随着越来越多的员工不再听从公司的命令使用什么技术,而是主动选择自己喜欢的IT技术来完成工作,这就形成了所谓的“影子IT”,即不用IT系统和IT解决方案在组织内使用的组织批准。多年来,IT部门一直担心影子IT和自带设备(BYOD)带来的安全风险。令人担忧的是,这些未经授权的做法确实会给企业系统带来风险,引入新的安全漏洞并扩大攻击面。现在,一波又一波,另一支“影子”大军正在迅速崛起:影子物联网。物联网时代,世界比以往任何时候都更加紧密相连,物联网的发展变化也带动了设备连接量的快速增长。ZKResearch预测,到2023年底,将有800亿个连接的端点,这无疑给企业IT带来了许多新的安全风险。什么是“影子物联网”“影子物联网”是指组织内的员工在未经授权和IT团队不知情的情况下使用连接到互联网(即物联网)的设备或传感器。最突出的例子是员工在自带设备(BYOD)政策之前出于工作目的使用个人智能手机或其他移动设备。802Secure的首席安全官(CSO)MikeRaggo表示,“影子物联网是影子IT的延伸,但它的范围是另一个全新的领域。这不仅是因为每个员工拥有的设备数量不断增加,而且还按设备类型、功能和用途分类。”多年来,员工习惯于将个人平板电脑和移动设备连接到企业网络,如今员工也越来越多地在工作中使用智能扬声器、无线拇指驱动器等物联网设备,一些部门甚至在会议室安装智能电视,或在办公室厨房使用支持物联网的设备,例如智能微波炉和咖啡机。除此之外,建筑设施通常使用工业物联网(IIoT)传感器进行升级,例如由Wi-Fi控制的暖通空调(HVAC)系统内置恒温器内置于工作场所的饮料机也越来越多地通过Wi-Fi连接到互联网以接受ApplePay。当这些传感器在IT人员不知情或未经授权的情况下连接到组织的网络时,它们就变成了“影子物联网”。影子物联网有多普遍?据研究公司Gartner称,到2020年全球将有204亿台物联网设备在使用,高于2017年的84亿台。因此,影子物联网变得越来越普遍。根据802Secure2018年发布的一份报告,2017年,在接受调查的企业组织中,100%表示在企业网络中发现了“流氓”消费级物联网设备;据称,90%的组织发现了以前未检测到的与企业基础设施分离的物联网或工业物联网无线网络。根据Infloblox关于影子设备的报告,超过1,000台影子物联网设备连接到美国、英国和德国三分之一的企业网络。Infoblox的研究发现,企业网络上最常见的物联网设备包括:健身追踪器,例如Fitbits,占49%;数字助理,如AmazonAlexa和GoogleHome,占47%;和智能电视,占46%;智能厨房电器,例如联网微波炉,占33%;游戏机,例如Xbox或PlayStation,占30%。计算机安全服务公司OrdrInc.的一份新报告还发现联网设备存在许多漏洞和风险。2019年6月至2020年6月期间,Ordr发布了对超过500万个未管理的物联网和“医疗物联网”或IoMT设备的汇总分析,《机器的崛起:企业物联网的采用和风险报告》,指出20%的企业在支付卡、虚拟局域网等方面存在漏洞网络或VLAN合规性。Ordr还发现零售物联网设备与平板电脑、打印机和物理安全设备使用相同的子网。更令人担忧的是,75%的部署存在VLAN违规,在某些情况下,网络甚至与许多USB读卡器和其他设备共享连接。该报告还指出,医疗保健行业似乎是受影子物联网问题困扰最严重的行业。Ordr发现医疗设备与非医疗物联网设备部署在同一VLAN上。此外,绝大多数(95%)的医疗保健部署在其环境中激活了AmazonAlexa和Echo设备,以及医院监控设备,这很可能违反《HIPAA隐私法》,导致医疗机构面临违规处罚。当然,在保护和管理物联网设备方面,并非只有医疗保健行业在挣扎。据ZKResearch称,61%的IT团队对了解哪些设备连接到他们的网络没有信心或信心很低。这比几年前的51%有所上升,表明安全和运营需要先进的解决方案来解决影子物联网问题。影子物联网有哪些风险?IoT设备通常在构建时没有固有的企业级安全控制,通常设置有默认ID和密码,网络攻击者可以通过Internet搜索轻松找到这些ID和密码,有时甚至在未经IT授权的情况下添加到组织的主要Wi-Fi网络中。因此,物联网传感器并不总是在组织的网络上可见。IT经理无法控制或保护他们看不到的设备,这使得智能连接设备很容易成为黑客和网络犯罪分子的目标。根据Inflobox的报告,易受攻击的联网设备可以通过Shodan等搜索引擎轻松在线查找联网设备。即使在搜索简单的术语时,Shodan也会提供有关可识别设备的详细信息,包括横幅信息、HTTP、SSH、FTP和SNMP服务等。由于识别设备是获得访问权限的第一步,这为低级犯罪分子提供了一种简单的方法来轻松识别企业网络上的大量设备,然后他们可以利用这些设备来利用它们的漏洞。为什么大多数影子物联网设备都不安全?Raggo指出,当个人计算机(PC)几十年前首次发布时,它们的操作系统并没有内置安全功能。因此,保护??PC免受病毒和恶意软件侵害仍然是一场持续的斗争。相比之下,iOS和Android移动操作系统设计有集成的安全性,例如应用程序沙盒。虽然这并不意味着移动设备是完全安全的,但它们通常比台式机和笔记本电脑安全得多。“不幸的是,对于今天的IoT和IIoT设备来说,设备制造商似乎忘记了我们从移动操作系统中学到的关于安全性的一切,”Raggo说。“如今,市场上充斥着太多物联网制造商,而构建这些设备的供应链遍布全球,导致市场高度分散。”由于物联网设备往往专注于一项或两项任务,因此它们通常缺乏基本协议以外的安全功能,例如易受攻击的WPA2Wi-Fi。结果:在全球范围内,数十亿不安全的物联网设备在IT人员不知情或未经授权的情况下被用于企业网络。Sophos首席研究科学家ChesterWisniewski表示:“几年前,我购买了10或15台物联网设备来检查它们的安全性。我很震惊我能够以如此快的速度找到它们中的漏洞,这意味着任何人甚至更糟,有些设备甚至没有报告漏洞的程序。”网络犯罪分子是否成功瞄准了影子物联网设备?遗憾的是,答案是肯定的。也许迄今为止最著名的例子是2016年的Mirai僵尸网络攻击,在该攻击中,黑客破坏了不安全的物联网设备,例如IP摄像机和家庭网络路由器,以创建一个庞大的僵尸网络大军。僵尸网络大军发动了毁灭性的分布式拒绝服务(DDoS)攻击,例如导致美国东海岸大部分互联网无法访问的攻击。Mirai源代码也已在互联网供黑客用作未来僵尸网络军队的基石。根据Infoblox报告,还有其他漏洞可以让网络犯罪分子控制物联网设备。例如,2017年,维基解密发布了名为Weeping的CIA工具的详细信息Angel,解释了代理商如何将三星智能电视变成直播麦克风。?杂志还揭露了各大品牌智能电视的漏洞,可用于窃取数据以及操纵电视播放令人反感的视频并安装不需要的应用程序。据Infoblox称,除了增加僵尸网络军队和进行DDoS攻击外,网络犯罪分子还可以利用不安全的物联网设备进行数据泄露和勒索软件攻击。在迄今为止最离奇的物联网攻击之一中,犯罪分子侵入了赌场大厅鱼缸中的智能温度计,以获取对其网络的访问权限。一旦进入网络,攻击者就能够从赌场的数据库中窃取私人数据。针对物联网的网络攻击的未来潜力足以引起企业首席安全官(CSO)和其他IT安全专业人员的关注。试想一下,如果有人连接到不安全的Wi-Fi恒温器并将数据中心温度更改为95°C,这可能会损坏关键IT设备。例如,2012年,网络罪犯侵入了国家机构和制造工厂的恒温器并改变了建筑物内的温度。恒温器是通过Shodan发现的,Shodan是一个专门用于互联网设备的搜索引擎。Wisniewski说,到目前为止,物联网设备的利用还没有对任何特定企业在利用敏感或私人数据方面产生巨大的负面影响。但当黑客弄清楚如何利用物联网设备获取巨额利润时,例如利用智能电视进行会议室间谍活动,影子物联网安全风险问题将引起大家的关注。减轻影子物联网安全风险的方法1.标准化用户正式添加物联网设备的流程组织拥有影子IT和影子物联网的原因通常是因为IT部门拒绝使用智能电视等设备的请求。在可能的情况下快速跟踪他们的批准(例如在请求后30分钟内)而不是彻底禁止物联网设备可以帮助减少影子物联网的存在。具体来说,IT可以发布和分发一个批准流程,让用户填写一个简短的表格,让他们知道他们将以多快的速度回复他们。使请求过程尽可能灵活和简单,这样他们就不会试图隐藏他们想要使用的东西。2.实时监控和主动搜索必不可少在危机时期,必须确保组织将网络安全放在首位。COVID-19大流行迫使许多行业进行物联网转型——从医疗保健中支持IP的呼吸机和EKG机器,到制造业中的无线温度和振动传感器,一切都是超连接的。随着网络犯罪分子利用易受攻击的服务和不安全的连接,与COVID-19相关的恶意软件和勒索软件攻击也在增加。组织必须认真对待网络安全并定期检查所有连接的设备和网络。此外,您需要超越自己的网络,主动寻找影子物联网,因为企业网络上不存在许多影子物联网。超过80%的物联网是无线的。因此,影子物联网设备和网络的无线监控可以实现这些设备和网络的可见性和资产管理。传统安全产品按媒体访问控制(MAC)地址或供应商的组织唯一标识符(OUI)列出设备,但它们在具有许多不同类型设备的环境中基本上没有用处。Raggo补充说,“IT很想知道‘那个设备是什么?’”为了确定它是“流氓”设备还是许可设备。在当今深度包检测和机器学习的世界中,成熟的安全产品应该为发现的资产提供人性化的分类法,以简化资产管理和安全流程。3.隔离物联网Wisniewski表示,理想情况下,新的物联网设备和工业物联网设备应该通过专用于IT控制设备的单独Wi-Fi网络连接到互联网。网络应配置为“使物联网设备能够传出信息并阻止它们接收任何传入信息”。通过设置单独的网络,IT人员更容易为批准的影子物联网设备提供技术支持,同时尽可能保护核心企业网络。4.教育和培训必不可少确保您的团队了解威胁并努力获得对关键物联网政策和安全措施的支持。根据802Secure的一份报告,“在美国和英国,88%的受访IT领导者认为他们已经制定了有效的策略来减轻连接设备的安全风险。但参与调查的员工中有24%表示他们甚至不知道此类政策的存在,而在表示知道这些政策的员工中,只有20%的人真正遵守了这些政策。“当然,我们可能永远不会获得100%的参与,但如果人们甚至不知道存在哪些政策,那么参与和遵守就没有意义。
