如今,物联网 (IoT) 已经成为我们日常生活中不可或缺的一部分。2021年《“十四五”信息通信行业发展规划》中,就将物联网定位为重点发展项目之一。在2022年底的媒体报道中显示:我国移动物联网用户规模快速扩大,连接数达18.45亿户,比2021年底净增4.47亿户,占全球总数的70%。来自2023年IDC的预测报告提到:“未来五年中国物联网发展将保持平稳向好态势。具体而言,IDC预测,2026年中国物联网IT支出规模接近2981.2亿美元,占全球物联网总投资的1/4左右,投资规模将领跑全球。此外,中国物联网IT支出以13.4%的五年CAGR稳定增长,增速超过全球平均水平。”
然而,随着物联网设备的日渐普及,近年来利用各种漏洞针对这些设备发起的网络攻击也不断增加。助推这一增长的因素之一是疫情期间教育和医疗等各个部门的快速数字化转型。这种转型受业务连续性需求的驱动,往往在安全防护方面考虑欠妥,从而留下了一些漏洞。
网络犯罪分子意识到,物联网设备是网络中最薄弱的环节之一,大多数都没有得到适当的保护或管理。对于存在漏洞的物联网设备(例如摄像头和打印机)和其他此类无人管理的设备,攻击者可通过窃取直接访问权限和隐私信息,在企业网络内建立初始立足点,进而在遭到破坏的网络内猖狂活动。
在 2023 年的前两个月,全球每个机构平均每周遭遇近 60 次物联网设备攻击,比 2022 年高出 41%,是 2 年前攻击数量的三倍多。这些遭到攻击的物联网设备包括各种常见的物联网设备,例如路由器、IP 摄像头、DVR(数字视频录像机)、NVR(网络视频录像机)、打印机等。扬声器和 IP 摄像头等物联网设备在远程办公和学习环境中越来越常见,为网络犯罪分子提供了大量可乘之机。
这种趋势在全球所有区域与行业中都有体现。欧洲是目前遭受物联网设备攻击最多的地区,每个机构平均每周遭受近 70 次此类攻击,其次是亚太地区(64 次),拉丁美洲地区(48 次)和北美洲地区(37 次;与 2022 年相比增幅最大,高达 58%),非洲地区每个机构平均每周遭受 34 次物联网网络攻击。
教育和研究部门针对物联网设备的攻击次数空前激增,每个机构平均每周遭遇多达 131 次攻击,是全球平均水平的两倍多,比前一年骤增 34%。其他行业遭遇的攻击次数也显著增加,与 2022 年相比,大多数行业所遇攻击次数都经历了两位数增长,如下表所示:
Check Point Research之前的报告显示,黑客倾向于将学校视作“软目标”,因为校园网络上存储了大量的个人数据,这使得学生和学校都很容易受到攻击。向远程学习的转变显著扩大了网络犯罪分子的攻击面,因为大量不安全的物联网设备被引入学校网络,为黑客入侵这些系统提供了极大便利。此外,学校在网络安全预防和抵御技术方面的投资不足,这也使网络犯罪分子能够更容易地发起网络钓鱼攻击和部署勒索软件。
主要攻击
虽然有数百个漏洞可用于物联网漏洞利用攻击,但在针对企业网络的扫描和攻击尝试中,有些漏洞比其他漏洞更为常见。以下是自 2023 年初以来发现的排名前五的漏洞:
针对物联网设备的注入攻击普遍存在
命令注入是物联网设备中一个经常被利用的关键漏洞。攻击者可通过向程序注入命令,窃取易受攻击应用的权限。随着物联网设备的普及,该类型的漏洞已成为网络犯罪分子的主要目标。
漏洞扫描工具被广泛用于识别和利用 Web 应用和 API 中的漏洞。虽然这些工具有合法的用途,但攻击者也可能将其用于恶意目的。带外安全测试 (OAST) 和“Interact.sh.”是其中越来越流行的两款工具。
这种扫描技术可用作过滤工具,准确定位潜在受害者。当攻击复杂性较低时,攻击者通常先进行扫描。在这个过程中,攻击者会向一大群目标发送一个简单的有效载荷,而易受攻击的目标则会对初始请求做出响应,从而暴露漏洞。这种方法属于 MITRE 企业矩阵(一个有关网络犯罪分子所用攻击战术和技术的分层框架)中的第一步“主动扫描”。
攻击者可通过扫描核实其攻击目标的漏洞并确保仅攻击目标会收到实际的恶意有效载荷。研究结果表明,在为期一周的测试期间,至少 3% 的网络受到了这种扫描方法的影响。在物联网设备上采用这种攻击方法的主要漏洞利用包括:
企业如何防范物联网攻击
随着企业在日常运营中愈发依赖物联网设备,管理者必须在保护这些设备的安全方面保持高度警觉和积极主动。可采取以下方法来提高物联网安全性:
Check Point 最近推出了 Check Point Quantum IoT Protect。这是 Quantum‘Titan’版本 R81.20 的一个组件,后者通过精准拦截最隐蔽的零日 DNS、网络钓鱼和 IoT 攻击,革新了网络安全防护方式。该组件可帮助组织在几分钟内自动发现并有效保护物联网资产。
随着技术的不断进步,网络攻击将日趋复杂和频繁。通过实施强有力的安全措施并及时了解最新的威胁和最佳做法,以“预防为先”作为网络安全的主要理念,企业可以更好地保护自己及其物联网设备免遭网络犯罪分子的侵害。
好文章,需要你的鼓励
OpenAI在最新博客中首次承认,其AI安全防护在长时间对话中可能失效。该公司指出,相比短对话,长对话中的安全训练机制可能会退化,用户更容易通过改变措辞或分散话题来绕过检测。这一问题不仅影响OpenAI,也是所有大语言模型面临的技术挑战。目前OpenAI正在研究加强长对话中的安全防护措施。
北航团队推出VoxHammer技术,实现3D模型的精确局部编辑,如同3D版Photoshop。该方法直接在3D空间操作,通过逆向追踪和特征替换确保编辑精度,在保持未修改区域完全一致的同时实现高质量局部修改。研究还创建了Edit3D-Bench评估数据集,为3D编辑领域建立新标准,展现出在游戏开发、影视制作等领域的巨大应用潜力。
谷歌宣布计划到2026年底在弗吉尼亚州投资90亿美元,重点发展云计算和AI基础设施。投资包括在里士满南部切斯特菲尔德县建设新数据中心,扩建现有设施,并为当地居民提供教育和职业发展项目。弗吉尼亚州长表示这项投资是对该州AI经济领导地位的有力认可。此次投资是谷歌北美扩张战略的一部分。
宾夕法尼亚大学研究团队开发出PIXIE系统,这是首个能够仅通过视觉就快速准确预测三维物体完整物理属性的AI系统。该技术将传统需要数小时的物理参数预测缩短至2秒,准确率提升高达4.39倍,并能零样本泛化到真实场景。研究团队还构建了包含1624个标注物体的PIXIEVERSE数据集,为相关技术发展奠定了重要基础,在游戏开发、机器人控制等领域具有广阔应用前景。