Black Hat 2018的物联网安全:事物的不安全感
众所周知的事实是,大多数物联网制造商在设计其设备和机器时忽略了物联网安全性。为了进一步了解这个问题,我建议您赶上2015吉普黑客和圣裘德心脏设备黑客这开始于2014年。圣裘德黑客证明,即使是致力于挽救生命的技术的公司,也经常忽略了与他们一起采取必要的安全措施。显然在2016年10月巨大的Dyn Cyberattacks这影响了美国和欧洲的大部分。今年,我们从联邦调查局发现我们丢失了控制家用路由器致俄罗斯黑客。
参加Black Hat 2018,我与许多其他网络安全专业人员一起参加了一些关键的物联网安全缺陷的令人jaw目结舌的演示。这些示范之一显示了ATM闯入。通常,人们可能会期望一台装有资金的机器拥有一个更强大的安全系统来保护其中的现金,但这些机器在我眼前被打破了。此外,我参加了侵略的演示,这些黑客介绍了至关重要的医疗设备和医疗网络,其中包含有助于使人活力的患者数据。
令人惊讶的是,发现制造医疗设备的公司,例如植入物,胰岛素治疗设备(基于无线电设备)和起搏器,完全忽略了当前的安全研究。这项研究的一个例子是由比利·里奥斯(Billy Rios)和乔纳森(Jonathan)的屁股(我可能会补充说)他们发现了许多物联网漏洞。毫无疑问,这项研究将使我们的世界变得更加安全。
发现云安全标准和物联网安全标准之间存在的深层对比,或者缺乏,这同样令人震惊。基于云的企业正在应用主要的安全标准,例如SOC2,以确保云基础架构的安全性并将某些工作程序转变为所有人的标准要求。同时,在IoT设备方面,我们生活在众所周知的Wild West。目前,物联网没有官方行业安全标准。在医疗保健行业中,开处方使用这些设备的医生对他们缺乏安全性不了解 - 我认为不应要求他们拥有它。但是,在此时间点,要知道这些设备具有微弱的安全机制,因此是一项具有生命的信息,因此是针对黑客的。
在黑帽会议上,IBM X-Force红色研究人员描述了17个不同的物联网漏洞,其中包括四个关键缺陷常见的智能城市设备。研究团队负责人丹尼尔·克劳利(Daniel Crowley)说,他的团队一直在探索可以打开“超级挑战”攻击的漏洞。在浸润事件命令系统,智能汽车设备和其他物联网连接之后,X-Force研究人员发现,某个设备可以通过Internet开放,而通过破坏硬编码的凭证来攻击。在Black Hat,该团队展示了与大坝相连的物联网网关的漏洞,导致一条洪水泛滥。10博官网
尽管事实是,制造商对上述研究中的脆弱性进行了修补,但克劳利警告说,与许多其他制造商缺乏物联网安全标准,并建议组织在采用新技术之前仔细研究IoT风险。
所有这些都是积极的转变伊贾伊·帕兰斯基(Ijay Palansky),华盛顿特区的审判律师和阿姆斯特朗·特斯代尔(Armstrong Teasdale)的法律合作伙伴,谈到了与22万名成员的联邦集体诉讼诉讼有关吉普黑客在2015年披露研究人员克里斯·瓦拉塞克(Chris Valasek)和查理·米勒(Charlie Miller)。帕兰斯基(Palansky)是此诉讼中的主要顾问。在他在《黑帽子》的演讲中,他讨论了这一点,这是针对公司发起的第一项与IoT相关的诉讼。瓦拉塞克(Valasek)和米勒(Miller)远程连接到2014年的吉普大切诺基(Jeep Grand Cherokee),并控制了汽车的转向和刹车。这是通过吉普车连接的娱乐中心完成的。
“物联网产品具有某些特征;它们具有各种各样的代码,通常是专有的,并且更加困难地发现和修补了代码。” Palansky说。他建议组织“偏执并分配风险。需要有一个清晰的过程,涉及危害识别,设计响应,风险评估和测试。”
这项诉讼的令人印象深刻的部分是,虽然没有任何汽车在概念证明之外受到攻击者的损坏或控制,但仍有法律依据可以建立案件。即使FCA US LLC(吉普车的品牌所有者)能够成功地为自己造成的损害捍卫自己,但这种情况也将在声誉和损失的美元中造成巨大损害。
该诉讼应被视为对制造IoT设备的公司同时无视安全漏洞的公司的明确警告。这种做法将不再注意到。制造商将不得不负责确保这些设备或面对后果。希望我们正在为物联网设备进行新的安全革命的开始,最终导致了一个更健康,更安全的世界。
物联网安全漏洞在黑帽子上呈现毫无疑问,浸润的医疗监测设备或炒速度的商业飞机通信将造成可怕的后果。智能城市物联网技术中的许多脆弱性强调了人们对X-Force的Crowley被昵称为“ Supervillain攻击”的恐惧,这是由国家赞助的攻击,有可能严重破坏越来越多的联系社区的人类生活和安全性的潜力。
显然CISO正在注意这些物联网安全风险,我相信这些漏洞应通过实施安全最佳实践的组织以及遵守基本行业安全标准的物联网制造商的结合来处理。
以及理解物联网设备制造商必须拥抱安全标准,组织必须通过实施可见性平台技术,网络隔离,身份验证执行,合规执行,加密和网络访问控制来控制风险。当前的“事物的不安全感”不必保持这种状态 - 我认为物联网安全的未来潜力巨大。
所有的物联网议程网络贡献者都负责其帖子的内容和准确性。意见是作家的,不一定会传达物联网议程的思想。