每個步驟都可以被網路防禦識別和阻止。 洛克希德·馬丁公司 將APT的「網路殺傷鏈」描述為:
然而,對於物聯網設備來說,殺傷鏈中還有一些額外的步驟,使物聯網APT更具威脅性。新的物聯網殺傷鏈如下所示:
物聯網APT的目標不僅僅是感染單個設備或網路;它們會擴散到其他設備並隱藏自己,以便它們可以保持持久性。
物聯網防禦策略
系統升級對於修補漏洞至關重要,但通常要麼不可行,要麼由於其他原因無法執行。補丁發佈後,攻擊者可能會對漏洞進行逆向工程,使未更新的設備容易受到攻擊。此外,供應商通常無法或不會跟上修補其產品中發現的所有漏洞。
當發生感染時,隔離是一種可能的解決方案。但是,由於實際限制,隔離設備可能是不可能的或不切實際的。例如,可能很難隔離有受損跡象但對監控建築物安全至關重要的安全相機。
物聯網APT: OPSWAT推薦的防禦策略
要阻止IoT APT,必須阻止隱藏在資料中的所有威脅。同樣,網路犯罪分子很容易失敗,但網路防禦必須始終成功。
基於檢測的防禦容易受到惡意軟體隱藏技術的攻擊。高階威脅甚至可以透過隨機執行或在執行之前檢測沙箱是否在虛擬環境中來欺騙沙箱。此外,即使是最好的反惡意軟體檢測技術也可能看不到零時差威脅的到來。
OPSWAT 相信將基於檢測的策略與高階威脅防禦相結合。我們的資料清理 (CDR) 技術透過撤防和重建刪除潛在惡意內容的檔來消除進入網路的任何檔案或圖像中的威脅。無論是否檢測到威脅,任何檔案都可以而且應該經歷此過程。
除了利用資料淨化 (CDR) 外,使用 IoT 裝置的組織 應儘可能 遵循安全最佳實務,定期更新裝置並重設預設登入認證。最後,啟用網路的裝置只有在絕對必要時才應連線至更大的網際網路。
