物聯網供應鏈漏洞威脅工業物聯網(IIoT)安全
供應鏈不僅為物聯網提供了基礎,還為漏洞提供了保護。IT專業人員需要抵御利用供應鏈安全漏洞的惡意攻擊。
借助基于IIoT的運營來構造產品的大多數公司可能會密切關注供應鏈,以提供可預測的原材料和服務流,從而使他們能夠推出產品并保持業務繁榮。
但是第二條基本供應鏈受到的審查較少。而且,如果該供應鏈的安全性受到某種程度的損害,企業可能會陷入停頓。
被忽視的供應鏈提供了構建IIoT基礎設施的組件。從安全角度來看,這些設備的購買者位于供應鏈的末端,缺乏對供應鏈的足夠透明性。實際上,跟蹤構成所交付的IIoT設備的內部元素的來源將是一個挑戰。
因此,與IIoT綁定的組件附帶可利用的安全漏洞并不少見。IIoT供應鏈的復雜性和全球影響力只會使問題更加復雜,單個設備可能由數十個組件制造商提供的零件制成。
一家物聯網網絡安全公司Finite State在2019年發布的報告《Finite State Supply Chain Assessment》中指出:“數十個由全球公司制造的組件會通過多層供應商和集成商反應,直到它們被放置在產品上,由OEM進行測試和包裝為止。”
IIoT基礎設施面臨的風險是真實存在的
大多數網絡運營商都認識到IIoT供應鏈風險,但是特定的漏洞很難隔離。這些部署通常意義深遠,超出制造商的范圍,延伸到托運人、商人和其他商業伙伴。隨著網絡的擴展并包括其他集成點,一小部分惡意代碼將被復制的風險只會增加。實際上,代碼本身可能不是惡意的,但可以提供一個可能危害系統的開放端口。
Finite State首席執行官Matt Wyckhouse指出:“僅是親眼目睹嵌入式系統中有多少漏洞,這是資產所有者沒有意識到這些漏洞存在于其系統中的地方。”
一旦違反了IIoT環境,惡意行為者就可以將其用作進一步鉆入公司系統的入口。工業控制系統(ICS)和其他生產系統可能會受到威脅,但是如果闖入者可以逃避安全障礙并進行更深入的研究,則可能還會暴露關鍵的公司應用和相關數據。這全部歸因于可疑固件,固件進入了生產傳感器、執行器和其他可運行IIoT的供應鏈。
Wyckhouse解釋說:“報告漏洞時,制造商需要一段時間才能解決該漏洞,在那里發布補丁,然后資產所有者才能執行對該設備的更新并為其運行最新版本的固件。” 描述已知漏洞如何持續存在。
ARC咨詢小組針對安全提供商卡巴斯基(Kaspersky)在2019年7月發布的《工業網絡安全狀況》中,超過四分之一(26%)的受訪者表示,他們認為“來自第三方的威脅,例如供應連鎖店或合作伙伴”成為主要問題,另有44%的受訪者表示這是次要問題。有趣的是,所有其他主要安全問題,例如勒索軟件(70%)和針對性攻擊(68%)都可以通過供應鏈違規對公司發起。
在同一調查中,有28%的受訪者指出,很可能或非常有可能將其公司的ICS或工業控制網絡作為攻擊目標。
由荷蘭安全機構愛迪德(Erdeto)于2019年進行的另一次“全球互聯產業網絡安全調查”強調,許多公司已經被入侵性物聯網攻擊所燒毀:“該研究令人震驚地發現,只有17%的物聯網設備使用或大型企業制造的產品在過去的12個月中沒有經歷過網絡攻擊。”
IIoT供應鏈如何受到損害
通常,對于為企業的生產線提供服務的供應鏈,最大的擔憂是生產活動可能會中斷,從而導致生產放緩或停產。對于IIoT供應鏈,威脅要隱蔽得多,可能要花幾周或幾個月才能顯現出來。
通常,當IIoT供應鏈損壞時,它更多是由多米諾骨牌效應造成的,這掩蓋了漏洞的來源。
提供固件檢查服務的公司Adolus首席執行官埃里克·拜雷斯(Eric Byres)說:“攻擊者考慮到了一些受害者,但他們沒有直接去攻擊受害者,而是去了二級工業物聯網供應商,破壞了他們的網站,并用特洛伊木馬版本替換了合法固件和軟件。”
不知情的IIoT網絡管理員會進行適當的網絡維護,可能會不經意地擴散惡意代碼。 Byres說:“他們立即下載并將其帶入他們的工廠,然后突然有這種惡意軟件在工廠內部,防火墻內部以及所有內部進行控制。”
闖入者可能闖入工業網絡,然后破壞公司數據網絡。 “破壞者攻擊一個站點,他們得到了這種可靠的乘數效應,” Byres繼續說道。 “對于攻擊者來說,這是非常可觀的投資回報。”
大多數IIoT環境包括成百上千的較舊設備-傳感器和其他組件可能已經使用了十年(或更長時間)。專家們認為,設備越舊,由于落后于支持和更新,就越有可能帶來安全風險。
例如,有限狀態報告描述了某些制造商制造的組件,這些組件包括使用2003年發布的OpenSSL版本的代碼,并且眾所周知(并記錄在案)極易受到攻擊。
某些IIoT供應鏈安全漏洞可能是故意插入的,是無辜的并且是出于惡意目的。一個例子是后門。一件軟件中的后門允許訪問固件的核心部分,從而訪問組件本身,而無需通過常規的身份驗證過程。
意圖良好的后門通常由組件制造商開放,以為技術人員提供支持和監視設備的切入點。這些后門通常稱為調試端口,還使惡意行為者易于訪問。同樣,旨在允許與工業控制系統集成的應用程序編程接口(API)可能會無意間提供了另一種損害設備操作的方式。各國通常會在其出口產品上留下比較邪惡的后門,因為它們希望以后再使用它們來處理知識產權(IP)或其他數據。
一般而言,工業物聯網的供應鏈比控制得當更像是狂野的西部。
紐約大學的Muhammad Junaid Farooq和Quanyan Zhu發表的研究論文指出:“就安全標準而言,物聯網仍然是完全不受監管的技術。” “從設備所有者的角度來看,無法控制上游供應鏈。并非所有供應商都準備好清楚闡明其網絡安全實踐并披露其供應鏈信息。”
惡意攻擊者的目標和他們想要的
IIoT供應鏈的入侵可能導致其他類型的網絡違規造成的任何妥協情況。但是,鑒于其本身的性質和功能,“泄漏的” IIoT設備可能導致各種惡意活動和破壞。
勒索軟件仍然是攻擊的主要動機。許多IIoT供應鏈滲透也是如此,因為不良行為者可能會阻止或以其他方式對生產產生負面影響,直到支付贖金為止。
在工業環境中,生產中斷可能造成更大的破壞。通過更改來自傳感器和其他IIoT設備的數據流,可以對機器設置進行操作,從而導致制造過程中出現看不見的問題,從而可能導致產品故障或工廠地面機器(例如機器人設備)在不安全的情況下運行方式。
2020年3月的《 OT安全最佳實踐》報告指出,違反工業控制系統可能會產生深遠的影響:“其中一些危害包括對人類健康和安全的重大風險,對環境的嚴重破壞以及財務問題,例如生產損失,以及對一個國家的經濟產生負面影響。”
某些垂直行業也已成為關鍵目標。
“如果您想要一個目標豐富,目標很多的環境,那就去能源、去電網、去石油和天然氣。”阿道魯斯的拜爾斯說。 “由于大流行,現在我們看到的另一個目標豐富的環境是醫療。”
Finite State的Wyckhouse還指出醫療保健是主要目標。 “在過去的幾周內,我們實際上在醫療保健行業中看到了破壞性的、威脅生命的破壞性攻擊,在大流行期間,勒索軟件攻擊使醫院癱瘓。”
豐厚的報酬并不總是攻擊者的目標,有時是目標,例如關鍵知識產權(IP)中的信息。
通過IIoT環境中的漏洞以到達企業數據網絡也是一種常見的策略。 Wyckhouse說:“攻擊面每天都在增長,并且變得越來越復雜。” “在某些情況下,我們應該擔心一個行為者將供應鏈用作初始訪問機制。”
如何應對IIoT供應鏈不足
對于大多數公司而言,僅由于網絡上的設備數量眾多且歷史悠久,創建一個更安全的IIoT環境將是一項艱巨的任務。如果您已經有了這些設備的詳細而全面的清單,那么您將邁出第一步-否則,這就是開始的地方。
一旦您確定了基礎的布局,下一步就是供應鏈風險評估。確定“宏觀”風險,例如勒索情況,數據損壞或IP盜竊。但是,風險評估也需要更細化,在此評估每個設備的潛在漏洞,以及如何將該漏洞組合到更廣泛的網絡入侵中。
還需要仔細研究公司的網絡及其集成方式。例如,通過使用氣隙將運營技術環境與IT網絡分開,可以將IIoT與Internet隔離。
還應評估IIoT設備供應商,以了解其安全工作的水平。最好的時機是您的公司評估購買產品的時間,因為“在設備生命周期中,操作員對制造商影響最大的時間點是在購買設備期間”。
如果購買IIoT設備的次數很多且頻繁,那么最好建立一個正式的評估流程以確保所有供應商和產品都經過適當的審查。
拜爾斯說:“不要只說“我們認真對待安全性”。 “從他們那里獲得適當的報告,或者去找第三方進行適當的分析,并真正弄清楚您的供應商是否正在做有關安全性的工作。”
您還可以利用資源,例如美國國家標準技術研究院(NIST)的國家漏洞數據庫(NVD)來檢查其常見漏洞和披露(CVE)列表。
新興的服務和應用類別正在涌現,專門用于解決IIoT供應鏈情況。 Adolus和Finite State是提供服務的公司的示例,這些服務可以幫助用戶確定他們已經安裝或正在考慮的設備的安全性。
Adolus最初是美國國土安全部的一個項目,后來演變成可商業使用的服務。它建立在一個數據庫之上,該數據庫收集與數千種IoT設備相關的已發布和軼事信息,包括所有已知漏洞的匯總。最終用戶或設備制造商可以利用數據庫來跟蹤組件的沿襲,并找到有關其組成部分和供應商的詳細信息。
“我們的技術是建立這些軟件的物料清單,” Adolus首席執行官Eric Byres說。 “因此,我們不僅可以了解您剛剛購買和安裝的基本產品,還可以了解其附帶的所有組件的全部信息。”
有些國家還對這一問題采取了新穎的方法。該公司的技術可以有效地解析固件,以確定它是否會對IIoT基礎架構帶來風險。這一點尤其重要,因為正如Finite State的首席執行官Matt Wyckhouse指出的那樣:“當應用固件更新時,該固件會替換該設備上的所有軟件。它完全替代了它,因此可以完全改變設備的風險狀況。”
