揭秘世界上最危险的连接设备

华盟原创文章投稿奖励计划

揭秘世界上最危险的连接设备

在每个行业中,连接设备的数量和多样性都在不断增长,为组织机构理解和管理其面临的风险提出了新的挑战。如今,大多数组织在他们的网络中托管了相互连接的IT、OT和物联网设备的组合,这进一步扩大了组织的攻击面。

根据Ponemon研究所最新发布的一份报告指出,65%的受访组织表示,物联网/OT设备是其网络中最不安全的部分之一,而50%的组织表示,针对这些设备的攻击有所增加。88%的组织中的IT人员将物联网设备连接到互联网,56%将OT设备连接到互联网,51%将OT网络连接到IT网络。

威胁行为者很清楚这些趋势。最近的报道显示,勒索软件组织已经开始大规模针对诸如NAS, VoIP和hypervisor等设备。毫不奇怪,这些设备中的大多数都是我们在《2020年物联网安全报告》中确定的风险最高的设备。

在本次报告中,我们更新了关于2022年企业网络中最危险设备的分析发现,并提出了缓解建议。

主要发现

许多2020年观察到的最危险设备类型仍然赫然在列,如网络设备、VoIP、IP摄像头和可编程逻辑控制器(plc)。然而,也有一些新的条目,如管理程序和人机界面(HMIs),它们代表了诸如关键漏洞和OT连接增加等趋势。

名单中出现的最危险设备类型,主要是因为它们经常暴露在互联网上(尤其是在IT和物联网场景下)或因为它们对业务非常关键(在OT和物联网的场景下)。

制造业拥有最高比例(11%)的高风险设备,而政府和金融拥有比例最高的中高风险组合(43%的政府和37%的金融)。每个行业最危险设备的排名没有太大变化,这表明几乎每个组织目前都依赖IT、物联网和OT(以及医疗物联网IoMT)的组合来实现其业务。这也意味着几乎每个组织都受到不断增长的攻击面的影响。

风险评估对组织来说变得更加重要,因为他们的攻击面正随着新的连接设备的增加而增加。实现不仅依赖于安全代理且适用于整个企业的自动化控制可以帮助降低整个组织的风险。

2022年最危险的连接设备

为了获得代表企业网络中当前设备景观的数据集,Forescout公司分析了设备云中2022年1月1日至4月30日之间的近1900万台设备数据。设备云是世界上最大的连接企业设备数据存储库之一,包括IT、OT、物联网和IoMT设备数据。

以下为分析结果:

IT

IoT

OT

IoMT

1

路由器

IP摄像头

可编程逻辑控制器(PLC)

DICOM工作站

2

计算机

VoIP

人机界面(HMI)

核医学系统

3

服务器

视频会议

不间断电源(UPS)

成像

4

无线访问点

ATM

环境监测

图片存档与通信系统

(PACS)

5

虚拟机监控程序

(Hypervisor)

打印机

建筑自动化控制程序

患者监护设备

最危险的IT设备——仍然是最受欢迎的目标

IT设备仍然是包括勒索软件在内的恶意软件的主要目标,也是恶意行为者的主要初始访问点。这些恶意行为者会利用暴露在互联网上的设备漏洞——比如运行未打补丁的操作系统和商业应用程序的服务器——或者使用社会工程和网络钓鱼技术诱骗员工在他们的计算机上运行恶意代码。

路由器和无线接入点,以及其他网络基础设施设备,正成为恶意软件和高级持久性威胁(APT)的更常见切入点。路由器无疑是有风险的,因为它们经常暴露在网上,连接内部和外部网络,有危险的公开端口,也存在许多漏洞,经常被恶意行为者滥用。无线接入点(即无线AP或WAP)相当于是连接有线网和无线网的桥梁,它可通过将流量从无线网桥接到有线网中,为现有的有线网增加无线功能。

hypervisor,或托管虚拟机(vm)的专用服务器,在2022年已经成为勒索软件团伙最喜欢的目标,因为首先它们允许攻击者一次加密多台vm,其次,勒索软件开发人员正在转向Go和Rust等允许更容易交叉编译的语言,可以同时针对Linux和Windows。

最危险的物联网(IoT)设备——更难打补丁和管理

企业网络上越来越多的物联网设备正被积极利用,因为它们比IT设备更难打补丁和管理。由于弱凭据或未打补丁的漏洞,物联网设备正成为分布式拒绝服务(DDoS)僵尸网络的一部分。除了DDoS之外,一些威胁行为者已经在使用物联网设备进行其他阶段的攻击。

IP摄像头、VoIP和视频会议系统是最危险的IoT设备,因为它们通常暴露在互联网上,而且长期以来都有针对它们的威胁活动。例如,2019年APT28损害了VoIP电话对多个网络的初始访问;2021年Conti通过IP摄像头在受影响的组织内部移动;2022年UNC3524和TAG-38组织都瞄准了视频会议和摄像头,用于指挥和控制基础设施。

自动取款机之所以出现在排名中,是因为它们在金融机构中明显的业务重要性,也因为我们的数据表明,许多自动取款机关联其他经常暴露在外的物联网设备,如安全摄像头和物理安全系统等。

打印机不仅包括用于联网办公室的多功能打印和复制设备,还包括用于打印收据、标签、票、腕带和其他用途的专用设备。虽然打印机与网络风险没有广泛关联,但它们应该被关联起来。与IP摄像头一样,它们也曾被APT28等威胁行为者在入侵中利用。就像自动提款机一样,打印机经常连接到敏感设备,例如收据打印机的销售点系统,以及办公室打印机的特权用户的传统工作站。

最危险的OT设备——任务关键但设计不安全

在过去的十年里,国家支持的针对OT系统和设备的攻击已经变得司空见惯。例如,针对能源部门的俄罗斯黑客,以及针对PLC和其他OT设备的专门恶意软件。更令人不安的是,针对这些设备的网络犯罪和黑客活动正在不断增加。最近,勒索软件组织多次侵入了自来水公司的SCADA系统,黑客活动分子还侵入了佛罗里达州一家水处理设施的人机界面。

PLC和HMIs是OT设备中风险最大的存在,因为它们非常关键,可以完全控制工业过程,而且设计上是不安全的。虽然PLC并不经常连接到互联网,但许多人机界面需要连接到互联网,以实现远程操作或管理。这些设备不仅在制造业等关键基础设施行业很常见,在零售等行业也很常见,它们推动了物流和仓库自动化。

OT设备通常与制造业和关键基础设施相关。然而,其他观察到的危险OT设备比PLC和人机界面更广泛。例如,不间断电源(ups)出现在许多企业和数据中心网络中,紧邻计算机、服务器和物联网设备。UPS在电源监控和数据中心电源管理方面起着至关重要的作用。CISA已发出警报称,有威胁行为者正以默认凭证的UPS为目标。对这些设备的攻击可能会产生物理影响,如切断关键位置的电源或篡改电压以损坏敏感设备。

环境监测和楼宇自动化系统对设施管理至关重要,这是大多数组织的共同需求。智能建筑完美地体现了IT、物联网和OT在同一网络上融合的跨行业领域。有几个例子表明,威胁行为者利用智能建筑使控制器无法使用,为僵尸网络招募脆弱的物理访问控制设备,或利用工程工作站进行初始访问。这些设备危险地将OT的不安全设计特性与物联网的连通性混合在一起,加剧了暴露风险。

最危险的IoMT设备——威胁生命的存在

联网医疗设备显然有风险,因为它们对医疗服务和患者安全具有潜在影响。有许多针对医疗系统企业IT网络的勒索软件攻击,波及到医疗设备,使其无法使用,例如2017年的“WannaCry”病毒,2019年阿拉巴马州一家医院受到的攻击影响了胎儿监测器,以及自2020年以来影响美国和爱尔兰辐射信息系统的多次攻击。这些攻击的后果通常表现为延迟或取消患者的治疗。

在我们的排名中,医疗设备的实际类型并不重要,重要的是它们反映了医疗保健领域正在发展的数字化趋势,即医疗设备连接到IT网络,可以与其他系统生成和交换患者数据。

DICOM工作站、核医学系统、成像设备和PACS都是与医学成像有关的设备。它们有一些共同点:通常都运行遗留的易受攻击的IT操作系统,具有广泛的网络连接以允许共享映像文件,并使用DICOM标准共享这些文件。

DICOM定义了存储医学图像的格式和用于交换图像的通信协议。该协议支持消息加密,但其用法由各个医疗保健组织配置。我们观察到许多组织中存在未加密的通信,这可能允许攻击者获取或篡改医疗图像,包括传播恶意软件。

患者监测器是医疗保健机构中最常见的医疗设备之一,也是最脆弱的设备之一。与医疗成像设备一样,它们通常使用未加密的协议进行通信,这意味着攻击者可以篡改它们的读数。

行业分布

调查数据显示,制造业拥有最高比例的高风险设备(11%),而政府和金融拥有最高比例的中高风险组合(43%的政府和37%的金融)。医疗保健和零售的总体风险最低,20%的设备在医疗保健领域具有中或高风险,18%的设备在零售领域具有中或高风险。

揭秘世界上最危险的连接设备

【各行业设备风险分布,从左至右分别为金融、政府、医疗保健、制造业、零售。蓝色为低风险设备占比;橙色为中风险设备占比;紫色为高风险设备占比】

总体来看,每个行业最危险设备的排名没有太大变化,这表明几乎每个组织目前都依赖IT、物联网和OT(以及IoMT)的组合来实现其业务。这也意味着几乎每个组织都受到不断增长的攻击面的影响。一个特别的观察结果很有趣:当我们只关注金融部门时,自动取款机跃升至风险最高的物联网设备第一名,而客户自助服务站则出现在风险最高的物联网第五名。

缓解建议

事实证明,随着越来越多的设备连接到企业网络,组织面临的攻击面正在不断增长。而且,威胁行为者正在不断开发新的攻击方式,来利用这些设备实现自身的恶意企图。

攻击面现在涵盖了几乎所有组织中的IT、物联网、OT以及IoMT。攻击者可以利用不同类别的设备进行攻击,因为仅针对某一类别风险设备进行防御是远远不够的。

组织需要适当的风险评估来了解自身的攻击面是如何增长的。然而,评估设备风险并不容易。例如,为了确定设备是否容易受到攻击,需要详细的分类信息,例如设备类型、供应商、型号和固件版本。

以惠普针对Ripple20漏洞发布的一些建议为例。首先,惠普有多个版本的集成光灭(iLO)带外控制器,至少一个确认易受攻击(v2)和一个确认不受攻击(v5)。简单地将设备分类为“带外控制器”(功能)或“HP iLO”(供应商和型号)不足以确定该设备是否容易受到攻击:我们还需要模型版本。其次,一些HP打印机也很容易受到攻击,但它们会自动接收固件更新,因此判断一台打印机是否容易受到攻击取决于供应商、型号和可以通过不定期更新自动更改的固件版本。

一旦了解了组织的攻击面,就需要通过自动化控制来降低风险,这种自动化控制不仅依赖于安全代理且需要适用于整个组织,而非仅适用于像IT网络、OT网络或其他特定类型的物联网设备这样的孤立领域。

原文链接:

https://www.forescout.com/resources/the-riskiest-connected-devices-in-enterprise-networks/

文章来源:freebuf

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!

如侵权请私聊我们删文


END

揭秘世界上最危险的连接设备

华盟知识星球入口

本文来源freebuf,经授权后由华盟君发布,观点不代表华盟网的立场,转载请联系原作者。

发表评论