隨著組織跟上數(shù)字化轉(zhuǎn)型的需求，攻擊面變得比以往任何時候都更廣泛。網(wǎng)絡(luò)犯罪分子有許多切入點——從物聯(lián)網(wǎng)生態(tài)系統(tǒng)中的漏洞到供應鏈中的盲點，再到內(nèi)部人員濫用他們對業(yè)務的訪問權(quán)限。Darktrace 每天都能看到這些威脅。有時，就像上面將在本博客中討論的真實示例一樣，它們可能發(fā)生在同一次攻擊中。

在逃避檢測和發(fā)起攻擊時，內(nèi)部威脅可以利用他們對系統(tǒng)的熟悉程度和訪問級別作為關(guān)鍵優(yōu)勢。但內(nèi)部人員不一定是惡意的。每個員工或承包商都是潛在的威脅：點擊網(wǎng)絡(luò)釣魚鏈接或意外發(fā)布數(shù)據(jù)通常會導致大規(guī)模泄露。

同時，工作空間中的連接——每個物聯(lián)網(wǎng)設(shè)備都通過自己的 IP 地址與企業(yè)網(wǎng)絡(luò)和互聯(lián)網(wǎng)通信——是一個緊迫的安全問題。例如，訪問控制系統(tǒng)通過跟蹤誰進入辦公室以及何時進入，增加了一層物理安全性。然而，這些相同的控制系統(tǒng)通過引入一組傳感器、鎖、警報系統(tǒng)和鍵盤來危及數(shù)字安全，這些傳感器、鎖、警報系統(tǒng)和鍵盤保存敏感的用戶信息并連接到公司基礎(chǔ)設(shè)施。

此外，很大一部分物聯(lián)網(wǎng)設(shè)備是在沒有考慮安全性的情況下構(gòu)建的。供應商優(yōu)先考慮上市時間，并且通常沒有資源投資于內(nèi)置的安全措施。考慮制造物聯(lián)網(wǎng)的初創(chuàng)企業(yè)的數(shù)量——超過 60%的家庭自動化公司的員工少于 10 人。

Cyber?? AI 檢測到的內(nèi)部威脅

2021 年 1 月，一家中型北美公司在第三方供應商連接到智能門的控制單元時遭受了供應鏈攻擊。供應商公司的技術(shù)人員進來進行定期維護。他們被授權(quán)直接連接到門禁控制單元，但不知道他們使用的筆記本電腦是從組織外部帶進來的，已經(jīng)感染了惡意軟件。

一旦筆記本電腦與控制單元連接，惡意軟件就會檢測到一個開放的端口，識別出漏洞，并開始橫向移動。幾分鐘之內(nèi)，人們就看到物聯(lián)網(wǎng)設(shè)備與稀有的外部 IP 地址建立了極不尋常的連接。這些連接是使用 HTTP 建立的，并且包含可疑的用戶代理和 URI。

然后，Darktrace 檢測到控制單元正在嘗試下載木馬和其他有效負載，包括upupx2.exe和36BB9658.moe。其他連接用于發(fā)送包含設(shè)備名稱和組織外部 IP 地址的 base64 編碼字符串。

不久之后檢測到使用 Monero (XMR) CPU 礦工進行的加密貨幣挖礦活動。該設(shè)備還利用 SMB 漏洞在端口 445 上建立外部連接，同時使用過時的 SMBv1 協(xié)議搜索易受攻擊的內(nèi)部設(shè)備。

一小時后，該設(shè)備連接到與第三方遠程訪問工具 TeamViewer 相關(guān)的端點。幾分鐘后，可以看到該設(shè)備將超過 15 MB 的數(shù)據(jù)上傳到一個 100% 罕見的外部 IP。

供應鏈中的安全威脅

一旦控制單元遭到破壞，網(wǎng)絡(luò) AI 就會立即標記對客戶的內(nèi)部威脅。攻擊成功繞過了組織的其余安全堆棧，原因很簡單，它是直接從受信任的外部筆記本電腦引入的，而物聯(lián)網(wǎng)設(shè)備本身由第三方供應商管理，因此客戶幾乎無法看到它。

傳統(tǒng)的安全工具對此類供應鏈攻擊無效。從SolarWinds 黑客攻擊到供應商電子郵件妥協(xié)， 2021 年為基于簽名的安全性敲響了棺材——證明我們不能依靠昨天的攻擊來預測明天的威脅。

國際供應鏈以及與現(xiàn)代組織合作的大量不同合作伙伴和供應商因此構(gòu)成了嚴重的安全困境：我們?nèi)绾卧试S外部供應商進入我們的網(wǎng)絡(luò)并保持系統(tǒng)的密閉？

第一個答案是零信任訪問。這涉及將公司網(wǎng)絡(luò)內(nèi)外的每臺設(shè)備都視為惡意設(shè)備，并要求在所有階段進行驗證。第二個答案是可見性和響應。安全產(chǎn)品必須清楚地了解云和物聯(lián)網(wǎng)基礎(chǔ)設(shè)施，并在整個企業(yè)出現(xiàn)細微異常時自動做出反應。

物聯(lián)網(wǎng)調(diào)查

Darktrace 的網(wǎng)絡(luò)人工智能分析師報告了攻擊的每個階段，包括第一個惡意可執(zhí)行文件的下載。網(wǎng)絡(luò) AI 分析師調(diào)查了 C2 連接，提供了活動的高級摘要。IoT 設(shè)備訪問了帶有隨機生成的字母數(shù)字名稱的可疑 MOE 文件。人工智能不僅檢測到活動的每個階段，而且在攻擊開始幾分鐘后的 16:59 發(fā)生高分模型違規(guī)后，客戶還通過主動威脅通知收到警報。

陌生人的危險

第三方來調(diào)整設(shè)備設(shè)置和調(diào)整網(wǎng)絡(luò)可能會產(chǎn)生意想不到的后果。隨著 5G 和工業(yè) 4.0 的出現(xiàn)，我們所生活的超連接世界已成為網(wǎng)絡(luò)犯罪分子的數(shù)字游樂場。

在上述真實案例研究中，物聯(lián)網(wǎng)設(shè)備不安全且配置錯誤。隨著物聯(lián)網(wǎng)生態(tài)系統(tǒng)的快速創(chuàng)建、相互交織的供應鏈以及連接到企業(yè)基礎(chǔ)設(shè)施的大量個人和設(shè)備，現(xiàn)代組織不能指望依靠預定義規(guī)則來阻止內(nèi)部威脅和其他高級網(wǎng)絡(luò)攻擊的簡單安全工具。

該組織對門禁控制單元的管理沒有可見性。盡管如此，盡管事先不知道攻擊類型或物聯(lián)網(wǎng)設(shè)備中存在的漏洞，Darktrace 還是立即檢測到了行為異常。如果沒有 Cyber?? AI，感染可能會在客戶的環(huán)境中持續(xù)數(shù)周或數(shù)月，從而提升權(quán)限、默默地進行加密挖掘并泄露敏感的公司數(shù)據(jù)。