近年來(lái)，隨著國(guó)家對(duì)物聯(lián)網(wǎng)（IoT）技術(shù)發(fā)展的關(guān)注與投入，尤其是“十四五”規(guī)劃中被劃定為我國(guó)7大數(shù)字經(jīng)濟(jì)重點(diǎn)產(chǎn)業(yè)之一，物聯(lián)網(wǎng)在我國(guó)必將迎來(lái)全面利好的高速發(fā)展時(shí)期。然而值得注意的是，隨著物聯(lián)設(shè)備的不斷普及，其面對(duì)的網(wǎng)絡(luò)攻擊正與日俱增，而且變得越來(lái)越復(fù)雜并更具破壞性。近來(lái)多份不同報(bào)告均已看到大量實(shí)例，數(shù)十萬(wàn)臺(tái)互聯(lián)設(shè)備遭到惡意軟件的攻擊，被勒索軟件、加密貨幣挖礦軟件、木馬、僵尸網(wǎng)絡(luò)等感染的報(bào)道屢見(jiàn)不鮮。

針對(duì)這一現(xiàn)狀，Check Point公司的安全專家分享并探討了這些漏洞存在的原因、網(wǎng)絡(luò)犯罪分子如何獲取訪問(wèn)權(quán)限，以及用戶如何實(shí)施一些最佳實(shí)踐來(lái)保護(hù)貴組織免遭網(wǎng)絡(luò)攻擊。

此類攻擊如何發(fā)生？

如同知名的“木桶原則”，在網(wǎng)絡(luò)安全領(lǐng)域，用戶的網(wǎng)絡(luò)保護(hù)強(qiáng)度僅取決于最薄弱的一環(huán)。對(duì)于單臺(tái)設(shè)備來(lái)說(shuō)是這樣，對(duì)于整個(gè)網(wǎng)絡(luò)也是如此。

關(guān)于網(wǎng)絡(luò)中最薄弱的環(huán)節(jié)，指的是可通過(guò)互聯(lián)網(wǎng)訪問(wèn)的面向邊界網(wǎng)絡(luò)的設(shè)備。其中包括許多不同的設(shè)備類型，從低端 IP 攝像頭、路由器及企業(yè)園區(qū)傳感器到高端氣泵、EV 充電器 及 ATM 等不一而足。所有這些設(shè)備都連接到互聯(lián)網(wǎng)并支持遠(yuǎn)程訪問(wèn)。

邊界安全

當(dāng)攻擊者企圖破壞網(wǎng)絡(luò)時(shí)，他們通常會(huì)掃描網(wǎng)絡(luò)來(lái)搜尋這些互聯(lián)設(shè)備，以將其用作網(wǎng)絡(luò)入侵的切入點(diǎn)。

物聯(lián)網(wǎng)設(shè)備是發(fā)起網(wǎng)絡(luò)攻擊的跳板，因?yàn)樗鼈兺ǔ＿\(yùn)行過(guò)時(shí)軟件或不受安全事件監(jiān)控。由于這些設(shè)備規(guī)模大、種類多（例如，一個(gè)大學(xué)校園可能管理數(shù)十種不同設(shè)備），因此傳統(tǒng)的事件響應(yīng)措施可能不像往常那樣有效。當(dāng)網(wǎng)絡(luò)中的大量資產(chǎn)同時(shí)遭到攻擊時(shí)，網(wǎng)絡(luò)安全負(fù)責(zé)人很難即刻了解漏洞的來(lái)源。

進(jìn)一步感染

為獲得更大利益，攻擊者往往會(huì)長(zhǎng)時(shí)間潛伏，等待合適的時(shí)機(jī)才出手，他們同時(shí)會(huì)執(zhí)行偵察任務(wù)，以在發(fā)起攻擊之前先熟悉潛在受害者的網(wǎng)絡(luò)。

發(fā)動(dòng)攻擊時(shí)，攻擊者的目標(biāo)之一是在整個(gè)目標(biāo)網(wǎng)絡(luò)中實(shí)現(xiàn)橫向運(yùn)動(dòng)。他們希望在整個(gè)網(wǎng)絡(luò)中隨意移動(dòng)，攻擊其他內(nèi)部資產(chǎn)和實(shí)體。通過(guò)利用服務(wù)器、PC 和常見(jiàn)辦公設(shè)備（如打印機(jī)和路由器），攻擊者可提高其對(duì)網(wǎng)絡(luò)進(jìn)行更廣泛控制的能力。通常，攻擊者會(huì)利用這種控制達(dá)到各種目的，例如數(shù)據(jù)竊取、勒索、勒索軟件感染等。最初的一系列外圍設(shè)備入侵事件很快就會(huì)演變成一場(chǎng)可能帶來(lái)毀滅性后果的全面攻擊活動(dòng)。

實(shí)際案例：攻擊通常如何實(shí)施？

勒索軟件感染入侵用戶的網(wǎng)絡(luò)后，便可感染更多數(shù)字資產(chǎn)，因此很難清除。

Vedere Labs 發(fā)布的 R4IoT 研究論文中提到了一個(gè)攻擊示例，其中用戶物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)首先遭到劫持，繼而感染大量惡意軟件、加密貨幣挖礦軟件。這場(chǎng)“攻擊”首先利用了在安訊士攝像頭（CVE－2018－10660、CVE－2018－10661）和 Zyxel NAS （CVE－2020－9054） 中發(fā)現(xiàn)的漏洞。通過(guò)使用這些網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行橫向傳播，惡意軟件能夠控制許多網(wǎng)絡(luò)設(shè)備、竊取信息并使其他設(shè)備感染勒索軟件。在本例中，研究人員利用（相對(duì)）較舊的漏洞（從 2018 年到 2020 年）演示了惡意軟件對(duì)固件未修補(bǔ)的設(shè)備造成的影響。這些漏洞允許攻擊者通過(guò)設(shè)備上未經(jīng)身份驗(yàn)證的接口獲得完全訪問(wèn)權(quán)限。

此外，最近 Mitel IP 電話被爆攻擊漏洞 （CVE－2022－29499）。該漏洞允許攻擊者在這些設(shè)備上運(yùn)行任意命令，進(jìn)而為所欲為。與 R4IoT 研究論文中介紹的漏洞（可使用基于簽名的傳統(tǒng)產(chǎn)品解決）不同，任何利用這一 Mitel 漏洞的攻擊者可以幾乎不受阻礙地持續(xù)感染用戶網(wǎng)絡(luò)。

同時(shí)還有最近發(fā)生的 ZuoRAT 攻擊事件。在這場(chǎng)極其廣泛的攻擊活動(dòng)中，至少 80 種不同類型的設(shè)備及 Netgear、Asus 和 DrayTek 家用路由器受到感染。這種允許攻擊者遠(yuǎn)程訪問(wèn)的木馬惡意軟件已存在多年，并像野火般持續(xù)蔓延。在當(dāng)下居家辦公的大環(huán)境下，這帶來(lái)了一個(gè)嚴(yán)重的安全風(fēng)險(xiǎn)，如果家用設(shè)備遭到感染，那么就可能對(duì)用戶所在企業(yè)的資產(chǎn)和整體業(yè)務(wù)產(chǎn)生毀滅性影響。

發(fā)動(dòng)類似惡意軟件攻擊的方法遠(yuǎn)比大眾想象的簡(jiǎn)單。通常，前面提到的這些攻擊可通過(guò)不受監(jiān)管的市場(chǎng)低價(jià)購(gòu)買。幾周前，美國(guó)司法部取締了一個(gè)名為 RSOCKS 的網(wǎng)站。這個(gè)網(wǎng)站所銷售的代理工具可供攻擊者實(shí)施加密貨幣挖礦活動(dòng)、DDOS 攻擊等。大多數(shù)攻擊者只需使用默認(rèn)憑證或猜測(cè)弱密碼即可控制聯(lián)網(wǎng)設(shè)備和資產(chǎn)。難以置信的是，這種猜測(cè)憑證或嘗試默認(rèn)用戶名和密碼的方法聚起了一個(gè)由 350，000 多臺(tái)消費(fèi)類、辦公及家用設(shè)備組成的惡意網(wǎng)絡(luò)。

內(nèi)部保護(hù)，面向未來(lái)

在如今的網(wǎng)絡(luò)環(huán)境中，企業(yè)聯(lián)網(wǎng)設(shè)備和資產(chǎn)必須能夠防范下一次攻擊。針對(duì)發(fā)現(xiàn)的各個(gè)漏洞和利用程序安裝一個(gè)又一個(gè)補(bǔ)丁往往不切實(shí)際。研究表明，即使軟件廠商頻繁發(fā)布設(shè)備更新，設(shè)備管理員和最終用戶通常也不會(huì)第一時(shí)間維護(hù)其設(shè)備并確保及時(shí)更新。在這種情況下，當(dāng)務(wù)之急是采用一款面向未來(lái)的解決方案來(lái)解決這些難題。

Check Point 具備IOT防護(hù)能力的Quantum產(chǎn)品，在物聯(lián)網(wǎng)安全方面引入了一種創(chuàng)新方法，側(cè)重于檢測(cè)和防御，而不是像目前市場(chǎng)上的大多數(shù)解決方案一樣只是強(qiáng)調(diào)檢測(cè)。Check Point Nano－Agent 不僅提供了設(shè)備運(yùn)行時(shí)保護(hù)，而且還能夠在每臺(tái)物聯(lián)網(wǎng)設(shè)備上運(yùn)行，確保其在網(wǎng)絡(luò)環(huán)境、離線或物理隔離環(huán)境中安全無(wú)虞。該解決方案可監(jiān)控設(shè)備的軟件，確保設(shè)備行為符合預(yù)期。如果網(wǎng)絡(luò)攻擊者企圖利用已知或未知漏洞，Check Point的零日保護(hù)將會(huì)檢測(cè)到任何偏差，并即時(shí)阻止。

網(wǎng)絡(luò)安全之戰(zhàn)是一場(chǎng)持久戰(zhàn)，不法分子不斷翻新花樣，升級(jí)裝備。因此，在如今的現(xiàn)代網(wǎng)絡(luò)環(huán)境中，基本監(jiān)控和檢測(cè)安全解決方案已遠(yuǎn)遠(yuǎn)不能滿足用戶的安全需求。選擇一款既能實(shí)時(shí)檢測(cè)又能防御網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)安全解決方案，將是未來(lái)很長(zhǎng)一段時(shí)間內(nèi)的大勢(shì)所趨。