连接设备和风险是当今快速发展的数字时代的一个广泛认可的副产品。然而,信息技术、物联网(IoT)、医疗物联网(IoMT)和运营技术(OT)设备易受攻击的程度不同。有些人比其他人面临更大的风险,尤其是当网络犯罪分子继续快速创新以获得访问权限并利用连接的设备来实现他们的目标时。每个行业中连接设备的数量和多样性都在增加,这给企业了解和管理他们面临的风险带来了新的挑战。如今,攻击面涵盖几乎每个组织的IT、物联网和OT,而医疗保健领域IoMT的加入加剧了互连网络日益增加的脆弱性。事实上,根据PonemonInstitute最近的一份报告,65%的受访组织表示物联网和OT设备是其网络中最不安全的部分;增加。在这些组织中,88%的IT和IT安全从业者将物联网设备连接到互联网,56%将OT设备连接到互联网,51%将OT网络连接到IT网络。现实情况是,连接设备现在存在于每个垂直领域,并继续对所有部门的组织构成相当大和广泛的安全风险,因为许多仍然容易受到已知和遗留漏洞的攻击。为了确定设备类型、行业部门和网络安全政策中固有的风险点,最近的研究分析了金融服务、政府、医疗保健、制造和零售业超过1900万台设备的风险状况,以揭示2022年设备中风险最高的连接。调查结果:IT设备仍然是最受欢迎的目标IT设备,包括计算机、服务器、路由器和无线接入点,是风险最高的设备,因为它们仍然是恶意软件(包括勒索软件)的主要目标,也是恶意软件的主要初始入口点演员。这些黑客利用互联网暴露设备上的漏洞,例如运行未打补丁的操作系统和业务应用程序的服务器,或者使用社会工程和网络钓鱼技术诱骗员工在他们的计算机上运行恶意代码。路由器和无线接入点以及其他网络基础设施设备正成为恶意软件和高级持续性威胁的更常见入口点。路由器是有风险的,因为它们经常暴露在网上,连接内部和外部网络,具有危险地暴露的开放端口,并且具有许多漏洞,这些漏洞通常会被恶意行为者迅速利用。管理程序或托管虚拟机(VM)的专用服务器已成为2022年勒索软件团伙最喜欢的目标,因为它们允许攻击者一次加密多个虚拟机。勒索软件开发人员正在转向Go和Rust等语言,它们可以更轻松地进行交叉编译,并且可以同时针对Linux和Windows。物联网设备更难修补和管理企业网络上越来越多的物联网设备正在被积极利用,因为它们比IT设备更难修补和管理。物联网设备由于凭据薄弱或未修补的漏洞而受到损害,主要是成为分布式拒绝服务(DDoS)僵尸网络的一部分。IP摄像头、VoIP和视频会议系统是风险最大的物联网设备,因为它们经常暴露在互联网上,并且威胁行为者针对它们的活动由来已久。例如,2019年APT28攻击了VoIP电话以初始访问多个网络,2021年Conti攻击了在受影响组织内移动的摄像头,而2022年UNC3524和TAG-38都瞄准了视频会议和用于指挥和控制基础设施的摄像头。ATM出现在排名中是因为它们在金融机构中具有明显的业务重要性。数据表明,许多ATM与其他物联网设备相邻,例如安全摄像头和物理安全系统,这些设备经常暴露在外。打印机不仅包括用于连接办公室的多功能打印和复印设备,还包括用于打印收据、标签、票据、腕带和其他用途的专用设备。虽然打印机与网络风险没有广泛关联,但它们应该是。与IP摄像机一样,它们也被APT28等威胁行为者用于入侵,并多次被黑客发送垃圾邮件。或者ATM,打印机通常连接到敏感设备,例如用于销售点系统的收据打印机和用于具有特权用户的传统工作站的办公室打印机。X光机和患者监护仪属于最危险的IoMT设备。互联医疗设备显然存在风险,因为它们对医疗服务和患者安全具有潜在影响。针对医疗系统公司IT网络的多次勒索软件攻击已经影响了医疗设备,导致它们无法使用。示例包括2017年的WannaCry、2019年对阿拉巴马州一家医院的袭击影响了胎儿监护仪,以及自2020年以来影响美国和爱尔兰辐射信息系统的多起袭击。被列为最高风险的DICOM工作站、核医学系统、成像设备和PACS都是与医学成像相关的设备,它们都有一些共同点:它们通常运行遗留的易受攻击的IT操作系统,具有广泛的网络连接以允许共享成像文件并使用DICOM标准共享这些文件。DICOM定义了存储医学图像的格式和交换图像的通信协议。该协议支持消息加密,但其使用由医疗机构配置。通过不同组织之间的未加密通信,攻击者可以获得或篡改医学图像,包括传播恶意软件。此外,患者监护仪是医疗机构中最常见的医疗设备之一,但也是最易受攻击的设备之一。与医学成像设备一样,它们通常使用未加密的协议进行通信,这意味着攻击者可以篡改它们的读数。OT设备是关键任务,但设计不安全在过去十年中,针对OT系统和设备的国家发起的攻击已变得司空见惯。研究发现,制造业中高风险设备的比例最高(11%),但更令人不安的是,针对这些设备的网络犯罪和黑客活动正在增加。最近,勒索软件团伙一再破坏水务SCADA系统,而黑客活动家也破坏了对佛罗里达水处理设施HMI的访问。总的来说,PLC和HMI是风险最高的OT设备,因为它们非常关键,可以完全控制工业过程,并且在设计上并不安全。虽然PLC通常不连接到互联网,但许多人机界面连接到互联网以进行远程操作或管理。这些设备不仅在制造业等关键基础设施行业很常见,而且在零售等行业也很常见,它们推动物流和仓库自动化。然而,其他观察到的有风险的OT设备比PLC和HMI更广泛。例如,不间断电源(UPS)存在于许多企业和数据中心网络中,紧邻计算机、服务器和物联网设备。UPS在电源监控和数据中心电源管理中起着至关重要的作用。对这些设备的攻击可能会产生物理效应,例如切断关键位置的电源或篡改电压以损坏敏感设备。环境监测和楼宇自动化系统对设施管理至关重要,这是大多数组织的共同需求。智能楼宇完美体现了IT、IoT、OT融合在同一个网络的跨行业领域。有几个威胁行为者利用智能建筑使控制器无法使用、为僵尸网络招募易受攻击的物理访问控制设备或利用工程工作站进行初始访问的示例。这些设备将OT的不安全设计特征与IoT的Internet连接危险地混合在一起,并且经常被发现即使在关键位置也经常在线暴露。多层保护设备设备制造商和用户都有责任开发和维护他们的网络安全防御,而法规的发展正在强化这一前景。制造商必须利用安全的软件开发生命周期。这包括代码审查、漏洞扫描和渗透测试等过程。最重要的是,这些过程不仅限于制造商生产的软件,还包括进入设备的所有组件,包括第三方库。至于监管发展,拟议的欧盟网络安全法规如果实施,将迫使供应商获得物联网设备的网络安全认证。从用户的角度来看,网络安全事件强制披露的力度也很大,这无疑会倒逼企业改善安全态势。不幸的是,没有单一的快速解决方案来保护连接的设备。但是,所有组织都可以采取一些实际步骤,从创建全面、自动化、持续的网络资产清单开始。一旦知道所有设备及其配置,就可以执行风险评估以突出需要特别注意的设备。这些设备要么不安全,要么对业务至关重要。然后可以实施缓解措施。这些措施包括修补已知漏洞、通过禁用未使用的服务来强化设备、使用强而独特的密码、分割网络以隔离有风险的设备,以及使用全面的网络监控来检测利用设备的企图。保护连接的设备免受攻击是一项共同责任。我们都有责任发现风险并保护基础设施免受日益复杂的策略的影响。这一切都始于暴露我们盔甲上的任何潜在漏洞。
