Tại sao thiết bị IoT dễ bị nhiễm phần mềm độc hại

Thiết bị IoT được phân loại là bất kỳ thiết bị điện toán không đạt tiêu chuẩn nào. Chúng có thể là sản phẩm tiêu dùng, trong đó có TV thông minh và thiết bị đeo, hoặc có thể là sản phẩm công nghiệp, chẳng hạn như hệ thống điều khiển, camera giám sát, thiết bị theo dõi tài sản hoặc thiết bị y tế. Bất kể trọng tâm của chúng là gì, các thiết bị IoT đã thay đổi cách thế giới hoạt động và cuộc sống.

Có hàng nghìn loại thiết bị IoT khác nhau tồn tại nhưng tất cả chúng đều có chung khả năng kết nối với mạng. Khả năng kết nối cho phép các thiết bị này được điều khiển từ xa và cho phép truy cập và thu thập dữ liệu của chúng.

Bất chấp nhiều lợi ích, dữ liệu chúng tạo ra, thu thập và chia sẻ cũng như các hoạt động chúng thực hiện khiến các thiết bị IoT trở nên cực kỳ hấp dẫn đối với các tin tặc độc hại. Việc chúng được kết nối với mạng khiến chúng có nguy cơ bị tấn công từ xa và các yếu tố hình thức của chúng có nghĩa là chúng thiếu bảo mật tích hợp cần thiết để bảo vệ bản thân khỏi các mối đe dọa và khai thác.

Điểm yếu và lỗ hổng của IoT

Theo Báo cáo toàn cảnh bảo mật IoT năm 2023 của Bitdefender, các gia đình ở Hoa Kỳ có trung bình 46 thiết bị được kết nối với Internet và trải qua trung bình 24 cuộc tấn công nhằm vào các thiết bị đó mỗi XNUMX giờ. Và đó chỉ là thiết bị IoT tiêu dùng.

Các honeypot IoT phân tán của Nozomi Networks đã chứng kiến ​​hàng trăm đến hàng nghìn địa chỉ IP của kẻ tấn công duy nhất hàng ngày trong suốt tháng 2023 năm XNUMX.

Các cuộc tấn công IoT nhằm mục đích giành quyền kiểm soát thiết bị, đánh cắp hoặc xóa dữ liệu nhạy cảm hoặc tuyển dụng dữ liệu đó vào botnet. Các cuộc tấn công thành công — đặc biệt nếu nhằm vào các thiết bị được kết nối chạy cơ sở hạ tầng quan trọng hoặc hệ thống y tế — có thể dẫn đến hậu quả nghiêm trọng về mặt vật lý.

Sau đây Vân đê bảo mật làm cho các thiết bị IoT dễ bị nhiễm phần mềm độc hại:

• Hạn chế của thiết bị. Hầu hết các thiết bị IoT được thiết kế với khả năng phần cứng và phần mềm tối thiểu đủ để thực hiện các nhiệm vụ của chúng. Điều này để lại rất ít khả năng cho các cơ chế bảo mật toàn diện hoặc bảo vệ dữ liệu, khiến chúng dễ bị tấn công hơn.
• Mật khẩu mặc định và mã hóa cứng. Mật khẩu mặc định và mã hóa cứng mang lại cho những kẻ tấn công sử dụng chiến thuật bạo lực có cơ hội lớn để bẻ khóa xác thực của thiết bị. Ví dụ: mạng botnet HEH lây nhiễm các thiết bị bằng thông tin xác thực được mã hóa cứng và mật khẩu bắt buộc.
• Thiếu mã hóa. Dữ liệu được lưu trữ hoặc truyền ở dạng bản rõ dễ bị nghe lén, làm hỏng và chiếm quyền điều khiển. Ví dụ: thông tin đo từ xa quan trọng được gửi từ thiết bị IoT có thể bị thao túng để cung cấp kết quả sai.
• Các thành phần dễ bị tổn thương. Việc sử dụng các thành phần phần cứng thông thường có nghĩa là bất kỳ ai có kiến ​​thức về bảng mạch điện tử và các giao thức truyền thông, chẳng hạn như Bộ tiếp nhận không đồng bộ / đồng bộ chuyển giao và Mạch tích hợp liên kết, có thể tháo rời thiết bị và tìm kiếm các lỗ hổng phần cứng.
• Sự đa dạng của thiết bị. So với máy tính để bàn, máy tính xách tay và điện thoại di động, thiết bị IoT khác nhau đáng kể về kiểu dáng và hệ điều hành. Điều này cũng đúng với các công nghệ và giao thức mạng mà các thiết bị IoT sử dụng. Sự đa dạng này đòi hỏi các biện pháp kiểm soát và bảo mật phức tạp hơn để cung cấp mức độ bảo vệ tiêu chuẩn.
• Thiếu năng lực kiểm toán. Những kẻ tấn công xâm phạm và khai thác các thiết bị IoT mà không sợ hoạt động của chúng bị ghi lại hoặc phát hiện. Các thiết bị bị nhiễm virus có thể không có bất kỳ sự suy giảm đáng kể nào về hiệu suất hoặc dịch vụ.
• Cơ chế cập nhật kém. Nhiều thiết bị thiếu khả năng cập nhật chương trình cơ sở hoặc phần mềm một cách an toàn. Sự thiếu hụt này đòi hỏi các công ty phải cam kết nguồn lực đáng kể để bảo vệ các thiết bị IoT trước các lỗ hổng mới, khiến nhiều thiết bị bị lộ. Ngoài ra, các thiết bị IoT thường có thời gian triển khai lâu nên việc bảo mật chúng trước các mô hình tấn công mới ngày càng trở nên khó khăn.
• Thiếu nhận thức về an ninh. Các tổ chức thường triển khai các thiết bị IoT mà không hiểu đầy đủ về điểm yếu của chúng cũng như tác động của chúng đối với an ninh mạng tổng thể. Tương tự như vậy, hầu hết người tiêu dùng thiếu kiến ​​thức để thay đổi mật khẩu và cài đặt mặc định trước khi kết nối thiết bị mới với Internet, khiến thiết bị này trở thành mục tiêu dễ dàng cho những kẻ tấn công.

Phần mềm độc hại và các cuộc tấn công IoT

Các thiết bị IoT có thể liên quan đến bất kỳ vi phạm an ninh mạng và lây nhiễm phần mềm độc hại nào, đồng thời tác động của chúng có thể ngay lập tức, lan rộng và gây ra sự gián đoạn lớn. Các cuộc tấn công bao gồm botnet, ransomware, phần mềm phá hủy và thiết bị lừa đảo.

• Mạng botnet IoT. Phần mềm độc hại Botnet thường là mã nguồn mở và có sẵn miễn phí trên các diễn đàn ngầm. Nó được thiết kế để lây nhiễm và kiểm soát càng nhiều thiết bị càng tốt, đồng thời ngăn chặn phần mềm độc hại botnet khác chiếm quyền kiểm soát thiết bị. Do tính bảo mật kém, các thiết bị IoT cho phép các tác nhân đe dọa tuyển dụng chúng làm bot và tạo ra các mạng botnet khổng lồ để thực hiện các cuộc tấn công DDoS tàn khốc. Trên thực tế, theo Báo cáo thông tin về mối đe dọa của Nokia năm 2023, các botnet IoT tạo ra hơn 40% tổng lưu lượng DDoS hiện nay, tăng gấp 2016 lần trong năm qua. Cuộc tấn công botnet IoT lớn đầu tiên xảy ra vào năm XNUMX Tấn công botnet Mirai. Hơn 600,000 thiết bị IoT đã bị nhiễm độc, bao gồm cả camera quan sát và bộ định tuyến gia đình. Một số trang web lớn đã bị ngừng hoạt động trong nhiều giờ. Các botnet IoT có thể khởi động các cuộc tấn công khác, bao gồm các cuộc tấn công vũ phu, tấn công lừa đảo và chiến dịch thư rác.
• ransomware. Mặc dù nhiều thiết bị IoT không lưu trữ dữ liệu có giá trị cục bộ nhưng chúng vẫn có thể trở thành nạn nhân của cuộc tấn công bằng ransomware. Phần mềm ransomware IoT khóa chức năng của thiết bị, đóng băng các thiết bị thông minh và ngừng hoạt động kinh doanh hoặc cơ sở hạ tầng quan trọng. Ví dụ: ransomware FLocker và El Gato nhắm mục tiêu vào điện thoại di động, máy tính bảng và TV thông minh, với những kẻ tấn công yêu cầu thanh toán trước khi mở khóa các thiết bị bị nhiễm. Mặc dù có thể chỉ cần thiết lập lại các thiết bị IoT bị nhiễm, nhưng việc thực hiện việc này với hàng trăm hoặc hàng nghìn thiết bị trước khi một tình huống nghiêm trọng xảy ra sẽ mang lại cho kẻ tấn công rất nhiều lợi thế. Một cuộc tấn công ransomware vào đúng thời điểm hoặc địa điểm khiến nạn nhân có ít hoặc không có lựa chọn nào khác ngoài việc trả tiền chuộc.
• Đồ hủy diệt. Đây là một thuật ngữ bịa đặt nhưng nó nắm bắt được mục đích của phần mềm độc hại IoT này. Destructionware là một cuộc tấn công được thiết kế nhằm làm tê liệt cơ sở hạ tầng nhằm mục đích chính trị, tư tưởng hoặc đơn giản là nhằm mục đích xấu. Trường hợp điển hình: Cuộc tấn công năm 2015 nhằm vào lưới điện của Ukraine. Cuộc tấn công phức tạp và được lên kế hoạch kỹ lưỡng đã đánh sập toàn bộ lưới điện; phải mất nhiều tháng hoạt động mới được khôi phục hoàn toàn. Một phần của cuộc tấn công liên quan đến việc ghi đè chương trình cơ sở trên các bộ chuyển đổi nối tiếp sang Ethernet quan trọng, khiến các nhà khai thác chính hãng không thể đưa ra điều khiển từ xa. Các thiết bị bị nhiễm phải được thay thế bằng thiết bị mới. Cuộc tấn công tương tự xảy ra ở 2022.
• Thiết bị lừa đảo. Thay vì cố gắng kiểm soát các thiết bị IoT, nhiều tội phạm mạng chỉ cần kết nối một thiết bị giả mạo với mạng IoT nếu thiết bị đó không được bảo vệ hoàn toàn. Điều này tạo ra một điểm truy cập mà từ đó kẻ tấn công có thể xâm nhập sâu hơn vào mạng.

Cách phát hiện các cuộc tấn công phần mềm độc hại IoT

Các thiết bị IoT hiện là thành phần thiết yếu của hầu hết mọi ngành công nghiệp chính. Các nhóm bảo mật phải hiểu các yếu tố rủi ro phức tạp cụ thể đối với việc triển khai và sử dụng chúng. Tuy nhiên, các kỹ thuật phát hiện phần mềm độc hại trên IoT vẫn đang trong quá trình hoàn thiện. Ví dụ: không thể thực hiện được các kỹ thuật phân tích động và tĩnh tiêu chuẩn trên bo mạch do kiến ​​trúc đa dạng và hạn chế về tài nguyên của thiết bị IoT.

Cách tiếp cận tốt nhất để phát hiện phần mềm độc hại trên IoT là hệ thống giám sát trung tâm rà soát các hoạt động của thiết bị, chẳng hạn như lưu lượng mạng, mức tiêu thụ tài nguyên và tương tác của người dùng, sau đó sử dụng AI để tạo hồ sơ hành vi. Những cấu hình này có thể giúp phát hiện bất kỳ sai lệch nào xuất phát từ các cuộc tấn công mạng hoặc sửa đổi phần mềm độc hại, bất kể loại thiết bị. Các thiết bị tạo hoặc xử lý dữ liệu bí mật nên sử dụng mô hình học tập liên kết phi tập trung để đảm bảo quyền riêng tư dữ liệu trong khi các mô hình đang được đào tạo.

Các phương pháp phát hiện IoT trong tương lai có thể bao gồm phân tích tín hiệu điện từ. Ví dụ, các nhà nghiên cứu bảo mật làm việc tại IRISA, xác định phần mềm độc hại chạy trên thiết bị Raspberry Pi với độ chính xác 98% bằng cách phân tích hoạt động điện từ. Ưu điểm lớn của kỹ thuật này là nó không thể bị phát hiện, chặn hoặc trốn tránh bởi bất kỳ phần mềm độc hại nào.

Cách ngăn chặn phần mềm độc hại IoT

Cho đến khi có một phương pháp khả thi và hiệu quả để nhanh chóng phát hiện và ngăn chặn phần mềm độc hại, cách tiếp cận tốt nhất là đảm bảo các thiết bị được bảo vệ hoàn toàn trước và trong khi triển khai.

Thực hiện các bước sau:

• Kích hoạt ủy quyền mạnh mẽ. Luôn thay đổi mật khẩu mặc định. Nếu có thể, hãy sử dụng xác thực đa yếu tố.
• Sử dụng mã hóa luôn bật. Luôn mã hóa tất cả dữ liệu và các kênh liên lạc mạng.
• Vô hiệu hóa các tính năng không cần thiết. Nếu một số tính năng nhất định không được sử dụng — ví dụ: Bluetooth nếu thiết bị giao tiếp qua Wi-Fi — hãy tắt chúng để giảm bề mặt tấn công.
• Áp dụng các bản vá và cập nhật. Giống như tất cả các tài sản mạng khác, hãy luôn cập nhật tất cả các ứng dụng và thiết bị IoT, đặc biệt là chương trình cơ sở. Điều này có thể là vấn đề đối với các thiết bị cũ không thể vá được. Nếu không thể nâng cấp, hãy đặt các thiết bị trên một mạng riêng để chúng không khiến các thiết bị khác gặp rủi ro. Thiết bị cổng có thể giúp bảo vệ các loại thiết bị này khỏi bị phát hiện và tấn công.
• API an toàn. API là một phần quan trọng của hệ sinh thái IoT. Chúng cung cấp giao diện giữa các thiết bị và hệ thống phụ trợ. Do đó, hãy kiểm tra căng thẳng tất cả các API được thiết bị IoT sử dụng và kiểm tra chúng để đảm bảo chỉ những thiết bị được ủy quyền mới có thể giao tiếp qua chúng.
• Duy trì kiểm kê tài sản toàn diện. Thêm mọi thiết bị IoT vào công cụ quản lý hàng tồn kho. Ghi lại ID, vị trí, lịch sử dịch vụ và các số liệu quan trọng khác. Điều này cải thiện khả năng hiển thị trong hệ sinh thái IoT, giúp các nhóm bảo mật xác định các thiết bị giả mạo kết nối với mạng và gắn cờ các mẫu lưu lượng truy cập bất thường có thể cho thấy một cuộc tấn công đang diễn ra. Các công cụ khám phá mạng cũng có thể giúp các nhóm theo kịp các mạng IoT lớn và mở rộng nhanh chóng.
• Triển khai an ninh mạng mạnh mẽ. Tách biệt tất cả các mạng mà các thiết bị IoT kết nối và triển khai các biện pháp bảo vệ vành đai chuyên dụng.
• Giám sát các ứng dụng back-end của IoT. Đặt cảnh báo để cảnh báo hoạt động bất thường và thường xuyên quét các lỗ hổng.
• Hãy chủ động với vấn đề bảo mật. Thực hiện các biện pháp giảm thiểu khi phát hiện ra phương thức tấn công hoặc phần mềm độc hại mới. Theo kịp sự phát triển trong bối cảnh mối đe dọa IoT. Đưa ra một kế hoạch đã được chuẩn bị kỹ lưỡng để phát hiện và phản ứng với ransomware và các cuộc tấn công DDoS.
• Thiết lập chính sách làm việc tại nhà. Khi ngày càng có nhiều người kết nối các thiết bị IoT tiêu dùng với mạng gia đình của họ, những nhân viên làm việc tại nhà phải tuân thủ nghiêm ngặt các chính sách chi phối cách họ truy cập mạng và tài nguyên của công ty. Các thiết bị nhà thông minh cũng có thể có tính bảo mật yếu, mở rủi ro rằng kẻ tấn công có thể tạo một điểm truy cập vào mạng của công ty. Giúp nhân viên nhận thức được những rủi ro bảo mật mà thiết bị thông minh của họ tạo ra và cách đảm bảo họ được an toàn trước các cuộc tấn công.
• Áp dụng một chương trình thưởng lỗi. Trao phần thưởng cho những tin tặc có đạo đức phát hiện và báo cáo thành công lỗ hổng hoặc lỗi trong phần cứng hoặc phần mềm của hệ sinh thái IoT.

Tương lai của các cuộc tấn công IoT

Thiết lập kế hoạch giảm thiểu lỗ hổng phần mềm độc hại IoT và xác định cách chống lại các cuộc tấn công IoT là ưu tiên hàng đầu của tất cả các tổ chức. Tần suất các cuộc tấn công IoT sẽ chỉ tăng lên khi thế giới ngày càng phụ thuộc vào các công nghệ thông minh.

Hệ sinh thái IoT vốn phức tạp với bề mặt tấn công lớn; tin tặc độc hại coi các thiết bị IoT là trái cây dễ kiếm. Việc thiếu các tiêu chuẩn bảo mật IoT được chấp nhận trên toàn cầu khiến việc giữ an toàn cho các thiết bị IoT trở nên khó khăn hơn nhiều. Các sáng kiến, chẳng hạn như những sáng kiến ​​từ NIST, ENISA, Các Viện Tiêu chuẩn Viễn thông Châu Âu và Liên minh ioXt, sẽ dẫn đến cải thiện đáng kể tính bảo mật tích hợp cho các thiết bị IoT trong tương lai. Trong khi đó, Đạo luật về khả năng phục hồi mạng của EU nhằm mục đích đảm bảo nhà sản xuất cải thiện an ninh các thiết bị kỹ thuật số của họ.

Michael Cobb, CISSP-ISSAP, là tác giả bảo mật nổi tiếng với hơn 20 năm kinh nghiệm trong ngành CNTT.