極客網(wǎng)·企業(yè)級IT 10月10日 持續(xù)為系統(tǒng)打補(bǔ)丁以提高安全性是一種傳統(tǒng)的方法,對物聯(lián)網(wǎng)設(shè)備制造商和用戶來說都是一個長期存在的問題,但這種情況即將改變,因?yàn)榭梢酝ㄟ^預(yù)防漏洞徹底改變?nèi)藗儽Wo(hù)物聯(lián)網(wǎng)的方式。
物聯(lián)網(wǎng)網(wǎng)絡(luò)安全問題巨大
目前全球采用290多億臺物聯(lián)網(wǎng)設(shè)備、傳感器和執(zhí)行器。這是一個適合利用的大型網(wǎng)絡(luò)攻擊面。據(jù)估計,超過一半的物聯(lián)網(wǎng)設(shè)備可能容易受到或低或高的風(fēng)險攻擊。
網(wǎng)絡(luò)攻擊者經(jīng)常利用常見的漏洞和暴露侵入設(shè)備,然后利用這個立足點(diǎn)發(fā)起其他攻擊,實(shí)現(xiàn)攻擊目標(biāo)。根據(jù)研究機(jī)構(gòu)發(fā)布的“2022事件響應(yīng)報告”,利用軟件漏洞是黑客第二大最常用的攻擊方法。事實(shí)上,在他們分析的事件中,近三分之一(31%)是網(wǎng)絡(luò)攻擊者利用軟件漏洞訪問企業(yè)環(huán)境的結(jié)果。
這些網(wǎng)絡(luò)攻擊可能產(chǎn)生重大而深遠(yuǎn)的后果。據(jù)估計,目前網(wǎng)絡(luò)犯罪使全球經(jīng)濟(jì)損失約1萬億美元(超過全球GDP的1%)。
那么,物聯(lián)網(wǎng)設(shè)備制造商能做些什么來試圖關(guān)閉這個巨大的攻擊缺口呢?研究得出的結(jié)論是:解決問題的方法不在于在漏洞被發(fā)現(xiàn)后嘗試修補(bǔ)漏洞,而在于從一開始就防止常見的軟件和硬件漏洞被利用。這樣一來,存在什么漏洞(已知的和未知的)就不重要了。
無休止的補(bǔ)丁并不起作用
《2021年網(wǎng)絡(luò)攻擊面管理威脅報告》表明,網(wǎng)絡(luò)攻擊者通常在通用漏洞披露(CVE)宣布之后15分鐘內(nèi)開始掃描漏洞。當(dāng)漏洞足夠嚴(yán)重時,網(wǎng)絡(luò)攻擊者的掃描幾乎與漏洞的公布同時進(jìn)行是很正常的。這沒有給制造商太多時間來發(fā)布補(bǔ)丁,更沒有時間給客戶部署補(bǔ)丁來保護(hù)他們的環(huán)境。這還是在假設(shè)打補(bǔ)丁是可行的情況下。
如果漏洞存在于任何第三方軟件庫中,設(shè)備開發(fā)人員通常會受到限制,這些軟件庫用于通信、加密、身份驗(yàn)證、OTA更新和其他基本功能。如果不能看到這個第三方源代碼(它通常以二進(jìn)制形式交付),開發(fā)人員就無法理解如何創(chuàng)建一個可行的補(bǔ)丁來保護(hù)整個設(shè)備。
開發(fā)人員進(jìn)一步受到技術(shù)混合的阻礙,例如新舊操作系統(tǒng)版本的混合以及新舊代碼庫等。為所有不同的設(shè)備配置文件構(gòu)建和發(fā)布補(bǔ)丁可能非常耗時和昂貴(成本高達(dá)數(shù)百萬美元)。對于其中一些設(shè)備,這是不可能實(shí)現(xiàn)的,因?yàn)樗鼈兊奈恢没蜿P(guān)鍵(例如心臟起搏器),根本無法接觸到或可以中斷。
很明顯,修補(bǔ)程序還不夠有效或不夠快速,無法消除物聯(lián)網(wǎng)設(shè)備漏洞帶來的風(fēng)險。企業(yè)需要的是能夠?qū)惯@些漏洞本身的東西,也就是能夠防止攻擊,而不管潛在的漏洞是什么。例如專注于對抗通用缺陷枚舉 (CWE),就可以實(shí)現(xiàn)這一點(diǎn)。
利用通用缺陷枚舉 (CWE)阻止攻擊路徑
在網(wǎng)絡(luò)攻擊發(fā)生時阻止它們是一種更可持續(xù)的方法。大多數(shù)針對設(shè)備漏洞的攻擊都共享通用的利用方法(例如內(nèi)存溢出)作為先決步驟。因此,如果停止內(nèi)存溢出,就停止了針對大量相似內(nèi)存漏洞的所有相同的利用,而無論攻擊路徑、操作系統(tǒng)、設(shè)備類型是什么。對其他CWE類別進(jìn)行同樣的操作可以提供全面的保護(hù),并確保設(shè)備免受已知和未知攻擊。
CWE最初由網(wǎng)絡(luò)安全商MITRE公司定義,它是一種常見的漏洞類型族。這包括內(nèi)存損壞(堆和堆棧緩沖區(qū)溢出)和內(nèi)存內(nèi)的Vulns(在釋放后使用,雙釋放后使用,等等),命令注入和執(zhí)行流中斷,可以立即停止,從而達(dá)到防止效果。
其他CWE包括可疑活動(如DDoS指示、暴力登錄嘗試、數(shù)據(jù)盜竊或已知的惡意IP訪問,這些都是常見的安全威脅)的漏洞,Sternum可以檢測到這些活動,然后根據(jù)用戶配置的規(guī)則/策略進(jìn)行調(diào)度。
如此一來,漏洞將變得不那么重要,一個無法利用的漏洞再也不能被用來獲得立足點(diǎn)。通過確保代碼只做它應(yīng)該做的事情,制造商為他們的物聯(lián)網(wǎng)設(shè)備提供了精確和確定的安全解決方案。
據(jù)統(tǒng)計,目前共有352個類別的1327個CWE。相比之下,而每月公布的漏洞多達(dá)數(shù)千個。通過CWE開發(fā)來實(shí)現(xiàn)預(yù)防的有效性,而不是試圖贏得無休止的補(bǔ)丁競賽,這是一個簡單的數(shù)學(xué)問題。
總之,物聯(lián)網(wǎng)時代企業(yè)需要了解如何擺脫無休止的打補(bǔ)丁,找到預(yù)防漏洞的更有效的方法,才能更好地保護(hù)物聯(lián)網(wǎng)免受或少受攻擊。
- 閃存普惠,一步到位!華為商業(yè)市場極簡全閃數(shù)據(jù)中心Pro+重磅發(fā)布
- 《企業(yè)數(shù)據(jù)治理實(shí)踐白皮書》發(fā)布,啟信寶聯(lián)合六大數(shù)交所共同編制
- 業(yè)界首個!華為數(shù)據(jù)中心自動駕駛網(wǎng)絡(luò)通過EANTC L4自智網(wǎng)絡(luò)等級測評
- AI模型的耗電量驚人 下一步是建設(shè)太空數(shù)據(jù)中心?
- 為什么制造商必須協(xié)調(diào)IT和OT,才能實(shí)現(xiàn)智能工業(yè)的成功?
- 打造AI時代先進(jìn)算力底座,鯤鵬開發(fā)者峰會2025即將開幕
- 金山辦公宣布未來五年戰(zhàn)略:重建海外基地,優(yōu)化WPS Office用戶體驗(yàn)
- 是德科技攜KAI系列布局AI新時代
- 微軟全球再裁6000人:無關(guān)績效,關(guān)乎未來
- 華為發(fā)布AI數(shù)據(jù)湖解決方案,助力企業(yè)加速擁抱AI
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。