物联网设备成远程办公新风险敞口 当以零信任化解燃眉之急

首页 / 业界 / 资讯 /  正文
作者:藏青
来源:安全419
发布于:2022-04-20
截至2017 年,联网设备的数量就已经超过了世界人口的总和,这是一个惊人的数据。但事实上,大多数的联网设备都没有考虑到安全因素,导致大量的物联网(IoT)漏洞被攻击者加以利用。
 
将目光拉回到今天,5年过去了,还有多少物联网设备暴露在攻击者的视线之内?据不完全统计,2020年全球约有123 亿台设备连接到互联网,除此以外,还有更多遗忘在角落中的物联网设备,他们是否仍然能够连接互联网?他们是否存在安全风险?我们对此不得而知。
 

 
潜伏在地平面下的物联网安全风险
 
众所周知,物联网设备可能存在于企业、家庭、医院、政府机构以及基本上任何连接存在的地方。一份调查报告显示,2020年,平均每个美国家庭在使用的物联网设备超过10台。假设美国的平均家庭有2.6人,人均拥有4台设备,那么在一个拥有1000名员工的企业中,将有多少台物联网设备能够访问到企业网络和业务?
 
爆炸式增长的海量物联网设备和其短暂的生命周期为物联网带来了难以把控的网络安全风险,无论是厂家已经停止安全更新的旧设备,还是代表当前最新技术的新设备,都难以抵御0Day漏洞的攻击,这成为了物联网安全难以绕过的话题。
 
日前,有研究人员在用于边缘计算的消息引擎和多协议消息总线NanoMQ中发现了一个0Day漏洞,而NanoMQ这一组件在各类物联网设备中都扮演着实施捕获数据的重要功能,如智能手表、汽车、火灾探测器、患者监测和安全系统的传感器等设备中都广泛应用,这一漏洞的披露,意味着超过1亿台设备都完全暴露在攻击者眼前,用户的隐私数据可以任其翻阅。
 
许多公司担心远程和混合工作结构会增加网络风险,但事实上大规模的物联网攻击面更应该受到关注。
 
即使是一个智能灯泡都有可能成为攻击入口
 
2021年上半年,针对智能设备的攻击高达到15亿次,攻击者试图窃取敏感数据、加密劫持设备或构建僵尸网络,他们希望通过家庭局域网连接企业内网进行远程办公的设备窃取企业资产。
 
对企业来说,最好的勒索攻击防御方案绝不仅仅是阻止网络钓鱼攻击,企业管理者还应认真考虑他们的物联网生态系统。或许一些人认为可以通过重启设备来阻止劫持或锁定设备的恶意软件,但是,即使你重启一个简单的物联网灯泡,最终也可能会暴露真实的网络地址。 
 
以智能灯泡设备举例来说,攻击者能够利用硬件漏洞远程接管灯泡功能,进而可以更改灯泡亮度或使其打开和关闭。灯泡的光亮的闪烁会造成一种连接错误的假象。这时,假如用户重新启动灯泡,并通过应用程序重新连接该设备,攻击者就可以顺利的将提前准备好的攻击代码或恶意软件添加到网络中,以实现IP网络渗透和恶意软件传播。
 
网络安全产业界针对物联网设备都提出了哪些安全建议?
 
通常建议保护物联网设备的传统方法包括:
 
· 尽快安装固件更新。更新中的补丁有助于防止0Day攻击。
· 经常更改预装的密码。使用包含大写和小写字母、数字和符号的复杂密码。
· 一旦认为设备运行异常,请立即重新启动设备,它可能有助于摆脱现有的恶意软件。(当心这个建议!)
· 保持对受本地虚拟专用网络限制的IoT设备的访问,这可以防止公共互联网暴露。
· 使用威胁数据源来阻止​​来自恶意网络地址的网络连接。
· 将未打补丁的设备保存在未经授权的用户无法访问的单独网络中。理想情况下,应该停用、销毁或回收无法修补的设备。
 
虽然其中一些技巧可能有用,但大多数人可能忽视了这些建议。甚至其中一些建议还会起到相反的效果,比如其中第三条,设备重启甚至可以会引起恶意软件感染。
 
零信任架构或许是更有效的物联网安全方案
 
鉴于当今设备的快速扩展和流动的组织边界,,企业的网络边界几乎已经不再存在,随着更多的设备访问的接入,更多远程办公访问的接入,企业亟需重新定义自身的安全边界,而零信任将是一条可行的解决之道。
 
例如,零信任架构能够将边界延伸到最远的一端,无论是用户、设备、应用程序还是试图获得网络访问权限的API,在可以验证身份和真实性之前,都能够坚决拒绝未获信任的访问请求。
 
对于已经采用零信任方法的企业,建议可以尝试采用安全访问服务边缘 (SASE) 服务。SASE是一种具有集成边缘计算安全性的零信任模型,旨在满足混合劳动力和各种物联网环境的需求。
 
SASE在边缘建立云交付的安全性,更靠近访问公司资源的用户和设备。基于分布式架构的SASE专注于将各个端点(分支机构、个人用户或单个设备)连接到服务边缘,并进一步着重于网络本身固有的安全性。