谷歌旗下网络安全公司Mandiant的情报分析副总裁约翰·霍特奎斯特(John Hultquist)将自己的工作比作通过汽水吸管研究犯罪心理。他在暗网上实时监控网络威胁组织,观察犯罪创新的自由市场起伏不定。
团体买卖服务,一个热门的想法——犯罪的商业模式——当人们意识到它能造成损害或让人们付钱时,就可以迅速起飞。去年,它是勒索软件,因为犯罪黑客组织想出了如何通过所谓的定向拒绝服务攻击来关闭服务器。但专家表示,由于物联网(IoT)设备的迅速普及,2022 年可能标志着一个拐点。
攻击正在从关闭计算机或窃取数据的攻击演变为那些可能更直接地对日常生活造成严重破坏的攻击。物联网设备可以成为攻击国家关键基础设施部分(如电网或管道)的切入点,也可以成为犯罪分子的特定目标,例如包含软件的汽车或医疗设备。
“我希望网络安全的漏洞永远不会对人类生活和基础设施产生负面影响,”Marsh & McLennan美国和加拿大网络经纪业务负责人Meredith Schnur说,该公司为大公司提供网络攻击。“其他一切都只是生意。”
在过去的十年中,制造商,软件公司和消费者一直在争先恐后地实现物联网设备的承诺。现在世界上估计有170亿台,从打印机到车库开门器,每个都装有很容易被黑客入侵的软件(其中一些是开源软件)。在12月26日与英国《金融时报》的对话中,大型保险公司苏黎世保险集团首席执行官马里奥·格雷科(Mario Greco)表示,如果黑客的目标是破坏生活,而不仅仅是间谍或窃取数据,那么网络攻击可能对保险公司构成比流行病和气候变化更大的威胁。
根据微软的 2022 年数字防御报告,物联网设备是许多攻击的关键切入点。“虽然近年来IT硬件和软件的安全性有所加强,但物联网(IoT)的安全性...没有跟上步伐,“报告称。
过去一年中,通过网络世界到达物理世界的一系列攻击表明了风险的上升。去年2月,丰田因网络攻击而停止了其一家工厂的运营。4月,乌克兰电网成为攻击目标。5月,伦敦港遭到网络攻击。随后是 2021 年的又一次袭击,其中包括对美国关键基础设施的重大攻击,摧毁了殖民地管道和 JBS 肉类包装集团的能源和食品供应业务。
许多专家所期待的是,有进取心的犯罪分子或隶属于民族国家的黑客会大规模使用物联网设备找出易于复制的计划。一群罪犯,也许与外国政府有联系,可以想出如何同时控制许多东西 - 比如汽车或医疗设备。“我们已经看到了使用物联网的大规模攻击,以物联网僵尸网络的形式。在这种情况下,利用物联网设备中未修补漏洞的参与者使用这些设备的控制来对许多目标进行拒绝服务攻击。这些漏洞经常出现在很少更新的无处不在的产品中。
换句话说,这种可能性已经存在。这只是一个罪犯或一个国家何时决定以大规模针对物理世界的方式行事的问题。“这并不总是可能的艺术。这是一个市场驱动的事情,“Hultquist说。“有人想出了一个成功赚钱的计划。
除了对攻击做出快速反应外,“猫捉老鼠游戏”的唯一答案是不断创新,Palo Alto Networks的早期投资者Shlomo Kramer说,目前是全球顶级网络安全投资者之一。
有少数几家公司,新的监管方法,越来越关注汽车作为一个特别重要的领域,以及软件工程领域的新运动,从一开始就更好地整合网络安全。
物联网有一个很大的更新问题
网络安全行业正在升级其游戏。包括ForeScout和Phosphorus在内的公司专注于物联网安全,这非常强调“端点”的持续库存 - 新设备连接到网络。
但物联网安全的一个关键问题是,随着新的漏洞、黑客或攻击的发现,没有一个好的流程来更新带有补丁的设备,赛门铁克前首席执行官、现任Forescout董事长格雷格克拉克说。许多用户习惯于将更新和补丁下载到计算机和手机;即使在这些情况下,大量用户也不会费心进行更新。
物联网的问题要严重得多:例如,谁费心更新他们的车库门开启器?“没有多少物联网设备有更新代码的系统,”克拉克说。“修复物联网中的漏洞成为一个严重的问题。
他说,网络安全公司的一个重点已经变成了对设备进行控制,这样他们只能做一组特定的事情。这样,设备就不能被武器化以对其他网络发起攻击。“有很多锤子在挥舞,”克拉克说,在使物联网更安全的产品上)。
被视为特别重要和特别脆弱的医疗设备是一个焦点。上个月,Palo Alto Networks宣布了一款针对医疗设备制造商的新产品。
物联网设备制造商受到的监管不够
由于挑战是新的,并且跨越各行各业,美国的指导方针和法规仍然是拼凑而成的。这使得许多物联网网络安全取决于各行各业的消费者和公司,而不是许多制造物联网设备的制造商。
“我希望会有一些新的标准和新的法规,迫使供应商做更多的事情,”卡内基梅隆大学科学信息和安全政策与管理项目主任Randy Trzeciak说。“应该围绕确保设备安全进行全国性讨论,以及制造商需要承担一些所有权和责任。
克拉克说,CISA和美国国家标准与技术研究院正在合作,为数千家制造物联网设备的制造商发布指导方针,包括确保物联网设备在添加到网络中时将自己识别到网络中。2020 年,美国国会将这些指导方针变成了法律,但仅适用于向美国政府提供物联网设备的公司。美国国家标准与技术研究院发言人表示,这是该机构唯一知道的国家法律。还存在一些州特定和行业特定的法律:例如,医疗设备中的数据将受HIPAA保护,国家公路交通安全管理局对汽车有一定的管辖权。
一些投资者和高管谨慎地欢迎监管机构越来越多地参与。“这太复杂了,”克莱默说。“没有足够的合格和经验丰富的安全人员。
汽车如何成为目标
随着越来越多的犯罪黑客将攻击瞄准物理领域,汽车成为目标。这包括盗窃,攻击者利用无钥匙进入系统,但也攻击现在存储在汽车中的敏感信息,如地图和信用卡数据。
在欧盟的带领下,世界各国正在迅速采用汽车网络安全法规,欧盟将于去年7月生效。
向电动汽车的过渡为监管机构创造了领先于犯罪分子的机会。随着新技术降低了进入门槛,更多的汽车公司进入了市场。反过来,这为监管机构创造了与希望保护其本土产业的行业团体合作的机会。
对汽车的担忧并不是什么新鲜事。在2015年的一项具有里程碑意义的实验中,两名黑客袭击了一辆吉普切诺基。“他们在高速公路上关闭了发动机 - 刹车没有反应。这不是一个令人愉快的情况,“一家成立六年的以色列公司Karamba Security的首席执行官David Barzilai说,该公司帮助汽车公司使其物联网设备更加安全。
Barzilai说,在过去的12个月里,发生了数十起袭击事件,既有严重的犯罪团伙,也有青少年。“当我们六年前开始的时候,攻击是国家,主要是中国,”他说。他说,“在过去的 12 个月里,汽车袭击出现了民主化”,并指出 2022 年 1 月的一名青少年已经做到了,他想出了如何同时访问几十辆特斯拉的控制系统。
他说,联网汽车通常有SIM卡,黑客可以通过蜂窝网络进行攻击。“同一车型的所有汽车都使用相同的软件,”他说。“一旦黑客发现了漏洞,以及远程利用它的方法,他们就可以将攻击复制到其他车辆上。
网络安全作为一个行业发展起来,主要是作为修复市场上早已存在的软件和硬件的事后尝试,因为犯罪分子和外国政府发现了他们可以利用的系统漏洞。IBM系统科学研究所的一项研究发现,在实施软件时修复网络安全漏洞的成本是开发软件时的六倍。Trzeciak说,物联网作为一个行业仍然相对较新,让具有安全意识的开发人员有机会领先于猫捉老鼠的游戏,并且越来越多的研究人员和开发人员致力于此,包括卡内基梅隆大学软件工程研究所的DevSecOps计划,该计划旨在为软件开发的早期阶段增加安全性。这种基于流程的创新可以使各种软件,包括汽车和医疗设备中的软件,更加安全,因此设备更安全。
