尽管近年来人们越来越重视网络安全,但数据泄露的数量仍在持续上升。随着企业更加关注安全问题(并在这方面投入更多资金),网络犯罪分子也在加大力度。在针对物联网设备的高阶持续性威胁(APTs)领域,我们尤其能看到这一点。
当代网络犯罪分子有很大的动机,包括经济动机和其他动机。
勒索软件包很容易在暗网上获得,勒索软件为犯罪分子提供了强大的经济动机。民族国家威胁行为者也进入了威胁领域,实施出于政治动机的攻击。
由于这些原因以及其他原因,,恶意软件的数量在不断增加,而且随着公司加强网络防御工作,所生产的恶意软件也越来越先进。
这种趋势不可能很快结束,因为对坏人的刺激太大了。
物联网中的漏洞
物联网(IoT)是指消费者和企业使用的互联网设备网络。从与网络连接的心脏起搏器到 Nest 烟雾探测器,再到自动驾驶的特斯拉,一切都是物联网设备。
物联网设备日益普及。不幸的是,物联网网络攻击也越来越流行。物联网攻击:
- 由于暗网和 GitHub 等代码库中都有公开代码,因此很容易上手
- 成功率高
- 难以检测和补救,使 APT 得以得逞
- 使攻击者能够在组织网络内获得立足点
- 使攻击者能够向其僵尸网络添加更多设备(僵尸网络可用于 DDoS 攻击、发送垃圾邮件等)。
总体而言,漏洞数量在不断增加,而针对物联网设备的攻击尤其呈上升趋势。
物联网攻击浮出水面
攻击者首先会寻找易受攻击的物联网设备,并试图入侵它们。攻击者可以进行大规模攻击。他们可以承受一次又一次入侵设备的失败,但物联网设备只需遭受一次攻击就会被入侵。
更糟糕的是,物联网设备往往存在许多已知和未知的漏洞。物联网漏洞的数量在不断增加,而用户往往没有及时打补丁或安装更新,这使得攻击者更容易入侵设备。
另一个令人担忧的问题是,物联网设备通常带有从未更新过的默认凭据。这就使得漏洞和补丁的问题变得毫无意义:如果攻击者可以暴力破解凭据,或从公开的列表中获取凭据,那么设备很可能已经受到攻击。
物联网高阶持续性威胁的一些特点
规避技巧
高阶持续性威胁通常通过代码混淆、虚拟环境检测和许多其他方法来逃避检测。
隐蔽技术
网络犯罪分子越来越善于隐藏感染系统的恶意软件。
自我传播
许多 APT 除了持续留在一个系统上,还会寻找其他系统进行感染。
资源效率
这是物联网 APT 与普通计算机上的传统 APT 的区别所在。物联网 APT 运行所需的计算能力不到普通设备的 5%,有时,恶意软件会在检测到设备的内存容量后聪明地进行自我调整。
新的物联网网络杀手链
网络杀伤链是威胁行为者实施的一系列步骤。理论上,每个步骤都可以被网络防御系统识别和阻止。洛克希德-马丁公司将 APT 的 "网络杀伤链 "描述为
然而,对于物联网设备来说,杀伤链中还有额外的步骤,这使得物联网 APT 更具威胁性。新的物联网杀伤链是这样的
物联网 APT 的目的不仅仅是感染单个设备或网络,它们还会扩散到其他设备并隐藏自己,从而保持持久性。
物联网防御战略
系统升级对修补漏洞至关重要,但往往不可行或因其他原因而无法进行。补丁发布后,攻击者可能会反向设计漏洞利用程序,使未升级的设备受到攻击。此外,供应商往往无法或不愿及时修补其产品中发现的所有漏洞。
发生感染时,隔离是一个可行的解决方案。然而,由于现实世界的限制,隔离设备可能是不可能或不切实际的。例如,隔离一台有被入侵迹象但对监控楼宇安全至关重要的监控摄像头可能就很困难。
物联网 APT:OPSWAT 推荐的防御策略
要阻止物联网 APT,就必须阻止隐藏在数据中的所有威胁。同样,网络犯罪分子很容易失败,但网络防御必须始终成功。
基于检测的防御很容易受到恶意软件隐藏技术的影响。高阶威胁甚至可以通过随机执行或在执行前检测是否在虚拟环境中来欺骗沙箱 。此外,即使是最好的反恶意软件检测技术也可能无法发现零日威胁。
OPSWAT 我们坚信将基于检测的策略与先进的威胁预防相结合。我们的数据清除(CDR)技术通过解除和重构文件中潜在的恶意内容,消除进入网络的任何文件或图像中的威胁。无论是否检测到威胁,任何文件都可以也应该经过这一过程。
除了利用数据清除(CDR)外,使用 物联网设备的企业 还应尽可能遵循安全最佳实践,定期更新设备并重置默认登录凭据。最后,只有在绝对必要的情况下,才应将支持网络的设备连接到更大的互联网上。
