当前,大部分网络安全团队对发生在服务器和台式电脑上的网络攻击已经十分了解,并针对这些攻击提出了效果良好的防范措施。但当涉及那些比较“小众”的设备(如路由器、打印机、医疗设备和视频监控摄像头)时,事情就变得复杂得多。这些设备经常与服务器和工作站一起连接到各单位的网络上,也会带来各种网络安全风险。
网络安全技术团队Forescout Vedere实验室通过对1900万余台联网设备(包括工作电脑、服务器、物联网设备和专用医疗设备等各种类型)进行分析,发布了《2024年风险最高的联网设备》研究报告。以下就是该报告中总结出来的最易受到攻击的高风险设备。
最易受到攻击的高风险设备
1.路由器、防火墙、无线接入点
通常,可以通过互联网对路由器进行访问,其中许多路由器都具有开放的管理端口和服务(如SSH端口、Telnet端口、SMB端口等,以及高度专业化的专有管理服务),很容易被攻击者利用。
防火墙也面临类似的安全风险,尤其是对于中小企业而言,这种安全风险更大,因为路由器和防火墙通常会被组合在单个设备中。
无线接入点(Wireless Access Points,WAP)是指一类可以让无线设备(如笔记本电脑等)通过Wi-Fi、蓝牙等连接到无线网络的设备。WAP的不安全设置甚至比路由器中的更常见,但由于破坏WAP需要靠近设备,因此其面临的安全风险较低。但其最初的攻击媒介通常是访客的Wi-Fi网络或移动设备专用网络。
2.打印机
通常情况下,打印机直接联网,在运行时一般采用标准配置和默认口令,缺乏安全保护手段,并且经常被添加到防火墙允许的列表中,以保障所有计算机都能连接打印机,从而进行打印业务。这使得潜在的攻击者有机会查看、删除和添加打印作业等,而无需利用任何漏洞即可开展攻击。同时,打印机的软件更新较慢,其中的高危漏洞可能会持续多年仍然存在。
此外,“打印机”设备类别中不仅包括网络多功能一体机(MFP),还包括标签和收据打印机等高度专业化的设备,而标签和收据打印机又通常直接连接POS终端(刷卡机)和处理重要财务信息的计算机,这也增加了打印机设备带来的网络安全风险。
3.IP语音设备和IP摄像机
与打印机一样,IP语音(基于互联网协议的语音通话技术,Voice over Internet Protocol,VoIP)设备和IP摄像机这类设备很少更新,通常可以通过互联网进行访问,缺乏内置的安全工具,并且经常使用默认的不安全设置。
除此之外,这类设备还存在其独特的风险,即攻击者可能监视受保护的资产和设施、窃听IP语音电话或冒充受攻击的组织来进行欺诈。甚至攻击者不一定必须要利用漏洞,只需通过错误配置或默认口令就能够实施攻击。
4.自动药物分配器和输液泵
自动药物分配器和数字输液泵这类医疗设备往往也存在一些漏洞和不安全设置。攻击者通常无需对这类医疗设备实施深度入侵,只要拒绝服务或断开电信网络,甚至恶意更改药物剂量,就会影响医院的正常运营、威胁患者生命安全。
防护措施
1.禁用设备上所有非必要的服务,同时加强对必要服务的访问限制,确保只能从内部子网上的管理计算机访问控制面板和服务门户。
2.将办公网络、生产网络和管理网络隔离区分开来,以保障联网设备和其他隔离资源的安全。
3.使用特殊的、强度高的口令,并尽可能使用多因素身份验证(MFA)。如果设备缺乏足够强的身份验证和MFA的支持,则可以将其隔离在单独的子网络中,并在网络设备上采用MFA访问控制措施。
4.及时对网络设备固件和软件进行更新。
5.仔细检查设备的网络设置和安全设置。如果默认设置不够安全,应尽快进行更改。还应禁用内置默认账户和无口令访问。
6.认真翻阅路由器手册,了解提高和强化安全性的方法。
7.购买打印机、多功能一体机等设备时,使用可提高其安全性的标准功能。例如,某些型号的产品可以提供加密的安全打印功能;某些能够自动更新其固件;还有一些能够将事件导出到安全信息和事件管理(SIEM)系统,以进行全面的安全监控。
8.采用全方位的安全系统,包括端点检测响应(EDR)和全面的、基于SIEM安全分析平台的网络监控。
来源:保密科学技术公众号
初审:孙同正
复审:王 楠
终审:刘志远