Các thiết bị IoT mở rộng (xIoT) được coi là mục yêu thích lâu năm đối với những kẻ tấn công mạng đang tìm cách di chuyển theo chiều ngang và thiết lập sự bền bỉ trong các mạng doanh nghiệp. Chúng có mọi thứ mà những kẻ xấu cần để có chỗ đứng: Chúng hoàn toàn được bảo mật, chúng hiện diện với số lượng lớn (và ở những phần nhạy cảm của mạng), và điều quan trọng là chúng thường không được giám sát chặt chẽ.
Trong một phiên sắp tới tại RSA, nhà nghiên cứu và chiến lược gia bảo mật Brian Contos sẽ hướng dẫn khán giả của mình về những cách mà các thiết bị này có thể được sử dụng để tạo ra các cuộc tấn công trên diện rộng nhằm vào tài nguyên doanh nghiệp, cùng với những gì các chiến lược gia bảo mật nên làm để chống lại rủi ro.
Contos, giám đốc chiến lược của Sevco Security cho biết: “Tôi sẽ thực hiện một số cuộc biểu tình hack xIoT, bởi vì mọi người đều thích xem những thứ bị đột nhập. “Nhưng trong thế giới xIoT, việc thỏa hiệp khá dễ dàng, vì vậy tôi sẽ không tập trung vào vấn đề đó mà thay vào đó là cách sử dụng nó như một điểm mấu chốt để tấn công các thiết bị tại chỗ, thiết bị trong đám mây, để đánh cắp dữ liệu nhạy cảm, bảo trì kiên trì và trốn tránh sự phát hiện.
Mục tiêu của anh ấy là hiển thị toàn bộ vòng đời của cuộc tấn công để chứng minh các hiệu ứng gợn nghiêm trọng sắp xảy ra khi các thiết bị xIoT không được quản lý và không được giám sát trong môi trường doanh nghiệp.
Sự phổ biến của sự mất an toàn xIoT
Như Contos giải thích, thiết bị xIoT thường rơi vào ba loại thiết bị, tất cả đều sinh sôi nảy nở đáng kể trong môi trường kinh doanh. Đầu tiên là các thiết bị IoT dành cho doanh nghiệp như máy ảnh, máy in, điện thoại IP và khóa cửa. Thứ hai là các thiết bị công nghệ vận hành như rô bốt công nghiệp, bộ điều khiển van và các thiết bị kỹ thuật số khác điều khiển vật lý trong thiết lập công nghiệp. Thứ ba — và thường ít được nhớ đến nhất — là các thiết bị mạng chung như bộ chuyển mạch, lưu trữ gắn mạngvà các bộ định tuyến cổng.
Ông lưu ý: “Điểm chung của tất cả các thiết bị này là chúng đều là thiết bị được chế tạo có mục đích, được tạo ra cho một mục đích cụ thể. “Chúng được kết nối mạng và bạn không thể cài đặt bất kỳ 'thứ' bổ sung nào trên chúng. Vì vậy, bạn không thể đặt tường lửa hoặc IPS hoặc phần mềm chống phần mềm độc hại trên chúng. Vì vậy, tất cả các biện pháp kiểm soát CNTT truyền thống không nhất thiết phải phù hợp tốt trong thế giới xIoT này.”
Ông cho biết nghiên cứu của ông trong vài năm qua đã chỉ ra rằng trong mạng doanh nghiệp điển hình, thường có từ 10,000 đến 50,000 thiết bị xIoT cho mỗi nhân viên. Trong một số ngành — chẳng hạn như dầu khí hoặc sản xuất, con số đó có thể tăng lên tới hơn XNUMX đến XNUMX thiết bị cho mỗi nhân viên. Vì vậy, một công ty sản xuất với XNUMX nhân viên có thể dễ dàng xem xét XNUMX thiết bị này trên mạng của họ.
“Và những gì bạn sẽ tìm thấy là khoảng một nửa trong số đó đang sử dụng mật khẩu mặc định, khiến tôi mất nửa giây để tra cứu trên Google,” anh nói. “Nếu tôi Google, 'Mật khẩu mặc định trên hệ thống UPS APC là gì, nó sẽ cho tôi biết tên người dùng mặc định là 'apc' và mật khẩu mặc định là 'apc.' Và tôi có thể nói với bạn từ kinh nghiệm, tôi chưa từng thấy một hệ thống UPS APC nào ngoài tự nhiên không có 'apc-apc' làm tên người dùng và mật khẩu.”
Ngoài ra, ông giải thích rằng hơn một nửa số thiết bị xIoT cũng đang chạy CVE cấp quan trọng, yêu cầu ít hoặc không cần chuyên môn về hack để tận dụng từ xa và giành quyền root trên thiết bị.
“Do số lượng lớn, nếu bạn không truy cập được 1,000 đến 2,000 thiết bị đầu tiên, rất có thể bạn sẽ truy cập được 1,000 đến 2000 thiết bị tiếp theo,” ông nói.
Bài học kinh nghiệm
Các cuộc trình diễn hack của Contos sẽ đi sâu vào cách một thiết bị khác nhau từ mỗi loại thiết bị xIoT có thể được sử dụng cho vô số mục đích tấn công, từ tắt nguồn đến phá hủy tài sản và lấy cắp dữ liệu nhạy cảm để mở rộng phạm vi tấn công trên mạng. Anh ấy sẽ chia sẻ thông tin về các công cụ hack xIoT mà các tác nhân quốc gia-nhà nước đã xây dựng và giải thích cách các tác nhân đe dọa đang đầu tư nghiêm túc vào các loại tấn công này.
Anh ấy nói: “Tôi muốn khán giả hiểu nó dễ dàng như thế nào và hiểu đây là một rủi ro đòi hỏi sự tập trung trong tổ chức của họ.
Là một phần của cuộc thảo luận, Contos sẽ thảo luận về các biện pháp đối phó bao gồm quản lý tài sản vững chắc, quản lý danh tính và quản lý bản vá xung quanh xIoT, cũng như các biện pháp kiểm soát bù trừ như phân đoạn và MFA để tăng cường bề mặt tấn công xIoT. Anh ấy cũng nói rằng anh ấy hy vọng sẽ giải thích rằng việc phòng thủ không nên được lên kế hoạch “trong bong bóng”. Nói cách khác, đây không phải là loại biện pháp bảo mật nên được phát triển bởi một lực lượng đặc nhiệm đã bị loại khỏi bảo mật đám mây và các nhóm bảo mật khác.
Ông nói: “Tất cả những thứ này nên được tích hợp vì tất cả các thiết bị này đều chạm vào nhau. "Nó nên là một phần của một cách tiếp cận lớn hơn."
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến thức. Truy cập Tại đây.
- Đúc kết tương lai với Adryenn Ashley. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/ics-ot/why-xiot-devices-are-gateway-drug-lateral-movement
