xIoT设备成为网络攻击者横向移动的最爱
扩展物联网设备(xIoT)一直是寻求横向移动并在企业网络内建立持久性的网络攻击者的最爱。他们拥有坏人立足点所需的一切:他们的安全严重不足,他们大量存在(并且在网络的敏感部分),而且最重要的是,他们通常没有得到很好的监控。在即将举行的RSA会议上,安全研究员兼战略家Brian Contos将向听众介绍如何使用这些设备对企业资源发起非常广泛的攻击,以及安全战略家应该采取哪些措施来应对风险。
“我将进行一些xIoT黑客攻击演示,因为每个人都喜欢看到东西被攻破,”Sevco Security首席战略官Contos说。“但在xIoT世界中,突破和入侵很容易,所以我不会专注于此,而是关注如何将其用作跳板,攻击本地设备、云端设备、窃取敏感数据、维护坚持不懈,逃避侦查。”
他的目标是展示攻击的整个生命周期,以展示在企业环境中让xIoT设备不受管理和监控而即将产生的严重连锁反应。
xIoT普遍不安全
正如Contos解释的那样,xIoT设备通常分为三种设备类别,它们都在业务环境中大量增加。
首先是企业物联网设备,如相机、打印机、IP电话和门锁。
第二种是OT(操作技术)设备,如工业机器人、阀门控制器和其他在工业环境中控制物理的数字设备。
第三种——通常是最少被记住的——是通用网络设备,如交换机、网络附加存储和网关路由器。
“所有这些设备的共同点是它们都是专用设备,为特定目的而创建,”他指出。“它们是网络连接的,你不能在它们上面安装任何额外的‘东西’。所以,你不能在它们上面安装防火墙或IPS,或反恶意软件。所以,所有传统的IT控制都不会必然适合这个xIoT世界。”
他说,他过去几年的研究表明,在典型的企业网络中,每个员工通常有三到五个xIoT设备四处流动。在某些行业——例如石油和天然气或制造业,这个数字可以向上扩展到每名员工五到六台设备。因此,一家拥有10,000名员工的制造公司很容易在其网络上查看其中的50,000台此类设备。
“你会发现,其中大约一半使用默认口令,我需要半秒钟才能在Google上查找,”他说。“如果我用谷歌搜索,‘APC UPS系统的默认口令是什么,它会告诉我默认用户名是‘apc’,默认口令是‘apc’。” 我可以根据经验告诉你,我还没有见过没有‘apc-apc’作为用户名和口令的APC UPS系统。”
警惕数据中心管理黑洞!黑客正在获取各种联网UPS设备的访问权限
UPS网络攻击并非耸人听闻!现代UPS电源或成网络攻击跳板或可沦为机房定时炸弹:TLStorm漏洞原理演示及攻击实验
数据中心机房的噩梦--UPS不间断电源设备中发现的三个严重漏洞可让攻击者远程操纵数百万企业设备的电源
最重要的是,他解释说,超过一半的xIoT设备还存在关键级别的CVE,这些CVE几乎不需要黑客专业知识就可以远程利用并获得设备的root权限。
“由于数量的原因,如果你没有进入前1,000到2,000台设备,你很可能会进入接下来的1,000到2000台,”他说。
经验教训
Contos的黑客演示将深入探讨每个xIoT设备类别中的不同设备如何用于各种攻击目的,从关闭电源到破坏资产,从泄露敏感数据到扩大整个网络的攻击范围。他将分享有关民族国家行为者构建的xIoT黑客工具的信息,并解释威胁行为者如何投入大量资金来投资此类攻击。
“我希望听众了解这有多么容易,并了解这是一种风险,需要在他们的组织内给予一些关注,”他说。
作为讨论的一部分,Contos将讨论对策,包括围绕xIoT的可靠资产管理、身份管理和补丁管理,以及分段和MFA等补偿控制,以强化xIoT攻击面。他还表示,他希望解释防御不应“在泡沫中”计划。换句话说,这不是那种应该由从云安全和其他安全组中移除的特别工作组开发的安全措施。
“这应该全部集成,因为所有这些设备都相互接触,”他说。“它应该是一种更大方法的一部分。”
参考资源
1、https://www.darkreading.com/ics-ot/why-xiot-devices-are-gateway-drug-lateral-movement
2、https://www.rsaconference.com/USA/agenda/session/xIoT%20Hacking%20Demonstrations%20%20Strategies%20to%20Disappoint%20Bad%20Actors
来源:网空闲话
在线咨询
在线咨询
0371-63319761