有一個(gè)說法：“總有一天，冰箱會(huì)知道你的需求是什么，可以幫你自動(dòng)從商店訂貨。冰箱比你更了解你的需求”

我們不擔(dān)心網(wǎng)絡(luò)攻擊。現(xiàn)在，物聯(lián)網(wǎng)(IoT)也可以使能設(shè)備，也可以預(yù)防潛在的攻擊。

數(shù)十年來，運(yùn)營技術(shù)(OT)，物聯(lián)網(wǎng)和醫(yī)療物聯(lián)網(wǎng)(IoMT)一直在影響著生產(chǎn)力，并且每個(gè)版本的每臺(tái)設(shè)備都變得“更智能”。越來越多的雇主要求安全專業(yè)人員保護(hù)所有這些設(shè)備。這意味著將它們帶入IT領(lǐng)域，并將其納入我們的漏洞管理程序中。踏上我們這廣闊的新海洋之旅。

[[351039]]

物聯(lián)網(wǎng)的未知領(lǐng)域

在任何物聯(lián)網(wǎng)探索中，我稱其為航程，同時(shí)也包括OT和IoMT的第一個(gè)挑戰(zhàn)是對設(shè)備本身進(jìn)行定位和分類。那么，物聯(lián)網(wǎng)X-Force，Nozomi，Cylera，Tenable.ot和Qualys IoT等物聯(lián)網(wǎng)掃描儀都使用被動(dòng)掃描也就不足為奇了。這種類型的掃描實(shí)際上是在偵聽-就像潛水艇上的麥克風(fēng)一樣-并且它要求我們將解決方案連接到網(wǎng)絡(luò)中可以“聽到”所有內(nèi)容的位置。這取決于供應(yīng)商和上下文，稱為鏡像端口，監(jiān)視器會(huì)話或網(wǎng)絡(luò)分接頭。這些解決方案僅通過基于簽名的物聯(lián)網(wǎng)設(shè)備查找和指紋識(shí)別就可以盡早獲得成功。

為什么稱之為被動(dòng)掃描?物聯(lián)網(wǎng)設(shè)備容易被損傷;如果我們向他們發(fā)送IT掃描附帶的大量活動(dòng)請求，它們可能會(huì)枯萎。有沒有看到打印機(jī)噴出大量廢話?您可以感謝您友好的鄰居掃描儀。在真正的潛水艇中，“砰”一詞來自聲納從飛船彈起的聲音。物聯(lián)網(wǎng)設(shè)備處于棘手的“重要但脆弱”的區(qū)域，而這種手套式方法將物聯(lián)網(wǎng)掃描儀與其兄弟分隔開來。

一旦找到，物聯(lián)網(wǎng)掃描儀便會(huì)檢查設(shè)備的流量并將其與自己的配置文件數(shù)據(jù)庫進(jìn)行比較，以確定其正在處理的生物種類。受到好評后，系統(tǒng)將使用已知風(fēng)險(xiǎn)針對檢測到的IoT固件版本交叉引用設(shè)備的配置文件。

新與舊相遇

這表示與其他類型的掃描有所不同;被動(dòng)掃描器無需測量設(shè)備的響應(yīng)方式，而是觀察設(shè)備的功能。從本質(zhì)上講，現(xiàn)代物聯(lián)網(wǎng)掃描儀更像是一個(gè)入侵檢測系統(tǒng)，實(shí)際上，某些解決方案實(shí)際上試圖阻止不良行為，將其放入入侵防御系統(tǒng)中。這有優(yōu)點(diǎn)也有缺點(diǎn)。我們可以了解有關(guān)該系統(tǒng)的更多信息，并且更有可能積極地識(shí)別它。另一方面，除非我們直接看到另一個(gè)系統(tǒng)連接到它，否則我們可能無法檢測到所有打開的端口。

對于現(xiàn)代的物聯(lián)網(wǎng)來說，這一切都很好，但是潛伏在深處的可怕的舊OT設(shè)備又如何呢?這些機(jī)構(gòu)使用SONET環(huán)和串行連接的繁華時(shí)代的技術(shù)。這在很大程度上取決于系統(tǒng)如何管理這些東西。在大多數(shù)情況下，最好的結(jié)果是檢測相對最新的人機(jī)界面(HMI)。這些系統(tǒng)就像章魚一樣，具有多個(gè)觸手，它們通過另一種連接介質(zhì)連接到傳感器，閥門，泵和其他OT設(shè)備。在攻擊者控制其中一個(gè)系統(tǒng)的情況下，由于帶有“ Valve Shutoff”和“ Release the Kraken”等標(biāo)簽的按鈕，可能會(huì)發(fā)生可怕的事情。

安全設(shè)備的網(wǎng)關(guān)

在其他情況下，客戶端使用稱為串行網(wǎng)關(guān)的小型設(shè)備，這使它們可以連接到諸如安全外殼或知名的Telnet之類的服務(wù)，并像直接連接設(shè)備一樣管理該設(shè)備。

然后，物聯(lián)網(wǎng)掃描儀將檢測網(wǎng)絡(luò)上的這些HMI和串行網(wǎng)關(guān)系統(tǒng)。我們需要記住，從清單的角度來看，它們代表著更多的設(shè)備。無論是手工從HMI導(dǎo)入設(shè)備還是使用定制系統(tǒng)(例如tdi ConsoleWorks)，通常都是需要幫助的地方。

尋找您的物聯(lián)網(wǎng)當(dāng)前課程和速度

發(fā)現(xiàn)我們所有的物聯(lián)網(wǎng)系統(tǒng)后，問題就變成了“我們?nèi)绾伪Ｗo(hù)它們?” 控制層次結(jié)構(gòu)的Purdue模型將成為我們的北極星。這是普渡大學(xué)與自動(dòng)化工業(yè)協(xié)會(huì)99委員會(huì)之間合資的結(jié)果。它的四個(gè)區(qū)域和六個(gè)級別對應(yīng)于實(shí)際物聯(lián)網(wǎng)設(shè)備(主要是OT設(shè)備)和企業(yè)網(wǎng)絡(luò)之間的差異層。此處提供了一個(gè)有用的文檔，該文檔參考了Purdue模型，供那些想要看看的人參考。

工業(yè)控制系統(tǒng)的Purdue模型

我們在物聯(lián)網(wǎng)的深海中發(fā)現(xiàn)的現(xiàn)實(shí)有時(shí)需要更大的動(dòng)力。普渡大學(xué)模型非常特定于制造業(yè)。它還要依靠組織來改變其環(huán)境，以便從中獲得最大的價(jià)值。與IoMT用例形成對比，IoMT用例中，平板電腦，Windows XP計(jì)算機(jī)甚至秤都共享網(wǎng)絡(luò)，而分散的負(fù)擔(dān)卻是我的負(fù)擔(dān)。這些設(shè)備在生產(chǎn)環(huán)境中的有機(jī)采用既勇敢又令人生畏，使人員效率更高，同時(shí)每次功能升級都可以創(chuàng)造出充滿新攻擊角度的加油機(jī)。

快速而輕松地與現(xiàn)有網(wǎng)絡(luò)連接的新設(shè)備的數(shù)量增加了斗爭的難度。對于許多物聯(lián)網(wǎng)用例而言，產(chǎn)品經(jīng)理正在竭盡全力，并試圖以比競爭對手更新穎，更好的功能將產(chǎn)品推向市場。對他們來說，Purdue模型是一張藏寶圖，其中X標(biāo)記了C級執(zhí)行官，他想要輕松修復(fù)并可以寫一張支票。

不足為奇的是，相關(guān)的行業(yè)論壇和標(biāo)準(zhǔn)如雨后春筍般冒出，以降低錨點(diǎn)并減慢這一速度。該IoXT聯(lián)盟它們是在參加好力(IBM是一個(gè)成員)智能高科技廠商一個(gè)很好的例子。和歐洲醫(yī)療器械監(jiān)管是值得關(guān)注的，與執(zhí)法有望在2021年開始。

這里是物聯(lián)網(wǎng)的怪物

當(dāng)然，我們所有人都想避免的情況是，可怕的幽靈船上的那些海盜掌握了我們的個(gè)人身份信息和受保護(hù)的健康信息，甚至完全淹沒了我們的重要船只。換句話說，我們正在談?wù)摰倪@些設(shè)備既關(guān)鍵又脆弱。盡管它們變得越來越普遍，我們?nèi)孕枰Ｗo(hù)它們及其數(shù)據(jù)。

較新的設(shè)備足夠聰明，足以危險(xiǎn)。他們可能會(huì)采用分布式Linux配置，并提供諸如小型但功能強(qiáng)大的服務(wù)器之類的服務(wù)?？蛻舳耸褂媚赡軟]有聽說過但可能在您每天使用的東西中運(yùn)行的實(shí)時(shí)操作系統(tǒng)，將它們與其他設(shè)備混合在一起。您的汽車或雜貨店的自助退房可能包括這些。而且，這些設(shè)備中仍有更多運(yùn)行Windows的嵌入式版本。在您擔(dān)心Myspace頁面的那些日子里，您可能會(huì)認(rèn)識(shí)到它。

處理報(bào)廢設(shè)備

這些設(shè)備無法自衛(wèi)。從支持的角度來看，許多功能完善的物聯(lián)網(wǎng)設(shè)備實(shí)際上已經(jīng)壽終正寢，但直到有人意識(shí)到它們?nèi)菀资艿?年歷史的利用之后，它們?nèi)栽谖宋俗黜憽?/p>

近期打擊消費(fèi)者安全攝像機(jī)的云服務(wù)關(guān)閉證明了軟件和硬件功能之間的差異。它使這些原本可以工作的設(shè)備無處發(fā)送視頻。在工作中，這些相同的物聯(lián)網(wǎng)問題同樣適用-產(chǎn)品壽命短和對供應(yīng)商的依賴性相同，即使設(shè)備一旦失去支持仍可以正常工作。這樣，憑借其獨(dú)立的特性，較舊的OT設(shè)備可以比依靠云的智能IoT同類產(chǎn)品更長壽。

考慮到所有這些挑戰(zhàn)，在海上容易感到迷路。物聯(lián)網(wǎng)掃描儀可以運(yùn)行，查找新設(shè)備并告訴我們其風(fēng)險(xiǎn)。這些都是很好的解決方案，但是如果它們產(chǎn)生成千上萬的發(fā)現(xiàn)，而掃描儀往往會(huì)這樣做，那么我們?nèi)绾翁幚硭鼈兊慕Y(jié)果呢?而且，我們?nèi)绾螐幕陲L(fēng)險(xiǎn)的角度看待物聯(lián)網(wǎng)?

即時(shí)幫助：漏洞排名

掃描儀報(bào)告的幾乎所有漏洞(IoT或IT)都引用了常見的漏洞和披露(CVE)編號。MITER維護(hù)了此報(bào)告庫，其中報(bào)告了所有影響供應(yīng)商軟件和硬件的漏洞。方便地，安全研究人員在發(fā)布針對該漏洞的概念驗(yàn)證漏洞利用代碼時(shí)經(jīng)常會(huì)引用此內(nèi)容。并非所有漏洞都被公開證明是可以利用的-X-Force Red發(fā)現(xiàn)，只有大約16%的CVE屬于此類。

雖然Darknet和深度網(wǎng)絡(luò)潛水可以找到利用漏洞利用的特定實(shí)例，但從表面上衡量CVE漏洞利用的普及程度(例如Metasploit，ExploitDB和Github等網(wǎng)站)，可以很好地了解安全研究人員所看到的內(nèi)容。

此外，您可以結(jié)合動(dòng)手實(shí)踐的攻擊經(jīng)驗(yàn)和人工智能，根據(jù)攻擊者部署CVE的方式對每個(gè)CVE進(jìn)行評分。這有助于將現(xiàn)實(shí)添加到如此簡單的CVE中，以至于它們不需要漏洞利用代碼，并且對于沒有關(guān)聯(lián)CVE的基于配置的發(fā)現(xiàn)也是如此。

風(fēng)險(xiǎn)分析

由于物聯(lián)網(wǎng)風(fēng)險(xiǎn)可能非常復(fù)雜，因此在制定課程之前，必須同時(shí)考慮技術(shù)和業(yè)務(wù)風(fēng)險(xiǎn)。IBM合作伙伴AbedGraham的[CCOM2]等技術(shù)為發(fā)現(xiàn)增加了特定于醫(yī)療保健的風(fēng)險(xiǎn)，并確定了臨床工程團(tuán)隊(duì)首先應(yīng)關(guān)注的IoMT設(shè)備。

例如，盡管某些型號的患者監(jiān)護(hù)儀存在固有的漏洞，但是拆除醫(yī)院的磁共振成像(MRI)機(jī)器的能力通常是更為緊迫的威脅。可以通過不同的角度來查看這些風(fēng)險(xiǎn)。在[CCOM2]的情況下，針對通常與臨床環(huán)境相關(guān)的風(fēng)險(xiǎn)來評估易受攻擊的系統(tǒng)。

此外，X-Force Red經(jīng)常將這些東西拆開，以更好地了解下面可能還存在哪些其他風(fēng)險(xiǎn)。諸如FiniteState之類的工具可以幫助分析固件，并讓我們隨時(shí)了解這些設(shè)備的新威脅。X-Force Red硬件滲透測試可以幫助發(fā)現(xiàn)設(shè)備行為或其通信方法中可能存在的漏洞。

物聯(lián)網(wǎng)修復(fù)策略

修復(fù)物聯(lián)網(wǎng)漏洞可能需要很長時(shí)間。首先，除了一些基本配置外，我們通常對設(shè)備沒有太多控制。此外，受影響的設(shè)備有時(shí)是較大解決方案的一部分。我們的聯(lián)絡(luò)點(diǎn)可能無能為力。在最壞的情況下，供應(yīng)商會(huì)提醒我們，受影響的設(shè)備已經(jīng)停產(chǎn)并且不受支持。需要?jiǎng)?chuàng)造性思維，并且我們經(jīng)常從多個(gè)角度處理這些情況。

攻擊檢測 是第一位的。無論我們是否可以阻止它，我們當(dāng)然都可以發(fā)現(xiàn)一些嘗試?yán)盟膕calawag。真正的攻擊 應(yīng)該 很少見，而IoT掃描程序通過其偵聽流量的能力有時(shí)可以檢測甚至阻止這種行為。如果我們可以檢測到它，可以將其與事件響應(yīng)手冊聯(lián)系在一起，知道在事件中正在嘗試什么以及尋找什么。

如果我們發(fā)現(xiàn)設(shè)備不適當(dāng)或意外暴露，則有時(shí)也可以使用分段 。此過程在基礎(chǔ)架構(gòu)級別增加了保護(hù)，以在設(shè)備周圍建立防波堤。本質(zhì)上，如果我們將攻擊者放置在另一個(gè)受保護(hù)的網(wǎng)絡(luò)上，則攻擊者可能會(huì)與該設(shè)備完全斷開連接。

修補(bǔ)有時(shí)仍是IoT設(shè)備的一種選擇。但是，它比IT同行更不常見，執(zhí)行起來也更困難。在最佳情況下，可以以低風(fēng)險(xiǎn)推出配置更改，以禁用易受攻擊的不需要的服務(wù)。如果確實(shí)存在補(bǔ)丁程序，則通常需要將設(shè)備停運(yùn)才能進(jìn)行補(bǔ)丁程序。在某些情況下，設(shè)備將需要物理訪問權(quán)限才能安裝補(bǔ)丁。固件更新失敗的設(shè)備被認(rèn)為是“磚狀”的，通常需要將其送出進(jìn)行維修。因此，修補(bǔ)高可用性，關(guān)鍵設(shè)備非常恐怖且危險(xiǎn)，這又需要更改窗口和冗長的部署。

負(fù)責(zé)任的披露是我們在安全團(tuán)隊(duì)或客戶發(fā)現(xiàn)設(shè)備中的新缺陷時(shí)所經(jīng)歷的長期過程。由于我們之前談到的事情，這在物聯(lián)網(wǎng)領(lǐng)域更為常見。即，它來自于市場的搶占和網(wǎng)絡(luò)功能的快速啟用。這些設(shè)備中的許多都有缺陷，一旦將它們拆開，團(tuán)隊(duì)便可以迅速發(fā)現(xiàn)它們。您可以說，這是物聯(lián)網(wǎng)中深處的漏洞的真正“大陷阱”。

揚(yáng)帆起航

到此為止，航海的隱喻變得有些可疑了。但是，聲音。從工作站和服務(wù)器的相對可預(yù)測性轉(zhuǎn)向保護(hù)物聯(lián)網(wǎng)設(shè)備的安全，就像為未知的零件起航。您需要一個(gè)基于發(fā)現(xiàn)，優(yōu)先級和補(bǔ)救的程序，以維持緊密的物聯(lián)網(wǎng)。