如今,物联网 (IoT) 已经成为我们日常生活中不可或缺的一部分。2021年《“十四五”信息通信行业发展规划》中,就将物联网定位为重点发展项目之一。在2022年底的媒体报道中显示:我国移动物联网用户规模快速扩大,连接数达18.45亿户,比2021年底净增4.47亿户,占全球总数的70%。来自2023年IDC的预测报告提到:“未来五年中国物联网发展将保持平稳向好态势。具体而言,IDC预测,2026年中国物联网IT支出规模接近2981.2亿美元,占全球物联网总投资的1/4左右,投资规模将领跑全球。此外,中国物联网IT支出以13.4%的五年CAGR稳定增长,增速超过全球平均水平。”
然而,随着物联网设备的日渐普及,近年来利用各种漏洞针对这些设备发起的网络攻击也不断增加。助推这一增长的因素之一是疫情期间教育和医疗等各个部门的快速数字化转型。这种转型受业务连续性需求的驱动,往往在安全防护方面考虑欠妥,从而留下了一些漏洞。
网络犯罪分子意识到,物联网设备是网络中最薄弱的环节之一,大多数都没有得到适当的保护或管理。对于存在漏洞的物联网设备(例如摄像头和打印机)和其他此类无人管理的设备,攻击者可通过窃取直接访问权限和隐私信息,在企业网络内建立初始立足点,进而在遭到破坏的网络内猖狂活动。
在 2023 年的前两个月,全球每个机构平均每周遭遇近 60 次物联网设备攻击,比 2022 年高出 41%,是 2 年前攻击数量的三倍多。这些遭到攻击的物联网设备包括各种常见的物联网设备,例如路由器、IP 摄像头、DVR(数字视频录像机)、NVR(网络视频录像机)、打印机等。扬声器和 IP 摄像头等物联网设备在远程办公和学习环境中越来越常见,为网络犯罪分子提供了大量可乘之机。
这种趋势在全球所有区域与行业中都有体现。欧洲是目前遭受物联网设备攻击最多的地区,每个机构平均每周遭受近 70 次此类攻击,其次是亚太地区(64 次),拉丁美洲地区(48 次)和北美洲地区(37 次;与 2022 年相比增幅最大,高达 58%),非洲地区每个机构平均每周遭受 34 次物联网网络攻击。
教育和研究部门针对物联网设备的攻击次数空前激增,每个机构平均每周遭遇多达 131 次攻击,是全球平均水平的两倍多,比前一年骤增 34%。其他行业遭遇的攻击次数也显著增加,与 2022 年相比,大多数行业所遇攻击次数都经历了两位数增长,如下表所示:
Check Point Research之前的报告显示,黑客倾向于将学校视作“软目标”,因为校园网络上存储了大量的个人数据,这使得学生和学校都很容易受到攻击。向远程学习的转变显著扩大了网络犯罪分子的攻击面,因为大量不安全的物联网设备被引入学校网络,为黑客入侵这些系统提供了极大便利。此外,学校在网络安全预防和抵御技术方面的投资不足,这也使网络犯罪分子能够更容易地发起网络钓鱼攻击和部署勒索软件。
主要攻击
虽然有数百个漏洞可用于物联网漏洞利用攻击,但在针对企业网络的扫描和攻击尝试中,有些漏洞比其他漏洞更为常见。以下是自 2023 年初以来发现的排名前五的漏洞:
针对物联网设备的注入攻击普遍存在
命令注入是物联网设备中一个经常被利用的关键漏洞。攻击者可通过向程序注入命令,窃取易受攻击应用的权限。随着物联网设备的普及,该类型的漏洞已成为网络犯罪分子的主要目标。
漏洞扫描工具被广泛用于识别和利用 Web 应用和 API 中的漏洞。虽然这些工具有合法的用途,但攻击者也可能将其用于恶意目的。带外安全测试 (OAST) 和“Interact.sh.”是其中越来越流行的两款工具。
这种扫描技术可用作过滤工具,准确定位潜在受害者。当攻击复杂性较低时,攻击者通常先进行扫描。在这个过程中,攻击者会向一大群目标发送一个简单的有效载荷,而易受攻击的目标则会对初始请求做出响应,从而暴露漏洞。这种方法属于 MITRE 企业矩阵(一个有关网络犯罪分子所用攻击战术和技术的分层框架)中的第一步“主动扫描”。
攻击者可通过扫描核实其攻击目标的漏洞并确保仅攻击目标会收到实际的恶意有效载荷。研究结果表明,在为期一周的测试期间,至少 3% 的网络受到了这种扫描方法的影响。在物联网设备上采用这种攻击方法的主要漏洞利用包括:
企业如何防范物联网攻击
随着企业在日常运营中愈发依赖物联网设备,管理者必须在保护这些设备的安全方面保持高度警觉和积极主动。可采取以下方法来提高物联网安全性:
Check Point 最近推出了 Check Point Quantum IoT Protect。这是 Quantum‘Titan’版本 R81.20 的一个组件,后者通过精准拦截最隐蔽的零日 DNS、网络钓鱼和 IoT 攻击,革新了网络安全防护方式。该组件可帮助组织在几分钟内自动发现并有效保护物联网资产。
随着技术的不断进步,网络攻击将日趋复杂和频繁。通过实施强有力的安全措施并及时了解最新的威胁和最佳做法,以“预防为先”作为网络安全的主要理念,企业可以更好地保护自己及其物联网设备免遭网络犯罪分子的侵害。
好文章,需要你的鼓励
DeepResearchGym是一个创新的开源评估框架,专为深度研究系统设计,旨在解决当前依赖商业搜索API带来的透明度和可重复性挑战。该系统由卡内基梅隆大学研究团队开发,结合了基于ClueWeb22和FineWeb大型网络语料库的可重复搜索API与严格的评估协议。实验表明,使用DeepResearchGym的系统性能与使用商业API相当,且在评估指标间保持一致性。人类评估进一步证实了自动评估协议与人类偏好的一致性,验证了该框架评估深度研究系统的有效性。
这项研究介绍了FinTagging,首个面向大型语言模型的全面财务信息提取与结构化基准测试。不同于传统方法,它将XBRL标记分解为数值识别和概念链接两个子任务,能同时处理文本和表格数据。在零样本测试中,DeepSeek-V3和GPT-4o表现最佳,但在细粒度概念对齐方面仍面临挑战,揭示了当前大语言模型在自动化XBRL标记领域的局限性,为金融AI发展提供了新方向。
这项研究介绍了SweEval,一个新型基准测试,用于评估大型语言模型在企业环境中处理脏话的能力。研究团队从Oracle AI等多家机构的专家创建了一个包含八种语言的测试集,模拟不同语调和上下文的真实场景。实验结果显示,LLM在英语中较少使用脏话,但在印地语等低资源语言中更易受影响。研究还发现较大模型通常表现更好,且多语言模型如Llama系列在处理不当提示方面优于其他模型。这项工作对企业采用AI技术时的安全考量提供了重要参考。
这项研究提出了"VeriFree"——一种不需要验证器的方法,可以增强大型语言模型(LLM)的通用推理能力。传统方法如DeepSeek-R1-Zero需要验证答案正确性,限制了其在数学和编程以外领域的应用。VeriFree巧妙地计算正确答案在模型生成的推理过程后出现的概率,作为评估和训练信号。实验表明,这种方法不仅能匹配甚至超越基于验证器的方法,还大幅降低了计算资源需求,同时消除了"奖励黑客"问题。这一突破将有助于开发出在化学、医疗、法律等广泛领域具有更强推理能力的AI系统。