企业物联网入侵的途径及安全保护措施

2019年8月7日00:28:36 发表评论

到2020年,全球将部署约500亿个物联网设备。物联网设备专门设计用于连接网络,许多设备只需很少的管理或监督即可连接到互联网。安全团队必须能够识别,维护和监控此类设备,尤其是在大型复杂企业中。一些物联网设备甚至可以将基本遥测信息传送回设备制造商,或者具有接收软件更新的手段。但在大多数情况下,客户的IT运营中心并不知道它们存在于网络中。

企业物联网入侵的途径及安全保护措施

2016年,Mirai僵尸网络被恶意软件研究组织MalwareMustDie发现。僵尸网络最初由IP摄像机和基本家用路由器组成,这两种类型的物联网设备通常在家庭中找到。随着Mirai的更多变种的出现,它所针对的列表物联网设备也出现了。支持这个僵尸网络的恶意软件的源代码最终在网上泄露。

在2018年,成千上万的家庭和小型企业网络和存储设备遭到入侵,并加载了所谓的“VPN过滤器”恶意软件。联邦调查局公开将这项活动归咎于一个民族国家的演员并采取后续行动来破坏这个僵尸网络,尽管除非用户采用适当的固件或安全控制措施,否则这些设备仍然容易受到再次感染。

还有多起关于多种设备的网络攻击的新闻报道。几天后,官员们确认他们是恶意网络攻击的受害者,这些攻击阻止与会者打印他们的奥运会门票,主要新闻中心的电视和互联网接入只是停止工作。

我们将使用三种流行的IoT设备对这些客户的攻击归因于Microsoft称为STRONTIUM的活动组。由于我们在早期阶段发现了这些攻击,我们无法最终确定STRONTIUM在这些入侵中的最终目标。

过去的12个月中,微软已经向STRONTIUM的目标或攻击者提供了近1400个国家通知。五分之一的STRONTIUM活动通知与世界各地的非政府组织,智囊团或政治附属组织的攻击有关。其余80%的STRONTIUM攻击主要针对以下领域的组织:政府,IT,军事,国防,医学,教育和工程。我们还观察并通知了STRONTIUM对奥组委,反兴奋剂机构和酒店业的攻击。FBI还将“VPN过滤器”恶意软件归咎于STRONTIUM。

保护企业物联网的建议

组织可以采取其他步骤来保护其基础架构和网络免受类似活动的影响。Microsoft建议采取以下操作来更好地保护和管理与IoT设备关联的风险:

需要批准和编目在企业环境中运行的任何IoT设备。
为每个IoT设备制定自定义安全策略。
避免将IoT设备直接暴露在互联网上或创建自定义访问控制以限制曝光。
如果可行,请为物联网设备使用单独的网络。
针对部署的IoT设备执行例行配置/补丁审核。
定义隔离IoT设备的策略,保存设备数据,维护设备流量日志的能力以及捕获设备图像以进行取证调查。
作为Red Team测试的一部分,包括IoT设备配置弱点或基于IoT的入侵场景。
监视物联网设备活动的异常行为(例如浏览SharePoint网站的打印机......)。
审核已授权访问IoT设备,用户和进程的任何身份和凭据。
如果可行,集中资产/配置/补丁管理。
如果您的设备由第三方部署/管理,请在合同中包含明确的条款,详细说明要遵循的安全实践以及报告所有受管设备的安全状态和运行状况的审核。
在可能的情况下,在物联网设备供应商合同中定义SLA条款,为合作产品的任何折衷设置一个双方都可接受的调查响应和取证分析窗口。

发表评论

后发表评论