影子物聯網的定義

影子物聯網(Shadow IoT)是指組織中的員工在沒有IT團隊授權和知識的情況下使用連接互聯網的設備或傳感器。最好的例子是在自攜設備(BYOD)政策出現之前，在員工將智能手機或其他移動個人設備用于工作目的時候。802 Secure公司首席安全官Mike Raggo說，“影子物聯網是影子IT的一種延伸，只是在一個全新的范圍內。它不僅源于每位員工不斷增加的設備數量，還源于設備類型、功能和用途。”

多年來，很多員工一直將個人的平板電腦和移動設備連接到企業網絡中。如今，員工越來越多地使用智能音箱、無線拇指驅動器和其他物聯網設備。有些部門在會議室安裝智能電視，或者在辦公室廚房使用支持物聯網的設備，如智能微波爐和咖啡機。

此外，建筑設施通常使用工業物聯網(IIoT)傳感器進行升級，例如由具有Wi-Fi功能的恒溫器控制的采暖通風和空調(HVAC)系統。很多公司的飲料機越來越多地通過Wi-Fi連接到互聯網以采用Apple Pay付款。當這些傳感器在員工沒有得到IT團隊授權的情況下連接到組織的網絡時，它們就會成為影子物聯網。

影子物聯網有多普遍?

調研機構Gartner公司預測，到2020年全球將有204億臺物聯網設備投入使用，高于2017年的84億臺。因此，影子物聯網已經廣泛普及。根據802 Secure公司發布的2018年報告，2017年，在接受調查的組織中，100%的組織表示在企業網絡上運行的不良消費物聯網設備將是首要的威脅，90%的組織表示，發現以前未檢測到的物聯網或工業物聯網無線網絡與企業基礎設施分離。

根據Infloblox公司發布的2018年關于影子設備的報告，美國、英國和德國三分之一的公司表示有1，000多個影子物聯網設備連接到他們的網絡。 Infoblox公司的調查發現，企業網絡上最常見的物聯網設備是：

健身追蹤器，如Fitbits，49%。

數字助理，如亞馬遜Alexa和谷歌之家，47%。

智能電視，46%。

智能廚房設備，如智能微波爐，33%。

游戲控制臺，如Xbox或PlayStations，30%。

影子物聯網的風險是什么?

物聯網設備通常是在沒有固有的企業級安全控制的情況下構建的，通常使用網絡攻擊分子可以通過互聯網搜索輕松找到的默認ID和密碼進行設置，有時會添加到組織的主要Wi-Fi網絡中，而無需其所知的IT知識。因此，物聯網傳感器在組織的網絡上并不總是可見的。IT無法控制或保護他們看不見的設備，使智能連接設備成為黑客和網絡犯罪分子更容易攻擊的目標。據安全廠商賽門鐵克公司稱，2018年與2017年相比，2018年的物聯網攻擊增長了600%。

Inflobox公司的報告指出，“易受攻擊的連接設備很容易通過搜索引擎在網上被發現用于連接互聯網的設備，如Shodan。即使在搜索簡單術語時，Shodan公司也會提供可識別設備的詳細信息，其中包括橫幅信息、HTTP、SSH、FTP和SNMP服務。由于識別設備是訪問設備的第一步，因此即使是較低級別的犯罪分子也可以輕松識別企業網絡上的大量設備，然后可以針對漏洞進行攻擊。”

為什么大多數影子物聯網設備都不安全?

Raggo指出，個人電腦在幾十年前推出時，其操作系統并沒有固有的安全性。因此，保護個人電腦免受病毒和惡意軟件攻擊仍然是一項持續的斗爭。

相比之下，iOS和Android移動設備的操作系統采用集成安全設計，例如應用程序沙盒。而采用移動設備通常比臺式機和筆記本電腦更安全。

Raggo說，“對于當今的物聯網和工業物聯網設備來說，設備制造商好像忘記了移動操作系統中關于安全的知識，大量物聯網制造商生產這些設備的供應鏈遍布世界各地，導致市場高度分散。”

由于物聯網設備往往只關注一兩項任務，因此它們通常缺乏WPA2 Wi-Fi等基本協議之外的安全功能，而WPA2 Wi-Fi存在漏洞。其結果是：在全球范圍內，數十億臺不安全的物聯網設備在企業網絡上使用，而不需要IT部門的知識或參與。

Sophos首席研究科學家chester wisniewski說，“幾年前我購買了10或15臺物聯網設備來檢查它們的安全性。令我震驚的是，我可以很快找到他們的漏洞，這意味著任何人都可以破解他們。有些設備無法報告漏洞。”

犯罪黑客是否成功攻擊了影子物聯網設備?

可能迄今為止最著名的例子是2016年Mirai僵尸網絡攻擊，其中諸如因特網協議(IP)攝像頭和家庭網絡路由器之類無擔保的物聯網設備被黑客攻擊，以構建龐大的僵尸網絡軍隊。并執行極具破壞性的分布式拒絕服務(DDoS)攻擊，例如讓美國東海岸地區的大部分互聯網無法訪問的攻擊。Mirai源代碼也在互聯網上共享，供黑客用作未來僵尸網絡軍隊的構建塊。

根據Infoblox公司的報告，其他漏洞可以使網絡犯罪分子控制物聯網設備。報告指出，“例如，在2017年，維基解密公布了一個被稱為‘哭泣天使’的美國中央情報局工具的細節，該工具解釋了代理商如何將三星智能電視轉變為現場麥克風。消費者報告還發現了知名品牌智能電視的缺陷，這些智能電視既可以用來竊取數據，也可以操縱電視播放攻擊性視頻和安裝不需要的應用程序。”

Infoblox公司表示，除了收集僵尸網絡軍隊和進行DDoS攻擊外，網絡犯罪分子還可以利用不安全的物聯網設備進行數據泄露和勒索軟件攻擊。

在迄今為止最離奇的一個物聯網攻擊中，犯罪分子曾經入侵賭場大廳魚缸內的智能溫度計以訪問其網絡。一旦進入網絡，攻擊者就能夠竊取賭場數據庫的數據。

針對物聯網網絡攻擊的未來潛力足以讓企業首席安全官和其他IT安全專業人員關注。 “考慮到有人連接到不安全的Wi-Fi恒溫器，并將數據中心溫度改為95℃時，可能讓重要IT設備損壞。”Raggo說。例如，2012年，網絡犯罪分子入侵政府機構和制造廠的恒溫器，并改變了建筑物內的溫度。恒溫器是通過專門用于互聯網設備的搜索引擎Shodan發現的。

Wisniewski表示，迄今為止，在利用敏感或私人數據方面，物聯網設備的利用并未對任何特定企業產生巨大的負面影響。他說，“但是，當一名黑客發現如何利用物聯網設備帶來巨大利潤時，例如使用智能電視進行會議室間諜活動，影子物聯網安全風險問題將引起所有人的注意。”

三種降低影子物聯網安全風險的方法

(1)方便用戶正式添加物聯網設備

Wisniewski說，“組織擁有影子IT和影子物聯網的原因通常是因為IT部門對使用智能電視等設備的請求說‘不'。而不是直接禁止使用物聯網設備，在請求發生后30分鐘內盡可能快速地跟蹤他們的批準，可以幫助減少影子物聯網的存在。”

Wisniewski補充說，“發布并分發審批流程，讓用戶填寫一份簡短的表格，讓他們知道會有多快回復他們。盡可能使請求過程變得靈活且容易，因此他們不會試圖隱藏他們想要使用的東西。”

(2)主動尋找影子物聯網設備

Raggo說：“企業需要超越自己的網絡來發現影子物聯網，因為很多影子物聯網并不存在于企業網絡中。超過80%的物聯網是無線網絡。因此，對影子物聯網設備和網絡的無線監控可以實現這些其他設備和網絡的可見性和資產管理。”

傳統的安全產品通過媒體訪問控制(MAC)地址或供應商的組織唯一標識符(OUI)列出設備，但它們在具有大量不同類型設備的環境中基本上沒有幫助。Raggo補充說，“人們想知道'那個設備是什么?'，所以他們需要確定它是否是一個被攻擊的設備或經過許可的設備。在當今深度數據包檢測和機器學習的世界中，成熟的安全產品應該為發現的資產提供人性化的分類，以簡化資產管理和安全過程。”

(3)隔離物聯網

Wisniewski表示，在理想情況下，新的物聯網設備和工業物聯網設備應通過專用于IT控制設備的獨立Wi-Fi網絡連接到互聯網。網絡應配置為使物聯網設備能夠傳輸信息并阻止網絡攻擊。他說：“在大多數物聯網設備中，不合法的設備的數據不能傳輸給它們。”

任何影子設備都是一個問題

Wisniewski說：“任何影子設備都是一個問題，無論是物聯網設備還是任何其他可尋址的非托管物品。關鍵是組織只從授權設備控制對網絡的訪問，保持準確的授權設備清單，并制定明確的政策，以確保員工知道他們不允許使用自攜設備，如果他們這樣做，將會受到內部制裁。”