IoT / Khám phá thiết bị được kết nối và Kiểm tra bảo mật trong Mạng công ty

Kiểm toán bảo mật IoT

Mạng doanh nghiệp ngày nay là môi trường phức tạp với nhiều loại thiết bị có dây và không dây khác nhau được kết nối và ngắt kết nối. Các giải pháp khám phá thiết bị hiện tại chủ yếu tập trung vào việc xác định và giám sát máy chủ, PC máy trạm, máy tính xách tay và các thiết bị như tường lửa mạng, thiết bị chuyển mạch và bộ định tuyến, bởi vì tài sản thông tin có giá trị nhất của tổ chức đang được lưu trữ, xử lý và chuyển qua các thiết bị đó, do đó khiến chúng trở thành mục tiêu chính của các vụ vi phạm và xâm nhập an ninh.

Tuy nhiên, một xu hướng mới đã xuất hiện trong 4 năm qua, khi những kẻ tấn công nhắm mục tiêu vào các thiết bị được kết nối có mục đích như máy in mạng và hệ thống hội nghị truyền hình như một điểm vào và lộ trình xâm nhập dữ liệu.

Các giải pháp phát hiện tài sản CNTT hiện tại không thể xác định đúng các thiết bị này vì những lý do chính sau:

Các giao thức độc quyền thường được sử dụng để quản lý và giám sát các thiết bị không được biết đến với giải pháp phát hiện tài sản. Không thể khám phá nội dung dựa trên tác nhân vì hầu hết các thiết bị được kết nối là hệ thống hạn chế tài nguyên với hệ điều hành độc quyền không cho phép cài đặt tác nhân khám phá trên chúng.

Giải pháp đánh giá lỗ hổng IoT (IoTVAS) của Firmalyzer khắc phục những hạn chế này và cung cấp:

Nhận dạng chính xác nhà sản xuất thiết bị được kết nối, tên kiểu máy, loại thiết bị, trạng thái hết tuổi thọ của thiết bị, phiên bản chương trình cơ sở và ngày phát hành chương trình cơ sở. mà không yêu cầu người dùng tải lên các tệp phần sụn thiết bị. Nhận dạng các lỗ hổng bảo mật chưa xác định công khai của thiết bị bao gồm các thành phần bên thứ 3 dễ bị tấn công, thông tin xác thực mặc định, khóa , chứng chỉ và các vấn đề cấu hình mặc định Nhận dạng các lỗ hổng đã biết công khai (CVE) của thiết bị

Xem tiếp:   Facebook cấm 7 công ty 'đánh thuê trên mạng' vì theo dõi 50.000 người dùng

IoTVAS có thể hoạt động như một giải pháp phát hiện và đánh giá rủi ro IoT độc lập hoặc được tích hợp vào các công cụ phát hiện tài sản CNTT, máy quét cổng mạng và công cụ quét lỗ hổng CNTT hiện có thông qua IoTVAS REST API.

Khám phá IoT với IoTVAS

IoTVAS xác định thiết bị dựa trên dấu vân tay bắt nguồn từ biểu ngữ dịch vụ mạng thiết bị. Địa chỉ MAC của thiết bị cũng có thể được sử dụng cùng với dấu vân tay này để cải thiện độ chính xác của việc phát hiện, nhưng nó không phải là yêu cầu đối với IoTVAS, không giống như các giải pháp khám phá thiết bị khác. Dấu vân tay thiết bị mới liên tục được thêm vào cơ sở dữ liệu dấu vân tay IoTVAS, dựa trên yêu cầu API đến và nghiên cứu nội bộ.

Tại thời điểm viết bài này, cơ sở dữ liệu này chứa hơn 50.000 dấu vân tay của hơn 2.300 nhà sản xuất thiết bị. IoTVAS sử dụng các biểu ngữ và phản hồi dịch vụ mạng sau đây để tạo vân tay:

Chuỗi SysDescr OID của dịch vụ SNMP Chuỗi SysObjectID OID của dịch vụ SNMP Biểu ngữ dịch vụ FTP Biểu ngữ dịch vụ Telnet Tên máy chủ của thiết bị Phản hồi thô của máy chủ web thiết bị (dịch vụ http và HTTPS) Phản hồi phát hiện UPnP Địa chỉ MAC tùy chọn của giao diện mạng thiết bị

IoTVAS sẽ cần ít nhất một trong các tính năng trên để xác định một thiết bị IoT. Biểu ngữ dịch vụ mạng có thể được thu thập bằng máy quét cổng mạng hiện có hoặc máy quét lỗ hổng CNTT.

Xem tiếp:   Các phương pháp hay nhất về tần suất quét lỗ hổng bảo mật

Ở chế độ độc lập, IoTVAS sử dụng phần mềm nhận dạng dịch vụ mạng nhẹ giúp thăm dò các thiết bị trên mạng mục tiêu để trích xuất các tính năng nói trên. Khả năng khám phá thiết bị IoTVAS cũng có thể được tích hợp vào các công cụ bảo mật hiện có thông qua điểm cuối API REST.

Kiểm tra bảo mật IoT với IoTVAS

Sau khi xác định được nhà sản xuất thiết bị, kiểu máy và phiên bản chương trình cơ sở, IoTVAS không chỉ tìm kiếm các CVE được liên kết với thiết bị và phiên bản chương trình cơ sở. Sử dụng cơ sở kiến ​​thức về rủi ro phần sụn độc quyền của Firmalyzer, IoTVAS truy xuất hóa đơn tài liệu về phần sụn và phân tích rủi ro chi tiết bao gồm các thành phần bên thứ 3 dễ bị tấn công trong phần sụn theo các danh mục sau: “dịch vụ mạng” (máy chủ UPnP, máy chủ web, v.v.), “thư viện tiền điện tử “(OpenSSL, GnuTLS, v.v.),” Nhân hệ điều hành Linux “và” công cụ khách “(busybox, v.v.).

IoTVAS cũng cung cấp danh sách thông tin đăng nhập mặc định, khóa mật mã được nhúng trong chương trình cơ sở thiết bị, chứng chỉ kỹ thuật số đang hoạt động và hết hạn, chứng chỉ và khóa mật mã yếu và các vấn đề về cấu hình mặc định. Thông tin chuyên sâu này cho phép các nhà quản lý bảo mật chủ động phát hiện các thiết bị được kết nối có nguy cơ cao trong mạng và bắt đầu các nỗ lực giảm thiểu trước khi các thiết bị này bị xâm phạm. Điều này cũng tự động hóa quá trình kiểm kê BOM của IoT và các thiết bị nhúng trong tổ chức bằng cách loại bỏ nhu cầu tải xuống phần sụn thủ công và phân tích nhị phân phần sụn cho các thiết bị IoT khác nhau được triển khai trong mạng doanh nghiệp.

Xem tiếp:   Apple phát hành bản cập nhật iPhone và iPad để vá lỗ hổng HomeKit DoS

Tương tự như khả năng khám phá thiết bị, đánh giá rủi ro phần sụn IoTVAS cũng có thể truy cập được thông qua điểm cuối API REST.

IoTVAS đang hoạt động

Hình dưới đây cho thấy báo cáo đánh giá rủi ro của một máy in mạng Xerox trong ấn bản IoTVAS SaaS, bao gồm BOM phần sụn và chi tiết lỗ hổng của các thành phần phần mềm.

Hình 1 – Trang chi tiết rủi ro thiết bị trong IoTVAS SaaS

IoTVAS API cho phép các nhà cung cấp giải pháp bảo mật CNTT và nhóm SecOps tích hợp khả năng khám phá IoTVAS và kiểm toán rủi ro IoT vào các công cụ và dịch vụ hiện có của họ. Ví dụ: Firmalyzer đã phát triển plugin IoTVAS cho máy quét NMAP cho phép nó phát hiện và kiểm tra chính xác các thiết bị IoT trong khi quét mạng mục tiêu.

Ví dụ tiếp theo cho thấy cách các tập lệnh IoTVAS NSE cho phép NMAP phát hiện chính xác nhà sản xuất, tên kiểu máy, phiên bản phần sụn của máy in doanh nghiệp, cùng với các CVE và rủi ro phần sụn đã biết của nó. Phân tích rủi ro phần sụn cho thấy các tài khoản và thông tin đăng nhập mặc định “root” và “postgres” cho tài khoản “intFTP”, danh sách các chứng chỉ và chứng chỉ đã hết hạn với thuật toán lấy dấu vân tay yếu (MD5) và cấu hình mặc định của SSH daemon cho phép đăng nhập root từ xa.

Plugin IoTVAS cho NMAPHình 2 – Plugin IoTVAS cho NMAP

Để bắt đầu với IoTVAS API, vui lòng đăng ký khóa API dùng thử. Trang tài liệu API bao gồm một giao diện người dùng swagger cho phép bạn đánh giá các điểm cuối IoTVAS ngay từ trình duyệt của mình mà không cần viết bất kỳ mã nào

Nếu bạn quan tâm đến bản demo của IoTVAS SaaS hoặc khả năng tùy chỉnh, đừng ngần ngại liên hệ với Firmalyzer để có bản trình diễn trực tiếp hoặc tài khoản thử nghiệm.

.

Related Posts

Check Also

Những kẻ tấn công có thể sử dụng tín hiệu điện từ để điều khiển màn hình cảm ứng từ xa

Các nhà nghiên cứu đã chứng minh cái mà họ gọi là “cuộc tấn công …