Advanced Persistent Threat (APT) -grupper visar inga tecken på att sakta ner trots den globala koronaviruspandemin och verkar angelägna om att använda Internet of Things (IoT) för sina attacker.
Nyligen rapporterades att den ryska APT28-gruppen har skannat och utnyttjat sårbara e-postservrar i över ett år. Denna grupp är känd för att hacka IoT-enheter för att etablera sig i nätverk. IoT-antagandet ökar i organisationer och företag. Gartner uppskattar att 5,8 miljarder affärs- och fordonsändpunkter kommer att vara online i år. Denna trend påverkar också cybersäkerhet. Varje IoT-enhet som är ansluten till ett nätverk expanderar attackytan. Därför inkluderar hackare nu attacker på IoT-enheter som en del av deras dödskedja.
Som svar bör organisationer betrakta IoT-komponenter som potentiella attackvektorer i sina säkerhetsstrategier. Eftersom IoT-enheter är olika och kan hittas i ett brett nätverk har testning av alla implementerade kontroller blivit ännu viktigare för att säkerställa att organisationer skyddas genom APT-elimineringskedjan. För att hantera detta kan IT-team överväga att använda säkerhetsvalideringsplattformen för att utföra de olika cyberhottester som krävs för att täcka alla deras försvar.
IoT i APT-mordkedjan
Cybermordskedjan beskriver de olika stadierna av en cyberattackkampanj. Hackar utförda av APT är avsiktliga och metodiska. Elimineringskedjan börjar med upptäcktsaktiviteter som att skanna nätverk efter utsatta och exploaterbara komponenter innan ett nätverk bryts. När APT: er har installerats på webben lagras de inuti under lång tid för att uppnå sitt syfte, som att stjäla eller förstöra data.
APT: er kommer att utnyttja alla delar av infrastrukturen de kan göra, och IoT-enheter har blivit ett önskvärt mål. IoT-enheter kan ha formen av smarta termostater, IP-kameror, trådlösa skrivare och sensorer i olika delar av infrastrukturen. Många ansluter till och med direkt till det offentliga Internet och utsätter dem enkelt för APT-förhör. Dessa enheter har också olika säkerhetsfunktioner och funktioner som ofta är beroende av säkerhetskontroller som brandväggar för att skydda dem från skadlig trafik.
När de väl har brutits eller fångats kan de användas för att aktivera andra steg i elimineringskedjan. Nyligen upptäckta hot som Kaiji-skadlig kod och dark_nexus botnet pekar på APTs ansträngningar att fortsätta distribuera IoT-enheter för sina kampanjer. Medan Kaiji utförde brute-force SSH-attacker för att fånga enheter kunde dark_nexus samla komprometterade enheter för att initiera DDoS-attacker med distribuerad denial of service och sprida skadlig kod.
Skydd mot flera attackvektorer
På grund av de olika användningsområdena för IoT-enheter kan de spela en roll i olika stadier av elimineringskedjan. Det finns ingen riktig säkerhetslösning för alla IoT-enheter, så organisationer måste ha omfattande strategier och använda strikta säkerhetskontroller som ger skydd i hela elimineringskedjan.
Nätverk och webbapplikationer måste skyddas av brandväggar, arbetsstationer måste vara utrustade med slutpunktssäkerhet och e-postservrar måste hållas säkra med kapabla filter och avaktiveringslösningar. Anställda bör också utbildas i korrekt användning av datorresurser och hur man undviker att bli offer för socialteknik och nätfiskeattacker.
När det gäller IoT-enheter måste alla konfigureras korrekt. De flesta missbrukade IoT-enheter använder standard admin-användarnamn och lösenord som är kända och tillgängliga för alla. Direkt internetanslutning och peer-to-peer-funktionalitet kan också inaktiveras. Att ändra denna inställning anses vara viktigt för IoT-säkerhet.
Kontinuerlig testning är nödvändig
Viktigast är att det är det viktigaste beviset på en stark säkerhetsställning. Oavsett hur många säkerhetslösningar som används i nätverket, om någon av dem saknas på grund av ineffektivitet, felkonfiguration eller fel, kan APT fortfarande bryta mot nätverket och utföra framgångsrika attacker.
Nätverkskomponenter, enheter och programvara krävs också för att göra ändringar på grund av uppdateringar och korrigeringar. Varje förändring inom nätverket kan påverka säkerhetsställningen. Till exempel är Windows-uppdateringar kända för att av misstag skapa slutpunktssårbarheter. Testning bör därför göras rutinmässigt och helst när ändringar görs i infrastrukturen.
Det finns flera sätt att testa det. Sårbarhetsskannrar kan användas för att profilera system som kan utnyttjas. Organisationer kan också initiera sina egna attacker på sina nätverk genom penetrationstestning. Nyare tillvägagångssätt, såsom användning av attack- och brytningssimuleringsplattformar (BAS), som främst kombinerar sårbarhetsskanning och penetrationstestning, möjliggör denna kontinuerliga testning. BAS kan automatisera testning av specifika säkerhetsåtgärder. De kan till och med simulera verklighetstaktik som används av APT: er för en mer komplett defensiv genomsökning.
Genom pågående tester kommer organisationer att kunna säkerställa att deras kontroller fungerar och att luckor i säkerhet, inklusive de som följer av IoT-antagande, är stängda.
Säkerhet med IoT i åtanke
Som namnet antyder utgör APT: er permanenta risker för organisationer. Nu när hackare inkluderar attacker på IoT-enheter som en del av deras dödkedja, bör organisationer kunna justera sina respektive strategier för att inkludera skydd för dessa potentiellt utsatta enheter.
Lyckligtvis är det möjligt att använda skyddsåtgärder och kontroller som kan skapa konsekventa säkerhetsstrategier som kan mildra APT-attacker. Men för att detta ska fungera måste organisationer ständigt testa dessa kontroller. På detta sätt kan organisationer fortsätta att dra nytta av sin användning av IoT samtidigt som de håller sin infrastruktur säker och säker.
