什么是影子物聯(lián)網(wǎng)

　　影子物聯(lián)網(wǎng)的定義

　　影子物聯(lián)網(wǎng)(Shadow IoT)是指組織中的員工在沒(méi)有IT團隊授權和知識的情況下使用連接互聯(lián)網(wǎng)的設備或傳感器。最好的例子是在自攜設備(BYOD)政策出現之前，在員工將智能手機或其他移動(dòng)個(gè)人設備用于工作目的時(shí)候。802 Secure公司首席安全官Mike Raggo說(shuō)，“影子物聯(lián)網(wǎng)是影子IT的一種延伸，只是在一個(gè)全新的范圍內。它不僅源于每位員工不斷增加的設備數量，還源于設備類(lèi)型、功能和用途。”
 

 

　　多年來(lái)，很多員工一直將個(gè)人的平板電腦和移動(dòng)設備連接到企業(yè)網(wǎng)絡(luò )中。如今，員工越來(lái)越多地使用智能音箱、無(wú)線(xiàn)拇指驅動(dòng)器和其他物聯(lián)網(wǎng)設備。有些部門(mén)在會(huì )議室安裝智能電視，或者在辦公室廚房使用支持物聯(lián)網(wǎng)的設備，如智能微波爐和咖啡機。

　　此外，建筑設施通常使用工業(yè)物聯(lián)網(wǎng)(IIoT)傳感器進(jìn)行升級，例如由具有Wi-Fi功能的恒溫器控制的采暖通風(fēng)和空調(HVAC)系統。很多公司的飲料機越來(lái)越多地通過(guò)Wi-Fi連接到互聯(lián)網(wǎng)以采用Apple Pay付款。當這些傳感器在員工沒(méi)有得到IT團隊授權的情況下連接到組織的網(wǎng)絡(luò )時(shí)，它們就會(huì )成為影子物聯(lián)網(wǎng)。

　　影子物聯(lián)網(wǎng)有多普遍?

　　調研機構Gartner公司預測，到2020年全球將有204億臺物聯(lián)網(wǎng)設備投入使用，高于2017年的84億臺。因此，影子物聯(lián)網(wǎng)已經(jīng)廣泛普及。根據802 Secure公司發(fā)布的2018年報告，2017年，在接受調查的組織中，100%的組織表示在企業(yè)網(wǎng)絡(luò )上運行的不良消費物聯(lián)網(wǎng)設備將是首要的威脅，90%的組織表示，發(fā)現以前未檢測到的物聯(lián)網(wǎng)或工業(yè)物聯(lián)網(wǎng)無(wú)線(xiàn)網(wǎng)絡(luò )與企業(yè)基礎設施分離。

　　根據Infloblox公司發(fā)布的2018年關(guān)于影子設備的報告，美國、英國和德國三分之一的公司表示有1，000多個(gè)影子物聯(lián)網(wǎng)設備連接到他們的網(wǎng)絡(luò )。 Infoblox公司的調查發(fā)現，企業(yè)網(wǎng)絡(luò )上最常見(jiàn)的物聯(lián)網(wǎng)設備是：

　　健身追蹤器，如Fitbits，49%。

　　數字助理，如亞馬遜Alexa和谷歌之家，47%。

　　智能電視，46%。

　　智能廚房設備，如智能微波爐，33%。

　　游戲控制臺，如Xbox或PlayStations，30%。

　　影子物聯(lián)網(wǎng)的風(fēng)險是什么?

　　物聯(lián)網(wǎng)設備通常是在沒(méi)有固有的企業(yè)級安全控制的情況下構建的，通常使用網(wǎng)絡(luò )攻擊分子可以通過(guò)互聯(lián)網(wǎng)搜索輕松找到的默認ID和密碼進(jìn)行設置，有時(shí)會(huì )添加到組織的主要Wi-Fi網(wǎng)絡(luò )中，而無(wú)需其所知的IT知識。因此，物聯(lián)網(wǎng)傳感器在組織的網(wǎng)絡(luò )上并不總是可見(jiàn)的。IT無(wú)法控制或保護他們看不見(jiàn)的設備，使智能連接設備成為黑客和網(wǎng)絡(luò )犯罪分子更容易攻擊的目標。據安全廠(chǎng)商賽門(mén)鐵克公司稱(chēng)，2018年與2017年相比，2018年的物聯(lián)網(wǎng)攻擊增長(cháng)了600%。

　　Inflobox公司的報告指出，“易受攻擊的連接設備很容易通過(guò)搜索引擎在網(wǎng)上被發(fā)現用于連接互聯(lián)網(wǎng)的設備，如Shodan。即使在搜索簡(jiǎn)單術(shù)語(yǔ)時(shí)，Shodan公司也會(huì )提供可識別設備的詳細信息，其中包括橫幅信息、HTTP、SSH、FTP和SNMP服務(wù)。由于識別設備是訪(fǎng)問(wèn)設備的第一步，因此即使是較低級別的犯罪分子也可以輕松識別企業(yè)網(wǎng)絡(luò )上的大量設備，然后可以針對漏洞進(jìn)行攻擊。”
 

 

　　為什么大多數影子物聯(lián)網(wǎng)設備都不安全?

　　Raggo指出，個(gè)人電腦在幾十年前推出時(shí)，其操作系統并沒(méi)有固有的安全性。因此，保護個(gè)人電腦免受病毒和惡意軟件攻擊仍然是一項持續的斗爭。

　　相比之下，iOS和Android移動(dòng)設備的操作系統采用集成安全設計，例如應用程序沙盒。而采用移動(dòng)設備通常比臺式機和筆記本電腦更安全。

　　Raggo說(shuō)，“對于當今的物聯(lián)網(wǎng)和工業(yè)物聯(lián)網(wǎng)設備來(lái)說(shuō)，設備制造商好像忘記了移動(dòng)操作系統中關(guān)于安全的知識，大量物聯(lián)網(wǎng)制造商生產(chǎn)這些設備的供應鏈遍布世界各地，導致市場(chǎng)高度分散。”

　　由于物聯(lián)網(wǎng)設備往往只關(guān)注一兩項任務(wù)，因此它們通常缺乏WPA2 Wi-Fi等基本協(xié)議之外的安全功能，而WPA2 Wi-Fi存在漏洞。其結果是：在全球范圍內，數十億臺不安全的物聯(lián)網(wǎng)設備在企業(yè)網(wǎng)絡(luò )上使用，而不需要IT部門(mén)的知識或參與。

　　Sophos首席研究科學(xué)家chester wisniewski說(shuō)，“幾年前我購買(mǎi)了10或15臺物聯(lián)網(wǎng)設備來(lái)檢查它們的安全性。令我震驚的是，我可以很快找到他們的漏洞，這意味著(zhù)任何人都可以破解他們。有些設備無(wú)法報告漏洞。”

　　犯罪黑客是否成功攻擊了影子物聯(lián)網(wǎng)設備?

　　可能迄今為止最著(zhù)名的例子是2016年Mirai僵尸網(wǎng)絡(luò )攻擊，其中諸如因特網(wǎng)協(xié)議(IP)攝像頭和家庭網(wǎng)絡(luò )路由器之類(lèi)無(wú)擔保的物聯(lián)網(wǎng)設備被黑客攻擊，以構建龐大的僵尸網(wǎng)絡(luò )軍隊。并執行極具破壞性的分布式拒絕服務(wù)(DDoS)攻擊，例如讓美國東海岸地區的大部分互聯(lián)網(wǎng)無(wú)法訪(fǎng)問(wèn)的攻擊。Mirai源代碼也在互聯(lián)網(wǎng)上共享，供黑客用作未來(lái)僵尸網(wǎng)絡(luò )軍隊的構建塊。

　　根據Infoblox公司的報告，其他漏洞可以使網(wǎng)絡(luò )犯罪分子控制物聯(lián)網(wǎng)設備。報告指出，“例如，在2017年，維基解密公布了一個(gè)被稱(chēng)為‘哭泣天使’的美國中央情報局工具的細節，該工具解釋了代理商如何將三星智能電視轉變?yōu)楝F場(chǎng)麥克風(fēng)。消費者報告還發(fā)現了知名品牌智能電視的缺陷，這些智能電視既可以用來(lái)竊取數據，也可以操縱電視播放攻擊性視頻和安裝不需要的應用程序。”

　　Infoblox公司表示，除了收集僵尸網(wǎng)絡(luò )軍隊和進(jìn)行DDoS攻擊外，網(wǎng)絡(luò )犯罪分子還可以利用不安全的物聯(lián)網(wǎng)設備進(jìn)行數據泄露和勒索軟件攻擊。

　　在迄今為止最離奇的一個(gè)物聯(lián)網(wǎng)攻擊中，犯罪分子曾經(jīng)入侵賭場(chǎng)大廳魚(yú)缸內的智能溫度計以訪(fǎng)問(wèn)其網(wǎng)絡(luò )。一旦進(jìn)入網(wǎng)絡(luò )，攻擊者就能夠竊取賭場(chǎng)數據庫的數據。

　　針對物聯(lián)網(wǎng)網(wǎng)絡(luò )攻擊的未來(lái)潛力足以讓企業(yè)首席安全官和其他IT安全專(zhuān)業(yè)人員關(guān)注。 “考慮到有人連接到不安全的Wi-Fi恒溫器，并將數據中心溫度改為95℃時(shí)，可能讓重要IT設備損壞。”Raggo說(shuō)。例如，2012年，網(wǎng)絡(luò )犯罪分子入侵政府機構和制造廠(chǎng)的恒溫器，并改變了建筑物內的溫度。恒溫器是通過(guò)專(zhuān)門(mén)用于互聯(lián)網(wǎng)設備的搜索引擎Shodan發(fā)現的。

　　Wisniewski表示，迄今為止，在利用敏感或私人數據方面，物聯(lián)網(wǎng)設備的利用并未對任何特定企業(yè)產(chǎn)生巨大的負面影響。他說(shuō)，“但是，當一名黑客發(fā)現如何利用物聯(lián)網(wǎng)設備帶來(lái)巨大利潤時(shí)，例如使用智能電視進(jìn)行會(huì )議室間諜活動(dòng)，影子物聯(lián)網(wǎng)安全風(fēng)險問(wèn)題將引起所有人的注意。”

　　三種降低影子物聯(lián)網(wǎng)安全風(fēng)險的方法

　　(1)方便用戶(hù)正式添加物聯(lián)網(wǎng)設備

　　Wisniewski說(shuō)，“組織擁有影子IT和影子物聯(lián)網(wǎng)的原因通常是因為IT部門(mén)對使用智能電視等設備的請求說(shuō)‘不'。而不是直接禁止使用物聯(lián)網(wǎng)設備，在請求發(fā)生后30分鐘內盡可能快速地跟蹤他們的批準，可以幫助減少影子物聯(lián)網(wǎng)的存在。”

　　Wisniewski補充說(shuō)，“發(fā)布并分發(fā)審批流程，讓用戶(hù)填寫(xiě)一份簡(jiǎn)短的表格，讓他們知道會(huì )有多快回復他們。盡可能使請求過(guò)程變得靈活且容易，因此他們不會(huì )試圖隱藏他們想要使用的東西。”

　　(2)主動(dòng)尋找影子物聯(lián)網(wǎng)設備

　　Raggo說(shuō)：“企業(yè)需要超越自己的網(wǎng)絡(luò )來(lái)發(fā)現影子物聯(lián)網(wǎng)，因為很多影子物聯(lián)網(wǎng)并不存在于企業(yè)網(wǎng)絡(luò )中。超過(guò)80%的物聯(lián)網(wǎng)是無(wú)線(xiàn)網(wǎng)絡(luò )。因此，對影子物聯(lián)網(wǎng)設備和網(wǎng)絡(luò )的無(wú)線(xiàn)監控可以實(shí)現這些其他設備和網(wǎng)絡(luò )的可見(jiàn)性和資產(chǎn)管理。”

　　傳統的安全產(chǎn)品通過(guò)媒體訪(fǎng)問(wèn)控制(MAC)地址或供應商的組織唯一標識符(OUI)列出設備，但它們在具有大量不同類(lèi)型設備的環(huán)境中基本上沒(méi)有幫助。Raggo補充說(shuō)，“人們想知道'那個(gè)設備是什么?'，所以他們需要確定它是否是一個(gè)被攻擊的設備或經(jīng)過(guò)許可的設備。在當今深度數據包檢測和機器學(xué)習的世界中，成熟的安全產(chǎn)品應該為發(fā)現的資產(chǎn)提供人性化的分類(lèi)，以簡(jiǎn)化資產(chǎn)管理和安全過(guò)程。”

　　(3)隔離物聯(lián)網(wǎng)

　　Wisniewski表示，在理想情況下，新的物聯(lián)網(wǎng)設備和工業(yè)物聯(lián)網(wǎng)設備應通過(guò)專(zhuān)用于IT控制設備的獨立Wi-Fi網(wǎng)絡(luò )連接到互聯(lián)網(wǎng)。網(wǎng)絡(luò )應配置為使物聯(lián)網(wǎng)設備能夠傳輸信息并阻止網(wǎng)絡(luò )攻擊。他說(shuō)：“在大多數物聯(lián)網(wǎng)設備中，不合法的設備的數據不能傳輸給它們。”

　　任何影子設備都是一個(gè)問(wèn)題

　　Wisniewski說(shuō)：“任何影子設備都是一個(gè)問(wèn)題，無(wú)論是物聯(lián)網(wǎng)設備還是任何其他可尋址的非托管物品。關(guān)鍵是組織只從授權設備控制對網(wǎng)絡(luò )的訪(fǎng)問(wèn)，保持準確的授權設備清單，并制定明確的政策，以確保員工知道他們不允許使用自攜設備，如果他們這樣做，將會(huì )受到內部制裁。”