不論是一般網路駭客或國家級駭客集團都看準了IoT裝置安全性有限、卻又日益連網的情況。駭客正利用所謂的Operational Relay Box(ORB)網路以及不死殭屍網路進行一場持續的典範轉移,其影響就如同近年來駭客的攻擊工具、手法與程序(TTP)紛紛移轉至就地取材(LOTL)攻擊一樣。
本篇報告主要著重於深入探討企業內一些必須立即受到關注的策略性風險。IoT裝置持續成長,已超出傳統網路資安控管的範圍。掌握此一變化相當重要,因為它讓駭客有機會經由企業目前大多無法監控的可視性漏洞與側面管道入侵。
今日,不論是一般網路駭客或國家級駭客集團都看準了IoT裝置安全性有限、卻又日益連網的情況。駭客正利用所謂的Operational Relay Box(ORB)網路以及不死殭屍網路進行一場持續的典範轉移,其影響就如同近年來駭客的攻擊工具、手法與程序(TTP)紛紛移轉至就地取材(LOTL)攻擊一樣。
只不過,這場典範轉移的後果更加嚴重,因為這導致許多非正規的連線出現在傳統資安模型認為無法連線的場域。儘管此一攻擊面在政府的資安模型當中已獲得充分了解,但很多企業的資安模型都忽略了這點。這樣的情況造就了一個讓駭客有機可乘的危險漏洞,因此企業迫切需要重新評估自己的資安模型與措施,這是防範這類風險的關鍵一步。
持續擴大的威脅情勢
威脅情勢持續擴大,可從以下幾個論點一窺究竟。
駭客觀點
凡是成熟的駭客都有自己的威脅∕風險模型,並了解如何在攻擊的成本與獲利之間取捨。隨著IoT裝置的使用率和裝置大小不斷提升,這些裝置在目標企業內的存在感也越來越強,使得它們更容易遭遇潛在的攻擊,此一情況為駭客帶來了幾項利多:
‧這些裝置大多支援一些特殊的通訊協定(如Z-Wave、IoB及BACnet),而且經常超出網路資安廠商產品或企業風險模型的範疇。
‧資安廠商越來越需要加強可視性與資安功能來保護IoT端點,因為這類裝置採用了專屬的架構、硬體與軟體,而且儲存空間、記憶體和CPU資源也都有限。
‧IoT設備的漏洞修補與鑑識分析能力也同樣有限。
將IoT設備納入威脅∕風險模型當中至關重要,因為它們同樣有可能遭到攻擊。例如,視訊會議設備一般都設置在安全的環境內,所以大多不具備雙重認證(2FA)機制來驗證使用者的身分。現代建築的一些標準配備,如水表、電表及濕度∕溫度感應器,同樣也具備連線能力、通訊協定以及資安挑戰。因此,採取全方位的風險評估方法不僅重要,而且在不斷演變的資安威脅面前更是關鍵。
駭客的遊樂場
有多項重要的技術正在逐漸普及,它們很可能為駭客提供非正規的連線方式與側面入侵管道:
‧一些隨身的裝置,如Apple的AirTag與Google的Find My Device都可能經由不安全的網路暗中傳輸資料。例如駭客可藉由Find My藍牙低功耗(BLE)廣播,將任何資料從非連網裝置發送到附近的Apple裝置。
‧凡是內建eSIM的筆電和工業電腦都能直接連上蜂巢式行動網路,一些新的作業系統(如Microsoft Windows 10/11)已原生支援這項功能,這樣一來,裝置就能收發文字簡訊,而且通常不會受到監控。
‧有了自動漫遊以及無線Wi-Fi、蜂巢式行動網路、衛星網路之間的輕鬆切換能力,即使是到了郊外也能輕鬆連線。
‧將「有線連接」轉成「無線連接」的功能(Wi-Fi橋接)在汽車與工業領域相當普遍。
‧遍布全球的無線熱點,讓都會區的無線通訊範圍不斷擴大。
‧多重無線存取技術(Multi-Radio Access Technology)讓使用者能無縫存取並切換各種無線技術,而且這項技術已整合至5G網路中。
‧與雲端互動似乎已經變成一種常態,因此需要直接或間接連上網際網路的IoT裝置變得越來越多。這些裝置可被當成資料緩衝區使用,等到連線可用時再將資訊傳送至雲端。
‧新的架構與通訊協定已影響了傳統的威脅偵測及回應方法,因為它們可能使用缺乏資安功能的非TCP/IP堆疊網路或通訊協定。
全球IoT風險
今日,對許多IoT裝置來說,無線網路已經是預設的連線方式,例如PC和筆電。隨著乙太網路連接埠的逐漸消失,以及具備蜂巢式行動網路的筆電出貨量預計將每年成長9.4%。未來,大多數裝置勢必都將標準內建無線或行動網路功能。在一些高安全性環境中,設備不是應該擁有專屬的客製化供應鏈,就是應該要能接受內建無線或行動網路的裝置。但離開了這樣的環境,殘酷的現實卻是:IoT裝置必須仰賴更好的可視性與控管來偵測及防範攻擊。
各式各樣「不能封鎖的IoT設備」越來越多,這不只是一項趨勢,而是一項重大隱憂。這類裝置具備蒐集和無線傳輸醫療感測器及人體植入裝置監測資料的能力,大大增加了企業機構的潛在攻擊點。不僅如此,企業機構通常無法有效偵測和管理這些裝置的不斷成長。隨著智慧城市與智慧道路的理念持續擴大並仰賴IoT技術來加以實現,在連網的需求下,IoT的成長將是必然結果。
此外,這些裝置很多都使用不受IT管控的特殊專屬協定與通訊管道,使得這些裝置很難透過傳統IT資安防護來加以監視和控管。正因為缺乏可視性與資安功能,所以就很難偵測、追蹤及攔截該領域的攻擊。
非正規連線的崛起
了解駭客如何透過非正規的方式來利用這些多元化的連線裝置非常重要,不過這會隨裝置的種類和技術而定,有些普遍安裝在室內或戶外,有些則橫跨兩種領域,例如:
‧Apple的Find My、Google的Find My Device以及Samsung的SmartThings Find網路,都是能夠協助使用者尋找遺失或失竊行動裝置的服務。這些服務能精確定位裝置所在位置,還可從遠端鎖定或清除裝置。
‧低軌道(Low Earth Orbit,簡稱LEO)衛星網路(如Starlink)正在改變網際網路連線的涵蓋範圍。
‧所謂「電池聯網(Internet of Batteries)」的概念不僅需要連線能力,還要將電池資料連上雲端。
‧一些政府法規要求的緊急應變設備,例如車內的eCall系統或消防警報通知設備,也可能含有連線至附近網路來傳送訊號的能力。
具備蜂巢式行動網路功能的筆電、醫療物聯網(IoMT)裝置,以及彼此互連的智慧建築都提供了室內連網功能來支援感測器以及溫控和門禁設備。
戶外連線主要存在於智慧道路、智慧城市基礎設施、連網汽車、智慧行動設備、物流無人機,以及機器人等等。在郊外地區,熟練的駭客可以攻擊連網的農業裝置,以及各式各樣的連網氣象、天氣或汙染感測器,以及災害通知基礎設施。
IoT攻擊的各個階段
在各個不同階段,駭客都能藉由上述非正規連線的隱密性來增加威脅的急迫性。
‧偵查∕準備。IoT感測器可蒐集目標環境的重要資訊,還可能干擾正常營運,例如這些感測器可偵測智慧建築內部的狀況,進而預測某些房間或區域的重要會議時間。
‧存取。一般無安全性的辦公室設備,例如空調、顯示器、面板、平板、互動式螢幕,以及對講機系統,都可能讓駭客存取敏感的網路或讓他們接近高價值目標。
‧入侵後續階段。駭客可啟用已入侵裝置的eSIM設定檔或使用已預載特定Wi-Fi網路設定檔的機器來建立非正規的幕後操縱(CC)通道。駭客還能利用IoT設備預設的連線設定,例如連上裝置安裝時使用的預設Wi-Fi網路SSID來建立雙向連線。此外,駭客還可以修改設定和IoT感測器的監測資料來建立秘密通訊管道,包括修改對外傳輸資料的感測器名稱、篡改感測器輸入資料,以及在安全邊界之外擷取無線傳輸訊號的內容。
‧資料外傳。使用及模擬某些裝置,如Apple AirTag、Find My及類似的網路通訊協定,並合併使用智慧建築、智慧道路或連上雲端的IoT裝置,就能幫助駭客將資料外傳。這類裝置(如智慧手表或醫療感測器)可當成初步的緩衝區,用來在目標環境內蒐集資訊,然後再傳輸到安全邊界之外。
‧臨時(Ad-hoc)連線。還有一種很重要必須考量的是間歇性自動爆發(burst)同步連線。例如,公共運輸工具與計程車經常會提供Wi-Fi連線,它們可能經過或停靠在目標設施附近,提供短暫的連線,其網路名稱和登入憑證大多固定不變,計程車還有一個好處是,可以在叫車時指定停靠在某個地點等候。
‧電力控制。一種另類的攻擊情境是利用像Powercast這類技術來提供非正規的電力給木馬屠城設備。當感測器、IoT及邊緣裝置本身的電力耗盡或關閉時,將為駭客製造良好的機會讓他們大剌剌地直接進入目標建築,因為駭客可以假扮成被派來修理設備的專業人員。
‧篡改監測資料。攻擊感測器或篡改警報器的監測資料,可能造成嚴重的物理損害,駭客可利用這點,在他們攻擊電腦、伺服器或資料中心時觸發消防灑水系統來消除他們的足跡。
日益擴大的攻擊面
駭客越來越常利用IoT裝置來攻擊嚴密管制的環境,駭客的TTP也因此將出現重大改變。這樣的攻擊方式改變,需要更完整的就地取材技巧,以及IoT相關的攻擊工具、技巧與程序。由於有些TTP使用的是特殊專屬的通訊協定、標準,或特定廠商的軟體,因此不容易被IT資安團隊所察覺。結果就是,看得見的入侵指標(IoC)因而減少,駭客在設備和基礎設施上留下的攻擊痕跡,由於不在IT資安團隊的掌控範圍內,因此讓攻擊變得難以追查和防範。
‧例如,駭客可能攻擊雲端IoT系統管理員帳號,而該帳號並非目標企業所掌管,尤其當目標企業是與其他企業共同分租或共用同一棟大樓的辦公室空間。一般來說,大樓管理服務會負責管理一些必要的感測器和IoT裝置,例如恆溫空調系統,它們有可能是透過無線方式連上敏感的網路(儘管最佳的作法應該要徹底隔離)。
‧IoT連線的快速發展,為今日的網路資安框架帶來了嚴重的可視性漏洞。這些漏洞不僅造成盲點,而且正逐漸削弱傳統資安防護的成效,為保護、偵測、防範以及事後調查流程帶來迫切的挑戰。
‧駭客可蓄意攻擊那些CPU效能有限的硬體,進而阻礙重要資安功能的整合,以方便他們從事某些惡意活動。
‧IoT裝置上的攻擊證據,由於裝置的儲存資源有限或韌體規格上的限制,通常在裝置重新開機之後就會消失,這嚴重限制了這類證據的可用性。
‧由於這些裝置可能使用了非標準的路由協定,因此標準的網路鑑識分析與追蹤工具也許就無法正常發揮作用,或者僅能有限度地監控這些裝置。
儘管IoT裝置越來越普及,但許多裝置能加入的資安功能相當有限,其限制條件包括:技術限制(如專屬與封閉式架構)以及運算資源限制(如CPU效能、記憶體和儲存)。此外,還有財力限制、多元的裝置架構,以及支援大量軟體與韌體平台所需的成本,也是重大挑戰。這樣的情況使得要在IoT裝置上部署傳統的資安代理程式相當困難,讓端點防護解決方案的成效大打折扣。
基於這些限制,未來勢必有更多攻擊必須從網路層來間接加以偵測,透過異常∕界外偵測技巧,以及零信任方法。這一點會越來越重要,因為端點防護解決方案確實難以施展。比方說以下的情況:設備電力快速耗盡、設備速度或網路傳輸變慢、資料傳輸量暴增,或是傳輸資料的特性改變。有很多時候,駭客都是在攻擊得逞並完成目標之後才被發現,因此一套包含零信任、網路探索以及攻擊面管理的強大XDR解決方案將成為保護環境的關鍵。
對人員、政府機關和企業的衝擊
IoT裝置的增加,確實帶來了不少好處,但也引來各式各樣的網路資安風險。從個人隱私疑慮,到基礎設施與政府敏感資訊的潛在威脅,IoT情勢是一項複雜而不斷演變的資安挑戰,必須小心應對,讓我們來仔細看看有哪些挑戰:
人員
對人員方面所帶來的衝擊:
‧IoT環境的快速成長,再加上大數據和AI分析的引用,使用者的個人習慣與偏好很可能因而遭到外洩,進而引發嚴重的隱私權疑慮。
‧駭客可取得感測器上的資料來從事網路攻擊、虛實混合攻擊,以及認知作戰。
‧駭客通常瞄準有影響力的人士以獲取更大利益。
‧駭客可不當存取智慧手表的資料來推測配戴者的健康狀況以及可能的飲酒習慣,若再結合健康數據與造訪地點,就可能讓配戴者陷入黑函攻擊的風險。
‧駭客可能侵犯個人隱私,使用Amazon Alexa或其他內建麥克風的裝置錄下使用者的談話。
‧連網汽車也可能暴露使用者的位置和移動速度,並錄下車內及車外的音訊和視訊。
企業
對於企業可能造成以下影響:
‧企業資料遭到擷取,或是仰賴IoT運作的關鍵業務流程受到干擾,是經常被忽略的重大風險。
‧駭客可利用IoT感測器的資料來對關鍵技術和業務流程進行逆向工程,使得智慧財產可能遭到竊取或破壞。
‧仰賴IoT的流程如果發生中斷,將對營運永續性與安全性帶來全面影響。
關鍵垂直產業
關鍵垂直產業則可能受到以下的影響:
‧連網IoT感測器遭駭客注入監測資料,將對工業、能源,以及依賴原物料的垂直產業帶來致命危險,因為這些攻擊可能影響實體系統的存取與完整性。
‧一些不可拆卸、攸關生命的人體智慧感測器以及植入裝置有可能被駭客當成緩衝儲存,用來將資料外傳,或者與嚴格管制的隔離網路交換資訊。
‧在IT和通訊方面,網宇實體(Cyber-physical)領域隨時可能發生新的狀況,而且比起純網路的營運,其造成的影響甚至更為巨大。一個例子就是,資料中心因為溫度感測器遭駭客篡改或備援機制失效而導致資料中心過熱,不得不緊急停機。
政府機關
政府機關面臨的風險甚至更高,因為關鍵基礎設施的安全性以及敏感資訊的機密性至關重要。IoT裝置讓原本安全的環境攻擊面變大,導致嚴重的風險。嚴格管制的政府設施,通常都會制訂政策來禁止人員在這類環境中使用手機、智慧型手表或任何可傳送和接收訊號的裝置。然而,舊的資安政策有時會因為新型態連網裝置的出現而忽略了這項風險。
網路資安廠商
裝置的預設連線以及運算資源有限的新式硬體架構,將為網路資安產品、工具、服務及程序帶來許多重大盲點與可視性漏洞。這類新的環境將對資安帶來重大衝擊,因為攻擊面變大。同時,也限制了這類設備(還有連線及資訊交換協定)的控管、監控、保護或更新能力。
降低風險步驟建議
提高上述風險的意識對於擴大IoT連線、改善無線涵蓋範圍,以及解決相關可視性漏洞來說至關重要。雖然政府機關已經認知到這些風險,並採取步驟來保護高度敏感的資產,但一般企業卻對此問題不太關注。政府部門的資安要求,也許可提供解決這些問題的珍貴洞察與方法,這對企業和個人越來越重要。以下是幾個可降低這類風險的步驟:
‧對於任何能夠與企業資產建立連線、互動或造成影響的IoT裝置與無線通訊協定(包含受控管與非受控管的裝置),都應該提升可視性與監控能力。這樣的主動式策略有助於預先發掘及解決潛在威脅,不讓威脅有機會造成損害。
‧盡可能讓IoT裝置隨時保持更新並套用修補。如果無法套用修補,可考慮在IoT裝置所在的網域建置一套防火牆或入侵防護系統(IPS)來降低裝置被攻擊的機率。
‧調整風險模型,將已知的風險與擴大的攻擊面納入考量,確保企業對潛在的威脅預先做好準備。
‧實施零信任原則來管理非正規的突發性連線,並且要涵蓋整個無線網路。這項策略可保證所有資產(不論在企業網路內部或外部)都經過認證、授權,並且持續驗證。
‧擬定完善的事件回應計畫來因應特殊案例、風險與駭客日益擴張的能力。這些計畫可保障你的企業安全,讓你有效應付任何資安事件。
‧定期針對IT與資安團隊舉辦教育訓練來了解最新的IoT資安風險以及最佳實務原則。同樣重要的是,要將這些訓練延伸到所有員工,讓他們也了解IoT裝置對資安的影響,以及遵守企業相關裝置使用與連線政策的重要性。
‧重新檢視業界其他有關IoT/OT裝置安全的最佳實務原則。
結語
IoT不斷演變的威脅情勢及其四處擴張的連線,對傳統網路資安模型帶來嚴重挑戰。IoT裝置不僅越來越融入個人與商用領域,也擴大了攻擊面。這些大多採用專屬通訊協定的裝置,由於其扮演的關鍵角色與易用性,已成為駭客的主要目標。它們因為使用上的必要性而受到過度信賴,但安全功能卻相當有限。駭客能利用IoT裝置的非正規連線以及可視性的漏洞來避開傳統的資安防禦,使得這類攻擊不易被偵測及防範。因此,重新評估當前的網路資安策略變得相當重要,最重要的是要導入異常偵測、零信任原則,以及次世代網路防護解決方案,來有效管理被擴大的攻擊面。
不論企業、政府機關或一般個人都必須認知到IoT環境以及無線網路涵蓋範圍的擴大所帶來的更大風險。要因應這樣的情勢,就必須加強監控、改善資安程序,並且在整合及部署階段考量到IoT對資安的影響。這份研究的目的,就是要提供更多的洞察來因應這些新的挑戰。
<本文作者:本文出自趨勢科技資安部落格,是由趨勢科技資安威脅研究員、研發人員及資安專家全年無休協力合作,發掘消費者及商業經營所面臨層出不窮的資安威脅,進行研究分析、分享觀點並提出建議。>