信息化觀察網(wǎng)

隨著越來(lái)越多的員工不再聽(tīng)從公司關(guān)于應(yīng)該選用什么技術(shù)的命令，而是主動(dòng)選擇自己喜歡的IT技術(shù)來(lái)完成工作，這就形成了所謂的“影子IT”，即未經(jīng)組織批準(zhǔn)就在組織內(nèi)部使用的IT系統(tǒng)和IT解決方案。

多年來(lái)，IT部門(mén)一直在關(guān)注影子IT和自攜設(shè)備（BYOD）帶來(lái)的安全風(fēng)險(xiǎn)。令人擔(dān)心的是，這些未授權(quán)的做法確實(shí)為企業(yè)系統(tǒng)帶來(lái)了風(fēng)險(xiǎn)，引入了新的安全漏洞并擴(kuò)大了攻擊面。

如今，一波未平一波又起，又一個(gè)“影子”軍團(tuán)正在迅速崛起：影子物聯(lián)網(wǎng)。在物聯(lián)網(wǎng)時(shí)代，世界比以往任何時(shí)候都更加互聯(lián)，而物聯(lián)網(wǎng)的發(fā)展變革也導(dǎo)致設(shè)備連接快速增長(zhǎng)。ZK Research預(yù)測(cè)，到2023年底，將有800億個(gè)連接的端點(diǎn)，這無(wú)疑為企業(yè)IT帶來(lái)了許多新的安全風(fēng)險(xiǎn)。

何為“影子物聯(lián)網(wǎng)（Shadow IoT）”

“影子物聯(lián)網(wǎng)”是指組織內(nèi)部員工在沒(méi)有IT團(tuán)隊(duì)授權(quán)和認(rèn)知的情況下使用連接互聯(lián)網(wǎng)（即物聯(lián)網(wǎng)）的設(shè)備或傳感器。最突出的例子就是，在自攜設(shè)備（BYOD）策略提出之前，員工將個(gè)人的智能手機(jī)或其他移動(dòng)設(shè)備用于工作目的。802 Secure公司首席安全官（CSO）Mike Raggo表示，

“影子物聯(lián)網(wǎng)是影子IT的一種擴(kuò)展延伸，只是其涉及的范圍是另一個(gè)全新的領(lǐng)域。這不僅源于每位員工不斷增加的設(shè)備數(shù)量，還源于設(shè)備的類(lèi)型、功能和用途。”

多年來(lái)，員工們一直習(xí)慣將個(gè)人平板電腦和移動(dòng)設(shè)備連接到企業(yè)網(wǎng)絡(luò)中。如今，員工也越來(lái)越多地在工作中使用智能音箱、無(wú)線拇指驅(qū)動(dòng)器以及其他物聯(lián)網(wǎng)設(shè)備。一些部門(mén)甚至在會(huì)議室中安裝智能電視，或者在辦公室內(nèi)設(shè)廚房中使用支持物聯(lián)網(wǎng)的設(shè)備，例如智能微波爐和咖啡機(jī)等等。

除此之外，建筑設(shè)施通常會(huì)通過(guò)工業(yè)物聯(lián)網(wǎng)（IIoT）傳感器進(jìn)行升級(jí)，例如由具有Wi-Fi功能的恒溫器控制的采暖通風(fēng)和空調(diào)（HVAC）系統(tǒng)。辦公場(chǎng)所內(nèi)置的飲料機(jī)也越來(lái)越多地通過(guò)Wi-Fi連接到互聯(lián)網(wǎng)，以接受Apple Pay付款功能。當(dāng)這些傳感器在IT人員不知情或未授權(quán)的情況下連接到組織的網(wǎng)絡(luò)時(shí)，它們便成為了“影子物聯(lián)網(wǎng)”。

影子物聯(lián)網(wǎng)有多普遍？

調(diào)研機(jī)構(gòu)Gartner公司稱(chēng)，至2020年全球會(huì)有204億臺(tái)物聯(lián)網(wǎng)設(shè)備投入使用，高于2017年的84億臺(tái)。因此，影子物聯(lián)網(wǎng)已經(jīng)變得越來(lái)越普遍。根據(jù)802 Secure公司于2018年發(fā)布的一份報(bào)告指出，2017年，在接受調(diào)查的企業(yè)組織中，有100%的企業(yè)組織表示在企業(yè)網(wǎng)絡(luò)上發(fā)現(xiàn)了“流氓”消費(fèi)級(jí)物聯(lián)網(wǎng)設(shè)備；有90%的組織表示，發(fā)現(xiàn)了與企業(yè)基礎(chǔ)設(shè)施分離的先前未檢測(cè)到的物聯(lián)網(wǎng)或工業(yè)物聯(lián)網(wǎng)無(wú)線網(wǎng)絡(luò)。

根據(jù)Infloblox公司發(fā)布的關(guān)于影子設(shè)備的報(bào)告指出，在美國(guó)、英國(guó)和德國(guó)的企業(yè)中，有三分之一的企業(yè)網(wǎng)絡(luò)連接了1,000多個(gè)影子物聯(lián)網(wǎng)設(shè)備。Infoblox公司的研究發(fā)現(xiàn)，企業(yè)網(wǎng)絡(luò)上最常見(jiàn)的物聯(lián)網(wǎng)設(shè)備包括：

·健身追蹤器，例如Fitbits，占49%；

·數(shù)字助理，例如亞馬遜Alexa和谷歌之家等，占47%；

·智能電視，占46%；

·智能廚房設(shè)備，例如聯(lián)網(wǎng)微波爐，占33%；

·游戲控制臺(tái)，例如Xbox或PlayStations，占30%。

計(jì)算機(jī)安全服務(wù)公司Ordr Inc.的最新報(bào)告也發(fā)現(xiàn)，連接設(shè)備存在許多漏洞和風(fēng)險(xiǎn)。2019年6月-2020年6月之間，Ordr公司針對(duì)超過(guò)500萬(wàn)個(gè)非托管物聯(lián)網(wǎng)和“醫(yī)療物聯(lián)網(wǎng)”或IoMT設(shè)備進(jìn)行了匯總分析，發(fā)布了《機(jī)器的崛起：企業(yè)物聯(lián)網(wǎng)的采用和風(fēng)險(xiǎn)報(bào)告》，并指出在部署物聯(lián)網(wǎng)的企業(yè)中，有20%的企業(yè)在支付卡、虛擬局域網(wǎng)或VLAN合規(guī)性方面存在違規(guī)行為。Ordr還發(fā)現(xiàn)，零售物聯(lián)網(wǎng)設(shè)備竟然使用與平板電腦、打印機(jī)和物理安全設(shè)備相同的子網(wǎng)。更令人震驚的是，有75%的部署存在VLAN違規(guī)行為，在某些情況下，網(wǎng)絡(luò)甚至正在與許多USB讀卡器和其他設(shè)備共享連接。

該報(bào)告還指出，醫(yī)療保健行業(yè)似乎是最受影子物聯(lián)網(wǎng)問(wèn)題困擾的行業(yè)。Ordr發(fā)現(xiàn)，醫(yī)療設(shè)備部署在與非醫(yī)療物聯(lián)網(wǎng)設(shè)備同一個(gè)VLAN上。此外，絕大多數(shù)（95%）的醫(yī)療保健部署都在其環(huán)境中激活了Amazon Alexa和Echo設(shè)備以及醫(yī)院監(jiān)控設(shè)備，由于這些語(yǔ)音助手可能會(huì)竊聽(tīng)并記錄醫(yī)患對(duì)話記錄，所以很大可能會(huì)違反《HIPAA隱私法》，致使醫(yī)療組織面臨違規(guī)處罰。

當(dāng)然，在保護(hù)和管理物聯(lián)網(wǎng)設(shè)備方面，深受困擾的可不只有醫(yī)療保健行業(yè)。ZK Research數(shù)據(jù)顯示，有61％的IT團(tuán)隊(duì)對(duì)于“是否知道哪些設(shè)備連接到他們的網(wǎng)絡(luò)”表示沒(méi)有信心或信心不足。這比幾年前的51％有所增加，這表明安全和運(yùn)營(yíng)需要先進(jìn)的解決方案來(lái)解決影子物聯(lián)網(wǎng)問(wèn)題。

影子物聯(lián)網(wǎng)存在哪些風(fēng)險(xiǎn)？

物聯(lián)網(wǎng)設(shè)備通常是在沒(méi)有固有的企業(yè)級(jí)安全控制的情況下構(gòu)建的，習(xí)慣使用網(wǎng)絡(luò)攻擊分子可以通過(guò)互聯(lián)網(wǎng)搜索輕松找到的默認(rèn)ID和密碼進(jìn)行設(shè)置，有時(shí)甚至還會(huì)在沒(méi)有IT授權(quán)的情況下被添加到組織的主要Wi-Fi網(wǎng)絡(luò)中。因此，物聯(lián)網(wǎng)傳感器在組織的網(wǎng)絡(luò)上并不總是可見(jiàn)的。IT管理者無(wú)法控制或保護(hù)他們看不見(jiàn)的設(shè)備，由此也使得智能連接設(shè)備成為黑客和網(wǎng)絡(luò)犯罪分子最易得手的攻擊目標(biāo)。

Inflobox公司的報(bào)告指出，脆弱的連接設(shè)備可以輕松地通過(guò)搜索引擎（例如Shodan）在線搜索到與Internet連接的設(shè)備。即使在搜索簡(jiǎn)單術(shù)語(yǔ)時(shí)，Shodan公司也會(huì)提供可識(shí)別設(shè)備的詳細(xì)信息，其中包括橫幅信息、HTTP、SSH、FTP和SNMP服務(wù)等等。由于識(shí)別設(shè)備是訪問(wèn)設(shè)備的第一步，因此這就等于為低級(jí)別的犯罪分子提供了一種可以輕松識(shí)別企業(yè)網(wǎng)絡(luò)上大量設(shè)備的簡(jiǎn)便方法，隨后，犯罪分子就可以針對(duì)這些設(shè)備漏洞實(shí)施攻擊。

為什么大多數(shù)影子物聯(lián)網(wǎng)設(shè)備都不安全？

Raggo指出，幾十年前，當(dāng)個(gè)人電腦（PC）首次發(fā)布時(shí)，其操作系統(tǒng)并沒(méi)有內(nèi)置的安全性。因此，保護(hù)個(gè)人電腦免受病毒和惡意軟件攻擊仍然是一場(chǎng)持續(xù)的斗爭(zhēng)。

相比之下，iOS和Android移動(dòng)操作系統(tǒng)的設(shè)計(jì)則具備集成的安全性，例如應(yīng)用程序沙盒等。雖然，這并不意味著移動(dòng)設(shè)備就是絕對(duì)安全的，但它們通常要比臺(tái)式機(jī)和筆記本電腦安全得多。

Raggo表示，

“遺憾的是，對(duì)于當(dāng)今的物聯(lián)網(wǎng)和工業(yè)物聯(lián)網(wǎng)設(shè)備來(lái)說(shuō)，設(shè)備制造商就像忘記了我們從移動(dòng)操作系統(tǒng)中獲取到的所有關(guān)于安全性的知識(shí)一樣。如今，市場(chǎng)上充斥了太多物聯(lián)網(wǎng)制造商，而構(gòu)建這些設(shè)備的供應(yīng)鏈又遍布世界各地，這就導(dǎo)致了市場(chǎng)高度分散的局面。”

由于物聯(lián)網(wǎng)設(shè)備往往只專(zhuān)注于一項(xiàng)或兩項(xiàng)任務(wù)，因此它們通常缺乏基本協(xié)議（例如具有漏洞的WPA2 Wi-Fi）之外的安全功能。其結(jié)果是：在全球范圍內(nèi)，數(shù)十億臺(tái)不安全的物聯(lián)網(wǎng)設(shè)備正在IT人員不知情或未授權(quán)的情況下，在企業(yè)網(wǎng)絡(luò)上使用。

Sophos公司首席研究科學(xué)家chester wisniewski表示，“幾年前，我購(gòu)買(mǎi)了10或15臺(tái)物聯(lián)網(wǎng)設(shè)備來(lái)檢查其安全性。令我震驚的是，我能夠很快找到他們的漏洞，這意味著任何人都可以破解它們。更糟糕的是，有些設(shè)備甚至并不具備上報(bào)漏洞的相關(guān)程序。”

網(wǎng)絡(luò)犯罪分子是否已經(jīng)成功地將影子物聯(lián)網(wǎng)設(shè)備作為攻擊目標(biāo)？

很遺憾，答案是肯定的。迄今為止，最著名的例子可能要數(shù)2016年Mirai僵尸網(wǎng)絡(luò)攻擊，在該攻擊事件中，黑客入侵了不安全的物聯(lián)網(wǎng)設(shè)備（例如IP攝像頭和家庭網(wǎng)絡(luò)路由器等），以構(gòu)建龐大的僵尸網(wǎng)絡(luò)大軍。該僵尸網(wǎng)絡(luò)軍團(tuán)實(shí)施了破壞性極強(qiáng)的分布式拒絕服務(wù)（DDoS）攻擊，例如使美國(guó)東海岸地區(qū)的大部分互聯(lián)網(wǎng)無(wú)法訪問(wèn)的攻擊。Mirai源代碼也已在互聯(lián)網(wǎng)上共享，供黑客用作未來(lái)僵尸網(wǎng)絡(luò)軍隊(duì)的構(gòu)建塊。

根據(jù)Infoblox公司的報(bào)告指出，還有其他漏洞可以使網(wǎng)絡(luò)犯罪分子控制物聯(lián)網(wǎng)設(shè)備。例如，在2017年，維基解密公布了一個(gè)名為“哭泣天使”（Weeping Angel）的美國(guó)中央情報(bào)局工具的詳細(xì)信息，該工具解釋了代理商如何將三星智能電視轉(zhuǎn)變?yōu)楝F(xiàn)場(chǎng)麥克風(fēng)。《消費(fèi)者報(bào)告》雜志還發(fā)現(xiàn)了主流品牌智能電視中的漏洞，這些漏洞可以用來(lái)竊取數(shù)據(jù)以及操縱電視播放令人反感的視頻，并安裝不需要的應(yīng)用程序。

根據(jù)Infoblox公司的說(shuō)法，除了不斷壯大僵尸網(wǎng)絡(luò)軍隊(duì)和進(jìn)行DDoS攻擊外，網(wǎng)絡(luò)犯罪分子還可以利用不安全的物聯(lián)網(wǎng)設(shè)備進(jìn)行數(shù)據(jù)泄露和勒索軟件攻擊。

在迄今為止最離奇的一次物聯(lián)網(wǎng)攻擊中，犯罪分子入侵了賭場(chǎng)大廳魚(yú)缸內(nèi)的智能溫度計(jì)，以訪問(wèn)其網(wǎng)絡(luò)。一旦進(jìn)入網(wǎng)絡(luò)，攻擊者便能夠竊取賭場(chǎng)數(shù)據(jù)庫(kù)的私密數(shù)據(jù)。

針對(duì)物聯(lián)網(wǎng)的網(wǎng)絡(luò)攻擊的未來(lái)潛力足以引起企業(yè)首席安全官（CSO）和其他IT安全專(zhuān)業(yè)人員的關(guān)注。試想一下，如果有人連接到不安全的Wi-Fi恒溫器，并將數(shù)據(jù)中心溫度更改為95℃，則可能致使重要IT設(shè)備受損。例如，2012年，網(wǎng)絡(luò)犯罪分子入侵了州政府機(jī)構(gòu)和制造廠的恒溫器，并改變了建筑物內(nèi)部的溫度。而該恒溫器就是通過(guò)專(zhuān)門(mén)用于互聯(lián)網(wǎng)設(shè)備的搜索引擎Shodan發(fā)現(xiàn)的。

Wisniewski表示，到目前為止，就利用敏感或私人數(shù)據(jù)而言，物聯(lián)網(wǎng)設(shè)備的利用并未對(duì)任何特定企業(yè)造成巨大的負(fù)面影響。但是，當(dāng)黑客弄清楚如何利用物聯(lián)網(wǎng)設(shè)備來(lái)賺取巨額利潤(rùn)時(shí)（例如使用智能電視進(jìn)行會(huì)議室間諜活動(dòng)），影子物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)問(wèn)題將引起所有人的注意。

緩解影子物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)的方法

1.規(guī)范用戶正式添加物聯(lián)網(wǎng)設(shè)備的流程

組織擁有影子IT和影子物聯(lián)網(wǎng)的原因，通常是因?yàn)镮T部門(mén)拒絕了使用智能電視等設(shè)備的請(qǐng)求。在可能的情況下（例如在請(qǐng)求發(fā)生后30分鐘內(nèi)）快速地跟蹤他們的批準(zhǔn)，而不是直接禁止使用物聯(lián)網(wǎng)設(shè)備，可以幫助減少影子物聯(lián)網(wǎng)的存在。

具體來(lái)說(shuō)，IT部門(mén)可以發(fā)布并分發(fā)審批流程，讓用戶填寫(xiě)一份簡(jiǎn)短的表格，讓他們知道會(huì)有多快回復(fù)他們。盡可能使請(qǐng)求過(guò)程變得靈活且容易，因此他們不會(huì)試圖隱藏他們想要使用的東西。

2.實(shí)時(shí)監(jiān)控和主動(dòng)搜尋缺一不可

在危機(jī)時(shí)刻，當(dāng)務(wù)之急是確保組織優(yōu)先考慮網(wǎng)絡(luò)安全。COVID-19大流行迫使許多行業(yè)進(jìn)行物聯(lián)網(wǎng)轉(zhuǎn)型——從醫(yī)療保健行業(yè)中支持IP的呼吸機(jī)和EKG機(jī)器，到制造業(yè)中的無(wú)線溫度和振動(dòng)傳感器，一切都是超連接的。隨著網(wǎng)絡(luò)犯罪分子利用易受攻擊的服務(wù)和不安全的連接，與COVID-19相關(guān)的惡意軟件和勒索軟件攻擊也在增加。

企業(yè)組織必須重視網(wǎng)絡(luò)安全問(wèn)題，定期檢查所有連接的設(shè)備和網(wǎng)絡(luò)。此外，還需要越出自己的網(wǎng)絡(luò)來(lái)積極主動(dòng)地尋找影子物聯(lián)網(wǎng)，因?yàn)楹芏嘤白游锫?lián)網(wǎng)并不存在于企業(yè)網(wǎng)絡(luò)中。超過(guò)80%的物聯(lián)網(wǎng)具有無(wú)線功能。因此，對(duì)影子物聯(lián)網(wǎng)設(shè)備和網(wǎng)絡(luò)的無(wú)線監(jiān)控可以實(shí)現(xiàn)對(duì)這些設(shè)備和網(wǎng)絡(luò)的可見(jiàn)性和資產(chǎn)管理。

傳統(tǒng)的安全產(chǎn)品通過(guò)媒體訪問(wèn)控制（MAC）地址或供應(yīng)商的組織唯一標(biāo)識(shí)符（OUI）列出設(shè)備，但是在具有多種不同類(lèi)型設(shè)備的環(huán)境中，它們卻基本上發(fā)揮不了什么作用。Raggo補(bǔ)充道，

“IT人員很想知道‘那個(gè)設(shè)備是什么？’，以便確定它是“流氓”設(shè)備還是經(jīng)過(guò)許可的設(shè)備。在當(dāng)今深度數(shù)據(jù)包檢測(cè)和機(jī)器學(xué)習(xí)的世界中，成熟的安全產(chǎn)品應(yīng)該為發(fā)現(xiàn)的資產(chǎn)提供人性化的分類(lèi)，以簡(jiǎn)化資產(chǎn)管理和安全過(guò)程。”

3.隔離物聯(lián)網(wǎng)

Wisniewski表示，理想情況下，新的物聯(lián)網(wǎng)設(shè)備和工業(yè)物聯(lián)網(wǎng)設(shè)備應(yīng)通過(guò)專(zhuān)用于IT控制設(shè)備的獨(dú)立Wi-Fi網(wǎng)絡(luò)連接到互聯(lián)網(wǎng)。網(wǎng)絡(luò)應(yīng)該配置為“使物聯(lián)網(wǎng)設(shè)備能夠傳出信息并阻止它們接收任何傳入信息”。通過(guò)設(shè)置單獨(dú)的網(wǎng)絡(luò)，可以方便IT人員為經(jīng)過(guò)批準(zhǔn)的影子物聯(lián)網(wǎng)設(shè)備提供技術(shù)支持，同時(shí)盡可能保護(hù)好核心企業(yè)網(wǎng)絡(luò)。

4.教育培訓(xùn)必不可少

確保您的團(tuán)隊(duì)了解威脅，并嘗試獲得關(guān)鍵的物聯(lián)網(wǎng)策略和安全措施的支持。根據(jù)802 Secure公司發(fā)布的報(bào)告指出，“在美國(guó)和英國(guó)，有88％的受訪IT領(lǐng)導(dǎo)者認(rèn)為他們已經(jīng)制定了有效的策略來(lái)減輕來(lái)自連接設(shè)備的安全風(fēng)險(xiǎn)。但是參與調(diào)查的員工中，有24％的員工說(shuō)他們甚至都不知道存在這樣的政策，而只有20％的自稱(chēng)了解這些政策的人實(shí)際上遵守了這些政策。”

當(dāng)然，我們可能永遠(yuǎn)無(wú)法獲得100%的參與，但是如果人們連存在何種政策都不清楚的話，還談何參與和遵守。