2019年4月8日 星期一

.什麼是影子物聯網?如何降低風險

Shadow IoT Devices



來源:企业网

影子物聯網的定義
影子物聯網(Shadow IoT)是指,組織中的員工,在沒有IT團隊授權和知識的情況下,使用連接網路的設備或感測器。最好的例子,是在自攜設備(BYOD)政策出現之前,在員工將智慧手機或其他行動個人設備,用於工作目的時候。


802 Secure公司首席安全官Mike Raggo說,「影子物聯網是影子IT的一種延伸,只是在一個全新的範圍內。它不僅源於每位員工不斷增加的設備數量,還源於設備類型、功能和用途。」

多年來,很多員工一直將個人的平板電腦和行動設備,連接到企業網路中。如今,員工越來越多地使用智慧音箱、無線拇指驅動器和其他物聯網設備。有些部門在會議室安裝智慧電視,或者在辦公室廚房,使用支持物聯網的設備,如智慧微波爐和咖啡機。

此外,建築設施通常使用工業物聯網(IIoT)感測器進行升級,例如由具有WiFi功能的恆溫器,控制的採暖通風和空調(HVAC)系統。很多公司的飲料機,越來越多地透過WiFi連接到網路,以採用Apple Pay付款。當這些感測器在員工,沒有得到IT團隊授權的情況下,連接到組織的網路時,它們就會成為影子物聯網。
影子物聯網有多普遍
調研機構Gartner公司預測,到2020年全球將有204億台物聯網設備投入使用,高於2017年的84億台。因此,影子物聯網已經廣泛普及。

根據802 Secure公司發佈的2018年報告,2017年,在接受調查的組織中,100%的組織表示,在企業網路上運行的不良消費物聯網設備,將是首要的威脅,90%的組織表示,發現以前未檢測到的物聯網,或工業物聯網無線網路,與企業基礎設施分離。

根據Infloblox公司發佈的,2018年關於影子設備的報告,美國、英國和德國三分之一的公司表示,有1,000多個影子物聯網設備,連接到他們的網路。 Infoblox公司的調查發現,企業網路上最常見的物聯網設備是:

健身追蹤器,如Fitbits,49%。

數位助理,如亞馬遜Alexa和谷歌之家,47%。

智慧電視,46%。

智慧廚房設備,如智慧微波爐,33%。

遊戲控制台,如Xbox或PlayStations,30%。


影子物聯網的風險是什麼
物聯網設備,通常是在沒有固有的,企業級安全控制的情況下建構的,通常使用網路攻擊分子,可以透過網路搜索,輕鬆找到的默認ID和密碼進行設置,有時會添加到組織的主要WiFi網路中,而無需其所知的IT知識。

因此,物聯網感測器在組織的網路上,並不總是可見的。IT無法控制或保護他們看不見的設備,使智慧連接設備成為駭客和網路犯罪分子,更容易攻擊的目標。據安全廠商賽門鐵克公司稱,2018年與2017年相比,2018年的物聯網攻擊成長了600%

Inflobox公司的報告指出,「易受攻擊的連接設備,很容易透過搜索引擎,在網上被發現用於連接網路的設備,如Shodan。即使在搜索簡單術語時,Shodan公司也會提供可辨識設備的詳細資訊,其中包括橫幅資訊、HTTP、SSH、FTP和SNMP服務。由於辨識設備是訪問設備的第一步,因此即使是較低級別的犯罪分子,也可以輕鬆辨識企業網路上的大量設備,然後可以針對漏洞進行攻擊。」


為什麼大多數影子物聯網設備都不安全
Raggo指出,個人電腦在幾十年前推出時,其操作系統並沒有固有的安全性。因此,保護個人電腦免受病毒,和惡意軟體攻擊,仍然是一項持續的鬥爭。

相比之下,iOS和Android行動設備的操作系統,採用整合安全設計,例如應用程序沙盒。而採用行動設備,通常比桌上型電腦和筆記型電腦更安全。

Raggo說,「對於當今的物聯網和工業物聯網設備來說,設備製造商好像忘記了,行動操作系統中關於安全的知識,大量物聯網製造商,生產這些設備的供應鏈遍布世界各地,導致市場高度分散。」

由於物聯網設備,往往只關注一兩項任務,因此它們通常缺乏WPA2 WiFi等基本協議之外的安全功能,而WPA2 WiFi存在漏洞。其結果是:在全球範圍內,數十億台不安全的物聯網設備,在企業網路上使用,而不需要IT部門的知識或參與。

Sophos首席研究科學家chester wisniewski說,「幾年前我購買了10或15台物聯網設備,來檢查它們的安全性。令我震驚的是,我可以很快找到他們的漏洞,這意味著任何人都可以破解他們。有些設備無法報告漏洞。」


犯罪駭客是否成功攻擊了影子物聯網設備
可能迄今為止,最著名的例子是2016年Mirai僵屍網路攻擊,其中諸如網路協議(IP)攝影機,和家庭網路路由器之類,無擔保的物聯網設備,被駭客攻擊,以建構龐大的僵屍網路軍隊。並執行極具破壞性的,分布式拒絕服務(DDoS)攻擊,例如讓美國東海岸地區的大部分網路,無法訪問的攻擊。

Mirai源代碼,也在網路上共享,供駭客用作未來僵屍網路軍隊的建構塊。


根據Infoblox公司的報告,其他漏洞可以使網路犯罪分子,控制物聯網設備。報告指出,「例如,在2017年,維基解密公佈了一個被稱為‘哭泣天使’的美國中央情報局工具的細節,該工具解釋了代理商,如何將三星智慧電視,轉變為現場麥克風。消費者報告還發現了,知名品牌智電視的缺陷,這些智電視既可以用來竊取數據,也可以操縱電視播放攻擊性影片,和安裝不需要的應用程序。」

Infoblox公司表示,除了收集僵屍網路軍隊,和進行DDoS攻擊外,網路犯罪分子還可以利用不安全的物聯網設備,進行數據洩露和勒索軟體攻擊。

在迄今為止最離奇的一個物聯網攻擊中,犯罪分子曾經入侵,賭場大廳魚缸內的智慧溫度計,以訪問其網路。一旦進入網路,攻擊者就能夠竊取賭場數據庫的數據。

針對物聯網網路攻擊的未來潛力,足以讓企業首席安全官和其他IT安全專業人員關注。 「考慮到有人連接到不安全的WiFi恆溫器,並將數據中心溫度改為95℃時,可能讓重要IT設備損壞。」Raggo說。

例如,2012年,網路犯罪分子入侵,政府機構和製造廠的恆溫器,並改變了建築物內的溫度。恆溫器是透過,專門用於網路設備的搜索引擎Shodan發現的。

Wisniewski表示,迄今為止,在利用敏感或私人數據方面,物聯網設備的利用,並未對任何特定企業產生巨大的負面影響。他說,「但是,當一名駭客發現,如何利用物聯網設備,帶來巨大利潤時,例如使用智慧電視進行會議室間諜活動,影子物聯網安全風險問題,將引起所有人的注意。」


三種降低影子物聯網安全風險的方法
(1)方便用戶正式添加物聯網設備
Wisniewski說,「組織擁有影子IT和影子物聯網的原因,通常是因為IT部門,對使用智慧電視等設備的請求說‘不'。而不是直接禁止使用物聯網設備,在請求發生後30分鐘內,盡可能快速地跟蹤他們的批准,可以幫助減少影子物聯網的存在。」

Wisniewski補充說,「發佈並分發審批流程,讓用戶填寫一份簡短的表格,讓他們知道會有多快回覆他們。盡可能使請求過程變得靈活且容易,因此他們不會試圖隱藏,他們想要使用的東西。」

(2)主動尋找影子物聯網設備
Raggo說:「企業需要超越自己的網路,來發現影子物聯網,因為很多影子物聯網,並不存在於企業網路中。超過80%的物聯網是無線網路。因此,對影子物聯網設備和網路的無線監控,可以實現這些其他設備和網的可見性和資產管理。」

傳統的安全產品,透過媒體訪問控制(MAC)地址,或供應商的組織唯一標識符(OUI)列出設備,但它們在具有大量不同類型設備的環境中,基本上沒有幫助。

Raggo補充說,「人們想知道'那個設備是什麼',所以他們需要確定它,是否是一個被攻擊的設備或經過許可的設備。在當今深度數據包檢測和機器學習的世界中,成熟的安全產品,應該為發現的資產提供人性化的分類,以簡化資產管理和安全過程。」

(3)隔離物聯網
Wisniewski表示,在理想情況下,新的物聯網設備和工業物聯網設備,應透過專用於IT控制設備的獨立WiFi網路,連接到網路。網路應配置為,使物聯網設備能夠傳輸資訊,並阻止網路攻擊。他說:「在大多數物聯網設備中,不合法的設備的數據,不能傳輸給它們。」


任何影子設備都是一個問題
Wisniewski說:「任何影子設備都是一個問題,無論是物聯網設備,還是任何其他可尋址的非托管物品。關鍵是組織只從授權設備控制對網路的訪問,保持準確的授權設備清單,並制訂明確的政策,以確保員工知道,他們不允許使用自攜設備,如果他們這樣做,將會受到內部制裁。」

沒有留言:

張貼留言