COVID-19大流行加速了物联网设备的采用。随着复工复工的需要,许多企业纷纷采用非接触式物联网设备,如POS终端、体温摄像头等,以保障企业经营安全。根据PaloAltoNetworks的研究,全球89%的当前IT从业者表示,他们组织网络中的物联网设备数量在去年有所增加,超过三分之一(35%)的人报告说有显着增加。此外,国际数据公司(IDC)估计,到2025年,将有416亿台联网物联网设备投入使用。然而,任何事情都有两个方面,这种趋势也增加了攻击面,这可能会吸引更多针对物联网设备和物联网供应链的攻击和利用。在本文中,第42单元检查了当前的物联网供应链生态系统,并解释了影响物联网供应链的多层次威胁和漏洞。没有任何一层是完整和安全的,研究人员还研究了攻击物联网供应链的潜在动机类型。在硬件、固件、操作和漏洞层引入风险和真实示例有助于有效地制定风险控制和缓解策略,以防止理论网络攻击成为现实。物联网供应链风险供应链是供应商、制造商或零售商与其供应商之间的一系列联系,使得生产和交付硬件或软件产品或运营服务给消费者成为可能。供应链概况通常,当人们谈论物联网中的供应链攻击时,他们谈论的是将要安装在某些物联网设备(如路由器或摄像头)中的软件,这些设备已被破坏并隐藏了恶意软件。然而,物联网中的供应链攻击也可以指通过植入或修改硬件来改变设备的行为。考虑供应链漏洞也很重要,第三方软件(如库、驱动程序、内核或硬件组件)安装了漏洞,或者是某些组件(如应用程序或固件)的一部分。IoT设备组件在软件开发生命周期和产品设计过程中的一个常见错误是在没有列出已添加到设备的内容的情况下合并第三方软件和硬件组件。因此,当在其中一个组件上发现新漏洞时,比如零日漏洞,很难知道有多少来自同一供应商的产品受到影响,请参见此处的具体攻击示例。更糟糕的是,很难确定不同供应商和制造商通常有多少设备受到此漏洞的影响。通常,安装在不同设备上的固件使用已知包含漏洞的已弃用库或组件。尽管如此,该固件仍可用于市场上许多设备的生产。从用户的角度来看,可能很难知道所购买的物联网设备中正在运行哪些组件。这些组件具有依赖于其他组件的内在安全属性,而其他组件又具有它们自己的安全属性。如果这些组件中的任何一个容易受到攻击,攻击者就可以破坏整个设备。此外,使用物联网设备管理网络的用户并不总是维护连接到该网络的物联网设备数量的清单。因此,跟踪企业网络上存在的潜在易受攻击的设备会将安全和风险管理变成一项艰巨的任务,从而增加成功进行网络攻击的机会。物联网供应链攻击示例1.硬件组件:伪装成思科交换机2020年7月,F-Secure分析了在商业环境中发现的假冒思科Catalyst2960-X系列交换机。设备长期平稳运行,不易辨别真伪。最终,这些设备在软件升级后被发现出现故障,这导致了他们的发现。该分析不仅强调了身份验证控制是如何被绕过的,而且还强调了可能对受影响的公司构成网络安全风险的潜在后门访问。2.固件:OpenWrtDevicesOpenWrt是一个开源操作系统,可以替换许多网络设备(如路由器、接入点和Wi-Fi中继器)中包含的不同供应商固件中的固件。根据OpenWrt项目网页,OpenWrt提供了一个具有包管理功能的完全可写文件系统。这将使您从供应商提供的应用程序选择和配置中解放出来,并允许您通过使用包来定制设备以适应任何应用程序。对于开发人员来说,OpenWrt是一个可以用来构建应用程序而无需围绕它构建完整固件的框架。对于用户,OpenWrt以原始设备不支持的方式提供设备的完全定制和使用。2020年3月,OpenWrt中发现一个漏洞,允许攻击者在downloads.openwrt.org上模拟下载并导致设备下载恶意更新。这意味着不同供应商和型号的多个路由器受此漏洞影响。3.操作中断:TeamViewerTeamViewer是在任何防火墙和NAT代理(非开源软件)后面进行远程控制、桌面共享和文件传输的简单快速的解决方案。要连接到另一台计算机,只需在两台计算机上运行TeamViewer,而无需执行安装过程。该软件在首次启动时会自动在两台计算机上生成合作伙伴ID。只需在TeamViewer中输入您合作伙伴的ID,即可立即建立连接。为了防止操作中断或访问内部业务网络,攻击者多年来一直专注于远程操作软件。我们中的许多人都熟悉远程支持软件,它允许用户从世界任何地方共享桌面或通过Internet进行管理员控制。TeamViewer是最著名的远程支持软件示例之一。截至2020年5月,TeamViewer软件在全球200个国家拥有2亿用户。TeamViewer还用于监控运营技术(OT)环境,包括制造、能源甚至医疗保健。此前,研究人员已经看到黑客通过暴力破解帐户凭据并向EMEA地区的政府机构发送鱼叉式网络钓鱼电子邮件来直接攻击TeamViewer用户(请参阅此CheckPoint报告)。此外,TeamViewer本身在2016年成为APT攻击者的目标。虽然这些攻击的实际成本未知,但这些事件揭示了那些出于恶意滥用远程控制软件的活动,以及成功攻击的可能影响。4.包含漏洞的库:Ripple202020年6月,JSOF宣布了19个零日漏洞,影响数百万运行由Treck开发的低级TCP/IP软件库的设备。这组漏洞被命名为“Ripple20”,以反映利用这些漏洞可能对不同行业的广泛产品产生的广泛影响。Ripple20影响物联网中的关键设备,包括打印机、输液泵和工业控制设备。通过利用软件库中的漏洞,攻击者可以远程执行代码并获取敏感信息。Ripple20是一个供应链漏洞,这意味着很难跟踪所有使用该库的设备,加剧了这些漏洞的影响。到目前为止,以下供应商的库存受到了Ripple20的影响:物联网供应链攻击的动机类型网络间谍网络间谍的主要目标是保持对机密信息和受影响系统的长期访问而不被发现,广泛的物联网设备、它们的访问权限、用户群的规模以及可信凭证的存在使供应链供应商成为高级持续威胁(APT)组织的有吸引力的目标。2018年,发现了ShadowHammer攻击,攻击者滥用合法的华硕安全证书(如“ASUSComputerCorporation”)并签名木马化软件,误导目标受害者在系统中安装后门,并下载额外的恶意负载到他们的设备。2019年3月,卡巴斯基研究人员披露了ShadowHammer攻击事件,攻击者侵入华硕自动更新工具的服务器,利用自动更新向客户端电脑推送恶意后门。华硕现已发布自动更新工具ASUSLiveUpdate3.6.8新版本,加入多重安全验证机制,防止任何恶意操纵软件自动更新或其他方式,并实施端到端加密机制,加强了服务器到端的软件架构,以防止类似的攻击在未来再次发生。华硕还发布了一款诊断工具,帮助华硕客户诊断是否感染了恶意后门。网络犯罪分子大量物联网设备的潜在访问和影响也使物联网供应商和未受保护的设备成为出于经济动机的网络犯罪分子的热门选择。2019年的一份报告显示,近48%的暗网威胁与物联网有关。同样在2019年,趋势科技研究人员调查了俄语、葡萄牙语、英语、阿拉伯语和西班牙语市场的网络犯罪分子,发现了各种利用物联网设备的非法服务和产品。常见的受损IoT设备包括:设置僵尸网络或DDoS服务以雇佣和收费其他地下攻击者。将受感染的设备作为VPN出口节点出售。出售相机访问权限以监视某人或出售对其视频的访问权限。开发和销售针对物联网设备的加密恶意软件。莫斯科的黑市广告出售相机访问权随着医疗保健、制造、能源和其他OT环境中物联网设备数量的增加,研究人员预计网络间谍活动和网络犯罪分子会开发利用这些机会的新方法。缓解策略(1)实施安全的软件开发生命周期并考虑第三方库的集成。(2)对自己的代码和从外部源集成的代码进行代码审查和安全评估。(3)避免使用假冒硬件或来历不明的硬件;(4)审查第三方软硬件的设计和开发流程,以及厂商对漏洞的处理流程。(5)遵循NIST的网络供应链最佳实践:根据您的系统将受到损害的原则制定您的防御策略;网络安全从来不是技术问题,而是人、流程、技术的综合问题;物理安全与网络安全应并重;(6)保留IoT/OT设备上使用的硬件和软件组件列表;总结维护一个连接到网络的设备列表非常重要,它可以识别设备以及这些设备的供应商或制造商利用易受攻击的组件,以便管理员可以修补它们、监视它们或在需要时断开它们。此外,如前所述,有时易受攻击设备的完整列表是未知的。但是,完全了解连接到网络的设备并在设备产生异常流量时收到通知对于保护您的基础设施至关重要。最后,必须实施安全的软件开发生命周期并考虑第三方库的集成。美国国家标准技术研究院记录了一套促进供应链风险管理的最佳实践。具有物联网安全特性的PaloAltoNetworks下一代防火墙采用不同的方法来检测异常流量:系统等,作为由AI/ML支持的身份推理引擎支持的物联网安全服务的一部分。识别易受攻击的设备:根据MITRE、ICS-CERT等机构发布的CVE描述,根据设备识别结果匹配对应的漏洞。物联网安全服务提供了一个实时威胁检测引擎,当有针对性的漏洞扫描或恶意攻击触发这些设备的响应时,它也可以找到易受攻击的设备。风险评分:每个连接到网络的物联网设备都有一个风险评分,该风险评分是根据风险模型计算得出的,该风险模型考虑了已确认的漏洞、检测到的威胁、行为异常以及由高风险用户行为导致的MDS2中发布的制造商风险等因素.这是识别需要优先关注的设备和帮助管理员确定其网络所需的最佳策略的关键因素。告警:基于异常网络行为、危险通信、已知攻击等因素,涉及多个进程发出告警。此功能对于识别实时发生的攻击非常重要。已识别的Axis摄像头的设备属性IoT漏洞仪表板页面示例:DevicesVulnerabletoCVE-2019-1181IdentifiedDevicesVulnerabletoCVE-2020-11896本文翻译自:https://unit42。paloaltonetworks.com/iot-supply-chain/
