影子物聯(lián)網(wǎng)的定義
影子物聯(lián)網(wǎng)(ShadowIoT)是指組織中的員工在沒(méi)有IT團(tuán)隊(duì)授權(quán)和知識(shí)的情況下使用連接互聯(lián)網(wǎng)的設(shè)備或傳感器。最好的例子是在自攜設(shè)備(BYOD)政策出現(xiàn)之前,在員工將智能手機(jī)或其他移動(dòng)個(gè)人設(shè)備用于工作目的時(shí)候。802Secure公司首席安全官M(fèi)ikeRaggo說(shuō),“影子物聯(lián)網(wǎng)是影子IT的一種延伸,只是在一個(gè)全新的范圍內(nèi)。它不僅源于每位員工不斷增加的設(shè)備數(shù)量,還源于設(shè)備類(lèi)型、功能和用途?!?/p>
多年來(lái),很多員工一直將個(gè)人的平板電腦和移動(dòng)設(shè)備連接到企業(yè)網(wǎng)絡(luò)中。如今,員工越來(lái)越多地使用智能音箱、無(wú)線(xiàn)拇指驅(qū)動(dòng)器和其他物聯(lián)網(wǎng)設(shè)備。有些部門(mén)在會(huì)議室安裝智能電視,或者在辦公室廚房使用支持物聯(lián)網(wǎng)的設(shè)備,如智能微波爐和咖啡機(jī)。
此外,建筑設(shè)施通常使用工業(yè)物聯(lián)網(wǎng)(IIoT)傳感器進(jìn)行升級(jí),例如由具有Wi-Fi功能的恒溫器控制的采暖通風(fēng)和空調(diào)(HVAC)系統(tǒng)。很多公司的飲料機(jī)越來(lái)越多地通過(guò)Wi-Fi連接到互聯(lián)網(wǎng)以采用ApplePay付款。當(dāng)這些傳感器在員工沒(méi)有得到IT團(tuán)隊(duì)授權(quán)的情況下連接到組織的網(wǎng)絡(luò)時(shí),它們就會(huì)成為影子物聯(lián)網(wǎng)。
影子物聯(lián)網(wǎng)有多普遍?
調(diào)研機(jī)構(gòu)Gartner公司預(yù)測(cè),到2020年全球?qū)⒂?04億臺(tái)物聯(lián)網(wǎng)設(shè)備投入使用,高于2017年的84億臺(tái)。因此,影子物聯(lián)網(wǎng)已經(jīng)廣泛普及。根據(jù)802Secure公司發(fā)布的2018年報(bào)告,2017年,在接受調(diào)查的組織中,100%的組織表示在企業(yè)網(wǎng)絡(luò)上運(yùn)行的不良消費(fèi)物聯(lián)網(wǎng)設(shè)備將是首要的威脅,90%的組織表示,發(fā)現(xiàn)以前未檢測(cè)到的物聯(lián)網(wǎng)或工業(yè)物聯(lián)網(wǎng)無(wú)線(xiàn)網(wǎng)絡(luò)與企業(yè)基礎(chǔ)設(shè)施分離。
根據(jù)Infloblox公司發(fā)布的2018年關(guān)于影子設(shè)備的報(bào)告,美國(guó)、英國(guó)和德國(guó)三分之一的公司表示有1,000多個(gè)影子物聯(lián)網(wǎng)設(shè)備連接到他們的網(wǎng)絡(luò)。Infoblox公司的調(diào)查發(fā)現(xiàn),企業(yè)網(wǎng)絡(luò)上最常見(jiàn)的物聯(lián)網(wǎng)設(shè)備是:
·健身追蹤器,如Fitbits,49%。
·數(shù)字助理,如亞馬遜Alexa和谷歌之家,47%。
·智能電視,46%。
·智能廚房設(shè)備,如智能微波爐,33%。
·游戲控制臺(tái),如Xbox或PlayStations,30%。
影子物聯(lián)網(wǎng)的風(fēng)險(xiǎn)是什么?
物聯(lián)網(wǎng)設(shè)備通常是在沒(méi)有固有的企業(yè)級(jí)安全控制的情況下構(gòu)建的,通常使用網(wǎng)絡(luò)攻擊分子可以通過(guò)互聯(lián)網(wǎng)搜索輕松找到的默認(rèn)ID和密碼進(jìn)行設(shè)置,有時(shí)會(huì)添加到組織的主要Wi-Fi網(wǎng)絡(luò)中,而無(wú)需其所知的IT知識(shí)。因此,物聯(lián)網(wǎng)傳感器在組織的網(wǎng)絡(luò)上并不總是可見(jiàn)的。IT無(wú)法控制或保護(hù)他們看不見(jiàn)的設(shè)備,使智能連接設(shè)備成為黑客和網(wǎng)絡(luò)犯罪分子更容易攻擊的目標(biāo)。據(jù)安全廠商賽門(mén)鐵克公司稱(chēng),2018年與2017年相比,2018年的物聯(lián)網(wǎng)攻擊增長(zhǎng)了600%。
Inflobox公司的報(bào)告指出,“易受攻擊的連接設(shè)備很容易通過(guò)搜索引擎在網(wǎng)上被發(fā)現(xiàn)用于連接互聯(lián)網(wǎng)的設(shè)備,如Shodan。即使在搜索簡(jiǎn)單術(shù)語(yǔ)時(shí),Shodan公司也會(huì)提供可識(shí)別設(shè)備的詳細(xì)信息,其中包括橫幅信息、HTTP、SSH、FTP和SNMP服務(wù)。由于識(shí)別設(shè)備是訪(fǎng)問(wèn)設(shè)備的第一步,因此即使是較低級(jí)別的犯罪分子也可以輕松識(shí)別企業(yè)網(wǎng)絡(luò)上的大量設(shè)備,然后可以針對(duì)漏洞進(jìn)行攻擊?!?/p>
為什么大多數(shù)影子物聯(lián)網(wǎng)設(shè)備都不安全?
Raggo指出,個(gè)人電腦在幾十年前推出時(shí),其操作系統(tǒng)并沒(méi)有固有的安全性。因此,保護(hù)個(gè)人電腦免受病毒和惡意軟件攻擊仍然是一項(xiàng)持續(xù)的斗爭(zhēng)。
相比之下,iOS和Android移動(dòng)設(shè)備的操作系統(tǒng)采用集成安全設(shè)計(jì),例如應(yīng)用程序沙盒。而采用移動(dòng)設(shè)備通常比臺(tái)式機(jī)和筆記本電腦更安全。
Raggo說(shuō),“對(duì)于當(dāng)今的物聯(lián)網(wǎng)和工業(yè)物聯(lián)網(wǎng)設(shè)備來(lái)說(shuō),設(shè)備制造商好像忘記了移動(dòng)操作系統(tǒng)中關(guān)于安全的知識(shí),大量物聯(lián)網(wǎng)制造商生產(chǎn)這些設(shè)備的供應(yīng)鏈遍布世界各地,導(dǎo)致市場(chǎng)高度分散。”
由于物聯(lián)網(wǎng)設(shè)備往往只關(guān)注一兩項(xiàng)任務(wù),因此它們通常缺乏WPA2Wi-Fi等基本協(xié)議之外的安全功能,而WPA2Wi-Fi存在漏洞。其結(jié)果是:在全球范圍內(nèi),數(shù)十億臺(tái)不安全的物聯(lián)網(wǎng)設(shè)備在企業(yè)網(wǎng)絡(luò)上使用,而不需要IT部門(mén)的知識(shí)或參與。
Sophos首席研究科學(xué)家chesterwisniewski說(shuō),“幾年前我購(gòu)買(mǎi)了10或15臺(tái)物聯(lián)網(wǎng)設(shè)備來(lái)檢查它們的安全性。令我震驚的是,我可以很快找到他們的漏洞,這意味著任何人都可以破解他們。有些設(shè)備無(wú)法報(bào)告漏洞?!?/p>
犯罪黑客是否成功攻擊了影子物聯(lián)網(wǎng)設(shè)備?
可能迄今為止最著名的例子是2016年Mirai僵尸網(wǎng)絡(luò)攻擊,其中諸如因特網(wǎng)協(xié)議(IP)攝像頭和家庭網(wǎng)絡(luò)路由器之類(lèi)無(wú)擔(dān)保的物聯(lián)網(wǎng)設(shè)備被黑客攻擊,以構(gòu)建龐大的僵尸網(wǎng)絡(luò)軍隊(duì)。并執(zhí)行極具破壞性的分布式拒絕服務(wù)(DDoS)攻擊,例如讓美國(guó)東海岸地區(qū)的大部分互聯(lián)網(wǎng)無(wú)法訪(fǎng)問(wèn)的攻擊。Mirai源代碼也在互聯(lián)網(wǎng)上共享,供黑客用作未來(lái)僵尸網(wǎng)絡(luò)軍隊(duì)的構(gòu)建塊。
根據(jù)Infoblox公司的報(bào)告,其他漏洞可以使網(wǎng)絡(luò)犯罪分子控制物聯(lián)網(wǎng)設(shè)備。報(bào)告指出,“例如,在2017年,維基解密公布了一個(gè)被稱(chēng)為‘哭泣天使’的美國(guó)中央情報(bào)局工具的細(xì)節(jié),該工具解釋了代理商如何將三星智能電視轉(zhuǎn)變?yōu)楝F(xiàn)場(chǎng)麥克風(fēng)。消費(fèi)者報(bào)告還發(fā)現(xiàn)了知名品牌智能電視的缺陷,這些智能電視既可以用來(lái)竊取數(shù)據(jù),也可以操縱電視播放攻擊性視頻和安裝不需要的應(yīng)用程序?!?/p>
Infoblox公司表示,除了收集僵尸網(wǎng)絡(luò)軍隊(duì)和進(jìn)行DDoS攻擊外,網(wǎng)絡(luò)犯罪分子還可以利用不安全的物聯(lián)網(wǎng)設(shè)備進(jìn)行數(shù)據(jù)泄露和勒索軟件攻擊。
在迄今為止最離奇的一個(gè)物聯(lián)網(wǎng)攻擊中,犯罪分子曾經(jīng)入侵賭場(chǎng)大廳魚(yú)缸內(nèi)的智能溫度計(jì)以訪(fǎng)問(wèn)其網(wǎng)絡(luò)。一旦進(jìn)入網(wǎng)絡(luò),攻擊者就能夠竊取賭場(chǎng)數(shù)據(jù)庫(kù)的數(shù)據(jù)。
針對(duì)物聯(lián)網(wǎng)網(wǎng)絡(luò)攻擊的未來(lái)潛力足以讓企業(yè)首席安全官和其他IT安全專(zhuān)業(yè)人員關(guān)注?!翱紤]到有人連接到不安全的Wi-Fi恒溫器,并將數(shù)據(jù)中心溫度改為95℃時(shí),可能讓重要IT設(shè)備損壞?!盧aggo說(shuō)。例如,2012年,網(wǎng)絡(luò)犯罪分子入侵政府機(jī)構(gòu)和制造廠的恒溫器,并改變了建筑物內(nèi)的溫度。恒溫器是通過(guò)專(zhuān)門(mén)用于互聯(lián)網(wǎng)設(shè)備的搜索引擎Shodan發(fā)現(xiàn)的。
Wisniewski表示,迄今為止,在利用敏感或私人數(shù)據(jù)方面,物聯(lián)網(wǎng)設(shè)備的利用并未對(duì)任何特定企業(yè)產(chǎn)生巨大的負(fù)面影響。他說(shuō),“但是,當(dāng)一名黑客發(fā)現(xiàn)如何利用物聯(lián)網(wǎng)設(shè)備帶來(lái)巨大利潤(rùn)時(shí),例如使用智能電視進(jìn)行會(huì)議室間諜活動(dòng),影子物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)問(wèn)題將引起所有人的注意?!?/p>
三種降低影子物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)的方法
(1)方便用戶(hù)正式添加物聯(lián)網(wǎng)設(shè)備
Wisniewski說(shuō),“組織擁有影子IT和影子物聯(lián)網(wǎng)的原因通常是因?yàn)镮T部門(mén)對(duì)使用智能電視等設(shè)備的請(qǐng)求說(shuō)‘不’。而不是直接禁止使用物聯(lián)網(wǎng)設(shè)備,在請(qǐng)求發(fā)生后30分鐘內(nèi)盡可能快速地跟蹤他們的批準(zhǔn),可以幫助減少影子物聯(lián)網(wǎng)的存在?!?/p>
Wisniewski補(bǔ)充說(shuō),“發(fā)布并分發(fā)審批流程,讓用戶(hù)填寫(xiě)一份簡(jiǎn)短的表格,讓他們知道會(huì)有多快回復(fù)他們。盡可能使請(qǐng)求過(guò)程變得靈活且容易,因此他們不會(huì)試圖隱藏他們想要使用的東西。”
(2)主動(dòng)尋找影子物聯(lián)網(wǎng)設(shè)備
Raggo說(shuō):“企業(yè)需要超越自己的網(wǎng)絡(luò)來(lái)發(fā)現(xiàn)影子物聯(lián)網(wǎng),因?yàn)楹芏嘤白游锫?lián)網(wǎng)并不存在于企業(yè)網(wǎng)絡(luò)中。超過(guò)80%的物聯(lián)網(wǎng)是無(wú)線(xiàn)網(wǎng)絡(luò)。因此,對(duì)影子物聯(lián)網(wǎng)設(shè)備和網(wǎng)絡(luò)的無(wú)線(xiàn)監(jiān)控可以實(shí)現(xiàn)這些其他設(shè)備和網(wǎng)絡(luò)的可見(jiàn)性和資產(chǎn)管理?!?/p>
傳統(tǒng)的安全產(chǎn)品通過(guò)媒體訪(fǎng)問(wèn)控制(MAC)地址或供應(yīng)商的組織唯一標(biāo)識(shí)符(OUI)列出設(shè)備,但它們?cè)诰哂写罅坎煌?lèi)型設(shè)備的環(huán)境中基本上沒(méi)有幫助。Raggo補(bǔ)充說(shuō),“人們想知道‘那個(gè)設(shè)備是什么?’,所以他們需要確定它是否是一個(gè)被攻擊的設(shè)備或經(jīng)過(guò)許可的設(shè)備。在當(dāng)今深度數(shù)據(jù)包檢測(cè)和機(jī)器學(xué)習(xí)的世界中,成熟的安全產(chǎn)品應(yīng)該為發(fā)現(xiàn)的資產(chǎn)提供人性化的分類(lèi),以簡(jiǎn)化資產(chǎn)管理和安全過(guò)程?!?/p>
(3)隔離物聯(lián)網(wǎng)
Wisniewski表示,在理想情況下,新的物聯(lián)網(wǎng)設(shè)備和工業(yè)物聯(lián)網(wǎng)設(shè)備應(yīng)通過(guò)專(zhuān)用于IT控制設(shè)備的獨(dú)立Wi-Fi網(wǎng)絡(luò)連接到互聯(lián)網(wǎng)。網(wǎng)絡(luò)應(yīng)配置為使物聯(lián)網(wǎng)設(shè)備能夠傳輸信息并阻止網(wǎng)絡(luò)攻擊。他說(shuō):“在大多數(shù)物聯(lián)網(wǎng)設(shè)備中,不合法的設(shè)備的數(shù)據(jù)不能傳輸給它們?!?/p>
任何影子設(shè)備都是一個(gè)問(wèn)題
Wisniewski說(shuō):“任何影子設(shè)備都是一個(gè)問(wèn)題,無(wú)論是物聯(lián)網(wǎng)設(shè)備還是任何其他可尋址的非托管物品。關(guān)鍵是組織只從授權(quán)設(shè)備控制對(duì)網(wǎng)絡(luò)的訪(fǎng)問(wèn),保持準(zhǔn)確的授權(quán)設(shè)備清單,并制定明確的政策,以確保員工知道他們不允許使用自攜設(shè)備,如果他們這樣做,將會(huì)受到內(nèi)部制裁。”
聲明:本文為轉(zhuǎn)載類(lèi)文章,如涉及版權(quán)問(wèn)題,請(qǐng)及時(shí)聯(lián)系我們刪除(QQ: 2737591964),不便之處,敬請(qǐng)諒解!