COVID-19的大流行加快了物联网设备的选用,伴随着开工和工作的必须,许多公司都使用了非接触式物联网设,例如零售点(POS)终端设备和人体体温监控摄像头,以保证业务流程经营的安全性。Palo Alto Networks的研究表明,现阶段全世界89%的IT领域工作者表明,其机构互联网中的物联网设备总数在上年有所增加,在其中有超出三分之一(35%)的人表明有明显提升。除此之外,国际数据公司(IDC)可能,到2025年,将有416亿台连接网络的物联网设备被交付使用。
可是,一切事都是有多面性,这类发展趋势也增多了攻击面,这很可能会招引大量对于物联网设备和物联网供应链的进攻和运用。文中,Unit 42科学研究了当今的物联网供应链生态体系,并说明了危害物联网供应链的双层危害和漏洞。没有等级是详细和安全性的,此外科学研究工作人员还科学研究了进攻物联网供应链的潜在的动因种类。详细介绍硬件配置、固定件、实际操作和漏洞层的隐患和现实世界的事例,有利于合理地制订风险管控和减轻发展战略,避免理论上的黑客攻击变成实际。
物联网供应链风险性
供应链是经销商、生产商或零售商和她们的经销商间的一系列联络,这类联络使生产制造和向顾客给予硬件配置或软件项目或运营管理变成很有可能。
供应链的全景图片
通常,当大家讨论物联网中的供应链进攻时,她们讨论的是即将安裝在某一物联网设备(如无线路由器或监控摄像头)中的手机软件,这种设备已被入侵且掩藏恶意程序。殊不知,物联网中的供应链进攻还可以指根据嵌入或改动硬件配置来更改设备的个人行为。考虑到供应链漏洞也很重要,在其中第三方软件(如库、驱动软件、核心或硬件组件)安裝了漏洞,或是是一些组件(如应用软件或固定件)的一部分。
物联网设备组件
在开发软件生命期和设计产品流程中,一个普遍的错误行为是合拼第三方软件和硬件配置组件,而不列举已加上到设备中的组件。因而,当之中一个组件上发觉一个新的漏洞时,例如零日漏洞,就难以了解同一个经销商有多少商品遭受了危害,点此查询详细的进攻实例。更糟心的是,很有可能难以明确在不一样的经销商和生产商中间,通常有多少设备遭受这一漏洞的危害。通常,安裝在不一样设备上的固定件应用已经知道包括漏洞的不强烈推荐的库或组件。即便如此,该固定件仍可用以销售市场上很多设备的制造中。
从客户的方面看来,难以了解已经选购的物联网设备中有什么组件在运作。这种组件具备自身的安全性特性,这种特性取决于别的组件,而这种组件又具备他们自身的安全性特性。假如这种组件中的一切一个是敏感的,网络攻击可以毁坏全部设备。除此之外,应用物联网设备管理的客户并不一直维持联接到该互联网的物联网设备总数的库存量。因而,追踪企业网络中具有的潜在性易受攻击的设备,将安全性和风险管控变为一项艰巨的任务,这会提升黑客攻击取得成功的概率。
物联网供应链进攻实例
1. 硬件配置组件:装扮成思科交换机
2020年7月,F-Secure剖析了在商务室内环境中发觉的仿冒Cisco Catalyst 2960-X系列产品网络交换机。该设备长期运作稳定,这使其难以被鉴别为伪造品。最后,这种设备在软件更新后被发觉出现异常,这才造成他们被发觉。该剖析不但指出了身份认证操纵是怎样被绕开的,还特别强调了不确定性的侧门浏览很有可能对受影响的企业导致网络信息安全风险性。
2. 固定件:OpenWrt设备
OpenWrt是一种开源系统电脑操作系统,可以取代来源于很多互联网设备(如无线路由器、浏览点和Wi-Fi无线放大器)的不一样经销商固定件中包括的固定件。依据OpenWrt新项目网页页面,OpenWrt给予了一个具备包管理方法作用的可彻底写的系统文件。这将使你从经销商带来的应用软件挑选和配备中抽身出去,并容许你利用应用包来订制设备以满足一切应用软件。针对开发商而言,OpenWrt是一个可以用于搭建应用软件的架构,而无须紧紧围绕它搭建完善的固定件。针对使用者而言,OpenWrt以初始设备不兼容的形式带来了对设备的彻底订制和应用。
2020年3月,在OpenWrt中发觉的一个漏洞容许网络攻击仿真模拟downloads.openwrt.org上的免费下载,并使设备下载故意升级。这代表着跨不一样厂商和实体模型的多个路由器遭受此漏洞的危害。
3. 实际操作终断:TeamViewer
TeamViewer是一个在所有服务器防火墙和NAT代理商的后台管理用以远程操作,桌面共享和文件传送的简易且迅速的解决方法(非开源项目)。为了更好地联接到另一台电子计算机,只要在 两部电子计算机上与此同时运作 TeamViewer 就可以而不用开展一个安裝的全过程。此软件第一次运行在两个电子计算机上自动生成小伙伴 ID。只要键入你的小伙伴的 ID 到 TeamViewer,随后便会马上创建起联接。
为了避免实际操作终断或浏览内部结构业务流程互联网,网络攻击很多年来一直在关心远程控制手机软件。大家中的很多人都了解远程控制系统升级软件,此软件使客户可以从全球任何地方根据互联网技术共享桌面或管理人员操纵。 TeamViewer是远程控制系统升级软件的最知名实例之一。截止到2020年5月,TeamViewer软件在全世界200个我国/地域有着2亿客户。 TeamViewer还用以监控经营技术性(OT)自然环境,包含生产制造,电力能源乃至保健医疗。
在这之前,科学研究工作人员早已见到网络黑客根据强制获得帐户凭据立即进攻TeamViewer客户,并向EMEA地域的政府部门推送鱼叉式钓鱼邮件(客户程序此CheckPoint汇报)。除此之外,TeamViewer自身在2016年就被APT网络攻击看上了。尽管这种进攻导致的具体损害尚不清楚,但这种事情揭露了这些怀着故意乱用远程控制软件的人的主题活动,及其完成的进攻很有可能产生的危害。
4. 包括漏洞的库: Ripple20
在2020年6月,JSOF公布了19个零日漏洞,危害了数百万台运作由Treck开发设计的低等TCP/IP软件库的设备。这组漏洞被取名为“Ripple20”,以体现运用这种漏洞很有可能对来源于差异行业领域的普遍商品发生的普遍危害。Ripple20影响物联网的重要设备,包含复印机、血透机和工业控制系统设备。根据运用软件库的漏洞,网络攻击可以远程控制实行编码并获得比较敏感信息内容。Ripple20是一个供应链漏洞,这代表着难以追踪应用该库的全部设备,进而加重了这种漏洞的危害。
到现在为止,下列经销商的库存量遭受了Ripple20的危害:
物联网供应链进攻的动因种类
互联网特工
互联网情报活动的具体目的是在没有被看到的情形下保证对保密信息和受影响系统软件的长期性浏览,物联网设备的普遍范畴、他们的访问限制、客户数量的尺寸和可靠资格证书的存有,使供应链经销商变成高級不断危害(advanced persistent threat, APT)集团公司的诱惑总体目标。2018年,ShadowHammer攻击性行为被发觉,合理合法的asus安全认证(如“华硕电脑企业”)被网络攻击和签字木马病毒化手机软件乱用,欺诈总体目标受害人在许多人的体系中安裝侧门,并免费下载附加的故意负载到她们的设备上。2019年3月,诺顿杀毒软件科学研究工作人员公布了 ShadowHammer 进攻,网络攻击根据侵入asus自动升级专用工具的网络服务器,运用自动升级将故意侧门消息推送到顾客电子计算机。asus如今公布了它释放了自动升级专用工具 ASUS Live Update 的最新版本 3.6.8,添加了好几个身份验证体制,避免手机软件自动升级或其他方法实现的一切故意控制,完成了一个端对端数据加密体制,加强了网络服务器到用户的软件体系结构,避免将来相近的进攻再次出现。asus还公布了一个确诊专用工具,协助asus顾客确诊是不是感染了故意侧门。
网络诈骗
很多物联网设备的潜在性浏览和危害也促使物联网经销商和未受保障的设备变成出自于经济发展动因的互联网犯罪分子的时兴挑选。2019年的一份结果报告显示,近48%的影子网络危害与物联网相关。一样在2019年,趋势科技的分析员工对德语、葡语、英文、阿语和西语销售市场的互联网犯罪分子开展了调研,发觉了各类不法服务项目和商品已经运用物联网设备。通常见到的受伤害的物联网设备包含:
- 创建僵尸网络或DDoS服务项目,以聘请和向别的地底网络攻击收费标准。
- 售卖受传染的设备做为虚拟专用网撤出连接点。
- 售卖监控摄像头浏览来监控别人或售卖浏览它们的短视频。
- 开发设计和市场销售对于物联网设备的数据加密恶意程序。
俄罗斯莫斯科的黑市交易广告宣传,售卖监控摄像头的所有权
伴随着保健医疗、加工制造业、电力能源和别的OT自然环境中物联网设备总数的提升,科学研究工作人员期待见到互联网情报活动和网上犯罪分子开发的办法来运用这种机遇。
减轻对策
(1) 完成安全性的开发软件生命期,并考虑到第三方库的集成化。
(2) 对你自己的源代码和从外界源集成化的编码开展编码核查和安全评定。
(3) 防止应用仿冒硬件配置或由来异常的硬件配置;
(4) 反省第三方软件和硬件设备的设计方案和开发流程,及其经销商解决漏洞的步骤。
(5) 遵循NIST的互联网供应链最佳实践:
- 根据你的系统软件会被攻克的标准来发展趋势你的防御力对策;
- 网络信息安全从不是一个技术性问题,这也是一个人、全过程和技术性的综合性问题;
- 物理学安全性和网络信息安全应当同样高度重视;
(6) 储存在IoT/OT设备上采用的硬件和手机软件部件列表;
汇总
维护保养一个联接到网上的设备列表是十分关键的,它可以识别设备及其这种设备的经销商或生产商,他们运用了一个易受攻击的部件,便于管理人员可以对他们开展补丁包、监管或在须要时断开。除此之外,如前所述,有时候全部易受攻击设备列表是不明的。殊不知,有着联接到网上的设备的详细由此可见性,并在设备转化成出现异常总流量时获得通告,这针对保护你的基础设施建设尤为重要。
最终,务必完成安全性的开发软件生命期,并考虑到第三方库的集成化。英国国家行业标准与工艺研究会(National Institute of Standards and Technology)纪录了一系列最佳实践,以推动供应链管理风险管理方法。
具备物联网安全安全防护作用的Palo Alto Networks Next-Generation Firewalls选用了不一样的办法来开展出现异常流量检测:
- 设备识别:剖析互联网个人行为并从物联网技术设备中获取各种各样数据网络点,获得设备标志属性,如经销商、实体模型、固件、电脑操作系统等,这也是根据AI / ML适用的真实身份推论模块来完成的物联网安全服务项目的一部分。
- 识别易受攻击的设备:依据MITER和ICS-CERT等组织公布的CVE叙述,依据设备识别結果将设备与其说相对应的缺陷开展配对。物联网安全服务项目给予了即时危害检验模块,当总体目标漏洞扫描系统或故意运用开启了来源于这种设备的回应时,该模块还能够寻找易受攻击的设备。
- 风险得分:每一个联接到网上的物联网技术设备都是有一个风险得分,测算出的风险成绩是根据一个风险实体模型,该模型充分考虑了确定的系统漏洞、检验到的危害、个人行为非常和风险,这种风险是由高风险的客户实践活动导致的,在MDS2中发表的生产商风险等要素。这也是明确必须优先选择关心的设备和协助管理人员明确其互联网中常需的最好对策的主要因素。
- 报警:依据出现异常的网上个人行为,风险的通讯,已经知道的进攻和其它要素,涉及到好几个全过程来传出报警,此作用针对识别即时产生的进攻十分关键。
已识别的Axis监控摄像头的设备属性
物联网技术系统漏洞汽车仪表板网页页面实例:
识别出易受CVE-2019-1181进攻的设备
识别出易受CVE-2020-11896攻击的设备
文中翻譯自:https://unit42.paloaltonetworks.com/iot-supply-chain/