Check Point：物联网设备安全应从内部保护开始

近年来，随着国家对物联网（IoT）技术发展的关注与投入，尤其是“十四五”规划中被划定为我国7大数字经济重点产业之一，物联网在我国必将迎来全面利好的高速发展时期。然而值得注意的是，随着物联设备的不断普及，其面对的网络攻击正与日俱增，而且变得越来越复杂并更具破坏性。近来多份不同报告均已看到大量实例，数十万台互联设备遭到恶意软件的攻击，被勒索软件、加密货币挖矿软件、木马、僵尸网络等感染的报道屡见不鲜。

针对这一现状，Check Point公司的安全专家分享并探讨了这些漏洞存在的原因、网络犯罪分子如何获取访问权限，以及用户如何实施一些最佳实践来保护贵组织免遭网络攻击。

此类攻击如何发生？

如同知名的“木桶原则”，在网络安全领域，用户的网络保护强度仅取决于最薄弱的一环。对于单台设备来说是这样，对于整个网络也是如此。

关于网络中最薄弱的环节，指的是可通过互联网访问的面向边界网络的设备。其中包括许多不同的设备类型，从低端 IP 摄像头、路由器及企业园区传感器到高端气泵、EV 充电器 及 ATM 等不一而足。所有这些设备都连接到互联网并支持远程访问。

边界安全

当攻击者企图破坏网络时，他们通常会扫描网络来搜寻这些互联设备，以将其用作网络入侵的切入点。

物联网设备是发起网络攻击的跳板，因为它们通常运行过时软件或不受安全事件监控。由于这些设备规模大、种类多（例如，一个大学校园可能管理数十种不同设备），因此传统的事件响应措施可能不像往常那样有效。当网络中的大量资产同时遭到攻击时，网络安全负责人很难即刻了解漏洞的来源。

进一步感染

为获得更大利益，攻击者往往会长时间潜伏，等待合适的时机才出手，他们同时会执行侦察任务，以在发起攻击之前先熟悉潜在受害者的网络。

发动攻击时，攻击者的目标之一是在整个目标网络中实现横向运动。他们希望在整个网络中随意移动，攻击其他内部资产和实体。通过利用服务器、PC 和常见办公设备（如打印机和路由器），攻击者可提高其对网络进行更广泛控制的能力。通常，攻击者会利用这种控制达到各种目的，例如数据窃取、勒索、勒索软件感染等。最初的一系列外围设备入侵事件很快就会演变成一场可能带来毁灭性后果的全面攻击活动。

实际案例：攻击通常如何实施？

勒索软件感染入侵用户的网络后，便可感染更多数字资产，因此很难清除。

Vedere Labs 发布的 R4IoT 研究论文中提到了一个攻击示例，其中用户物联网设备网络首先遭到劫持，继而感染大量恶意软件、加密货币挖矿软件。这场“攻击”首先利用了在安讯士摄像头（CVE-2018-10660、CVE-2018-10661）和 Zyxel NAS (CVE-2020-9054) 中发现的漏洞。通过使用这些网络节点进行横向传播，恶意软件能够控制许多网络设备、窃取信息并使其他设备感染勒索软件。在本例中，研究人员利用（相对）较旧的漏洞（从 2018 年到 2020 年）演示了恶意软件对固件未修补的设备造成的影响。这些漏洞允许攻击者通过设备上未经身份验证的接口获得完全访问权限。

此外，最近 Mitel IP 电话被爆攻击漏洞 (CVE-2022-29499)。该漏洞允许攻击者在这些设备上运行任意命令，进而为所欲为。与 R4IoT 研究论文中介绍的漏洞（可使用基于签名的传统产品解决）不同，任何利用这一 Mitel 漏洞的攻击者可以几乎不受阻碍地持续感染用户网络。

同时还有最近发生的 ZuoRAT 攻击事件。在这场极其广泛的攻击活动中，至少 80 种不同类型的设备及 Netgear、Asus 和 DrayTek 家用路由器受到感染。这种允许攻击者远程访问的木马恶意软件已存在多年，并像野火般持续蔓延。在当下居家办公的大环境下，这带来了一个严重的安全风险，如果家用设备遭到感染，那么就可能对用户所在企业的资产和整体业务产生毁灭性影响。

发动类似恶意软件攻击的方法远比大众想象的简单。通常，前面提到的这些攻击可通过不受监管的市场低价购买。几周前，美国司法部取缔了一个名为 RSOCKS 的网站。这个网站所销售的代理工具可供攻击者实施加密货币挖矿活动、DDOS 攻击等。大多数攻击者只需使用默认凭证或猜测弱密码即可控制联网设备和资产。难以置信的是，这种猜测凭证或尝试默认用户名和密码的方法聚起了一个由 350,000 多台消费类、办公及家用设备组成的恶意网络。

内部保护，面向未来

在如今的网络环境中，企业联网设备和资产必须能够防范下一次攻击。针对发现的各个漏洞和利用程序安装一个又一个补丁往往不切实际。研究表明，即使软件厂商频繁发布设备更新，设备管理员和最终用户通常也不会第一时间维护其设备并确保及时更新。在这种情况下，当务之急是采用一款面向未来的解决方案来解决这些难题。

Check Point 具备IOT防护能力的Quantum产品，在物联网安全方面引入了一种创新方法，侧重于检测和防御，而不是像目前市场上的大多数解决方案一样只是强调检测。Check Point Nano-Agent® 不仅提供了设备运行时保护，而且还能够在每台物联网设备上运行，确保其在网络环境、离线或物理隔离环境中安全无虞。该解决方案可监控设备的软件，确保设备行为符合预期。如果网络攻击者企图利用已知或未知漏洞，Check Point的零日保护将会检测到任何偏差，并即时阻止。

网络安全之战是一场持久战，不法分子不断翻新花样，升级装备。因此，在如今的现代网络环境中，基本监控和检测安全解决方案已远远不能满足用户的安全需求。选择一款既能实时检测又能防御网络攻击的网络安全解决方案，将是未来很长一段时间内的大势所趋。