McAfee Labs 2019 年威胁预测

By on

以下内容是对 2019 年安全威胁的预测分析,由 Eoin Carroll、Taylor Dunton、John Fokker、German Lancioni、Lee Munson、Yukihiro Okutomi、Thomas Roccia、Raj Samani、Sekhar Sarukkai、Dan Sommer 和 Carl Woodward 共同撰写。

2018 年即将进入尾声,在这一年,尽管 GandCrab 和 SamSam 勒索软件的新型变种不断兴风作浪,各种威胁恣意猖獗,但是勒索软件并没有呈现出横行泛滥的气候,或许,我们应该对此心存感激。在预测分析 2019 年的安全威胁时,我们的作法一改过去只评估某种特定威胁的兴起或衰败,取而代之,我们更加关注从当前的网络犯罪中观察到的种种迹象,这些迹象可能会逐渐形成趋势,若不严加防范,势必会演变成实质性的威胁。

根据我们的观察,网络犯罪分子越来越倾向于利用地下市场实施抱团作案,以此来提高其产品的效能。多年来,网络犯罪分子一直以这种方式联合作案;预计在 2019 年,这种地下市场经济必将扩张。有鉴于此,安全行业与勒索软件开发者之间的猫鼠游戏也会愈演愈烈,安全行业需要采取比以往更快、更有效的应对措施。

社交媒体进入我们的日常生活已十年有余。最近,一些民族国家罔顾声誉,利用社交媒体传播虚假信息。2019 年,我们预计犯罪分子将会开始借用这样的手段来谋取私利。同样,随着物联网逐渐走进千家万户,犯罪分子会将这些家庭中的设备作为攻击对象,借此收敛钱财。

有一点是可以肯定的:我们对技术的依赖已经渗透到生活的方方面面。有报告显示,因身份验证平台遭到破坏,多达 5000 万的用户为此而受到影响。现如今,一旦某个平台遭到入侵,受影响的决不再仅仅是这一个平台。一切皆有联系,只有当您与外界的关联越来越少时,所处的环境才会愈发安全。哪些与外界关联最弱的环境会遭受攻击?这将是我们日后面临的问题。

—Raj Samani,McAfee Advanced Threat Research 团队成员和首席科学家

Twitter @Raj_Samani

 

预测

地下网络犯罪分子将整合力量,建立更多联盟,以助推多种威胁的发展

未来,规避技术将应用人工智能

协同作用的威胁会成倍增长,我们需要采取综合的应对措施

虚假信息、敲诈型活动将危害企业的品牌形象

数据渗漏式攻击将瞄准云

IoT 设备中,语音控制的数字助理将成为下一个攻击目标

网络犯罪分子将增加对身份验证平台的攻击,边缘设备将成为围攻对象

地下网络犯罪分子将整合力量,建立更多联盟,以助推多种威胁的发展

地下黑客论坛和聊天小组已成为网络犯罪分子的交易市场,他们可以在那里购买恶意软件、漏洞利用工具包、僵尸网络和其他违禁产品/服务。有了这些现成的产品,犯罪分子,不论其经验和技术如何,都可以轻松地发起攻击。我们预计在 2019 年,地下网络犯罪市场将进行整合,一批为数不多但更具实力的“malware-as-a-service”(恶意软件即服务)团体会随之应运而生,他们彼此之间将开展积极的合作。伴随这些恶意软件团队的日益壮大,加密货币挖掘手段将变得更加复杂,新漏洞会快速得以利用,移动设备恶意软件、盗取信用卡和凭据的事件也将增加。

我们预计会有更多的分支机构加入到大型的恶意软件家族中,这是因为大型团队易于运作,并且与其他重要的顶级服务(包括漏洞利用工具包、加密服务、比特币混合器和抵御防恶意软件服务)建立了战略联盟。例如,我们在两年前就看到许多大型勒索软件团体招募附属机构。另外,我们还注意到尽管各类勒索软件层出不穷,但最终只有少数几个存活下来,这是因为与大型勒索软件品牌相比,绝大多数的勒索软件都无法吸引到足够多的业务;而且大型勒索软件在感染率和运作及财务安全方面更具优势。当前,这些大型勒索软件家族正大肆宣传其产品;作为实力强大的品牌(请参阅 GandCrab),并且与其他顶级服务(例如,洗钱或可规避检测的恶意软件)结盟,它们的业务可谓“蒸蒸日上”。

地下交易之所以能成功,是因为它们在基于信任的系统中运作。这或许和“盗亦有道”不是一回事,但是,犯罪分子在地下论坛的小圈子里似乎会有一种安全感,深信自己可以安然无恙。我们过去曾见识过这种信任感,例如,在本世纪的头十年,信用卡支付日渐兴起,这成为网络犯罪的主要源头,直到警察重拳出击,方才打破了这种信任模式。

随着终端检测技术日益强大,具有安全漏洞的远程桌面协议 (RDP) 将成为网络犯罪分子的新目标。根据我们的预测,在 2019 年,恶意软件,尤其是勒索软件,将会越来越多地使用 RDP 作为发起病毒感染的入口。当前,除了勒索软件之外,大多数地下市场的商家还极力宣传 RDP 访问权限所具有的其他用途,RDP 通常可用作获取 Amazon 帐户访问权限的手段,或用作盗取信用卡的代理。实施针对性攻击的勒索软件团体以及“勒索软件即服务”(RaaS) 模型都将利用 RDP,我们已经见识过采用这种策略,达到掩人耳目、成功发起攻击的案例。攻击者先寻找存在 RDP 薄弱环节的系统,接着使用勒索软件攻击这个系统,然后通过网络使用“因利乘便”的技术或蠕虫功能 (EternalBlue) 传播勒索病毒。有证据表明,GandCrab 的编写者已经开始处理 RDP 选项。

此外,根据我们的预测,与加密货币挖掘相关的恶意软件会变得更加复杂,它们可以根据攻击对象计算机上使用的处理硬件 (WebCobra) 以及特定货币在给定时间内的价值,来选择要挖掘哪一种货币。

我们预测在明年,从发现漏洞开始,到利用该漏洞实施攻击,这其中的时间期限会变得越来越短。我们注意到网络犯罪分子在其产品开发过程中变得日益敏捷,这已然成为一种趋势。网络犯罪分子会从在线论坛以及“通用漏洞披露”(Common Vulnerabilities and Exposures) 数据库中收集漏洞数据,并将这些数据添加到其开发的恶意软件中。我们预计在将来,网络犯罪分子有时只需一天、甚至几个小时的时间,就可以对软件和硬件的最新漏洞发起攻击。

此外,围绕移动设备恶意软件的地下讨论将会有所增加,讨论主要是针对 Android 移动设备,具体内容涉及僵尸网络、银行诈骗、勒索软件,以及双重身份验证安全措施的规避手段。移动手机为网络犯罪分子提供了大量的可趁之机,这是因为网络犯罪分子可以从手机中窃取大量敏感信息(例如,银行帐户),有鉴于此,移动平台的“利用”价值当前其实是被低估了。

与此同时,信用卡诈骗和窃取信用卡信息的现象将会屡见不鲜,其中,犯罪分子会把更多的注意力转向针对大型电子商务网站第三方支付平台的在线窃读操作。在这些电子商务网站上,犯罪分子可以悄无声息地一次性窃取成千上万个新注册信用卡的详细信息。不仅如此,犯罪分子现在还可以通过社交媒体来利用毫不知情的用户;用户在转运货物或提供金融服务时,其实就有可能是在帮助犯罪分子实施犯罪行为,但是用户对此却一无所知。

考虑到近日大规模的数据泄露以及用户在使用密码时的不良习惯,我们预测“窃取凭据”这个市场会进一步扩张。例如,随着数据遭到泄露,出售选民记录和黑客攻击电子邮件帐户等行为就会接踵而至。这些攻击每天都在发生。

—John Fokker

 

未来,规避技术将应用人工智能

为了提高成功概率,攻击者一直都在使用规避技术来绕过安全措施,并避免接受检测和分析。打包程序、加密程序以及其他规避工具,都是攻击者工具库中的常用组件。实际上,协助犯罪活动的产品和专属服务已经形成了一个完整的地下经济。由于犯罪分子现在可以轻松地将攻击活动中的关键部分外包给他人,我们预测在 2019 年,规避技术会因为应用人工智能而变得更加敏捷。想想看,抵御防病毒软件的技术现在是不是已经很普遍了?然而,这只是开始。

2018 年,我们见识了新型的进程注入技术,例如 SynAck 勒索软件使用的“Process Doppelgänging”代码注入技术,以及 RigExploit Kit 提供的 PROPagate 注入技术。在应用人工智能等技术后,规避技术将可以进一步规避安全保护措施。

不同的恶意软件使用不同的规避技术

根据我们的观察,2018 年出现了新型威胁,例如,可以从遭受感染的计算机中劫持资源的加密货币挖掘程序。而且每一种威胁都伴随着新发明的规避技术:

  • 加密货币挖掘:挖掘程序可实施一系列规避技术。例如,WaterMiner 挖掘程序可以在攻击对象运行“任务管理器”或防恶意软件扫描时,立即停止其挖掘进程。
  • 漏洞利用工具包:常见的规避技术包括进程注入(即操纵内存空间)和添加任意代码。内存注入是为了在交付过程中规避检测而常用的一种感染方式。
  • 僵尸网络:可同时感染数千台计算机的大型僵尸,通常使用网络代码混淆或反-反汇编技术。2018 年 5 月,我们发现 AdvisorsBot 使用垃圾代码、虚假条件指令、XOR 加密,甚至使用 API 哈希算法。由于僵尸网络倾向于广泛传播,程序编写者实施了多种规避技术来减缓逆向工程的速度。此外,编写者还使用了混淆机制,模糊僵尸网络与控制服务器之间的通信。犯罪分子可使用僵尸网络来实施各种不法活动,例如 DDoS-for-Hire(雇佣黑客发起 DDoS 攻击)、各种代理、垃圾邮件或其他恶意软件交付。为了避免或延迟僵尸网络遭到清除,规避技术已成为犯罪分子不可或缺的手段。
  • 高级的持续性威胁:攻击者通常使用在地下网络犯罪市场购买的盗用证书,发起具有针对性的攻击,并绕过防恶意软件检测。攻击者还会使用风险级别较低的恶意软件,例如 Rootkit 或基于固件的威胁。例如,2018 年 ESET 发现了首个 UEFI Rootkit,即 LoJax。此外,安全研究人员还发现犯罪分子使用了具有破坏性的反取证技术:OlympicDestroyer 恶意软件攻击了奥林匹克运动会组织,并且为了规避调查而抹除了事件日志和备份。

人工智能将成为新一代武器

近年来,我们观察到恶意软件企图使用规避技术来绕过机器学习引擎。例如,2017 年,Cerber 勒索软件通过在系统中投放合法文件来欺骗对文件进行分类的引擎。2018 年,PyLocky 勒索软件使用 InnoSetup 打包恶意软件,以此来规避基于机器学习的检测。

显而易见,犯罪分子已将规避人工智能引擎检测列入其待办事项清单;不仅如此,犯罪分子还可能会将人工智能应用于开发恶意软件。根据我们的预测,规避技术将开始利用人工智能来自动选择攻击目标,或者将先使用人工智能检查受感染的环境,然后再部署后续行动,进而规避检测。

这将导致威胁领域发生翻天覆地的变化。我们预测人工智能不久便会成为犯罪分子的新武器。

—Thomas Roccia

 

协同作用的威胁会成倍增长,我们需要采取综合的应对措施

在这一年,我们观察到各种网络威胁正在以前所未有的速度不断发展、不断演变。我们注意到勒索软件变得更加有效,它还可以充当烟雾弹使用。另外,比勒索软件更有效、更可靠,投资回报率更高的 Cryptojacking(加密货币劫持)攻击开始迅速蔓延。我们还看到,网络钓鱼技术日益强大,并且能够找到可加以利用的新漏洞。此外,我们也注意到无文件和“因利乘便”式的威胁比以往任何时候都更加狡猾、更擅于规避;我们甚至还看到了针对平昌奥运会推广活动的潜伏型隐写恶意软件。我们预测在 2019 年,攻击者将越来越倾向于整合各种手段,创建可从多方面协同攻击的安全威胁。

还有比这更糟糕的吗?

通常情况下,不法分子会集中精力,使用一种威胁来发起攻击。为了确保能够发起有效的攻击并成功规避检测,不法分子通常会集中精力,一次只开发一种威胁,并不断进行完善。当不法分子成功实施攻击后,该攻击将被划分为恶意软件、加密货币劫持、数据渗漏等,而且与之抗衡的防御措施也会相继出台。届时,这种攻击的成功概率将大幅缩减。然而,如果某种攻击非常复杂,其中涉及到 5 项协同合作的顶级威胁技术,那么制定相应的防御措施就会变得十分困难。尝试识别攻击并缓解攻击产生的影响,就成为了一件颇具挑战的事情。由于无法确定最终的攻击目标,而且各个威胁都在攻击链中发挥了作用,所以分析人员在面对各个威胁的详细信息时,可能会感到无从下手。

不法分子之所以能够实现协同威胁,其中一个原因便是他们在不断地发展技术基础设施、工具包和可重复利用的威胁工具,进而提高自身的技能。随着攻击者有组织地开展活动,并逐步形成黑市业务模型,他们现在可以集中精力增强和完善先前已构建的业务板块。通过这种策略,攻击者能够整合多种威胁技术,以实现其目标,而不是仅仅依赖于其中的一种技术。

示例胜过千言万语

设想一下,某个攻击最初是一种网络钓鱼威胁,它不是常见的使用 Word 文档发起的促销活动,而是一种新型的网络钓鱼技术。这封网络钓鱼电子邮件包含一个视频附件。打开该视频时,系统提示您的视频播放器无法播放,并提醒您更新编解码器。当您运行此更新时,系统上将会部署一个隐写的多语言文件(一个简单的 GIF 文件)。因为该 GIF 文件是一个多语言文件(可同时遵循多种格式的文件),所以可安排一项任务,即提取在遭受入侵的系统上托管的无文件脚本。该脚本在内存中运行,用来评估和分析您的系统,并确定是要在您的系统上运行勒索软件还是加密货币挖掘程序。此时发挥作用的其实是一种危险的协同型威胁。

这种攻击让您产生了许多疑问:您面对的是什么威胁?是网络钓鱼 2.0 版?是隐写软件?是“因利乘便”式的无文件攻击?是加密货币劫持?还是勒索软件?实际上,您要同时面对以上所有的威胁。

上述示例虽然复杂但实际上是可以实现的,它充分表明为了检测或解决某个攻击,我们或许不能只关注一种威胁。如果您执意要将攻击划分到某个特定的类别,则有可能无法窥探全局,进而无法找到有效的解决方法。即使在中途成功阻截了攻击,但是为了抵御日后的攻击,仍有必要了解攻击的起始阶段和结束阶段。

保持好奇,保持创新,整合防护措施

要解决基于协同威胁的复杂攻击,我们需要对每种威胁怀着质疑和探询的态度。如果这次勒索软件攻击只是冰山一角呢?如果此封网络钓鱼电子邮件可以演变为一种新型技术,而安全人员尚未接受相关技术的培训,我们该怎么办?如果我们没有发现此次攻击的真实目标呢?

牢记这些问题不仅有助于全面了解攻击事件,而且还有助于找到最有效的安全防护解决方案。我们预测犯罪分子将会进一步整合各种攻击工具,然而与此同时,我们也同样可以整合安全防御工具。

—German Lancioni 和 Carl Woodward

 

网络犯罪分子使用社交媒体虚假信息、敲诈型促销活动,危害企业的品牌形象

“选举的背后有人操纵,虚假新闻泛滥,社交媒体用户实际上全部都是外国政府操控的机器人。”上述言论至少反映了人们在一些情况下的真实感受。如果说社交媒体公司近年来麻烦一直不断,那么这种说法或许有些过于轻描淡写。在此期间,随着自动帐户信息遭到窃取,广告手段日新月异,僵尸网络帐户伪装得越来越合法,一场猫鼠游戏拉开了帷幕。根据我们的预测,2019 年,犯罪团伙而不是民族国家活动分子将利用社交媒体发布更多的虚假信息和敲诈型促销活动,而品牌将成为主要的攻击对象。

民族国家将利用机器人阵营来传播信息或操纵舆论,机器人在其中发挥的作用不容小觑。机器人通常会阐述事件的正反两面,借此激发讨论,这种手段屡试不爽。机器人操作者能够使用某种机制来增加支持人数并测试信息(包括井号标签),进而确定成功率;由此可见,机器人操作者真实了解如何在重大事件上引导公众舆论。

例如,一个仅创建 2 周的帐户在获得 279 位粉丝(其中大多数粉丝是由其他机器人扮演)后,开始对某个组织发起恶意骚扰活动。短短 4 周,这个帐户仅通过推送有关其攻击对象的恶意内容,就获得了 1,500 位新粉丝。

旨在操纵公众舆论的活动已经被详细记录下来,从中可以看出,机器人非常精通于操控对话,进而倡导特定的意图或立场。根据我们的预测,明年网络犯罪分子将故技重施,不过,他们的目的将会是通过危害企业品牌来进行勒索。因此,企业将面临重大威胁。

—Raj Samani

数据渗漏式攻击将瞄准云

过去两年内,企业广泛采用了“软件即服务”业务模型(例如 Office 365),以及“基础设施即服务”和“平台即服务”云业务模型(例如 AWS 和 Azure)。在这种情况下,当前越来越多的企业数据将存储在云中。为此,我们预计 2019 年针对云数据的攻击会大幅增加。

随着 Office 365 的采用率日渐加大,我们已经注意到出现了大量针对此项服务的攻击,尤其是入侵电子邮件的这类攻击。McAfee 云团队曾披露了一种名为 KnockKnock 的僵尸网络威胁,这种威胁专门攻击通常不采用多重身份验证的系统帐户。此外,我们还注意到有犯罪分子利用开放授权标准中信任模型存在的安全漏洞。俄罗斯网络间谍组织 Fancy Bear 曾发起过数据渗漏式的网络钓鱼攻击,该组织使用伪造的 Google 安全应用程序来获取用户数据的访问权限。

同样地,由于 Amazon S3 存储桶配置不当,近几年来也发生了很多重大的配置文件数据泄露事件。这些数据泄露事件显然不能归咎于 AWS。根据责任共享模型,客户有责任正确配置 IaaS/PaaS 基础设施,并采取适当措施保护其企业数据和用户访问权限。但是事情并非这么简单,很多配置不当的存储桶的所有者并不是遭受攻击的企业,而是位于其供应链中的供应商。在获取了大量开放存储桶和凭据的访问权限后,不法分子会越来越倾向于选择容易攻击的目标。

据 McAfee 发现,在云中存储的所有数据中,有 21% 的数据属于敏感数据,例如知识产权、客户数据和个人数据(请参阅McAfee 云应用和风险报告》。去年,共享此类数据的用户数增加了 33%,这让网络犯罪分子知道了如何找到更多的攻击目标:

  • 瞄准保护力薄弱的 API 或未经治理的 API 终端,发起云原生攻击,以访问 SaaS 及 PaaS 和无服务器的工作负载中的数据
  • 对云数据库(PaaS 或 IaaS 中部署的自定义应用程序)中的数据加大侦测和渗漏,将 S3 数据渗漏方式扩展到数据库或数据湖中的结构化数据
  • 利用云作为跳板,发起云原生攻击(例如,可利用公开可写入的 S3 存储桶的 GhostWriter,这个安全漏洞是因为客户配置不当引起的),这种攻击是在中途发起的,是将加密货币劫持或勒索软件攻击整合到 MITM 攻击的其他变体中

Sekhar Sarukkai

IoT 设备中,语音控制的数字助理将成为下一个攻击目标

随着技术爱好者不断地在家中安装智能设备,从插头到电视,从咖啡机到冰箱,从运动传感器到照明等等,入侵家庭网络的方式正快速增多,尤其是考虑到许多 IoT 设备尚未得到足够的安全保护。

但是,明年,语言控制数字助理将成为入侵家庭网络的主要入口,因为此类设备在一定程度上就是为集中管理家中所有 IoT 设备而设计的。由于数字助理的销量在上涨,而且有可能会在休假旺季暴增,网络犯罪分子将会倾向于利用数字助理来入侵网络中其真正感兴趣的设备,这种趋势日后绝对会越来越明显。

现在,语音助理市场方兴未艾,许多品牌仍在以各种方式抢占市场,究竟哪种设备将得到广泛使用还尚不可知。如果某种设备在市场上占据了主导位置,那么在其隐私问题得到全面细致的审核之前,媒体或许就会迫不及待地详细剖析这种设备的安全性能。

(我们去年就曾强调,隐私是家用 IoT 设备的首要考虑因素。虽然隐私今后仍然会是一个考虑因素,但是网络犯罪分子会将更多的精力投入到开发僵尸网络、发起勒索,以及威胁家庭和企业的财产安全。)

网络犯罪分子将不会错过这个控制家用设备或办公设备的机会,与语音助理市场的获胜者相比,犯罪分子将在语音助理的程序中写入完全不同的内容,他们将写入恶意代码,进而攻击 IoT 设备以及因获取了大量授权而能够与这些设备交流的数字助理。

智能手机早已成为实施攻击的入口。2019 年,智能手机很有可能会犯罪行为提供更多机会。2016 年首次爆发的 Mirai 僵尸网络,以及 2017 年的 IoT Reaper,都向我们展示了网络犯罪分子可以对未受保护的设备实施的攻击。这些 IoT 恶意软件能以多种不同形式呈现,可以攻击多种联网设备,例如路由器、网络视频录像机和 IP 摄像头。这些恶意软件还可以破解密码并利用已知的安全漏洞来扩大其攻击范围,进而在全球范围内构建机器人网络。

根据我们的预测,在明年,路由器和智能手机/平板电脑将成为家用 IoT 设备攻击的两大主要对象。Mirai 僵尸网络已经证明了路由器缺乏安全性。智能手机已经可以用来监控家用设备,因此将会成为网络犯罪分子的主要攻击目标,网络犯罪分子将利用当前技术以及新技术来感染智能手机,进而取得控制权。

恶意软件编写者将利用已成为受信任控制器的手机和平板电脑,通过破解密码和利用安全漏洞,来控制 IoT 设备。由于网络流量来自于受信任的设备,所以这种攻击不会引起怀疑。基于这种情况,攻击的成功概率将提升,而且攻击路线难以确定。受感染的智能手机可能会引发另外一种攻击,即劫持路由器上的 DNS 设置。现在,犯罪分子也能够轻松利用移动设备应用程序和云应用程序中的安全漏洞,不过,智能手机仍是犯罪分子的核心目标。

受感染的 IoT 设备将产生僵尸网络,进而发起 DDoS 攻击并盗取个人数据。更加复杂的 IoT 恶意软件可以利用语音控制数字助理来隐藏其可疑活动,进而成功规避用户和家庭网络安全软件的检测。犯罪分子可以通过用户语音命令(“播放音乐”和“今天的天气如何”等等)实施不法活动,例如开门和连接到控制服务器。不久后,我们或许会听到受感染的 IoT 设备发出指令:“助手!打开后门。”

—Lee Munson Yukihiro Okutomi

  

网络犯罪分子将增加对身份验证平台的攻击,边缘设备将成为围攻对象

2018 年,身份验证平台(一种集中式管理平台,可以对 IT 环境中的所有用户、设备和服务进行身份安全验证和授权)出现大规模数据泄露,此类事件已有详细记录。与此同时,犯罪分子还在反复使用被盗取的数据,进一步侵害受害者的权益。2019 年,我们预计大规模的社交媒体平台将会实施更多安全措施,以保障用户的信息安全。但是,由于社交媒体平台日益增多,而且其存储着大量数据,我们预测犯罪分子会投入更多的资源来攻击此类平台。因此,犯罪分子与大型社交媒体平台之间的博弈将成为下一个主战场。

旨在攻击工业控制系统 (ICS) 的 Triton 恶意软件已表明,犯罪分子能够通过其临近的 IT 环境远程攻击生产环境。由于生产环境中普遍使用静态密码,而且边缘设备因为设计限制而不具备安全系统要求,因此入侵身份验证平台和“边缘设备”日后将成为犯罪分子发起远程 ICS 攻击的关键。(边缘设备是指 IoT 产品中任何可连接到网络的系统硬件或协议。)在愈演愈烈的对抗中,我们预测多重身份验证和智能身份技术将成为保护安全的最佳方式。此外,我们还预测智能身份技术将与多重身份验证互为补充,共同用于增强身份验证平台的安全保障。

身份验证是保障 IoT 设备安全的一个基本要素。在 IoT 生态系统中,设备和服务必须能够安全地识别出受信任的设备,进而才能忽略其他不受信任的设备。身份验证模型已经从传统 IT 系统中的“以用户为中心”发展到 IoT 系统中的“以机器中心”。但遗憾的是,由于运营技术的集成以及“边缘设备”在设计上存在的不安全因素,IoT 信任模型是以假设信任和基于边界的安全模型为基础的,而这种模型安全性较差。

在 2018 年美国 BlackHat 大会和 DEFCON 大会上,举办了 30 场有关 IoT 边缘设备安全漏洞的讨论。与 2017 年相比,增加了许多围绕这个主题的讨论内容(2017 年开展了 19 场讨论)。人们对这个主题的关注更多地体现在 ICS、消费者、医疗和“智能城市”等方面。(参见图 1。)凭借智能边缘设备和高速连接能力,IoT 生态系统日益壮大,但是在快速发展的同时,IoT 生态系统的安全性遭受到了威胁。

1:随着未受到足够保护的设备面临日益增多的威胁,以 IoT 设备安全性为主题的会议数量有所增加。

由于大多数 IoT 边缘设备不提供自我防御(隔离关键功能、内存保护、固件保护、最低权限或默认安全级别),因此只需成功利用一个安全漏洞,即可完全控制该设备。由于在多种设备类型和同一种设备的不同位置中使用不安全组件,IoT 设备还会遭受“一旦突破,即可到处使用”这类攻击。(请参阅有关 WingOS逆向工程的文章)。

McAfee Advanced Threat Research 团队的工程师们展示了不法分子可以如何利用医疗设备协议实施危害生命健康的行为,并通过假设信任模型侵犯病人隐私。这些例子只是冰山一角,因此我们有理由相信犯罪分子将选择 IoT 边缘设备作为其入侵的主要途径,因为这是实现其目标最顺畅的途径。在过去十年,我们加强了服务器的安全,但是在 IoT 硬件方面,做得还远远不够。在了解犯罪分子的动机和可趁之机(攻击入口和访问能力)后,我们可以跳出特定攻击的局限,确定一系列普遍适用的安全要求。

图 2 对 IoT 边缘设备中安全漏洞类型进行了细分,并着重突出了可通过在边缘硬件设备中构建身份验证管理和完整性筛查功能来解决的安全薄弱点,这些功能可确保 IoT 边缘设备能够抵御攻击。

2:不安全的协议是攻击 IoT 边缘设备的主要入口。

为保障 IoT 安全,我们必须从零信任模型入手,使用硬件信任根源作为核心构建板块,进而抵御黑客攻击和其他威胁。鉴于智能城市的兴起以及 ICS 活动的增多,McAfee 预测 2019 年,针对身份验证平台和 IoT 边缘设备的入侵攻击将会增加。

 

—Eoin Carroll

Leave a Comment