近年來，隨著國家對物聯(lián)網(wǎng)（IoT）技術(shù)發(fā)展的關注與投入，尤其是“十四五”規(guī)劃中被劃定為我國7大數(shù)字經(jīng)濟重點產(chǎn)業(yè)之一，物聯(lián)網(wǎng)在我國必將迎來全面利好的高速發(fā)展時期。然而值得注意的是，隨著物聯(lián)設備的不斷普及，其面對的網(wǎng)絡攻擊正與日俱增，而且變得越來越復雜并更具破壞性。近來多份不同報告均已看到大量實例，數(shù)十萬臺互聯(lián)設備遭到惡意軟件的攻擊，被勒索軟件、加密貨幣挖礦軟件、木馬、僵尸網(wǎng)絡等感染的報道屢見不鮮。

針對這一現(xiàn)狀，Check Point公司的安全專家分享并探討了這些漏洞存在的原因、網(wǎng)絡犯罪分子如何獲取訪問權(quán)限，以及用戶如何實施一些最佳實踐來保護貴組織免遭網(wǎng)絡攻擊。

此類攻擊如何發(fā)生？

如同知名的“木桶原則”，在網(wǎng)絡安全領域，用戶的網(wǎng)絡保護強度僅取決于最薄弱的一環(huán)。對于單臺設備來說是這樣，對于整個網(wǎng)絡也是如此。

關于網(wǎng)絡中最薄弱的環(huán)節(jié)，指的是可通過互聯(lián)網(wǎng)訪問的面向邊界網(wǎng)絡的設備。其中包括許多不同的設備類型，從低端 IP 攝像頭、路由器及企業(yè)園區(qū)傳感器到高端氣泵、EV 充電器 及 ATM 等不一而足。所有這些設備都連接到互聯(lián)網(wǎng)并支持遠程訪問。

邊界安全

當攻擊者企圖破壞網(wǎng)絡時，他們通常會掃描網(wǎng)絡來搜尋這些互聯(lián)設備，以將其用作網(wǎng)絡入侵的切入點。

物聯(lián)網(wǎng)設備是發(fā)起網(wǎng)絡攻擊的跳板，因為它們通常運行過時軟件或不受安全事件監(jiān)控。由于這些設備規(guī)模大、種類多（例如，一個大學校園可能管理數(shù)十種不同設備），因此傳統(tǒng)的事件響應措施可能不像往常那樣有效。當網(wǎng)絡中的大量資產(chǎn)同時遭到攻擊時，網(wǎng)絡安全負責人很難即刻了解漏洞的來源。

進一步感染

為獲得更大利益，攻擊者往往會長時間潛伏，等待合適的時機才出手，他們同時會執(zhí)行偵察任務，以在發(fā)起攻擊之前先熟悉潛在受害者的網(wǎng)絡。

發(fā)動攻擊時，攻擊者的目標之一是在整個目標網(wǎng)絡中實現(xiàn)橫向運動。他們希望在整個網(wǎng)絡中隨意移動，攻擊其他內(nèi)部資產(chǎn)和實體。通過利用服務器、PC 和常見辦公設備（如打印機和路由器），攻擊者可提高其對網(wǎng)絡進行更廣泛控制的能力。通常，攻擊者會利用這種控制達到各種目的，例如數(shù)據(jù)竊取、勒索、勒索軟件感染等。最初的一系列外圍設備入侵事件很快就會演變成一場可能帶來毀滅性后果的全面攻擊活動。

實際案例：攻擊通常如何實施？

勒索軟件感染入侵用戶的網(wǎng)絡后，便可感染更多數(shù)字資產(chǎn)，因此很難清除。

Vedere Labs 發(fā)布的 R4IoT 研究論文中提到了一個攻擊示例，其中用戶物聯(lián)網(wǎng)設備網(wǎng)絡首先遭到劫持，繼而感染大量惡意軟件、加密貨幣挖礦軟件。這場“攻擊”首先利用了在安訊士攝像頭（CVE－2018－10660、CVE－2018－10661）和 Zyxel NAS （CVE－2020－9054） 中發(fā)現(xiàn)的漏洞。通過使用這些網(wǎng)絡節(jié)點進行橫向傳播，惡意軟件能夠控制許多網(wǎng)絡設備、竊取信息并使其他設備感染勒索軟件。在本例中，研究人員利用（相對）較舊的漏洞（從 2018 年到 2020 年）演示了惡意軟件對固件未修補的設備造成的影響。這些漏洞允許攻擊者通過設備上未經(jīng)身份驗證的接口獲得完全訪問權(quán)限。

此外，最近 Mitel IP 電話被爆攻擊漏洞 （CVE－2022－29499）。該漏洞允許攻擊者在這些設備上運行任意命令，進而為所欲為。與 R4IoT 研究論文中介紹的漏洞（可使用基于簽名的傳統(tǒng)產(chǎn)品解決）不同，任何利用這一 Mitel 漏洞的攻擊者可以幾乎不受阻礙地持續(xù)感染用戶網(wǎng)絡。

同時還有最近發(fā)生的 ZuoRAT 攻擊事件。在這場極其廣泛的攻擊活動中，至少 80 種不同類型的設備及 Netgear、Asus 和 DrayTek 家用路由器受到感染。這種允許攻擊者遠程訪問的木馬惡意軟件已存在多年，并像野火般持續(xù)蔓延。在當下居家辦公的大環(huán)境下，這帶來了一個嚴重的安全風險，如果家用設備遭到感染，那么就可能對用戶所在企業(yè)的資產(chǎn)和整體業(yè)務產(chǎn)生毀滅性影響。

發(fā)動類似惡意軟件攻擊的方法遠比大眾想象的簡單。通常，前面提到的這些攻擊可通過不受監(jiān)管的市場低價購買。幾周前，美國司法部取締了一個名為 RSOCKS 的網(wǎng)站。這個網(wǎng)站所銷售的代理工具可供攻擊者實施加密貨幣挖礦活動、DDOS 攻擊等。大多數(shù)攻擊者只需使用默認憑證或猜測弱密碼即可控制聯(lián)網(wǎng)設備和資產(chǎn)。難以置信的是，這種猜測憑證或嘗試默認用戶名和密碼的方法聚起了一個由 350，000 多臺消費類、辦公及家用設備組成的惡意網(wǎng)絡。

內(nèi)部保護，面向未來

在如今的網(wǎng)絡環(huán)境中，企業(yè)聯(lián)網(wǎng)設備和資產(chǎn)必須能夠防范下一次攻擊。針對發(fā)現(xiàn)的各個漏洞和利用程序安裝一個又一個補丁往往不切實際。研究表明，即使軟件廠商頻繁發(fā)布設備更新，設備管理員和最終用戶通常也不會第一時間維護其設備并確保及時更新。在這種情況下，當務之急是采用一款面向未來的解決方案來解決這些難題。

Check Point 具備IOT防護能力的Quantum產(chǎn)品，在物聯(lián)網(wǎng)安全方面引入了一種創(chuàng)新方法，側(cè)重于檢測和防御，而不是像目前市場上的大多數(shù)解決方案一樣只是強調(diào)檢測。Check Point Nano－Agent 不僅提供了設備運行時保護，而且還能夠在每臺物聯(lián)網(wǎng)設備上運行，確保其在網(wǎng)絡環(huán)境、離線或物理隔離環(huán)境中安全無虞。該解決方案可監(jiān)控設備的軟件，確保設備行為符合預期。如果網(wǎng)絡攻擊者企圖利用已知或未知漏洞，Check Point的零日保護將會檢測到任何偏差，并即時阻止。

網(wǎng)絡安全之戰(zhàn)是一場持久戰(zhàn)，不法分子不斷翻新花樣，升級裝備。因此，在如今的現(xiàn)代網(wǎng)絡環(huán)境中，基本監(jiān)控和檢測安全解決方案已遠遠不能滿足用戶的安全需求。選擇一款既能實時檢測又能防御網(wǎng)絡攻擊的網(wǎng)絡安全解決方案，將是未來很長一段時間內(nèi)的大勢所趨。