盡管物聯(lián)網(wǎng)帶來了新的數(shù)據(jù)收集��、管理和應(yīng)用的途徑����,但是也帶來了大量的網(wǎng)絡(luò)安全攻擊��。其中的一大隱患就在于TCP/IP架構(gòu)中����,包括了應(yīng)用層、傳輸層�、網(wǎng)絡(luò)層和物理層���。
其實從各種角度來看���,TCP/IP架構(gòu)本來就不是為物聯(lián)網(wǎng)而設(shè)計的�����。雖然說工程師和開發(fā)者們都在努力試圖修改或者為TCP/IP架構(gòu)增加擴展��,但是環(huán)境本身的復(fù)雜性��,外加TCP/IP架構(gòu)設(shè)計之初就沒有考慮到安全性的原因����,這一過程帶來了許多安全層面的挑戰(zhàn)——其中不乏有現(xiàn)實層面的問題�。
從最基礎(chǔ)的層面來看��,TCP/IP架構(gòu)使得物聯(lián)網(wǎng)設(shè)備能夠和網(wǎng)路以及其他設(shè)備進行通信����。這些架構(gòu)都是開源的�,而被大部分嵌入式設(shè)備以及物聯(lián)網(wǎng)組件的廠商免費試用。
Chan補充道:“物聯(lián)網(wǎng)設(shè)備廠商會購買已經(jīng)內(nèi)置好TCP/IP架構(gòu)代碼的芯片和組件,再用這些元件建造物聯(lián)網(wǎng)產(chǎn)品��。”
然而可惜的是,許多的物聯(lián)網(wǎng)設(shè)備廠商并不知道他們的設(shè)備是否有隱患,因為他們對芯片和組件中使用的架構(gòu)沒有絲毫可視能力��。另外����,分析每一個設(shè)備�����,然后找出程序錯誤或者TCP/IP結(jié)構(gòu)中的其他問題�����,顯然不可行。
這導(dǎo)致的結(jié)果���,就是所有設(shè)備都容易遭到攻擊���,產(chǎn)生信息泄露;會發(fā)生設(shè)備故障�����、數(shù)據(jù)丟失或者損壞����,最終對品牌產(chǎn)生損害。同樣的,這也會對網(wǎng)絡(luò)安全成本造成上升�。
Forescout的研究經(jīng)理��,DaniledosSantos���,認為:“TCP/IP結(jié)構(gòu)的脆弱性管理正在對安全社群而言���,成為一個真正的挑戰(zhàn)��?����!?/p>
究竟有哪些威脅?
就在去年,URGENT/11和RIPPLE20等一系列漏洞造成了極大影響。而今年�,AMNESIA:33等33個其他漏洞影響了四個常用的開源TCP/IP架構(gòu)——uIP�����、FNET、picoTCP�����、以及Nut/Net����。這四個架構(gòu)是包括醫(yī)療設(shè)備��、工控系統(tǒng)����、路由器����、交換機、智能家居在內(nèi)的百萬物聯(lián)網(wǎng)設(shè)備��、工業(yè)設(shè)備��、網(wǎng)絡(luò)設(shè)備的基礎(chǔ)組件����。攻擊者可以利用這些漏洞進行遠程代碼執(zhí)習(xí)、DoS攻擊���,甚至強行占用設(shè)備。根據(jù)Forescout上個月的報告���,超過150個廠商的設(shè)備帶有風(fēng)險。
這些漏洞可能存在于商業(yè)組件或者開源組件中�����。嵌入組件包括芯片級系統(tǒng)、連接組件�、OEM主板等;物聯(lián)網(wǎng)設(shè)備包括智能插件���、智能手機��、傳感器��、游戲手柄等;OT系統(tǒng)包括門禁、IP攝像頭�、協(xié)議網(wǎng)關(guān)���、HVAC等;網(wǎng)絡(luò)和IT設(shè)備則包括打印機����、路由器�����、服務(wù)器等��。
dosSantos指出,AMNESIA:33之所以影響巨大�,不僅因為大量存在該漏洞的設(shè)備����,還有其他幾個原因。其中一個原因�,是硬件中對開源組件的廣泛以及嚴重的依賴性�。這些結(jié)構(gòu)中的代碼幾乎和每個與設(shè)備進行交互的數(shù)據(jù)包都有接觸����,從而使得這些漏洞能對空閑的設(shè)備產(chǎn)生影響。由于源代碼在88%的嵌入式項目中都會被重用,這會使得AMNESIA:33這類漏洞造成的影響數(shù)倍擴大�����。
Forescout的報告中提到�����,攻擊者可以通過遠程代碼執(zhí)行控制目標設(shè)備����,然后DoS攻擊影響其性能,最終損害業(yè)務(wù)�����。攻擊者還能通過信息泄露的漏洞獲取敏感信息,用DNS中毒的方式將目標設(shè)備導(dǎo)向惡意網(wǎng)站。
根據(jù)報告:“由于漏洞的廣泛影響特性,全球許多組織可能都已經(jīng)被AMNESIA:33所影響����?!?/p>
組織如何能夠解決TCP/IP結(jié)構(gòu)中的漏洞�?
專家指出�����,解決TCP/IP架構(gòu)中的隱患可以分為三個基礎(chǔ)步驟:識別網(wǎng)絡(luò)上所有的設(shè)備并意識到哪些是有隱患的、評估這些設(shè)備帶來的風(fēng)險——包括業(yè)務(wù)關(guān)聯(lián)性、嚴重性��、以及互聯(lián)網(wǎng)暴露程度���、最后緩解評估到的風(fēng)險���。
dosSantos補充認為:“最后一點可以由多種方式達成:比如補丁修復(fù)����、對網(wǎng)絡(luò)進行劃分并隔離關(guān)鍵設(shè)備、加強安全合規(guī)�、以及監(jiān)測網(wǎng)絡(luò)中的惡意流量��?�!?/p>
而專門針對AMNESIA:33,他建議禁止并阻斷IPv6流量�,并在任何可能的時候依靠內(nèi)部DNS服務(wù)器進行交互;因為在架構(gòu)中的數(shù)個協(xié)議都受到了多個漏洞的影響��。
同樣,企業(yè)也可以依靠網(wǎng)絡(luò)安全解決方案,自動化優(yōu)化最佳實踐���。這包括了采取一些更主動的方式,比如對關(guān)鍵設(shè)備進行隔離——無論這些設(shè)備是否存在漏洞,從而減少風(fēng)險暴露面以及限制攻擊造成的影響�。
另一方面�,安全團隊能回答問以下一些關(guān)鍵問題:代碼是否正規(guī)���?這些代碼的貢獻者是誰�,是否還有人在維護這些代碼?開源代碼庫確實簡化了編程過程,但是這依然需要開發(fā)者了解代碼庫里存在什么——畢竟現(xiàn)在太多時候��,開發(fā)者會在不了解代碼內(nèi)容的情況下輕易連入一個代碼庫��。
對了���,AMNESIA:33以及其他和TCP/IP相關(guān)的物聯(lián)網(wǎng)漏洞暫時看來不大可能消失�����。
Chan表示:“大部分在AMNESIA:33中的漏洞是由糟糕的軟件開發(fā)流程和管理行為導(dǎo)致的�。升級軟件可以解決一部分問題,但關(guān)鍵是要知道哪些設(shè)備存在受影響的架構(gòu)���。物聯(lián)網(wǎng)設(shè)備廠商從供應(yīng)商處購買芯片和組件,但他們本身卻不知道其中到底有哪些軟件��。”
