了解嵌入式系統(tǒng)安全中的橫向移動威脅

嵌入式系統(tǒng)是為特定功能設(shè)計的計算機硬件和軟件的組合.嵌入式系統(tǒng)通常在較大的系統(tǒng)中工作(例如,個人計算機中的中央處理單元)。它們可以是可編程的或者有固定的功能。

嵌入式系統(tǒng)可能根本沒有接口,只有有限的接口,比如按鈕、發(fā)光二極管(LED)、觸摸屏或完整的圖形界面。有些系統(tǒng)可以通過終端接口遠程控制.

嵌入式系統(tǒng)中的固件可能難以或無法更新,這就為嵌入式設(shè)備造成了主要的安全問題。歷史上,嵌入式系統(tǒng)是為15年或15年以上的生命周期設(shè)計的,沒有考慮到系統(tǒng)更新。然而,物聯(lián)網(wǎng)改變了嵌入式系統(tǒng)的性質(zhì),可能攻擊向量的數(shù)量呈指數(shù)增長。

如今,智能設(shè)備的嵌入式系統(tǒng)可以被黑客入侵來控制物質(zhì)世界的許多地方,包括關(guān)鍵工業(yè)系統(tǒng)、醫(yī)療設(shè)備和其他直接影響人們生活的設(shè)備。這使安全問題更加重要。

什么是側(cè)向移動?

網(wǎng)絡(luò)安全 ,側(cè)向移動是攻擊者從進入點蔓延到網(wǎng)絡(luò)其他部分的過程。攻擊者通常通過部署惡意軟件或利用設(shè)備或應(yīng)用程序中已知的漏洞來滲透網(wǎng)絡(luò)。從最初的進入點,攻擊者橫向移動,感染網(wǎng)絡(luò)上的其他計算機,獲得對內(nèi)部服務(wù)器的控制,直到他們達到目標。

攻擊者的目標是穿過網(wǎng)絡(luò)而不被發(fā)現(xiàn)。然而,即使發(fā)現(xiàn)最初的設(shè)備被感染或活動被檢測到,攻擊者也可以繼續(xù)通過感染范圍廣泛的設(shè)備來維持網(wǎng)絡(luò)上的存在,其中一些設(shè)備可能沒有被檢測到。橫向移動使攻擊者能夠穿透網(wǎng)絡(luò)的不同部分--服務(wù)器、員工工作站、應(yīng)用程序、數(shù)據(jù)庫和云系統(tǒng)--使得攻擊難以控制。

盡管某些方面?側(cè)向移動可以自動化 ,它通常是由攻擊者或攻擊者組指導(dǎo)的手動過程。這使得攻擊者可以根據(jù)網(wǎng)絡(luò)調(diào)整他們的方法,避免被發(fā)現(xiàn)。老練的攻擊者還可以快速適應(yīng),規(guī)避網(wǎng)絡(luò)和安全管理員所采用的安全措施。

橫向移動路徑

從垂直運動到橫向運動

安全范圍的滲透被認為是一種"垂直"運動--從網(wǎng)絡(luò)外部到內(nèi)部的移動。一旦惡意攻擊者侵入網(wǎng)絡(luò),他們就可以"橫向"地從系統(tǒng)移動到網(wǎng)絡(luò)上的系統(tǒng)。攻擊者的動作發(fā)生在所謂的側(cè)向運動路徑(LMP)上。

LMP是攻擊者跨網(wǎng)絡(luò)移動的一個步驟,以獲得進一步的訪問和安全數(shù)據(jù)。在任何一個規(guī)模合理的網(wǎng)絡(luò)中,都有許多可能的LMPS,隨著組織的發(fā)展,每個LMP都帶來了更大的風(fēng)險。這是因為越來越多的用戶登錄到網(wǎng)絡(luò)中,而引入到網(wǎng)絡(luò)層次結(jié)構(gòu)中的權(quán)限變得越來越復(fù)雜。

內(nèi)部偵察

一旦攻擊者在網(wǎng)絡(luò)中建立了一個立足點,下一步是進行內(nèi)部偵察,以了解攻擊者在網(wǎng)絡(luò)上的位置以及其結(jié)構(gòu)的樣子。在這個階段,攻擊者觀察和映射網(wǎng)絡(luò)、其用戶和設(shè)備。攻擊者可以使用這些信息來確定主機命名規(guī)范和層次結(jié)構(gòu),識別操作系統(tǒng)和防火墻,并就下一步做出戰(zhàn)略決策。

信任妥協(xié)

攻擊者需要登錄憑證才能進入和瀏覽網(wǎng)絡(luò)。然后，它使用這些憑據(jù)來訪問和破壞其他主機，從一個設(shè)備移動到另一個設(shè)備，并在進程中提升權(quán)限。最終，攻擊者可以控制域控制器等戰(zhàn)略資源，并可以訪問組織中最敏感的數(shù)據(jù)。

這個過程中的一個關(guān)鍵技術(shù)是“憑證傾銷”——竊取憑證的行為。攻擊者經(jīng)常使用網(wǎng)絡(luò)釣魚等社會工程技術(shù)來欺騙用戶分享他們的憑證。通過獲取憑據(jù)，攻擊者可以模擬一個用戶，并獲得對更多主機和服務(wù)器的合法訪問權(quán)。重復(fù)這些步驟，直到攻擊者能夠訪問最終目標，并能夠竊取數(shù)據(jù)或破壞關(guān)鍵系統(tǒng)。

持久性

橫向移動也允許攻擊者在網(wǎng)絡(luò)中保持持久性。即使安全小組發(fā)現(xiàn)了一個被破壞的設(shè)備,攻擊者也可以將他們的存在傳播到其他設(shè)備上,并部署難以檢測的根包,這使得消除網(wǎng)絡(luò)上的威脅變得更加困難。

三種檢測和防止嵌入式系統(tǒng)橫向移動的方法

積極主動地搜尋先進的威脅

主動的威脅搜尋是在一個組織的網(wǎng)絡(luò)中積極尋找潛在安全威脅跡象的過程。它涉及使用先進的安全工具和技術(shù)來確定潛在的妥協(xié)指標,并采取預(yù)防攻擊的積極措施。

實現(xiàn)邊緣微分割

邊緣微分割是一種安全的方法,包括將組織的網(wǎng)絡(luò)劃分為較小的、孤立的段,或"微段"。這些微片段會使攻擊者更難在網(wǎng)絡(luò)中橫向移動,因為它們可能與其他系統(tǒng)和設(shè)備隔離。

邊緣微分割可以通過使用防火墻、虛擬局域網(wǎng)(VLANS)和其他安全措施實現(xiàn)。通過這樣分割網(wǎng)絡(luò),組織可以為關(guān)鍵系統(tǒng)和數(shù)據(jù)創(chuàng)建更安全、孤立的環(huán)境,使攻擊者更難在網(wǎng)絡(luò)內(nèi)橫向移動。

擴展檢測和響應(yīng)

擴展檢測和響應(yīng)是一種安全的方法,它涉及收集和分析來自不同來源的數(shù)據(jù),如網(wǎng)絡(luò)流量、端點數(shù)據(jù)和云活動,以檢測和應(yīng)對威脅。?XRD系統(tǒng) 使用人工智能和機器學(xué)習(xí)來分析來自多個來源的數(shù)據(jù),并識別可能表明存在威脅的模式或異常。

XRD可以幫助組織檢測和應(yīng)對各種威脅,包括惡意軟件、報復(fù)軟件和其他高級威脅。它還有助于識別組織網(wǎng)絡(luò)中的橫向移動,因為它涉及到分析來自多個來源的數(shù)據(jù),以檢測可能表明攻擊者存在的模式或異常。

通過使用XRD,各組織可以全面了解其安全態(tài)勢,并采取更積極的方法來檢測和應(yīng)對威脅。這有助于減少攻擊的影響,改善一個組織的總體安全態(tài)勢。

結(jié)論

總之,側(cè)向移動是攻擊者在一個組織的網(wǎng)絡(luò)中擴大訪問和控制的一種技術(shù)。它涉及從一個受損害的系統(tǒng)轉(zhuǎn)移到網(wǎng)絡(luò)中的另一個系統(tǒng),可以通過各種技術(shù)實現(xiàn),例如使用被盜的憑證或利用網(wǎng)絡(luò)基礎(chǔ)設(shè)施中的漏洞。

防止橫向移動是網(wǎng)絡(luò)安全的一個重要方面,因為它有助于限制攻擊者造成的損害,使他們更難以實現(xiàn)目標。組織可以使用幾種方法來檢測和預(yù)防側(cè)向運動,包括主動尋找先進的威脅,實現(xiàn)邊緣微分割,以及使用擴展的檢測和響應(yīng)(XDH)。

通過了解側(cè)向移動并采取適當?shù)臋z測和預(yù)防措施,各組織可以保護其網(wǎng)絡(luò)和系統(tǒng)不受攻擊,并改善其總體安全態(tài)勢。