陸英

連接設(shè)備和風(fēng)險(xiǎn)是數(shù)字時(shí)代的一個(gè)公認(rèn)副產(chǎn)品。但是，信息技術(shù)、物聯(lián)網(wǎng)（IoT）、醫(yī)療物聯(lián)網(wǎng)（IoMT）和操作技術(shù)（OT）等設(shè)備易受攻擊的比率各不相同。

有些人面臨的風(fēng)險(xiǎn)要比其他人大得多，特別是在網(wǎng)絡(luò)犯罪分子以快速創(chuàng)新的方式，獲得訪問和利用連接設(shè)備來實(shí)現(xiàn)其目標(biāo)的情況下。

每個(gè)行業(yè)中連接設(shè)備的數(shù)量和多樣性都在不斷增加，這為企業(yè)理解和管理所面臨的風(fēng)險(xiǎn)帶來了新的挑戰(zhàn)。如今，攻擊面幾乎涵蓋了每個(gè)組織中的IT，IoT，OT。此外，醫(yī)療保健領(lǐng)域還增加了IoMT，這增加了互連網(wǎng)絡(luò)的漏洞。

事實(shí)上，根據(jù)Ponemon Institute最近的一份報(bào)告，65 %的受訪組織表示，物聯(lián)網(wǎng)和OT設(shè)備是其網(wǎng)絡(luò)中安全性最低的部分之一；而50 %的組織表示，針對(duì)這些設(shè)備的攻擊有所增加。在這些組織中，88 %的IT和IT安全從業(yè)人員將物聯(lián)網(wǎng)設(shè)備連接到互聯(lián)網(wǎng)，56 %將OT設(shè)備連接到互聯(lián)網(wǎng)，51 %將OT網(wǎng)絡(luò)連接到IT網(wǎng)絡(luò)。

現(xiàn)實(shí)情況是，連接設(shè)備現(xiàn)存在于每個(gè)垂直領(lǐng)域，并且繼續(xù)對(duì)所有部門的組織構(gòu)成極大的安全風(fēng)險(xiǎn)，因?yàn)樵S多組織仍然容易受到已知漏洞的影響。為了確定設(shè)備類型、行業(yè)部門和網(wǎng)絡(luò)安全政策固有的風(fēng)險(xiǎn)點(diǎn)，最近的研究分析了金融服務(wù)、政府、醫(yī)療保健、制造和零售領(lǐng)域超過1 900萬臺(tái)設(shè)備的風(fēng)險(xiǎn)狀況，以揭示2022年風(fēng)險(xiǎn)最高的連接設(shè)備。研究結(jié)果表明：

IT設(shè)備仍然是最受歡迎的目標(biāo)

包括計(jì)算機(jī)、服務(wù)器、路由器和無線接入點(diǎn)在內(nèi)的IT設(shè)備是風(fēng)險(xiǎn)最高的設(shè)備，因?yàn)樗鼈內(nèi)匀皇前ɡ账鬈浖趦?nèi)的惡意軟件的主要目標(biāo)，也是惡意行為者的主要初始接入點(diǎn)。這些黑客利用互聯(lián)網(wǎng)暴露設(shè)備上的漏洞，例如利用未修補(bǔ)的操作系統(tǒng)和商業(yè)應(yīng)用程序的服務(wù)器，或使用社交工程和網(wǎng)絡(luò)釣魚技術(shù)欺騙員工，在其計(jì)算機(jī)上運(yùn)行惡意代碼。

路由器和無線接入點(diǎn)，以及其他網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備，正成為惡意軟件和高級(jí)持久性威脅的常見入口點(diǎn)。路由器是有風(fēng)險(xiǎn)的，因?yàn)槠浣?jīng)常暴露在網(wǎng)上連接內(nèi)部和外部網(wǎng)絡(luò)，具有危險(xiǎn)的、暴露的開放端口，并且具有許多容易被惡意行為者利用的漏洞。

虛擬機(jī)管理程序，或托管虛擬機(jī)（VM）的專用服務(wù)器，已成為2022年勒索軟件團(tuán)伙最喜歡的目標(biāo)，因?yàn)樗鼈冊(cè)试S攻擊者一次加密多臺(tái)VM。勒索軟件開發(fā)人員正在轉(zhuǎn)向Go和Rust等語言，這些語言允許更輕松地跨平臺(tái)編譯，并且可以針對(duì)Linux和Windows。

物聯(lián)網(wǎng)設(shè)備更難修補(bǔ)和管理

企業(yè)網(wǎng)絡(luò)上越來越多的物聯(lián)網(wǎng)設(shè)備正被積極利用，因?yàn)樗鼈儽菼T設(shè)備更難修補(bǔ)和管理。物聯(lián)網(wǎng)設(shè)備由于薄弱憑據(jù)或未修補(bǔ)漏洞而受到損害，主要是成為分布式拒絕服務(wù)（DDoS）僵尸網(wǎng)絡(luò)的一部分。

IP攝像頭、VoIP和視頻會(huì)議系統(tǒng)是最具風(fēng)險(xiǎn)的物聯(lián)網(wǎng)設(shè)備，因?yàn)槠渫ǔ１┞对诨ヂ?lián)網(wǎng)上，并且針對(duì)它們的威脅行為者活動(dòng)由來已久。例如，2019年APT28入侵了VoIP電話訪問了多個(gè)網(wǎng)絡(luò)，2021年Conti將攝像頭定位在受影響的組織內(nèi)部，2022年UNC3524和TAG-38都將視頻會(huì)議和攝像頭作為指揮和控制的目標(biāo)基礎(chǔ)設(shè)施。

自動(dòng)取款機(jī)之所以出現(xiàn)在排名中，是因?yàn)槠湓诮鹑跈C(jī)構(gòu)中具有明顯的業(yè)務(wù)重要性。數(shù)據(jù)表明，許多自動(dòng)取款機(jī)與其他物聯(lián)網(wǎng)設(shè)備相鄰，如安全攝像頭和物理安全系統(tǒng)，這些設(shè)備經(jīng)常暴露在外。

打印機(jī)不僅包括用于連接辦公室的多功能打印和復(fù)印設(shè)備，還包括用于打印收據(jù)、標(biāo)簽、票據(jù)、腕帶和其他用途的專用設(shè)備。雖然打印機(jī)與網(wǎng)絡(luò)風(fēng)險(xiǎn)沒有直接關(guān)聯(lián)，但也應(yīng)該被關(guān)注起來，自動(dòng)提款機(jī)或打印機(jī)經(jīng)常連接到敏感設(shè)備，如收據(jù)打印機(jī)的銷售點(diǎn)系統(tǒng)和辦公室打印機(jī)具有特權(quán)用戶的傳統(tǒng)工作站。

X光機(jī)和病人監(jiān)護(hù)儀是最危險(xiǎn)的IoMT設(shè)備之一

聯(lián)網(wǎng)醫(yī)療設(shè)備顯然存在風(fēng)險(xiǎn)，因?yàn)槠鋵?duì)醫(yī)療服務(wù)和患者安全有潛在影響。針對(duì)醫(yī)療系統(tǒng)企業(yè)IT網(wǎng)絡(luò)的多次勒索軟件攻擊會(huì)波及到醫(yī)療設(shè)備，導(dǎo)致醫(yī)療設(shè)備無法使用。例如2017年的WannaCry，2019年阿拉巴馬州一家醫(yī)院受到的攻擊影響胎兒監(jiān)測(cè)器，以及2020年以來影響美國和愛爾蘭輻射信息系統(tǒng)的幾次攻擊。

被列為風(fēng)險(xiǎn)最高的DICOM工作站、核醫(yī)學(xué)系統(tǒng)、成像設(shè)備和PACS都是與醫(yī)學(xué)成像相關(guān)的設(shè)備，它們的共同點(diǎn)是：通常運(yùn)行老舊的、易受攻擊的IT操作系統(tǒng)，且具有廣泛的網(wǎng)絡(luò)連接以允許共享文件，并使用DICOM標(biāo)準(zhǔn)共享這些文件。

DICOM定義了存儲(chǔ)醫(yī)學(xué)圖像的格式和用于交換圖像的通信協(xié)議。該協(xié)議支持消息加密，但其使用由醫(yī)療機(jī)構(gòu)配置。通過不同組織之間的未加密通信，攻擊者可以獲取或篡改醫(yī)學(xué)圖像，包括傳播惡意軟件。此外，患者監(jiān)護(hù)儀是醫(yī)療機(jī)構(gòu)中最常見的醫(yī)療設(shè)備之一，也是最脆弱的設(shè)備之一。與醫(yī)學(xué)成像設(shè)備一樣，其通常使用不加密的協(xié)議進(jìn)行通信，這意味著攻擊者可以輕易篡改其讀數(shù)。

OT設(shè)備是關(guān)鍵任務(wù)但設(shè)計(jì)上不安全

在過去的10年中，國家支持的針對(duì)OT系統(tǒng)和設(shè)備的攻擊已經(jīng)變得司空見慣。研究發(fā)現(xiàn)，制造業(yè)擁有最高比例的高風(fēng)險(xiǎn)設(shè)備（11 %），但更令人不安的是，針對(duì)這些設(shè)備的網(wǎng)絡(luò)犯罪和黑客活動(dòng)正在上升。最近，勒索軟件組織多次侵入了自來水公司的SCADA系統(tǒng)，黑客活動(dòng)還侵入了佛羅里達(dá)州一家水處理設(shè)施的HMI的訪問權(quán)限。

總的來說，PLC和HMI是風(fēng)險(xiǎn)最高的OT設(shè)備，因?yàn)樗鼈兎浅ｊP(guān)鍵，可以完全控制工業(yè)過程，且在設(shè)計(jì)上不安全。雖然PLC通常不連接到互聯(lián)網(wǎng)，但許多HMI連接到互聯(lián)網(wǎng)，以實(shí)現(xiàn)遠(yuǎn)程操作或管理。這些設(shè)備不僅在制造業(yè)等關(guān)鍵基礎(chǔ)設(shè)施行業(yè)很常見，在零售等行業(yè)也很常見，它們推動(dòng)了物流和倉庫自動(dòng)化。

然而，其他觀察到的有風(fēng)險(xiǎn)的OT設(shè)備比PLC和HMI更廣泛。例如，不間斷電源（UPS）出現(xiàn)在許多企業(yè)和數(shù)據(jù)中心網(wǎng)絡(luò)中，緊挨著計(jì)算機(jī)、服務(wù)器和物聯(lián)網(wǎng)設(shè)備。UPS在電源監(jiān)控和數(shù)據(jù)中心電源管理方面起著至關(guān)重要的作用，對(duì)這些設(shè)備的攻擊可能會(huì)產(chǎn)生物理影響，如切斷關(guān)鍵位置的電源或篡改電壓以損壞敏感設(shè)備。

環(huán)境監(jiān)控和樓宇自動(dòng)化系統(tǒng)對(duì)于設(shè)施管理至關(guān)重要，這是大多數(shù)組織的共同需求。智能建筑完美地體現(xiàn)了IT、物聯(lián)網(wǎng)和OT在同一網(wǎng)絡(luò)上融合的跨行業(yè)領(lǐng)域。有幾個(gè)例子表明，威脅行為者利用智能建筑使控制器無法使用，為僵尸網(wǎng)絡(luò)招募易受攻擊的物理訪問控制設(shè)備，或利用工程工作站進(jìn)行初始訪問。這些設(shè)備危險(xiǎn)地將OT的不安全設(shè)計(jì)特性與物聯(lián)網(wǎng)的互聯(lián)網(wǎng)連接性混合在一起，甚至還發(fā)現(xiàn)即使在關(guān)鍵位置也經(jīng)常暴露在網(wǎng)上。

多層次保護(hù)設(shè)備

設(shè)備制造商和用戶都有責(zé)任開發(fā)和維護(hù)其網(wǎng)絡(luò)安全防御，監(jiān)管的發(fā)展正在強(qiáng)化這一前景。制造商必須利用安全的軟件開發(fā)生命周期，這包括代碼審查、漏洞掃描和滲透測(cè)試等流程。最重要的是，這些流程不能局限于制造商生產(chǎn)的軟件，還要包括進(jìn)入設(shè)備的所有組件，乃至第三方庫。

至于監(jiān)管的發(fā)展，擬議中的歐盟網(wǎng)絡(luò)安全法規(guī)如果實(shí)施，將強(qiáng)制供應(yīng)商獲得物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)安全認(rèn)證。從用戶的角度來看，強(qiáng)制披露網(wǎng)絡(luò)安全事件也有很大的推動(dòng)作用，這無疑將迫使企業(yè)提高其安全態(tài)勢(shì)。

不幸的是，沒有單一的快速解決方案來保護(hù)連接的設(shè)備。但所有組織都可以采取一些切實(shí)可行的措施，首先是創(chuàng)建一個(gè)完整的、自動(dòng)化的、持續(xù)的網(wǎng)絡(luò)資產(chǎn)清單。一旦知道了所有設(shè)備及其配置，就可以進(jìn)行風(fēng)險(xiǎn)評(píng)估，以突出需要特別注意的設(shè)備，這些設(shè)備要么是不安全的，要么是對(duì)業(yè)務(wù)很關(guān)鍵的。

然后可以實(shí)施緩解措施。這些措施包括修補(bǔ)已知的漏洞、通過禁用未使用的服務(wù)來強(qiáng)化設(shè)備、使用強(qiáng)大且唯一的密碼、分段網(wǎng)絡(luò)以隔離有風(fēng)險(xiǎn)的設(shè)備，以及使用全面的網(wǎng)絡(luò)監(jiān)控來檢測(cè)利用設(shè)備的企圖。

保護(hù)連接設(shè)備免受攻擊是一項(xiàng)共同的責(zé)任。在發(fā)現(xiàn)風(fēng)險(xiǎn)和保護(hù)基礎(chǔ)設(shè)施免受日益復(fù)雜的策略影響方面，我們都有責(zé)任。