在这个万物互联的时代,物联网(IoT)设备无疑改变了我们生活、工作和管理运营技术(OT)环境的方式。总体而言,到2027年,全球物联网设备数量预计将超过290亿,比2023年的167亿大幅增加。
设备和智能技术的激增也为网络犯罪分子提供了更多的机会,他们开始将物联网连接变成一个潜在的威胁,甚至是毁灭性的现实。
为了帮助组织更好地了解当前的物联网形势以及最佳防护措施,Zscaler threatlabz研究团队分析了来自Zscaler Zero Trust Exchange(世界上最大的内联安全云)的设备流量和物联网恶意软件数据,形成了这份《2023年企业IoT和OT威胁报告》。
重要发现
IoT形势概况
以下是IoT形势的简单概述:
运营技术(OT)系统是制造业、能源生产和公用事业等行业关键流程的支柱,现在已与物联网设备集成。由于OT领域的特点是在网络安全处于次要地位的时候设计和实施的遗留系统,因此物联网/OT领域极易受到“网络-物理”攻击。此外,员工和第三方供应商需要通过V**远程访问OT和IIoT(工业物联网)系统,这大大增加了这些系统的攻击面——特别是当V**漏洞已成为网络犯罪组织的主要攻击媒介时。
提及OT攻击史上的关键时刻,就不得不说发现于2010年的Stuxnet攻击。作为一种复杂的蠕虫病毒,Stuxnet通过破坏工业控制系统,感染了全球超过45000个网络,其中伊朗遭受的攻击最为严重。多模块和零日漏洞的运用,允许它通过USB驱动器和网络连接秘密传播。这起国家支持的攻击活动破坏了伊朗铀浓缩工厂的离心机,同时也强调了物联网和OT背景下关键基础设施的脆弱性。
与两年前相比,物联网设备流量增长了18%,这与物联网和连接设备的稳定采用表现一致。网络连接的物联网设备正充斥在现代企业中,但值得注意的是,它们并非都得到了IT部门的批准。以下是排名前五的物联网设备:
当ThreatLabz研究人员审查向Zscaler云发送流量的物联网设备时,消费者设备名列榜首。这是一个明显的示警:这些通常未经批准的“影子”物联网设备总是渗透到我们的网络中。
三种特定的消费设备类别几乎占据所有物联网设备的一半。个人设备数量最多的类别是电视机顶盒(如Apple TV、Roku、Fire TV等,占比23.9%),其次是智能手表(13.8%)和智能电视(13.3%)。值得注意的是,媒体播放器(9.3%)和数据采集终端(8.5%)等关键业务设备也跻身前五。
【图1:向Zscaler云发送流量的顶级物联网设备类别细分】
企业运营所依赖的物联网设备产生了最多的对外数据流量。大多数物联网流量来自数据采集终端(51.9%),这些终端是用于制造、工程、物流和仓储应用的无线条码读取器。其次是打印机(25.2%)和数字标牌媒体播放器(10.6%)。
【图2:产生最多流量的物联网设备细分】
还有一些好消息:62.1%的物联网流量采用SSL/TLS通道,以加密流量实现保护。另一方面,研究还观察到37.9%的流量发生在未加密的明文通道上。这些发现与2020年报告的结果明显不同,当时只有17%的流量使用SSL/TLS。
【图3:SSL/TLS与非SSL流量的比较】
更重要的是,所有观察到的设备都在某种程度上使用了SSL/TLS,但实际加密的通信百分比因设备类型而异。企业和家庭娱乐设备主要使用明文通信。医疗保健、制造和零售设备主要使用加密通信。
【图4:SSL/TLS与纯文本流量在关键领域的对比】
虽然SSL/TLS的流行对于数据隐私和完整性至关重要的部门来说是一个积极的信号,但值得注意的是,加密通道可能(而且经常)被威胁行为者利用,以帮助他们逃避检测,在网络内移动,并在不引起警报的情况下窃取数据。事实上,根据ThreatLabz的《加密数据攻击状态报告》显示,2022年超过85%的攻击是加密的。
这一现实使得组织根据“零信任”原则对所有加密流量进行可见性和检查变得至关重要。
将流量细分为不同的设备类别,结果显示近90%的流量来自制造、零售和企业设备。
【图5:垂直物联网设备类别产生的流量比例】
制造业在唯一设备方面处于领先地位
研究观察到,制造业和服务业垂直行业的唯一物联网设备(unique devices)数量最多(如下图所示)。此外,制造业在唯一物联网设备方面处于显著的领先地位,几乎是其他行业的三倍,强调了其对自动化和数字化的强烈追求,甚至将自身定位为利用物联网提高生产效率、产品质量和工业4.0创新的领跑者。
(*工业4.0,也被称为第四次工业革命,是数字技术和工业流程的融合。物联网设备是工业4.0的关键,为整个生产链提供实时数据和连接。)
【图6:垂直领域的唯一设备数量】
零售业产生的物联网流量最多
ThreatLabz的流量分析显示,零售和批发行业贡献了最高的流量,其次是制造业。
【图7:垂直领域的流量分析】
ThreatLabz的研究人员还研究了物联网设备将数据路由到的国家,即“目的地”。结果发现,大多数这种通信是合法的,物联网设备主要被设计用于发送和接收数据。
到目前为止,美国是最大的“目的地”,占流量的96.2%,其次是加拿大和荷兰。排名前十位的“目的地”国家如下所示:
物联网恶意软件的主要趋势
物联网恶意软件的逐年显著增长进一步证明了网络犯罪组织正在适应不断变化的环境,并继续升级针对企业的物联网恶意软件攻击的规模。
以下是对物联网恶意软件主要趋势的概述:
专门针对物联网(IoT)设备的恶意软件趋势已经成为对操作技术(OT)系统的重大威胁。物联网和OT的互联性允许恶意软件从公司网络传播到关键的OT系统,如此一来,不仅会破坏重要的流程,甚至可能危及人类的安全和生命。此外,远程承包商用来连接OT系统的V**本身已经成为关键的攻击媒介和恶意软件进入网络的另一个入口点。
Mirai和Gafgyt继续推动大多数物联网恶意软件攻击。从所阻止的流量来看,仅Mirai就占据了总流量的91%。这些发现与物联网僵尸网络驱动的分布式拒绝服务(DDoS)攻击的报告相一致,在2023年上半年,这些攻击导致全球经济损失高达25亿美元。
不过,物联网恶意软件的范围很广。以下是对顶级物联网恶意软件家族的分析:
Mirai
Mirai是一个僵尸网络,它使用暴力技术通过各种协议攻击物联网设备。Mirai还利用物联网设备的漏洞来感染其他物联网设备。这些目标漏洞大多存在于管理框架中,通过利用它们,网络犯罪分子实现了远程代码执行。受感染的设备通常会变成僵尸程序,成为更大的僵尸大军的一部分。Mirai多年来一直是最多产的物联网恶意软件家族之一,在2016年发动了历史上最大的DDoS攻击。
Gafgyt
Gafgyt是一种感染Linux系统发动DDoS攻击的恶意软件。自2015年源代码泄露以来,这种恶意软件已经产生了许多变种,并且已经感染了数百万台设备,其中大多数是物联网设备,特别是摄像头和DVR。这些僵尸网络造成了高达400gbps的DDoS攻击。
【图8:2023年1 - 6月Zscalercloud中观察到的顶级物联网恶意软件家族】
其他多产的物联网恶意软件家族还包括:
在被归类为恶意的二进制文件(可执行文件)中,我们观察到其中31%包含至少一个漏洞。总共有39个不同的漏洞被不同的有效载荷利用。命令注入是最常用的CWE类型,占所有漏洞的近75%。命令注入涉及在精心制作的HTTP请求中注入可执行命令,通常用于下载和执行stagager脚本或恶意二进制文件本身。
在研究发现的39个漏洞中,只有5个在过去三年中被披露,这突显了遗留漏洞的普遍性和风险。最早的漏洞可以追溯到2013年。
以下是所有被利用漏洞的列表,以及它们的CWE:
【图9:利用漏洞的常见弱点条目(CWEs)分布】
66.7%的攻击目标是路由器。路由器之所以成为物联网恶意软件的目标,归咎于它们始终连接、无处不在的特性,以及作为网络流量中央控制点的功能,且易受固件漏洞的影响。最后一个因素——固件漏洞——是一个常见的问题。今年早些时候,顶级路由器制造商Netgear和ASUS因高度关键的安全漏洞而登上头条就很好地印证了这一点。
尽管有这些警告,关键的路由器漏洞仍然大部分没有得到修补,为新的恶意软件利用和发起DDoS攻击敞开了大门。
【图10:攻击的主要目标设备】
总体来看,制造业受到攻击的概率(54.5%)是其他行业的三倍多。食品、饮料、烟草(16.5%)和教育行业(14.1%)分列第二和第三。
由于对运营中断的容忍度较低,制造业面临恶意软件攻击的风险极高。而且,对制造业的攻击可能会产生连锁反应,影响如下其他行业:
【图11:物联网恶意软件攻击目标的垂直细分】
教育领域的物联网恶意软件攻击实现了惊人的961%的增长。教育机构一直被认为是“软目标”,因为它们的网络上存储着大量的个人数据,使学生和教育机构都易受攻击。向远程学习的过渡大大拓宽了黑客的攻击面。学校网络中不安全的物联网设备的激增为攻击者提供了更容易的接入点。此外,学校在强大的网络安全措施上的有限投资进一步简化了攻击。
以下是物联网恶意软件攻击的年度对比,展示了百分比变化最大的行业:
墨西哥的物联网恶意软件感染率为46.1%,是受感染最严重的国家。感染最严重的四个国家中有三个(墨西哥、巴西和哥伦比亚)都是拉丁美洲国家。虽然采用速度普遍低于亚洲和欧洲等地区,但到2025年,拉丁美洲的物联网连接数量预计将达到13亿,而目前约为8亿。
【图12:经历最多物联网感染的国家】
调查结果显示,美国是物联网恶意软件开发者的首要目标,96%的物联网恶意软件是从美国的受感染IoT设备分发的。
【图13:主要的物联网恶意软件托管国家】
2024年预测
物联网设备开发人员和制造商缺乏标准化的安全措施,导致攻击者很容易利用漏洞。再加上这些设备的广泛采用,对于攻击者来说,物联网是唾手可得的成果,容易获得可观的经济收益。这将继续导致2024年及以后与物联网相关的攻击增加。
制造业遭受的攻击最多(54.5%),平均每周遭受6000次攻击。这种高度的利用活动与其工业4.0转型密切相关,特别是物联网的快速采用。这种增长在研究中表现得很明显:仅数据采集终端(如用于物流、仓储和其他行业的无线条形码扫描仪)就占所有物联网流量的62.1%。
鉴于这种扩展的攻击面,制造企业必须努力全面了解其环境中活跃的物联网设备和漏洞,并防止对企业网络的无限制访问。此外,运营技术(OT)系统必须适应这种数据和连接的涌入,并时刻做好应对准备。
许多医疗物联网(IoMT)设备及其处理的信息会影响人们的健康乃至人身安全。医疗保健行业处理的数据量极大,并存储着一些最敏感的用户数据,包括PII、健康记录和支付处理信息等。此外,医疗保健行业充斥着运行过时软件、协议和不受支持的操作系统的遗留设备,所有这些都为攻击打开了大门。
虽然企业将越来越多地利用人工智能技术来主动缓解威胁,但另一方面,威胁行为者将使用基于人工智能的工具来自动化攻击并规避传统的安全措施,从而导致更具针对性的物联网攻击。
随着5G的普及,物联网和运营技术(OT)攻击也将浮出水面。更高的数据速度和更低的延迟将继续推动连接设备的扩散。
随着物联网威胁在未来几年继续升级,预计围绕用户安全和隐私问题的行业标准将影响物联网设备制造商的安全开发实践。此外,将引入更多的监管检查和指令,以规范物联网安全措施,使制造商对其产品的安全负责。不过,在监管机构和设备制造商跟上不断变化的威胁形势之前,组织采取措施保护自己是很重要的。
IoT安全最佳实践
传统策略和工具无法适应物联网设备的复杂性,导致攻击面暴露,漏洞大开。许多遗留系统不能有效地监控和管理连接的设备,导致威胁行为者可以利用的盲点。此外,使用传统的基于网络的安全工具检查加密的物联网流量过于耗时,并且在某些情况下可能由于无法向这些设备推送证书而无法实现。
想要克服这些挑战并领先于当今的物联网威胁,必须采用多层安全方法,确保物联网生态系统的弹性。以“零信任”的心态进行操作,目标是在漏洞成为问题之前识别它们。
下述这些指导原则可以帮助保护组织免受未来的物联网攻击,并建立一种适应不断变化的威胁的安全文化。
想要保护物联网设备,首先要知道哪些设备连接到企业网络以及这些设备正在做什么。为此,组织可以通过利用分析网络日志以监控通信和活动的解决方案,获得对所有物联网设备(包括非管理设备)的可见性。无论设备位于何处,保持持续的可见性并意识到连接至网络的内容至关重要。
多因素身份验证(MFA)除了要求用户输入密码之外,还要求用户输入第二种验证模式。这一额外的安全层可以阻止攻击者获得用户帐户的访问权限,即便他们已经获得凭据,也能防止攻击者在受损的用户设备中横向移动。
未打补丁的设备更容易受到攻击。通过启用自动更新并快速修补任何新漏洞,可以确保授权的物联网设备安全。当无法打补丁时,零信任架构可以显著降低未打补丁设备带来的风险。
禁止物联网设备不受限制地访问网络,将权限限制在它们需要的站点和服务器上。该步骤可以使用“零信任架构”来实现。确保所有用户遵循相同的安全程序也将有助于防止初始妥协。
教育员工将未经授权的设备连接到网络的风险。鼓励他们报告自己连接的任何新设备,并进行安全意识培训,以帮助员工识别和避免对用户设备的攻击。
攻击大多使用加密通道,而这些通道通常缺乏检查,这使得即使是技能平庸的攻击者也很容易绕过安全控制。组织必须检查所有加密流量,以防止攻击者破坏系统。
消除隐性信任。使用最低权限访问原则实施网络分段,以确保用户和设备只能访问他们需要的内容。任何需要接入互联网的未经批准的“影子”物联网设备都应该通过流量检查,理想情况下,通过代理阻止企业数据。
定期了解最新的网络威胁和发展,包括已发布的入侵指标(IoC)和MITRE ATT&CK映射。这些信息可用于培训组织团队,改善安全态势,并有助于防止物联网攻击。
https://www.zscaler.com/resources/industry-reports/threatlabz-2023-enterprise-ioT-ot-threat-report.pdf