盡管物聯(lián)網(wǎng)帶來了新的數(shù)據(jù)收集���、管理和應(yīng)用的途徑,但是也帶來了大量的網(wǎng)絡(luò)安全攻擊��。其中的一大隱患就在于TCP/IP架構(gòu)中��,包括了應(yīng)用層、傳輸層�、網(wǎng)絡(luò)層和物理層。
其實(shí)從各種角度來看�����,TCP/IP架構(gòu)本來就不是為物聯(lián)網(wǎng)而設(shè)計(jì)的���。雖然說工程師和開發(fā)者們都在努力試圖修改或者為TCP/IP架構(gòu)增加擴(kuò)展�,但是環(huán)境本身的復(fù)雜性��,外加TCP/IP架構(gòu)設(shè)計(jì)之初就沒有考慮到安全性的原因�,這一過程帶來了許多安全層面的挑戰(zhàn)——其中不乏有現(xiàn)實(shí)層面的問題��。
從最基礎(chǔ)的層面來看�����,TCP/IP架構(gòu)使得物聯(lián)網(wǎng)設(shè)備能夠和網(wǎng)路以及其他設(shè)備進(jìn)行通信���。這些架構(gòu)都是開源的�����,而被大部分嵌入式設(shè)備以及物聯(lián)網(wǎng)組件的廠商免費(fèi)試用���。
Chan補(bǔ)充道:“物聯(lián)網(wǎng)設(shè)備廠商會購買已經(jīng)內(nèi)置好TCP/IP架構(gòu)代碼的芯片和組件��,再用這些元件建造物聯(lián)網(wǎng)產(chǎn)品����?��!?/p>
然而可惜的是�,許多的物聯(lián)網(wǎng)設(shè)備廠商并不知道他們的設(shè)備是否有隱患���,因?yàn)樗麄儗π酒徒M件中使用的架構(gòu)沒有絲毫可視能力�。另外��,分析每一個(gè)設(shè)備����,然后找出程序錯(cuò)誤或者TCP/IP結(jié)構(gòu)中的其他問題,顯然不可行����。
這導(dǎo)致的結(jié)果��,就是所有設(shè)備都容易遭到攻擊����,產(chǎn)生信息泄露;會發(fā)生設(shè)備故障����、數(shù)據(jù)丟失或者損壞,最終對品牌產(chǎn)生損害���。同樣的�����,這也會對網(wǎng)絡(luò)安全成本造成上升�����。
Forescout的研究經(jīng)理,DaniledosSantos�����,認(rèn)為:“TCP/IP結(jié)構(gòu)的脆弱性管理正在對安全社群而言�,成為一個(gè)真正的挑戰(zhàn)�?�!?/p>
究竟有哪些威脅�����?
就在去年�,URGENT/11和RIPPLE20等一系列漏洞造成了極大影響。而今年�����,AMNESIA:33等33個(gè)其他漏洞影響了四個(gè)常用的開源TCP/IP架構(gòu)——uIP�����、FNET�、picoTCP、以及Nut/Net����。這四個(gè)架構(gòu)是包括醫(yī)療設(shè)備、工控系統(tǒng)���、路由器����、交換機(jī)、智能家居在內(nèi)的百萬物聯(lián)網(wǎng)設(shè)備���、工業(yè)設(shè)備���、網(wǎng)絡(luò)設(shè)備的基礎(chǔ)組件。攻擊者可以利用這些漏洞進(jìn)行遠(yuǎn)程代碼執(zhí)習(xí)����、DoS攻擊,甚至強(qiáng)行占用設(shè)備��。根據(jù)Forescout上個(gè)月的報(bào)告�����,超過150個(gè)廠商的設(shè)備帶有風(fēng)險(xiǎn)�。
這些漏洞可能存在于商業(yè)組件或者開源組件中。嵌入組件包括芯片級系統(tǒng)��、連接組件��、OEM主板等;物聯(lián)網(wǎng)設(shè)備包括智能插件�、智能手機(jī)、傳感器��、游戲手柄等;OT系統(tǒng)包括門禁�����、IP攝像頭����、協(xié)議網(wǎng)關(guān)、HVAC等;網(wǎng)絡(luò)和IT設(shè)備則包括打印機(jī)�����、路由器���、服務(wù)器等��。
dosSantos指出�����,AMNESIA:33之所以影響巨大���,不僅因?yàn)榇罅看嬖谠撀┒吹脑O(shè)備����,還有其他幾個(gè)原因�����。其中一個(gè)原因�����,是硬件中對開源組件的廣泛以及嚴(yán)重的依賴性�����。這些結(jié)構(gòu)中的代碼幾乎和每個(gè)與設(shè)備進(jìn)行交互的數(shù)據(jù)包都有接觸���,從而使得這些漏洞能對空閑的設(shè)備產(chǎn)生影響����。由于源代碼在88%的嵌入式項(xiàng)目中都會被重用���,這會使得AMNESIA:33這類漏洞造成的影響數(shù)倍擴(kuò)大����。
Forescout的報(bào)告中提到���,攻擊者可以通過遠(yuǎn)程代碼執(zhí)行控制目標(biāo)設(shè)備�����,然后DoS攻擊影響其性能��,最終損害業(yè)務(wù)�����。攻擊者還能通過信息泄露的漏洞獲取敏感信息����,用DNS中毒的方式將目標(biāo)設(shè)備導(dǎo)向惡意網(wǎng)站����。
根據(jù)報(bào)告:“由于漏洞的廣泛影響特性,全球許多組織可能都已經(jīng)被AMNESIA:33所影響�。”
組織如何能夠解決TCP/IP結(jié)構(gòu)中的漏洞���?
專家指出��,解決TCP/IP架構(gòu)中的隱患可以分為三個(gè)基礎(chǔ)步驟:識別網(wǎng)絡(luò)上所有的設(shè)備并意識到哪些是有隱患的����、評估這些設(shè)備帶來的風(fēng)險(xiǎn)——包括業(yè)務(wù)關(guān)聯(lián)性、嚴(yán)重性����、以及互聯(lián)網(wǎng)暴露程度、最后緩解評估到的風(fēng)險(xiǎn)�。
dosSantos補(bǔ)充認(rèn)為:“最后一點(diǎn)可以由多種方式達(dá)成:比如補(bǔ)丁修復(fù)、對網(wǎng)絡(luò)進(jìn)行劃分并隔離關(guān)鍵設(shè)備�、加強(qiáng)安全合規(guī)、以及監(jiān)測網(wǎng)絡(luò)中的惡意流量��?����!?/p>
而專門針對AMNESIA:33�����,他建議禁止并阻斷IPv6流量�����,并在任何可能的時(shí)候依靠內(nèi)部DNS服務(wù)器進(jìn)行交互;因?yàn)樵诩軜?gòu)中的數(shù)個(gè)協(xié)議都受到了多個(gè)漏洞的影響。
同樣����,企業(yè)也可以依靠網(wǎng)絡(luò)安全解決方案�����,自動化優(yōu)化最佳實(shí)踐����。這包括了采取一些更主動的方式,比如對關(guān)鍵設(shè)備進(jìn)行隔離——無論這些設(shè)備是否存在漏洞�����,從而減少風(fēng)險(xiǎn)暴露面以及限制攻擊造成的影響���。
另一方面�����,安全團(tuán)隊(duì)能回答問以下一些關(guān)鍵問題:代碼是否正規(guī)����?這些代碼的貢獻(xiàn)者是誰,是否還有人在維護(hù)這些代碼�����?開源代碼庫確實(shí)簡化了編程過程��,但是這依然需要開發(fā)者了解代碼庫里存在什么——畢竟現(xiàn)在太多時(shí)候�����,開發(fā)者會在不了解代碼內(nèi)容的情況下輕易連入一個(gè)代碼庫�。
對了,AMNESIA:33以及其他和TCP/IP相關(guān)的物聯(lián)網(wǎng)漏洞暫時(shí)看來不大可能消失����。
Chan表示:“大部分在AMNESIA:33中的漏洞是由糟糕的軟件開發(fā)流程和管理行為導(dǎo)致的。升級軟件可以解決一部分問題���,但關(guān)鍵是要知道哪些設(shè)備存在受影響的架構(gòu)�。物聯(lián)網(wǎng)設(shè)備廠商從供應(yīng)商處購買芯片和組件�,但他們本身卻不知道其中到底有哪些軟件。”
