尽管物联网带来了新的数据收集、管理和应用的途径,但是也带来了大量的网络安全攻击。其中的一大隐患就在于TCP/IP架构中,包括了应用层、传输层、网络层和物理层。
其实从各种角度来看,TCP/IP架构本来就不是为物联网而设计的。虽然说工程师和开发者们都在努力试图修改或者为TCP/IP架构增加扩展,但是环境本身的复杂性,外加TCP/IP架构设计之初就没有考虑到安全性的原因,这一过程带来了许多安全层面的挑战——其中不乏有现实层面的问题。
从最基础的层面来看,TCP/IP架构使得物联网设备能够和网路以及其他设备进行通信。这些架构都是开源的,而被大部分嵌入式设备以及物联网组件的厂商免费试用。
Chan补充道:“物联网设备厂商会购买已经内置好TCP/IP架构代码的芯片和组件,再用这些元件建造物联网产品。”
然而可惜的是,许多的物联网设备厂商并不知道他们的设备是否有隐患,因为他们对芯片和组件中使用的架构没有丝毫可视能力。另外,分析每一个设备,然后找出程序错误或者TCP/IP结构中的其他问题,显然不可行。
这导致的结果,就是所有设备都容易遭到攻击,产生信息泄露;会发生设备故障、数据丢失或者损坏,最终对品牌产生损害。同样的,这也会对网络安全成本造成上升。
Forescout的研究经理,DaniledosSantos,认为:“TCP/IP结构的脆弱性管理正在对安全社群而言,成为一个真正的挑战。”
究竟有哪些威胁?
就在去年,URGENT/11和RIPPLE20等一系列漏洞造成了极大影响。而今年,AMNESIA:33等33个其他漏洞影响了四个常用的开源TCP/IP架构——uIP、FNET、picoTCP、以及Nut/Net。这四个架构是包括医疗设备、工控系统、路由器、交换机、智能家居在内的百万物联网设备、工业设备、网络设备的基础组件。攻击者可以利用这些漏洞进行远程代码执习、DoS攻击,甚至强行占用设备。根据Forescout上个月的报告,超过150个厂商的设备带有风险。
这些漏洞可能存在于商业组件或者开源组件中。嵌入组件包括芯片级系统、连接组件、OEM主板等;物联网设备包括智能插件、智能手机、传感器、游戏手柄等;OT系统包括门禁、IP摄像头、协议网关、HVAC等;网络和IT设备则包括打印机、路由器、服务器等。
dosSantos指出,AMNESIA:33之所以影响巨大,不仅因为大量存在该漏洞的设备,还有其他几个原因。其中一个原因,是硬件中对开源组件的广泛以及严重的依赖性。这些结构中的代码几乎和每个与设备进行交互的数据包都有接触,从而使得这些漏洞能对空闲的设备产生影响。由于源代码在88%的嵌入式项目中都会被重用,这会使得AMNESIA:33这类漏洞造成的影响数倍扩大。
Forescout的报告中提到,攻击者可以通过远程代码执行控制目标设备,然后DoS攻击影响其性能,最终损害业务。攻击者还能通过信息泄露的漏洞获取敏感信息,用DNS中毒的方式将目标设备导向恶意网站。
根据报告:“由于漏洞的广泛影响特性,全球许多组织可能都已经被AMNESIA:33所影响。”
组织如何能够解决TCP/IP结构中的漏洞?
专家指出,解决TCP/IP架构中的隐患可以分为三个基础步骤:识别网络上所有的设备并意识到哪些是有隐患的、评估这些设备带来的风险——包括业务关联性、严重性、以及互联网暴露程度、最后缓解评估到的风险。
dosSantos补充认为:“最后一点可以由多种方式达成:比如补丁修复、对网络进行划分并隔离关键设备、加强安全合规、以及监测网络中的恶意流量。”
而专门针对AMNESIA:33,他建议禁止并阻断IPv6流量,并在任何可能的时候依靠内部DNS服务器进行交互;因为在架构中的数个协议都受到了多个漏洞的影响。
同样,企业也可以依靠网络安全解决方案,自动化优化最佳实践。这包括了采取一些更主动的方式,比如对关键设备进行隔离——无论这些设备是否存在漏洞,从而减少风险暴露面以及限制攻击造成的影响。
另一方面,安全团队能回答问以下一些关键问题:代码是否正规?这些代码的贡献者是谁,是否还有人在维护这些代码?开源代码库确实简化了编程过程,但是这依然需要开发者了解代码库里存在什么——毕竟现在太多时候,开发者会在不了解代码内容的情况下轻易连入一个代码库。
对了,AMNESIA:33以及其他和TCP/IP相关的物联网漏洞暂时看来不大可能消失。
Chan表示:“大部分在AMNESIA:33中的漏洞是由糟糕的软件开发流程和管理行为导致的。升级软件可以解决一部分问题,但关键是要知道哪些设备存在受影响的架构。物联网设备厂商从供应商处购买芯片和组件,但他们本身却不知道其中到底有哪些软件。”