利用欺騙技術降低物聯網安全風險
物聯網正在迅速發展,支持物聯網的設備開始出現在我們生活中的各個方面。這不僅影響了消費者,也影響了企業,因為預計超過50%的組織將在2019年運營某種形式的物聯網。物聯網設備的數量呈指數級增長,而且這種增長絲毫沒有放緩跡象,Gartner預測,到2020年,將有超過200億臺連網設備和機器投入使用。隨著越來越多的公司開發從門鈴和安全攝像頭到冰箱和恒溫器等連網設備,那么,網絡犯罪分子發現新的漏洞并開發利用它們的新方法也就不令人意外了。
新的攻擊面需要新的防御措施
物聯網提供了一個非常規的攻擊面,打開了額外的接入點,攻擊者可以在這些接入點建立據點并利用公司網絡——通常不會被傳統的周邊防御發現。卡巴斯基實驗室最近的一份報告證實,這些漏洞正以驚人的速度被利用,僅在2018年上半年,研究人員就發現攻擊物聯網設備的惡意軟件樣本是2017年全年的三倍,是2016年總數的10倍。攻擊者不僅知道這些漏洞,而且正在加速攻擊它們。
對這種威脅的認識正在增加,不僅在行業內,而且在執法部門也是如此。今年8月,美國聯邦調查局(FBI)發布了一項名為“網絡行為者使用物聯網作為匿名代理和追蹤惡意網絡活動”的公共服務公告。該公告警告物聯網設備制造商和用戶,網絡固有的漏洞以及攻擊者試圖利用這些漏洞的常見方式。雖然該公告還就如何解決這些漏洞提出了一些建議,但這些建議既不全面,也不具有強制性。
美國各州也開始注意到這一點,今年加州成為美國第一個通過監管物聯網安全法案(SB-327)的州。該法案將要求制造商在2020年1月生效時為連網設備配備“合理的安全性及適合設備的性質和功能”。該法案還包括具體的安全措施,包括一項任務,即智能設備必須預先設定獨一無二的密碼——這是一項旨在解決最著名物聯網漏洞之一的法規,也是一項被Mirai僵尸網絡等惡意軟件利用的著名法規。
不要只是對法規做出反應,還要積極采取措施
雖然加州SB-327是很好的第一步,但該法案中的語言含糊不清,留下了很多需要解釋的地方。例如,什么是“合理的安全性”?政府如何確定哪些措施“適合設備的性質和功能”?雖然特定的密碼管理指南可以解決某些漏洞,但這些法規感覺遠遠不夠完善,尤其是與其他行業相比時。比如像燈泡這樣簡單的事情,有明確的聯邦監管和法規,客戶可以很容易地找到UL評級、能效列表等等。
有鑒于此,安全團隊和企業負責人需要采取主動措施來保護他們的環境免受有害攻擊,尤其是來自這些和其他新出現攻擊面的攻擊。對于許多人來說,這需要改變思維,因為傳統的網絡安全措施側重于周邊防御,并假設他們可以應用安全控制,如反惡意軟件或其他政策,以防止攻擊。今天,這些措施已經不夠用了。安全專業人員必須承認,他們可能不知道這些設備何時被引入其網絡,而且他們需要知道這將產生額外的安全風險,并且需要額外的安全措施。為了應對這些設備的攻擊并進一步加強其網絡,安全團隊需要一種新的方法,其中包括一套全面的檢測和響應工具,旨在被感染的系統造成傷害之前對其進行識別。
欺騙技術現在被認為是檢測所有攻擊面網絡內威脅的最有效方法之一——包括安全性差的物聯網、工業控制系統、銷售點終端和其他設備。欺騙技術能夠檢測繞過傳統安全控制的威脅,它是一個特別強大的工具,用于減少“停留時間”或攻擊者在被檢測到之前在網絡中花費的時間。該技術通過部署一個復雜的誘餌和陷阱網絡,有效地檢測、隔離和防御網絡攻擊,旨在將入侵者吸引到一個真實的欺騙環境中,在此環境中,提升高保真警報并收集有關攻擊情報,并可與其他安全控制共享,以加快事件響應速度。
Ovum首席分析師Rik Turner解釋道:“隨著攻擊面的不斷擴大,企業越來越多地尋求能夠為專業環境提供早期檢測和可見性的解決方案。由于其功效,欺騙技術現在正進入主流,并將很快成為大多數企業的有力武器。”
由于聯邦和州政府還在努力為不安全的智能設備制定可執行的政策,因此安全法規繼續落后于物聯網創新的步伐。鑒于聯邦政府在確定治理方面的延遲,其他州將很快跟隨加州實施新的法規,為供應商和組織創建拼湊的“被子”,以便聯合起來創建合規性并維護其物聯網政策。也就是說,組織明智的是不要等待,并且應該立即采取措施保護自己,因為這些設備越來越多地進入他們的環境。欺騙技術與主動防御措施的使用將使組織為物聯網攻擊做好準備,避免成為攻擊自身基礎設施或間接使用其設備攻擊他人的受害者。
