駭客高額勒索金 製造業物聯網成目標
編譯/曲姵蓉
過去一年來,物聯網被攻擊的次數大增,不少專家認為這是因為物聯網設備在設計過程中,普遍缺乏安全性的考量,而且用戶長期以來慣用默認密碼,沒有定期更換,致使物聯網很容易攻破。但講到駭客特別鍾愛攻擊物聯網的原因,有專家指出,這是因為任何工廠或企業若因物聯網遭受攻擊,導致長時間暫停作業,可能會面臨嚴重損失,甚至被客戶求償。因此,駭客很喜歡攻擊物聯網,並以此要脅被攻擊的企業給付比其他類型的網路攻擊還要高至少2-4倍的贖金。
根據Forrester最新的《2023物聯網安全現況》(The State Of IoT Security, 2023)顯示,有四個關鍵因素導致物聯網成為主要被攻擊的目標:
- 物聯網設備在建造之初並不重視安全性
專家指出,大多數較為初階的物聯網設備在設計時,並沒有將安全性列為重要考量,而且許多設備缺乏引入新軟體或代理的選項,這導致科技公司也很難在物聯網設備售出之後利用軟體更新或網路連接等方式來更新其安全防護系統。
不過,我們還是有辦法打破這些限制。CrowdStrike 的物聯網安全產品管理總監 Shivan Mandalam指出:「企業與工廠等組織可以結合資訊科技(IT)及營運科技(OT)進行更仔細的分析預測,消除未被管理或已不支援的老舊系統,並且快速識別與解決系統內現存的問題。」
- 慣性使用預設密碼
報導指出,在人手不足的中小型製造企業中,其資訊團隊並沒有時間去為每個設備設置單獨的密碼,或者他們根本不知道也沒有能力去處理複雜的物聯網問題,因此這些中小型企業團隊常在引入物聯網感測器後,就沒動過原本的預設管理員密碼。
不過,這也不完全是企業本身團隊的問題。《2023物聯網安全現況》報告中有提到,許多物聯網設備在啟用之初,就沒有要求用戶要設置新密碼,也沒有要求組織定期更改密碼,比較舊的物聯網設備甚至無法更改管理員權限。
為此,大部分公司的資訊安全長、安全團隊、風險管理專員和IT團隊的網路上,都會有使用已知認證的新舊設備。他們也可以與市面上的供應商合作,來改善企業物聯網連接安全或身分驗證等問題。
- 幾乎所有醫療、服務和製造業務都依賴老舊的物聯網感測器。
舊有的物聯網感測器是所有醫院、工廠及企業一直以來的使用習慣,這些機構非常仰賴原本的感測器為其收集即時數據。如果要換掉的話不僅費時費力,同時也會面臨轉換陣痛期的問題,因此大多數機構都不會想貿然換掉原本賴以維生的物聯網設備。然而這些老舊的設備,恰恰是最好被攻擊,同時也是駭客的高價勒索目標。
Forrester報告指出,這些設備最大的漏洞在於,他們並不支援新的操作系統,而且也無法為其進行安全性設置會更新。換句話說,這些設備就是一塊老舊的「磚頭」,即使被駭客入侵了,也沒辦法修補。
- IoT 的問題在於「I」而不是「T」
Forrester報告就指出,當物聯網設備連接網路時,它們馬上就變成安全的漏洞。舉例而言,駭客可能會入侵製造工作前端的安全鏡頭,並監控交通流量模式,查看員工都是怎麼進入工廠的內部網路,並且跟著員工進入內部,再在其中安裝自己的駭客感測器,就可以隨時掌握工廠內部資訊。
雖然現在物聯網安全越受專家重視,也有很多尖端供應商在致力完善這一部份,但其實大部分的製造商都不知道如何保護其物聯網設備,這導致他們只能乖乖支付高額贖金予駭客。當駭客得手後,自然會去尋找類似的製造商攻擊,這也是為甚麼製造商物聯網設備很容易被入侵,因為當駭客發現其缺乏保護,幾乎所有製造商物聯網都會被用相似的手法攻擊。
Airgap Networks首席執行長Ritesh Agrawal就指出,物聯網的漏洞已經嚴重威脅企業安全成熟度。他強調,準確地進行系統視察,找出漏洞、進行物聯網分段,以及建立身分識別體系是唯一解答。然而,當大部分物聯網還沒辦法接受這些功能的時候,他們只能採取較傳統的解決方案來解決問題。
資料來源:Venturebeat
瀏覽 430 次
