連接設備的真正風險

陸英

連接設備和風險是數字時代的一個公認副產品。但是，信息技術、物聯網（IoT）、醫療物聯網（IoMT）和操作技術（OT）等設備易受攻擊的比率各不相同。

有些人面臨的風險要比其他人大得多，特別是在網絡犯罪分子以快速創新的方式，獲得訪問和利用連接設備來實現其目標的情況下。

每個行業中連接設備的數量和多樣性都在不斷增加，這為企業理解和管理所面臨的風險帶來了新的挑戰。如今，攻擊面幾乎涵蓋了每個組織中的IT，IoT，OT。此外，醫療保健領域還增加了IoMT，這增加了互連網絡的漏洞。

事實上，根據Ponemon Institute最近的一份報告，65 %的受訪組織表示，物聯網和OT設備是其網絡中安全性最低的部分之一；而50 %的組織表示，針對這些設備的攻擊有所增加。在這些組織中，88 %的IT和IT安全從業人員將物聯網設備連接到互聯網，56 %將OT設備連接到互聯網，51 %將OT網絡連接到IT網絡。

現實情況是，連接設備現存在于每個垂直領域，并且繼續對所有部門的組織構成極大的安全風險，因為許多組織仍然容易受到已知漏洞的影響。為了確定設備類型、行業部門和網絡安全政策固有的風險點，最近的研究分析了金融服務、政府、醫療保健、制造和零售領域超過1 900萬臺設備的風險狀況，以揭示2022年風險最高的連接設備。研究結果表明：

IT設備仍然是最受歡迎的目標

包括計算機、服務器、路由器和無線接入點在內的IT設備是風險最高的設備，因為它們仍然是包括勒索軟件在內的惡意軟件的主要目標，也是惡意行為者的主要初始接入點。這些黑客利用互聯網暴露設備上的漏洞，例如利用未修補的操作系統和商業應用程序的服務器，或使用社交工程和網絡釣魚技術欺騙員工，在其計算機上運行惡意代碼。

路由器和無線接入點，以及其他網絡基礎設施設備，正成為惡意軟件和高級持久性威脅的常見入口點。路由器是有風險的，因為其經常暴露在網上連接內部和外部網絡，具有危險的、暴露的開放端口，并且具有許多容易被惡意行為者利用的漏洞。

虛擬機管理程序，或托管虛擬機（VM）的專用服務器，已成為2022年勒索軟件團伙最喜歡的目標，因為它們允許攻擊者一次加密多臺VM。勒索軟件開發人員正在轉向Go和Rust等語言，這些語言允許更輕松地跨平臺編譯，并且可以針對Linux和Windows。

物聯網設備更難修補和管理

企業網絡上越來越多的物聯網設備正被積極利用，因為它們比IT設備更難修補和管理。物聯網設備由于薄弱憑據或未修補漏洞而受到損害，主要是成為分布式拒絕服務（DDoS）僵尸網絡的一部分。

IP攝像頭、VoIP和視頻會議系統是最具風險的物聯網設備，因為其通常暴露在互聯網上，并且針對它們的威脅行為者活動由來已久。例如，2019年APT28入侵了VoIP電話訪問了多個網絡，2021年Conti將攝像頭定位在受影響的組織內部，2022年UNC3524和TAG-38都將視頻會議和攝像頭作為指揮和控制的目標基礎設施。

自動取款機之所以出現在排名中，是因為其在金融機構中具有明顯的業務重要性。數據表明，許多自動取款機與其他物聯網設備相鄰，如安全攝像頭和物理安全系統，這些設備經常暴露在外。

打印機不僅包括用于連接辦公室的多功能打印和復印設備，還包括用于打印收據、標簽、票據、腕帶和其他用途的專用設備。雖然打印機與網絡風險沒有直接關聯，但也應該被關注起來，自動提款機或打印機經常連接到敏感設備，如收據打印機的銷售點系統和辦公室打印機具有特權用戶的傳統工作站。

X光機和病人監護儀是最危險的IoMT設備之一

聯網醫療設備顯然存在風險，因為其對醫療服務和患者安全有潛在影響。針對醫療系統企業IT網絡的多次勒索軟件攻擊會波及到醫療設備，導致醫療設備無法使用。例如2017年的WannaCry，2019年阿拉巴馬州一家醫院受到的攻擊影響胎兒監測器，以及2020年以來影響美國和愛爾蘭輻射信息系統的幾次攻擊。

被列為風險最高的DICOM工作站、核醫學系統、成像設備和PACS都是與醫學成像相關的設備，它們的共同點是：通常運行老舊的、易受攻擊的IT操作系統，且具有廣泛的網絡連接以允許共享文件，并使用DICOM標準共享這些文件。

DICOM定義了存儲醫學圖像的格式和用于交換圖像的通信協議。該協議支持消息加密，但其使用由醫療機構配置。通過不同組織之間的未加密通信，攻擊者可以獲取或篡改醫學圖像，包括傳播惡意軟件。此外，患者監護儀是醫療機構中最常見的醫療設備之一，也是最脆弱的設備之一。與醫學成像設備一樣，其通常使用不加密的協議進行通信，這意味著攻擊者可以輕易篡改其讀數。

OT設備是關鍵任務但設計上不安全

在過去的10年中，國家支持的針對OT系統和設備的攻擊已經變得司空見慣。研究發現，制造業擁有最高比例的高風險設備（11 %），但更令人不安的是，針對這些設備的網絡犯罪和黑客活動正在上升。最近，勒索軟件組織多次侵入了自來水公司的SCADA系統，黑客活動還侵入了佛羅里達州一家水處理設施的HMI的訪問權限。

總的來說，PLC和HMI是風險最高的OT設備，因為它們非常關鍵，可以完全控制工業過程，且在設計上不安全。雖然PLC通常不連接到互聯網，但許多HMI連接到互聯網，以實現遠程操作或管理。這些設備不僅在制造業等關鍵基礎設施行業很常見，在零售等行業也很常見，它們推動了物流和倉庫自動化。

然而，其他觀察到的有風險的OT設備比PLC和HMI更廣泛。例如，不間斷電源（UPS）出現在許多企業和數據中心網絡中，緊挨著計算機、服務器和物聯網設備。UPS在電源監控和數據中心電源管理方面起著至關重要的作用，對這些設備的攻擊可能會產生物理影響，如切斷關鍵位置的電源或篡改電壓以損壞敏感設備。

環境監控和樓宇自動化系統對于設施管理至關重要，這是大多數組織的共同需求。智能建筑完美地體現了IT、物聯網和OT在同一網絡上融合的跨行業領域。有幾個例子表明，威脅行為者利用智能建筑使控制器無法使用，為僵尸網絡招募易受攻擊的物理訪問控制設備，或利用工程工作站進行初始訪問。這些設備危險地將OT的不安全設計特性與物聯網的互聯網連接性混合在一起，甚至還發現即使在關鍵位置也經常暴露在網上。

多層次保護設備

設備制造商和用戶都有責任開發和維護其網絡安全防御，監管的發展正在強化這一前景。制造商必須利用安全的軟件開發生命周期，這包括代碼審查、漏洞掃描和滲透測試等流程。最重要的是，這些流程不能局限于制造商生產的軟件，還要包括進入設備的所有組件，乃至第三方庫。

至于監管的發展，擬議中的歐盟網絡安全法規如果實施，將強制供應商獲得物聯網設備的網絡安全認證。從用戶的角度來看，強制披露網絡安全事件也有很大的推動作用，這無疑將迫使企業提高其安全態勢。

不幸的是，沒有單一的快速解決方案來保護連接的設備。但所有組織都可以采取一些切實可行的措施，首先是創建一個完整的、自動化的、持續的網絡資產清單。一旦知道了所有設備及其配置，就可以進行風險評估，以突出需要特別注意的設備，這些設備要么是不安全的，要么是對業務很關鍵的。

然后可以實施緩解措施。這些措施包括修補已知的漏洞、通過禁用未使用的服務來強化設備、使用強大且唯一的密碼、分段網絡以隔離有風險的設備，以及使用全面的網絡監控來檢測利用設備的企圖。

保護連接設備免受攻擊是一項共同的責任。在發現風險和保護基礎設施免受日益復雜的策略影響方面，我們都有責任。