当前位置: > 华宇总代理 > 正文
正文
微软安全响应中心(Microsoft Security Response Center)团队周一报告称,俄罗斯黑客组织一直在侵入打印机、手机和视频解码器,以进入企业网络。该组织以在2016年总统大选期间从民主党全国委员会(Democratic National Committee)窃取敏感电子邮件而闻名。
微软发现,这个名为“锶”(Strontium)、“花式熊”(Fancy Bear)和“APT 28”(APT 28)的组织通过使用制造商的默认密码或利用未修补的漏洞访问这些设备。
在破解设备之后,入侵者进入公司网络并扫描更不安全的设备,在网络上移动,用高价值的数据危害高特权账户。
微软指出,当入侵者从一个设备移动到另一个设备时,华宇平台负责人:他们删除了一个简单的shell脚本,以便在网络上建立持久性,从而允许扩展访问以继续进行搜索。
黑客在寻找什么?
“由于我们在早期阶段就确定了这些攻击,我们还不能最终确定锶的最终目标是什么,”MSRC小组的报告说。
“虽然业界主要关注的是硬件植入的威胁,但我们可以在这个例子中看到,对手很乐意利用更简单的配置和安全问题来实现他们的目标,”它继续说。“随着更多的物联网设备被部署到企业环境中,这些利用薄弱设备管理的简单攻击可能会扩大。”
物联网不是玩具
旧金山物联网安全平台Mocana的首席技术官迪安•韦伯(Dean Weber)解释称,微软案中的黑客针对的是一款防护薄弱的设备,该设备有默认密码或容易猜到的密码,容易受到字典攻击。
在消费者领域,这样的攻击本身没有多少价值,因为设备将连接到家庭网络,“但如果您谈论的是一个可以访问ICS-SCADA世界的设备,那就是一个问题。现在你可以访问工业平台的命令和控制结构,”他告诉TechNewsWorld。
韦伯说:“人们认为这些设备是玩具,实际上它们确实是,但如果它们能让攻击者进入网络并造成破坏,那么这个玩具就能给他们很多访问权限。”
位于加州新港滩(Newport Beach)的网络和物理安全咨询公司Onyx的高级技术总监斯宾塞•利希滕斯坦(Spencer Lichtenstein)指出,微软描述的这类攻击的严重程度取决于组织的准备情况。
他在接受TechNewsWorld采访时表示:“拥有最新资产清单的企业可以更容易地将物联网设备纳入考虑范围,因此更容易获得它们。”
利希滕斯坦继续说道:“了解你作为一个公司所拥有的东西是获得一个项目的关键。”“这种威胁越严重,你对物联网足迹的了解就越少,对公司网络的控制就越少。”
黑客磁铁
引发黑客攻击的物联网产品缺陷似乎是一个日益严重的问题。
总部位于旧金山的众包安全公司Bugcrowd的首席技术官戴维·贝克(David Baker)表示,2018年物联网漏洞报告同比增长了384%。
他在接受TechNewsWorld采访时表示:“随着联网设备的绝对数量和类型,你有可能遭遇巨大的脆弱攻击。”
“在我们的家里,在我们的工作场所,在任何地方都有物联网设备连接,”贝克继续说。“将这种巨大的易受攻击面与常见的用户配置错误结合起来,网络罪犯往往可以很容易地利用物联网设备。”
位于加州圣何塞的思科系统(Cisco Systems)威胁情报部门思科塔罗斯(Cisco Talos)的外挂主管克雷格·威廉姆斯(Craig Williams)指出,物联网设备对黑客有吸引力,因为这些设备在网络上通常是隐形的,不需要维护。
他告诉TechNewsWorld:“如果攻击者能够破坏未维护的物联网设备,那么在可预见的未来,它就能有效地充当一扇门,让攻击者可以用来访问网络。”
总部位于伦敦的网络、信息安全和风险管理权威机构——信息安全论坛(Information Security Forum)的董事总经理史蒂夫•德宾(Steve Durbin)表示,安全成本可能很高,因此许多物联网设备的开发商未能充分考虑安全问题。
他在接受TechNewsWorld采访时表示:“它们是为了以尽可能低的成本提供和处理信息而设计的。”
注意安全
据威廉姆斯说,虽然一些设备制造商通过部署自动补丁等功能,在安全方面取得了长足进步,但大多数情况下,这些设备的设计都尽可能地便宜。
他说:“不幸的是,如果你购买的设备主要考虑的是价格,那么它背后就不太可能有一个软件工程师团队来设计未来的固件更新,以防范安全问题。”
波士顿关键基础设施和工业网络安全公司CyberX的工业网络安全副总裁菲尔·内雷(Phil Neray)说,物联网设备制造商在设计产品时经常走捷径。
他告诉《科技新闻世界》:“他们经常做的是抓取一些开源库,然后把它们放到他们的产品中。”“他们没有检查这些库是否有漏洞,是否容易受到攻击。当然,随着这些库的补丁发布,他们也不会随时更新。”
Onyx的Lichtenstein指出,华宇负责人:设备制造商更加意识到需要更好的安全控制,但很难衡量实际改进的进展。“许多企业级的物联网设备——建筑物的恒温器和集成电路系统——正在取得进展,吸引着投资,但相对而言,像灯泡或冰箱这样的‘智能产品’没有取得任何重大进展。”
在政府方面,已经有了一些明显的进展。美国国家标准与技术研究院最近发布了物联网设备的“核心基线”。它包括购买者在购买物联网设备时应该注意的6项安全功能:设备识别、设备配置、数据保护、接口逻辑访问、软件和固件更新以及网络安全事件记录。
总部位于加州圣何塞的自动威胁管理解决方案提供商Vectra的安全分析主管克里斯•莫拉莱斯(Chris Morales)表示,缺乏安全进展可能会让从业者感到沮丧。
他告诉TechNewsWorld,研究人员在2016年发布的一份Vectra报告中详细描述了利用网络摄像头作为连接网络的后门的情况。然而,我们仍然听到同样的问题。一切都没有改变,物联网安全也几乎没有改善。”
版权保护: 本文由 原创,转载请保留链接: http://www.allart.com.cn//cms/2019/1018/322.html
