持续为系统打补丁以提高安全性是一种传统的方法,对物联网设备制造商和用户来说都是一个长期存在的问题,但这种情况即将改变,因为可以通过预防漏洞彻底改变人们保护物联网的方式。
物联网网络安全问题巨大
目前全球采用290多亿台物联网设备、传感器和执行器。这是一个适合利用的大型网络攻击面。据估计,超过一半的物联网设备可能容易受到或低或高的风险攻击。
网络攻击者经常利用常见的漏洞和暴露侵入设备,然后利用这个立足点发起其他攻击,实现攻击目标。根据研究机构发布的“2022事件响应报告”,利用软件漏洞是黑客第二大最常用的攻击方法。事实上,在他们分析的事件中,近三分之一(31%)是网络攻击者利用软件漏洞访问企业环境的结果。
这些网络攻击可能产生重大而深远的后果。据估计,目前网络犯罪使全球经济损失约1万亿美元(超过全球GDP的1%)。
那么,物联网设备制造商能做些什么来试图关闭这个巨大的攻击缺口呢?研究得出的结论是:解决问题的方法不在于在漏洞被发现后尝试修补漏洞,而在于从一开始就防止常见的软件和硬件漏洞被利用。这样一来,存在什么漏洞(已知的和未知的)就不重要了。
无休止的补丁并不起作用
《2021年网络攻击面管理威胁报告》表明,网络攻击者通常在通用漏洞披露(CVE)宣布之后15分钟内开始扫描漏洞。当漏洞足够严重时,网络攻击者的扫描几乎与漏洞的公布同时进行是很正常的。这没有给制造商太多时间来发布补丁,更没有时间给客户部署补丁来保护他们的环境。这还是在假设打补丁是可行的情况下。
如果漏洞存在于任何第三方软件库中,设备开发人员通常会受到限制,这些软件库用于通信、加密、身份验证、OTA更新和其他基本功能。如果不能看到这个第三方源代码(它通常以二进制形式交付),开发人员就无法理解如何创建一个可行的补丁来保护整个设备。
开发人员进一步受到技术混合的阻碍,例如新旧操作系统版本的混合以及新旧代码库等。为所有不同的设备配置文件构建和发布补丁可能非常耗时和昂贵(成本高达数百万美元)。对于其中一些设备,这是不可能实现的,因为它们的位置或关键(例如心脏起搏器),根本无法接触到或可以中断。
很明显,修补程序还不够有效或不够快速,无法消除物联网设备漏洞带来的风险。企业需要的是能够对抗这些漏洞本身的东西,也就是能够防止攻击,而不管潜在的漏洞是什么。例如专注于对抗通用缺陷枚举 (CWE),就可以实现这一点。
利用通用缺陷枚举 (CWE)阻止攻击路径
在网络攻击发生时阻止它们是一种更可持续的方法。大多数针对设备漏洞的攻击都共享通用的利用方法(例如内存溢出)作为先决步骤。因此,如果停止内存溢出,就停止了针对大量相似内存漏洞的所有相同的利用,而无论攻击路径、操作系统、设备类型是什么。对其他CWE类别进行同样的操作可以提供全面的保护,并确保设备免受已知和未知攻击。
CWE最初由网络安全商MITRE公司定义,它是一种常见的漏洞类型族。这包括内存损坏(堆和堆栈缓冲区溢出)和内存内的Vulns(在释放后使用,双释放后使用,等等),命令注入和执行流中断,可以立即停止,从而达到防止效果。
其他CWE包括可疑活动(如DDoS指示、暴力登录尝试、数据盗窃或已知的恶意IP访问,这些都是常见的安全威胁)的漏洞,Sternum可以检测到这些活动,然后根据用户配置的规则/策略进行调度。
如此一来,漏洞将变得不那么重要,一个无法利用的漏洞再也不能被用来获得立足点。通过确保代码只做它应该做的事情,制造商为他们的物联网设备提供了精确和确定的安全解决方案。
据统计,目前共有352个类别的1327个CWE。相比之下,而每月公布的漏洞多达数千个。通过CWE开发来实现预防的有效性,而不是试图赢得无休止的补丁竞赛,这是一个简单的数学问题。
总之,物联网时代企业需要了解如何摆脱无休止的打补丁,找到预防漏洞的更有效的方法,才能更好地保护物联网免受或少受攻击。
