目前,大部分網路安全團隊對發生在伺服器和桌上型電腦上的網路攻擊已經十分了解,並針對這些攻擊提出了效果良好的防範措施。但當涉及到那些比較「小眾」的設備(如路由器、印表機、醫療設備和視訊監控攝影機)時,事情就變得複雜得多。這些設備經常與伺服器和工作站一起連接到各單位的網路上,也會帶來各種網路安全風險。網路安全技術團隊Forescout Vedere實驗室透過對1,900萬餘台連網設備(包括工作電腦、伺服器、物聯網設備和專用醫療設備等各種類型)進行分析,發布了《2024年風險最高的連網設備》研究報告。以下就是該報告中總結出來的最容易受到攻擊的高風險設備。
最容易受到攻擊的高風險設備
1.路由器、防火牆、無線存取點通常,可以透過互聯網對路由器進行訪問,其中許多路由器都具有開放的管理端口和服務(如SSH端口、Telnet端口、SMB端口等,以及高度專業化的專有管理服務),很容易被攻擊者利用。防火牆也面臨類似的安全風險,尤其是對於中小企業而言,這種安全性風險更大,因為路由器和防火牆通常會被組合在單一裝置中。無線存取點(Wireless Access Points,WAP)是指一類可讓無線裝置(如筆記型電腦等)透過Wi-Fi、藍牙等連接到無線網路的裝置。 WAP的不安全設定甚至比路由器中的更常見,但由於破壞WAP需要靠近設備,因此其面臨的安全風險較低。但其最初的攻擊媒介通常是訪客的Wi-Fi網路或行動裝置專用網路。
2.印表機通常情況下,印表機直接聯網,在運行時一般採用標準配置和預設口令,缺乏安全保護手段,並且經常被添加到防火牆允許的清單中,以保障所有電腦都能連接印表機,從而進行列印業務。這使得潛在的攻擊者有機會查看、刪除和新增列印作業等,而無需利用任何漏洞即可進行攻擊。同時,印表機的軟體更新較慢,其中的高危險漏洞可能會持續多年仍然存在。此外,「印表機」設備類別中不僅包括網路多功能一體機(MFP),還包括標籤和收據印表機等高度專業化的設備,而標籤和收據印表機通常直接連接POS終端機(刷卡機)和處理重要財務資訊的計算機,這也增加了印表機設備帶來的網路安全風險。
3.IP語音設備和IP攝影機與印表機一樣,IP語音(基於互聯網協議的語音通話技術,Voice over Internet Protocol,VoIP)設備和IP攝影機這類設備很少更新,通常可以通過互聯網進行訪問,缺乏內置的安全工具,並且經常使用預設的不安全設定。除此之外,這類設備還存在其獨特的風險,即攻擊者可能監視受保護的資產和設施、竊聽IP語音電話或冒充受攻擊的組織來進行詐欺。甚至攻擊者不一定必須要利用漏洞,只要透過錯誤配置或預設口令就能夠實施攻擊。
4.自動藥物分配器和輸液幫浦自動藥物分配器和數位輸液幫浦這類醫療設備往往也存在一些漏洞和不安全設定。攻擊者通常無需對這類醫療設備實施深度入侵,只要拒絕服務或斷開電信網絡,甚至惡意更改藥物劑量,就會影響醫院的正常運作、威脅病患生命安全。
防護措施
1.停用裝置上所有非必要的服務,同時加強對必要服務的存取限制,確保只能從內部子網路上的管理電腦存取控制面板和服務入口網站。
2.將辦公室網路、生產網路和管理網路隔離區分開來,以保障連網設備和其他隔離資源的安全。
3.使用特殊的、強度高的口令,並儘可能使用多因素身份驗證(MFA)。如果設備缺乏足夠強的身份驗證和MFA的支持,則可以將其隔離在單獨的子網路中,並在網路設備上採用MFA存取控制措施。
4.及時對網路設備韌體和軟體進行更新。
5.仔細檢查設備的網路設定和安全設定。如果預設設定不夠安全,應盡快進行更改。也應停用內建預設帳戶和無口令存取。
6.認真翻閱路由器手冊,了解提升和強化安全的方法。
7.購買印表機、多功能一體機等設備時,使用可提高其安全性的標準功能。例如,某些型號的產品可以提供加密的安全列印功能;某些能夠自動更新其韌體;還有一些能夠將事件匯出到安全資訊和事件管理(SIEM)系統,以進行全面的安全監控。
8.採用全方位的安全系統,包括端點偵測回應(EDR)和全面的、基於SIEM安全分析平台的網路監控。
