מכשירי IoT מורחבים (xIoT) עומדים כמועדף רב שנתי עבור תוקפי סייבר המבקשים לנוע לרוחב ולבסס התמדה בתוך רשתות ארגוניות. יש להם כל מה שהחבר'ה הרעים צריכים לדריסת רגל: הם מאובטחים מאוד, הם נוכחים במספרים גדולים (ובחלקים רגישים של הרשת), ובאופן מכריע, הם בדרך כלל לא מפוקחים היטב.
ב הפגישה הקרובה ב-RSA, חוקר האבטחה והאסטרטג בריאן קונטוס ידריך את הקהל שלו בדרכים בהן ניתן להשתמש במכשירים אלה כדי ליצור התקפות רחבות מאוד נגד משאבי ארגונים, יחד עם מה שאסטרטגי אבטחה צריכים לעשות כדי להתמודד עם הסיכון.
"אני אעשה כמה הדגמות פריצה ל-xIoT, כי כולם אוהבים לראות דברים נפרצים", אומר Contos, מנהל האסטרטגיה הראשי של Sevco Security. "אבל בעולם ה-xIoT די קל להתפשר, אז אני לא אתמקד בזה אלא באיך זה יכול לשמש כנקודת ציר לתקוף מכשירים מקומיים, מכשירים בענן, לגנוב נתונים רגישים, לתחזק התמדה, ולהתחמק מגילוי."
המטרה שלו היא להראות את כל מחזור החיים של המתקפה על מנת להדגים את השפעות האדווה הכבדות שבפתח מהשארת מכשירי xIoT לא מנוהלים ולא מפוקחים בסביבות ארגוניות.
השכיחות של חוסר ביטחון xIoT
כפי שקונטוס מסביר, מכשירי xIoT בדרך כלל מתחלקים לשלוש קטגוריות מכשירים שכולן מתרבות באופן משמעותי בסביבות עסקיות. הראשונים הם מכשירי ה-IoT הארגוניים כמו מצלמות, מדפסות, טלפונים IP ו מנעולי דלת. השני הוא מכשירים טכנולוגיים תפעוליים כמו רובוטים תעשייתיים, בקרי שסתומים וציוד דיגיטלי אחר השולט בפיזיקה הגדרות תעשייתיות. השלישי - ולרוב הפחות זכור - הם התקני רשת כלליים כמו מתגים, אחסון צמוד רשתונתבי שער.
"המשותף לכל המכשירים האלה הוא שכולם מכשירים ייעודיים, שנוצרו למטרה ספציפית אחת", הוא מציין. "הם מחוברים לרשת, ואתה לא יכול להתקין עליהם שום 'דברים' נוספים. אז, אתה לא יכול לשים חומת אש או IPS, או אנטי תוכנות זדוניות עליהם. לכן, כל בקרות ה-IT המסורתיות לא בהכרח משתלבות היטב בעולם הזה של xIoT."
הוא אומר שהמחקר שלו בשנתיים האחרונות הראה שברשת הארגונית הטיפוסית, יש בדרך כלל שלושה עד חמישה מכשירי xIoT לכל עובד שמסתובבים. בתעשיות מסוימות - כמו נפט וגז או ייצור, מספר זה יכול להתרחב ליותר כמו חמישה עד שישה מכשירים לכל עובד. כך שחברת ייצור עם 10,000 עובדים יכולה בקלות להסתכל על 50,000 מהמכשירים האלה ברשת שלהם.
"ומה שאתה הולך לגלות הוא שכמחצית מהם מריצים סיסמת ברירת מחדל, שלוקח לי חצי שנייה לחפש בגוגל", הוא אומר. "אם אני עושה גוגל, 'מהי סיסמת ברירת המחדל במערכת APC UPS, זה יגיד לי ששם המשתמש המוגדר כברירת מחדל הוא 'apc' וסיסמת ברירת המחדל היא 'apc'. ואני יכול להגיד לך מניסיון, עדיין לא ראיתי מערכת APC UPS בטבע שאין לה 'apc-apc' כשם המשתמש והסיסמה."
נוסף על כך, הוא מסביר שיותר ממחצית ממכשירי xIoT מריצים גם CVEs ברמה קריטית שדורשים מעט מומחיות בפריצה כדי למנף מרחוק ולהשיג הרשאות שורש במכשירים.
"בגלל הנפח, אם אתה לא נכנס ל-1,000 עד 2,000 המכשירים הראשונים, רוב הסיכויים שתגיע ל-1,000 עד 2000 הבאים", הוא אומר.
הלקחים שנלמדו
הדגמות הפריצה של Contos יצלולו לאופן שבו ניתן להשתמש במכשיר שונה מכל אחת מקטגוריות מכשירי xIoT למספר עצום של מטרות תקיפה, החל מכיבוי חשמל ועד השמדת נכס, וחילוץ נתונים רגישים ועד להרחבת טווח ההתקפה ברשת. הוא ישתף מידע על כלי פריצה ל-xIoT ששחקנים במדינות לאום בנו ויסביר כיצד שחקני האיום משקיעים כסף רציני בהשקעה בסוגים אלה של התקפות.
"אני רוצה שהקהל יבין כמה זה קל ולהבין שזה סיכון שדורש מיקוד מסוים בתוך הארגון שלו", הוא אומר.
כחלק מהדיון, Contos תדון באמצעי נגד הכוללים ניהול נכסים מוצק, ניהול זהויות וניהול תיקונים סביב xIoT, כמו גם פיצוי בקרה כמו פילוח ו-MFA על מנת להקשיח את משטח התקפת xIoT. הוא גם אומר שהוא מקווה להסביר שאסור לתכנן הגנות "בבועה". זה לא סוג של אמצעי אבטחה שצריך לפתח על ידי כוח משימה מיוחד שמורחק מאבטחת ענן ומקבוצות אבטחה אחרות, במילים אחרות.
"כל זה צריך להיות משולב כי כל המכשירים האלה נוגעים זה בזה", הוא אומר. "זה צריך להיות חלק מגישה אחת גדולה יותר."
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
- הטבעת העתיד עם אדריאן אשלי. גישה כאן.
- מקור: https://www.darkreading.com/ics-ot/why-xiot-devices-are-gateway-drug-lateral-movement
- :הוא
- $ למעלה
- 000
- 1
- 10
- 7
- a
- אודות
- לרוחב
- שחקנים
- נוסף
- נגד
- תעשיות
- ו
- גישה
- ARE
- סביב
- AS
- נכס
- ניהול נכסים
- At
- לתקוף
- המתקפות
- קהל מאזינים
- רע
- BE
- כי
- בריאן
- רחב
- שבור
- בועה
- נבנה
- עסקים
- by
- מצלמות
- CAN
- קטגוריות
- סיכויים
- רֹאשׁ
- ענן
- אבטחת ענן
- Common
- חברה
- פשרה
- מחובר
- לִשְׁלוֹט
- בקרות
- יכול
- דלפק
- זוג
- לִיצוֹר
- נוצר
- באופן מכריע
- מחזור
- נתונים
- בְּרִירַת מֶחדָל
- להפגין
- איתור
- מפותח
- מכשיר
- התקנים
- אחר
- דיגיטלי
- לדון
- דיון
- עושה
- תרופה
- כל אחד
- בקלות
- תופעות
- עובד
- עובדים
- מִפְעָל
- שלם
- סביבות
- ציוד
- להקים
- אי פעם
- הכל
- הרחבת
- ניסיון
- מומחיות
- להסביר
- מסביר
- ליפול
- חביב
- חומת אש
- ראשון
- מתאים
- צף
- להתמקד
- בעד
- להכריח
- החל מ-
- לְהַשִׂיג
- גז
- שער כניסה
- כללי
- לקבל
- מטרה
- הולך
- קבוצה
- פריצה
- חצי
- יש
- מקווה
- איך
- HTTPS
- i
- זהות
- ניהול זהות
- in
- באחר
- לכלול
- התעשייה
- תעשיות
- מידע
- להתקין
- במקום
- משולב
- השקעה
- IOT
- מכשירי יוט
- IP
- IT
- סוג
- גָדוֹל
- גדול יותר
- אחרון
- עזיבה
- שיעורים
- תנופה
- החיים
- כמו
- קְצָת
- נראה
- הסתכלות
- לתחזק
- ניהול
- ייצור
- למדוד
- משרד חוץ
- כסף
- פיקוח
- יותר
- המהלך
- תנועה
- בהכרח
- צורך
- רשת
- רשתות
- הבא
- הערות
- מספר
- מספרים
- of
- קָצִין
- שמן
- נפט וגז
- on
- ONE
- מבצעי
- להזמין
- ארגון
- אחר
- חלק
- חלקים
- סיסמה
- תיקון
- התמדה
- טלפונים
- פיסיקה
- Pivot
- מתוכנן
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- נקודה
- כּוֹחַ
- להציג
- הרשאות
- מטרה
- למטרות
- גם
- מכניס
- RE
- לְהַגִיעַ
- הוסר
- לדרוש
- דורש
- מחקר
- חוקר
- משאבים
- אדוה
- הסיכון
- רובוטים
- שורש
- RSA
- כנס rsa
- ריצה
- s
- אומר
- סולם
- שְׁנִיָה
- מְאוּבטָח
- אבטחה
- מחפשים
- פילוח
- רגיש
- רציני
- שיתוף
- צריך
- לְהַצִיג
- הראה
- באופן משמעותי
- שישה
- So
- מוצק
- כמה
- מיוחד
- ספציפי
- לעמוד
- תַכסִיסָן
- אִסטרָטֶגִיָה
- כזה
- משטח
- מערכת
- לוקח
- המשימות
- כוח המשימה
- טכנולוגיה
- זֶה
- השמיים
- שֶׁלָהֶם
- אותם
- אלה
- דבר
- דברים
- שְׁלִישִׁי
- איום
- איום שחקנים
- שְׁלוֹשָׁה
- דרך
- ל
- כלים
- חלק עליון
- לגעת
- מסורתי
- פנייה
- טיפוסי
- בדרך כלל
- תחת
- להבין
- יו פי אס
- למעלה
- בְּדֶרֶך כְּלַל
- שסתום
- Ve
- כֶּרֶך
- דרכים
- טוֹב
- מה
- אשר
- בר
- יצטרך
- עם
- בתוך
- נצחנות
- מילים
- עוֹלָם
- שנים
- אתה
- זפירנט