Shadow IoT Devices
來源:企业网
影子物聯網的定義
影子物聯網(Shadow IoT)是指,組織中的員工,在沒有IT團隊授權和知識的情況下,使用連接網路的設備或感測器。最好的例子,是在自攜設備(BYOD)政策出現之前,在員工將智慧手機或其他行動個人設備,用於工作目的時候。
802 Secure公司首席安全官Mike Raggo說,「影子物聯網是影子IT的一種延伸,只是在一個全新的範圍內。它不僅源於每位員工不斷增加的設備數量,還源於設備類型、功能和用途。」
多年來,很多員工一直將個人的平板電腦和行動設備,連接到企業網路中。如今,員工越來越多地使用智慧音箱、無線拇指驅動器和其他物聯網設備。有些部門在會議室安裝智慧電視,或者在辦公室廚房,使用支持物聯網的設備,如智慧微波爐和咖啡機。
此外,建築設施通常使用工業物聯網(IIoT)感測器進行升級,例如由具有WiFi功能的恆溫器,控制的採暖通風和空調(HVAC)系統。很多公司的飲料機,越來越多地透過WiFi連接到網路,以採用Apple Pay付款。當這些感測器在員工,沒有得到IT團隊授權的情況下,連接到組織的網路時,它們就會成為影子物聯網。
影子物聯網有多普遍?
調研機構Gartner公司預測,到2020年全球將有204億台物聯網設備投入使用,高於2017年的84億台。因此,影子物聯網已經廣泛普及。
根據802 Secure公司發佈的2018年報告,2017年,在接受調查的組織中,100%的組織表示,在企業網路上運行的不良消費物聯網設備,將是首要的威脅,90%的組織表示,發現以前未檢測到的物聯網,或工業物聯網無線網路,與企業基礎設施分離。
根據802 Secure公司發佈的2018年報告,2017年,在接受調查的組織中,100%的組織表示,在企業網路上運行的不良消費物聯網設備,將是首要的威脅,90%的組織表示,發現以前未檢測到的物聯網,或工業物聯網無線網路,與企業基礎設施分離。
根據Infloblox公司發佈的,2018年關於影子設備的報告,美國、英國和德國三分之一的公司表示,有1,000多個影子物聯網設備,連接到他們的網路。 Infoblox公司的調查發現,企業網路上最常見的物聯網設備是:
健身追蹤器,如Fitbits,49%。
數位助理,如亞馬遜Alexa和谷歌之家,47%。
智慧電視,46%。
智慧廚房設備,如智慧微波爐,33%。
遊戲控制台,如Xbox或PlayStations,30%。
影子物聯網的風險是什麼?
物聯網設備,通常是在沒有固有的,企業級安全控制的情況下建構的,通常使用網路攻擊分子,可以透過網路搜索,輕鬆找到的默認ID和密碼進行設置,有時會添加到組織的主要WiFi網路中,而無需其所知的IT知識。
Inflobox公司的報告指出,「易受攻擊的連接設備,很容易透過搜索引擎,在網上被發現用於連接網路的設備,如Shodan。即使在搜索簡單術語時,Shodan公司也會提供可辨識設備的詳細資訊,其中包括橫幅資訊、HTTP、SSH、FTP和SNMP服務。由於辨識設備是訪問設備的第一步,因此即使是較低級別的犯罪分子,也可以輕鬆辨識企業網路上的大量設備,然後可以針對漏洞進行攻擊。」
為什麼大多數影子物聯網設備都不安全?
Raggo指出,個人電腦在幾十年前推出時,其操作系統並沒有固有的安全性。因此,保護個人電腦免受病毒,和惡意軟體攻擊,仍然是一項持續的鬥爭。
相比之下,iOS和Android行動設備的操作系統,採用整合安全設計,例如應用程序沙盒。而採用行動設備,通常比桌上型電腦和筆記型電腦更安全。
Raggo說,「對於當今的物聯網和工業物聯網設備來說,設備製造商好像忘記了,行動操作系統中關於安全的知識,大量物聯網製造商,生產這些設備的供應鏈遍布世界各地,導致市場高度分散。」
由於物聯網設備,往往只關注一兩項任務,因此它們通常缺乏WPA2 WiFi等基本協議之外的安全功能,而WPA2 WiFi存在漏洞。其結果是:在全球範圍內,數十億台不安全的物聯網設備,在企業網路上使用,而不需要IT部門的知識或參與。
Sophos首席研究科學家chester wisniewski說,「幾年前我購買了10或15台物聯網設備,來檢查它們的安全性。令我震驚的是,我可以很快找到他們的漏洞,這意味著任何人都可以破解他們。有些設備無法報告漏洞。」
犯罪駭客是否成功攻擊了影子物聯網設備?
可能迄今為止,最著名的例子是2016年Mirai僵屍網路攻擊,其中諸如網路協議(IP)攝影機,和家庭網路路由器之類,無擔保的物聯網設備,被駭客攻擊,以建構龐大的僵屍網路軍隊。並執行極具破壞性的,分布式拒絕服務(DDoS)攻擊,例如讓美國東海岸地區的大部分網路,無法訪問的攻擊。
Mirai源代碼,也在網路上共享,供駭客用作未來僵屍網路軍隊的建構塊。
Mirai源代碼,也在網路上共享,供駭客用作未來僵屍網路軍隊的建構塊。
根據Infoblox公司的報告,其他漏洞可以使網路犯罪分子,控制物聯網設備。報告指出,「例如,在2017年,維基解密公佈了一個被稱為‘哭泣天使’的美國中央情報局工具的細節,該工具解釋了代理商,如何將三星智慧電視,轉變為現場麥克風。消費者報告還發現了,知名品牌智慧電視的缺陷,這些智慧電視既可以用來竊取數據,也可以操縱電視播放攻擊性影片,和安裝不需要的應用程序。」
Infoblox公司表示,除了收集僵屍網路軍隊,和進行DDoS攻擊外,網路犯罪分子還可以利用不安全的物聯網設備,進行數據洩露和勒索軟體攻擊。
在迄今為止最離奇的一個物聯網攻擊中,犯罪分子曾經入侵,賭場大廳魚缸內的智慧溫度計,以訪問其網路。一旦進入網路,攻擊者就能夠竊取賭場數據庫的數據。
針對物聯網網路攻擊的未來潛力,足以讓企業首席安全官和其他IT安全專業人員關注。 「考慮到有人連接到不安全的WiFi恆溫器,並將數據中心溫度改為95℃時,可能讓重要IT設備損壞。」Raggo說。
例如,2012年,網路犯罪分子入侵,政府機構和製造廠的恆溫器,並改變了建築物內的溫度。恆溫器是透過,專門用於網路設備的搜索引擎Shodan發現的。
例如,2012年,網路犯罪分子入侵,政府機構和製造廠的恆溫器,並改變了建築物內的溫度。恆溫器是透過,專門用於網路設備的搜索引擎Shodan發現的。
Wisniewski表示,迄今為止,在利用敏感或私人數據方面,物聯網設備的利用,並未對任何特定企業產生巨大的負面影響。他說,「但是,當一名駭客發現,如何利用物聯網設備,帶來巨大利潤時,例如使用智慧電視進行會議室間諜活動,影子物聯網安全風險問題,將引起所有人的注意。」
三種降低影子物聯網安全風險的方法
(1)方便用戶正式添加物聯網設備
Wisniewski說,「組織擁有影子IT和影子物聯網的原因,通常是因為IT部門,對使用智慧電視等設備的請求說‘不'。而不是直接禁止使用物聯網設備,在請求發生後30分鐘內,盡可能快速地跟蹤他們的批准,可以幫助減少影子物聯網的存在。」
Wisniewski補充說,「發佈並分發審批流程,讓用戶填寫一份簡短的表格,讓他們知道會有多快回覆他們。盡可能使請求過程變得靈活且容易,因此他們不會試圖隱藏,他們想要使用的東西。」
(2)主動尋找影子物聯網設備
Raggo說:「企業需要超越自己的網路,來發現影子物聯網,因為很多影子物聯網,並不存在於企業網路中。超過80%的物聯網是無線網路。因此,對影子物聯網設備和網路的無線監控,可以實現這些其他設備和網路的可見性和資產管理。」
傳統的安全產品,透過媒體訪問控制(MAC)地址,或供應商的組織唯一標識符(OUI)列出設備,但它們在具有大量不同類型設備的環境中,基本上沒有幫助。
Raggo補充說,「人們想知道'那個設備是什麼?',所以他們需要確定它,是否是一個被攻擊的設備或經過許可的設備。在當今深度數據包檢測和機器學習的世界中,成熟的安全產品,應該為發現的資產提供人性化的分類,以簡化資產管理和安全過程。」
Raggo補充說,「人們想知道'那個設備是什麼?',所以他們需要確定它,是否是一個被攻擊的設備或經過許可的設備。在當今深度數據包檢測和機器學習的世界中,成熟的安全產品,應該為發現的資產提供人性化的分類,以簡化資產管理和安全過程。」
(3)隔離物聯網
Wisniewski表示,在理想情況下,新的物聯網設備和工業物聯網設備,應透過專用於IT控制設備的獨立WiFi網路,連接到網路。網路應配置為,使物聯網設備能夠傳輸資訊,並阻止網路攻擊。他說:「在大多數物聯網設備中,不合法的設備的數據,不能傳輸給它們。」
任何影子設備都是一個問題
沒有留言:
張貼留言