播客 > Operations > Ep. 075 - Ethical hacking to secure IoT systems
Ep. 075
Ethical hacking to secure IoT systems
Ted Harrington, Executive Partner, Independent Security Evaluators
Tuesday, November 24, 2020

在本集中,我们将讨论道德黑客物联网网络安全攻击服务以及保护物联网产品的最佳实践。系统运营商和最终用户在数字化转型过程中可以采取的步骤来确保系统安全。

Ted Harrington 是 Independent Security Evaluators 的执行合伙人。 ISE 是一家识别和解决网络安全漏洞的道德黑客公司。 ISE 致力于为全球企业保护高价值资产并进行开创性的安全研究。 ISE 使用以对手为中心的视角,改善整体安全状况,保护数字资产,强化现有技术,保护基础设施,并与开发团队合作,在部署之前确保产品安全。 ise.io/research

联系泰德:

ted@ise.io

https://www.linkedin.com/in/securityted/

泰德的新书: hackablebook.com

音频文字.

Erik:欢迎来到工业 IoT Spotlight,这是您从工业 IoT 思想领袖那里获得洞察力的第一站,他们正在与您的主持人 Erik Walenza 一起改变当今的业务。

欢迎回到工业物联网聚焦播客。我是您的主持人,IoT ONE 的首席执行官 Erik Walenza。今天我们的嘉宾是独立安全评估机构的执行合伙人 Ted Harrington。 Independent Security Evaluators 是一家道德黑客公司,负责识别和解决安全漏洞。在本次演讲中,我们将讨论物联网、网络安全攻击面以及保护物联网产品的最佳实践。我们还探讨了系统运营商和最终用户可以采取的步骤,以确保他们的系统在数字化转型过程中保持安全。

如果您发现这些对话很有价值,请给我们留下评论和五星级评价。如果您想分享您公司的故事或推荐一位演讲者,请发送电子邮件至 team@IoTone.com。谢谢你。特德,谢谢你今天加入我们。

泰德:当然,非常感谢你邀请我。

Erik:所以,Ted,在我们开始讨论物联网安全之前,我想深入了解一下你的背景。我想你实际上是从心理学毕业的。您是如何从现在成为 Independent Security Evaluators 的执行合伙人的?是什么让你走上了网络安全的道路?

泰德:是的,我一生都在创业之路上一直是一名企业家。实际上,这很有趣,你提到很少有人问我的学位,因为那是很久以前的事了。

但我什至学习心理学的原因有两个。第一,因为我想了解人们的想法,第二,我当时并不知道,但它最终会成为我安全事业中如此重要的一部分,从根本上说,我的意思是,这是我们所教一切的绝对核心,我们谈论和宣扬的是,你必须像攻击者一样思考,你必须能够设身处地为他人着想,了解他们的动机,他们如何做出决定。因此,以一种意想不到的方式,非常不相关的本科学位在今天为我提供了巨大的帮助。

Erik:所以与其说是技术挑战,不如说是从黑客的角度进行思考,我想也是从最终用户的角度考虑的。最终用户在使用技术时会犯哪些错误,从而使他们容易受到攻击?仅技术知识不足以保护环境。

泰德:多年来,我发现这样做真的很有趣,就是要找出系统崩溃的原因,显然有很长的技术原因清单。但贯穿所有这些的基本共同点是假设。建造事物的人假设使用事物的人会或不会以某些方式使用它们:他们会这样做或永远不会这样做。最终发生的事情是攻击者,他们实际上看到了正常人会做的事情,他们试图找到那些事情并以相反的方式做。

我的意思是,我一直在会议室,董事会会议室,公司将引导他们了解他们的攻击模型 我们可以说,好吧,如果有人做了 X 怎么办?人们会从字面上回答这个问题,他们会说,哦,好吧,没有人会想到做 X。我想,我真的只是做了,我只是问你这件事。所以,如果我想到了,其他人就必须这样做。而且这种事情一直在发生。因此,这些假设实际上是当今众多安全挑战中交织在一起的事物之一。

Erik:然后你在 2012 年成立了这家公司 Independent Security Evaluators,当时是怎么回事?只是合适的一群人聚在一起吗?还是您看到了市场上的某些特殊需求?你当时在做什么来成立公司?

泰德:那时,我在经营一家不同的科技公司。我实际上是在不同的部门。我在水里。而我现在的商业伙伴,他联系了他的一个朋友,让他去攻读博士学位。约翰霍普金斯大学的计划。我也是通过我在乔治敦上学的一个朋友认识那个人的。我职业生涯的下一个阶段,我的商业伙伴正在寻找能够帮助他的人,他基本上具备我所拥有的能力。所以他实际上是在大约六年前创办了这家公司,我记不清了,我想大约是六年前。所以他已经决定要重新启动它。

因此,这就是我们开始做的事情,就是让这家成功的公司拥有一些非常棒的客户,但就其发展和成功而言,它实际上并没有取得任何进展。我们说,嘿,这里有东西,很多人需要这项服务。我们说,让我们去做吧。你看看 2012 年的世界,人们真的需要我们最终要做的事情,以及我们正在做的事情,即公司需要找到他们的弱点。他们需要找到可以帮助他们了解攻击者将如何破坏他们的系统的人。这很有趣,因为人们付钱给我们。我们是可以做坏人事情的好人,我们可以做黑客而不是进监狱。

Erik:你能给我们一些背景数据吗?无论我们谈论的风险是多少,黑客的数量,无论是什么,过去十年左右的网络安全威胁的自上而下的演变是什么?

泰德:嗯,它肯定在改变。攻击领域肯定在不断发展,而且将永远发展,因为人类精神永远与生俱来的东西,那就是创新。因此,随着公司不断创新和开发新的解决方案,从根本上说,随着这些创新在技术中发挥作用,这将改变系统受到攻击的方式。

因此,我在过去几年中看到的一些变化,特别是公司现在开始接受安全研究人员以及像我们这样的道德黑客可以为他们做些什么的想法。一直回到假设,如果你回到 20 年前,与安全研究人员相关的公司的方式是起诉他们。他们真的不喜欢收到这些研究结果。现在有更多正式的计划可以与公司合作。还有很长的路要走。

但另一件真正重要的事情是,当我们看到公司正在改变他们与技术的关系以及如何提供商业利益时,我说的是商业利益,但我也指的是,甚至为消费者提供利益的业务,无论您是为消费者服务还是为其他企业服务,但这是向软件的转移,以及向应用程序的转移,作为本质上推动业务的方式。

但是我写了一本叫做“Hackable”的书,都是关于如何做应用程序安全的,对吧。因为我认为这是真的,这就是技术的未来。事实上,我们已经生活在那个未来。但它只会越来越多地成为几乎所有操作都是软件的方式的一部分。因此,今天弄清楚如何确保这一点,我的意思是,这是任务的中心。我们必须做到这一点。

Erik:我喜欢你在这里对“Hackable”的概要,安全伤害、用户体验和设计、安全减缓开发、变化无休止的安全不是你的工作。有所有这些理由不适当地投资于安全性,因为您专注于尽快将功能提供给您的客户,以便您赢得市场。然后当你进入这些关于哦的假设时,但如果我们不投资于安全性,我们可能会在未来遇到一些假设性挑战。直觉上,这对于我们将优先考虑的公司来说可能是一个具有挑战性的话题,尤其是对于那些来自投资者的压力很大的年轻、初创或高增长公司。

但它就像任何东西,在某种程度上就像保险。系好安全带,你可能每 20 年才发生一次撞车事故。但是,当您确实发生那次撞车事故时,您希望系好安全带。也许我们可以深入了解公司独立安全评估员的一些细节。

但一个好的起点是,你在和谁说话?您是否更多地与大型跨国公司交谈?您是在与将产品推向市场的高增长初创公司交谈吗?然后在这些组织中,您是在与专门的安全组织或 IT 职能部门交谈吗?或者您是否正在与可能有许多其他相互冲突的优先事项的产品团队交谈,但试图教育他们如何构建安全性,而不必牺牲所有这些其他优先事项?

泰德:嗯,我将首先挑战你刚刚将安全视为保险的方式。很多人确实会做这样的比较。我的书第一章的第一句话就是字面意思,“安全不像保险。”然后我继续描述为什么不。本质上,前提是保险不能防止坏事。安全确实可以防止坏事。保险并不一定会一路带来好处。在此过程中,安全性非常有益。

相反,我认为安全实际上更像是健身。你投入什么,你就会得到什么。如果你做得对,你就会加入一个爱好者社区,它会让你看起来更好,感觉更好,其他人也会被你吸引。但这很难,而且不是每个人都会把它放在首位。不,安全不像保险。

您的问题是关于我们在公司规模方面与谁合作,然后是公司内部的人员。因此,通常会雇用的公司类型包括从资助的初创公司一直到财富 10 强规模的公司。他们都有同样的安全问题,需要找到他们的漏洞并修复它们。但他们的业务问题有时会有所不同。正如你一样,我敢肯定,大型企业通常会有更多的官僚作风和繁文缛节,还有很多愚蠢的事情阻碍了安全工作。

但是有资金的小型企业,如果我们没钱的话,他们面临的挑战就像我可能在三个月内倒闭一样。所以我必须以不同的方式真正考虑这项投资。那么在雇用我们的公司内部,这取决于。大型企业,我们的一些客户,他们的安全部门比我们整个公司都大,只是他们雇用我们的内部安全团队。对于一家安全顾问公司来说,我们相当大,我们今天大约有 50 人。大多数做我们做的事情的公司都小得多,就像一个有才华的人或少数人。

然后很明显,当你进入一家较小的公司时,在某些情况下我们可能会与 CEO 打交道。但这通常是我们正在与之合作的那种人。但它们都有一个共同点,那就是技术是商业驱动力,他们的客户需要他们来确保它是安全的。所以我们帮助他们做两件事。我们帮助他们,第一,保护它,然后第二,证明它。这实际上是我写的这本书的核心前提。前九章是您必须如何保护它的方法。然后第 10 章,如果你做了那些事情,只有你做了那些事情,但如果你做了那些事情,这就是你如何向客户证明这一点。

Erik:所以我猜是经过验证的方面,我认为其中有技术部分?你必须以某种方式证明它已被证明。但也有一个强大的沟通方面,你必须传达这个价值主张。是否参与其中?您是否更了解如何在技术上证明您已经获得了它?

泰德:所以实际上是这两件事。您需要能够传达技术证明。所以本质上,我们的流程,我们将帮助我们的客户发现漏洞,包括,最重要的是,自定义漏洞和真正意想不到的事情。然后我们建议他们如何修复它,他们修复它。然后,一旦它被修复,我们会验证它实际上是修复的。现在,我们向他们提供可交付成果,即报告,或者如果需要,我们甚至可以与他们一起参加会议。但本质上,给他们材料,这样他们就可以去找他们的客户,然后说,看看我们对安全的重视程度。其他人都说,我们非常重视安全,他们用了很多话,他们说我们非常安全。所有这些都只是垃圾,与实际安全无关。他们就像我会给你看。所以这基本上给了他们。但最终,能否向客户证明这一点取决于他们。

Erik:我想在公司成立的最初几年,您主要关注与互联网相关的话题。当然,这个播客与物联网更相关。所以当我们把互联网带到物理世界时,今天对你来说是什么样的?我假设您的大部分业务仍然在更纯粹的互联网应用程序上。但是,物联网的这种演变对您的业务有何影响?您是否已经在为该领域的公司提供服务?如果是这样,您处理过的资产类别类型以及您之前处理过的设备类别类型是什么?

Ted:实际上,我认为物联网实际上是应用程序安全,因为要操作设备,您需要通过软件与之交互。如果我们回到大约 2014 年,有一个非常著名的安全研究会议,叫做 DEFCON。就像所有最酷的新研究一样,DEFCON 也是出现的地方。因为我们一直在发表研究,所以我们在那里有一些关系。他们走近我们,要求我们为他们做这个小活动。他们说,带上一些路由器,因为我们刚刚发表了一些研究,展示了我们如何破解所有这些路由器。他们说,你能把它带来并以某种方式让它体验吗?所以我们说,当然。

所以我们出现了。第一年,我们在,想象一个大酒店会议室或会议空间。然后当你进入越来越小的房间,越来越小的房间,然后总是有一个房间在后面,就像疯狂的小。所以我们在那个房间的后面,有一群像其他人一样的人,实际上是在垃圾桶后面。他们把垃圾桶放在我们桌子的正前方。我不想喜欢,好吧,好吧,我想我们会尝试用这个就像本次会议后角的字面定义一样的东西来改变一些人心和想法。

所以这一年过得很好。在那之后,我们开始与 DEFCON 讨论可能扩大足迹的问题。明年,我们推出了这个名为 IoT Village 的想法。物联网村本质上是物联网的黑客体验。所以我们最终做的是我们最终引入了不同的制造商来带来他们的设备,我们有扬声器,我们建立了所有这些不同的比赛,比如夺旗风格的比赛,以及一个零日狩猎比赛,你试图找到新的漏洞。然后在那之后的每一年,它都变得越来越大,越来越好,越来越坏。

今年,没有发生现场活动。但快进到去年夏天,就像这些活动中的泰姬陵一样,这个物联网村是,我们有各种各样的人。至此,IoT Village 代表了这一发现,我认为这是 300 个零日漏洞之一,这是以前在这些不同设备中不为人知的问题,现在制造商已经知道并且可能会采取一些措施。

我认为所有这一切的最重要的部分是当 DEFCON 拥有他们文化的这一部分时,他们会向那些做一些超级棒、超级坏事的人发放所谓的黑色徽章,他们会给他们一个黑色徽章。 Black Badge 有点像安全界的名人堂夹克。

所以我们的比赛在这个社区中很受欢迎。我的意思是,我们说的是多年来有成千上万的人在玩这个东西,我们的比赛已经授予了黑色徽章,就像人们很少得到它不是一次,不是两次,而是三次。这就像最高荣誉发生了三遍。因此,在我们的社区中,每个人都对此非常感兴趣。

所以我之所以要讲述从垃圾桶后面到真正成为“山中之王”的故事的原因,我并不是说我们在 DEFCON 上比其他村庄更好,而只是我们已经实现了我们想要的成功水平。我之所以提到这一点,是因为在那段旅程中,我们真的接触到了物联网安全的几乎所有方面,不仅仅是设备问题?是硬件问题还是软件问题?但是,它背后的业务限制是什么?消费设备与医疗设备有何不同?安全研究人员如何与这些公司合作?为什么这些物联网公司中有许多难以与研究人员合作?所以我们真的已经看到了这一切,这肯定是一次疯狂的旅程。

Erik:出于某种原因,我想到了一个你必须成为 iPhone 的故事。那正确吗?我觉得我在什么地方读到了?

泰德:是的,我们是第一个入侵 iPhone 的评论。我的商业伙伴,他总是说,我们为什么要讲那个故事?因为在这一点上,它就像 13 岁,但是我们告诉它之外的每个人都喜欢我们在安全社区内的亲密圈子,他们就像,你们是第一个使用 iPhone 的人?如果我们可以回想 iPhone 首次问世的时间,请记住那是多么具有变革性。前一天你的口袋里还没有智能手机之类的东西,然后第二天就出现了,这就是社会的转变。我们知道这就是这个设备的影响。或者我们预计这就是影响的结果。所以我们真的想要一个。

我们想要一个的部分原因是因为它们很棒。就像其他任何东西一样,它很酷,想要一个。但另一个原因,也可能是主要原因是我们想破解它。但问题是,其他所有安全研究人员也是如此。任何看到这种情况的人,每个人都想动手,想成为第一个。因此,问题在于,我们不仅要与其他研究人员竞争,而且我们无法获得任何优势。苹果对新系统可能带来的影响守口如瓶。我们无法获得预发布设备。我们甚至不能跳过这条线。我们必须像其他狂热分子一样露营才能得到一个。

所以我们需要做的是我们说我们需要创造优势。所以我们所做的就是我们按照许多攻击者的想法来思考,他们说,好吧,好吧,我可以考虑一下业务实践如何影响开发实践吗?在这种情况下,我们说,随着 Apple 从桌面世界转向移动世界,他们是否会保留一些未解决的漏洞?所以我们能够研究这些漏洞,并且我们能够提前构建一些围绕它的攻击场景。

然后 iPhone 出来了,我们从那种我们觉得其他研究人员可能没有预料到的理论开始。而且,果然,我们的理论被证明是正确的。我们最终发现了所谓的缓冲区溢出漏洞,这实质上导致我们对设备进行了完全的管理控制。

因此,我们如何证明概念是与《纽约时报》的一名记者合作的。我们的实验室在 200 英里外的巴尔的摩。从我们位于巴尔的摩的实验室,我们接管了坐在他位于曼哈顿办公桌上的《纽约时报》记者电话,并开始向他展示我们如何删除短信或发送短信,我们可以打开相机拍照。当然,他也是这项研究的一部分。我们不像剥削一个不知情的受害者。但当然,这有助于他在纽约时报上写下这个故事,因为他最终是第一个打破这个故事的人。这就是我们实现目标的方式,即成为第一。

但这并不是故事的结局,因为最终,安全研究的全部意义在于让事情变得更好。对于我们的客户来说也是如此。任何雇佣我们的人,或者我们做的任何研究,投资我们自己的资源,关键是让事情变得更好。这不是一个混蛋。这不是为了让任何人难堪。虽然我认为有些研究人员实际上有时会这样做,但不幸的是。但这真的不是重点。是为了让它变得更好。

因此,一旦我们发现了这个问题,我们就可以将其报告给 Apple。值得称赞的是,我告诉你,伙计,我想,48 小时后,他们发布了一个补丁,现在这个问题已经完全根除。有些人不喜欢苹果。有些人痴迷于苹果。但无论你站在哪一边,这就是公司需要考虑安全性的方式,它是关于变得更好,你必须找到你的问题,你必须解决它们。因为这不仅仅是构建好的产品,而是构建安全的产品。

Erik:我认为你反对物联网安全是正确的,即应用程序安全。只是你有一组不同的接口。您对设备有不同的计算约束,这可能在某种程度上限制了您构建安全性的方式。然后您提到您从不同情况的角度看待物联网安全。那么,医疗设备与消费设备、工业应用相比有何要求?

如果您遇到一个新类别、一个新产品、一个新解决方案,客户付钱让您评估,在您开始实际进行评估之前,您会在心里走过的清单是什么,好吧,什么是我们必须为这个特定类别考虑的事情吗?你将如何开始评估?我们从哪里开始?我们必须对这个特定的物联网解决方案进行评估的范围是什么?

Ted:所以每个过程都从一个练习开始,这就是所谓的威胁建模。本质上,威胁建模是什么,我喜欢认为威胁建模就像一份球探报告,针对你喜欢玩的任何运动中的任何对手球队。无论是美式足球,还是棒球,无论你玩什么,都有这样的想法:球探报告,其中一支球队将评估另一支球队以了解他们的优势和劣势并制定比赛计划。这就是威胁建模的样子。

因此,威胁建模中发生的事情本质上是您尝试理解三件事。第一,你想保护什么?这些是你的资产?那么这是否是数据,例如个人身份信息?是企业情报吗?比如它是什么?还是品牌声誉之类的无形资产?或者它可能是服务的可用性?一些更无形的东西?那你想保护什么?

第二个问题是你要防御谁?我们是在谈论民族国家、有组织犯罪、黑客活动主义者、临时黑客,内部威胁如何融入所有这些?你考虑每个单独的群体的原因是他们的动机不同。他们有不同的技能,不同的资源。根据你的资产,他们会有不同的理由来追随你的公司。

然后威胁模型的第三部分是了解您的攻击面。那么这将是系统受到攻击的地方吗?因此,一旦完成该练习,这是我们通常会直接与任何雇用我们的公司一起做的事情,我们将与他们一起完成。但即使我们在做研究,所以我们现在也没有直接与公司合作,因为当你做研究时,通常公司甚至都不知道它正在发生,更不用说参与了,我们对它可能保护的内容以及攻击者可能对此感兴趣的原因做出一些假设。

但是一旦你完成了所有这些事情,现在你就可以开始考虑滥用和滥用案例了。所以这就是任何类型的安全测试归结为,你怎么能把这些东西结合起来呢?它保护什么?它是为谁辩护的?它会在哪里受到攻击?然后尝试滥用这些不同的攻击面。所以这总是我们开始的地方。

然后从那里开始,它只取决于系统是什么。我们应该谈论管理界面吗?在物联网的情况下,攻击面当然是对它的任何物理访问?该设备是否类似于在酒店房间中部署物联网设备的用例,就像保证拥有一样,因为攻击者可以租用酒店房间然后攻击设备,因为他们可以插入它,然后其他所有客人都是他自己的?那么这些是你必须考虑的事情吗?

Erik:我认为我们的很多观众都来自工业领域,或者至少可以说是 B2B 环境。所以从这个角度思考,这意味着环境将在某种程度上由最终用户控制。假设我们在这里讨论的不是医疗保健环境,所以我们有一组特定的 IP 或企业可能具有的系统安全要求,那么您将如何开始评估这个特定环境?让我知道它是否有用,我们甚至可以更深入地缩小到特定类别的产品。所以也许这对你开始思考这个是必要的

泰德:是的,让我们这样做。为什么我们不缩小对某事的关注范围,让所有活着的人思考问题可能是什么?

Erik:让我们考虑一下环境中的 AGV。所以这可能在仓库里,在工厂里。它也可能在医院或其他一些护理机构中。基本上,我们有一辆引导车,上面有相当数量的计算能力。它可能有自己的系统来指导它,但它可能连接到其他 MES 系统、ERP 和其他一些交换数据的系统。当然,人们也可以使用它。所以至少员工会这样做,而且我猜在某些环境中,其他不是员工的人可能也可以使用这个 AGV。

泰德:我不熟悉那个缩写词。什么是AGV?

Erik:自动导引车。所以它可能就像仓库里的叉车,或者它可能是机场的自动真空吸尘器,它只是在四处跑来跑去,清理环境,机场。比如说,在日本,服务机器人只是充当步行屏幕,向患者或酒店环境中的其他人传达信息。所以基本上,我们有一些 100% 自动化的移动设备。

Ted:您感兴趣的观点是部署该解决方案的公司,而不是构建该解决方案并销售该解决方案的公司?

埃里克:没错。

特德:是的。所以我要说的第一件事是,在我们刚刚提出的这种场景中,有一个共同责任模型。我将其称为风险递延。我看到风险延迟一直在发生。这就是风险延期的样子。他们说,制造该 AGV 的公司,我们的客户有责任确保他们的网络以这些方式得到保护和强化。

授权或购买此连接设备的公司,他们说,不,设备制造商有责任授权或向我们出售安全的解决方案。现在,他们俩都是对的,是的,其他各方都在确保该系统按预期方式运行方面发挥着至关重要的作用。但是许多组织实际上确实遇到了困难,您刚才提到了医疗保健,但它在医疗保健领域很猖獗。那里真的很糟糕。我敢肯定这在其他行业也同样糟糕,几乎到了一些组织完全放弃责任的地步,说我可以随心所欲地确保这一点。但如果你不带来美国的安全解决方案,那我将如何处理呢?

Erik:他们是否真的想说我们不承担任何法律责任,因为我们想通过合同将所有责任推给我们的产品经理或供应商?还是他们实际上试图将其写入我们在这里不承担责任的合同中?

泰德:哦,关于合同中的安全控制措施有无休止的法律斗争。但有趣的是,攻击者根本不关心法律条款。他们根本不在乎谁在违约时承担责任。所以这就是为什么我认为合法地处理如何要求不同的合作伙伴处理安全问题是一个好主意。是的,你希望他们做某些事情。但是你必须意识到这实际上并不能解决问题。

我并不是说公司一定会说,好吧,这不再是我的责任,因为我不希望它成为我的责任。我其实不认为这是真的。我认为大多数公司确实希望尽其所能保护自己的安全。但我认为很多公司在某种程度上感到,如果不是无能为力的话,他们的权力是有限的,因为他们说,好吧,我是否应该费心在我的网络上进行大量投资?

或者即使我这样做了,比方说,我只是建立了隐喻的诺克斯堡,好吧,如果我部署这个易受攻击的解决方案,物联网的每一个标题都会暗示物联网解决方案存在安全问题,那我该怎么办?所以我认为这是一个糟糕的情况,有时供应商和买方之间存在对抗关系。但真正的答案是,我认为这有一个积极而光明的未来,而且它可能在很大程度上是由大公司在更具协作性的环境中领导的。

就像假设您是一家非常大的多站点类型公司,并且您是初创公司、热门新技术的大买家,而不是尝试 [听不清 35:24] 使用所有这些法律语言或其他任何东西,合作伙伴跟他们。投入一些工程资源,甚至是财务资源来帮助他们获得正确的安全保障,因为这对你们双方都有好处。我们实际上在其他非物联网行业看到了这种情况。它仍然是一种被误解的、未被广泛接受的方法,但它在人们这样做的地方非常强大。

Erik:所以我想在这个环境中,你有一个物理设备。相当多的人都可以通过两个员工访问它。然后,如果是在酒店或医院环境中,如果员工愿意,他们可能无法进入。所以你有设备。然后你有系统,运行该设备的应用程序。然后,您可以将其他应用程序集成到该设备。那么,在您看到威胁情况时,是否有任何 80/20 规则?它主要在运行设备的应用程序中吗?是设备本身吗?是集成到设备中的第三方应用程序吗?还是仅仅取决于威胁形势可能集中的情况?

泰德:嗯,这绝对取决于情况。但是既然你已经很好地提出了一个假设,我们将使用这种情况。所以我认为重点应该放在任何可以从世界上任何地方访问的攻击面。那么从范围中删除了什么?所以这意味着可以得到的人,这听起来很矛盾,但事实并非如此。最坏的情况是有人可以物理访问设备,因为在大多数情况下,如果您获得物理访问权限,则游戏可能结束。

现在,一些设备具有良好的防篡改机制和东西。但关键是这通常不是一个好情况。但能做到这一点的人是有限的。因此,即使您在这个设施中谈论,即使它像 25 人可能能够以某种方式物理访问它,好吧,好吧,那是 25 人。但是,如果运行它的应用程序可以被全世界数十亿人访问,那就是一个更大的问题,并且攻击者的障碍要低得多。攻击者可能不会飞到那个站点去尝试物理访问这个在这个设施周围滚动的东西,但他们很可能会从他们居住在非引渡国家的任何地方进行攻击,以实现他们的收益。可能是让系统下线,然后索要赎金什么的。

所以,如果我说,嘿,你有 X 美元要花,而 X 是有限的钱,我会从类似的东西开始,因为那是你最大的攻击者池。如果有一些问题可以被轻易利用,那么你想很快地篡改这些问题。

Erik:但是集成曾经是一个严重的安全问题吗?因为在企业环境中,通常您拥有运行特定资产或设备的应用程序,然后可能会与五个不同的系统集成,因为它需要共享,其中一些系统甚至可能对系统具有一定的可操作性或发布订单并影响此应用程序运行方式的能力。那些担心吗?或者黑客只是将注意力集中在他们直接在设备中运行的应用程序本身上,一个 MES 可能正在向 AGV 软件发送命令,告诉 AGV 去取什么?就像,当有人试图破解 [听不清 39:17] 时,可能是因为他们之前发现了一个漏洞然后使用它,或者这是一个非常罕见的情况?

Ted:这正是攻击者实际操作的方式。如果你回想一下发生在零售商 Target 身上的那种超大规模的违规行为,那是 20 年,不管是几年前的情况,抱歉,它被黑客入侵了,你所描述的正是发生的事情,攻击者而不是他们直接在 Target 寻找目标的供应商之一,该供应商在 Target 的企业环境中提高了信任度和访问权。

所以那个供应商是一家小公司,没有有效的安全控制。他们甚至不是真正的科技公司,他们认为他们将技术作为公司的一部分。他们被妥协了。然后他们的信任度和访问权限得到了提升,攻击者如何能够进入 Target 的公司网络,然后从那里,他们能够转向支付区域。然后他们就是这样得到所有这些卡片的。

因此,您描述这些集成的方式,这被称为“垫脚石攻击”,以及从一件事跳到另一件事的想法,这正是攻击者的工作方式。也许你比你想象的更像一个道德黑客。

Erik:所以你之前提到安全形势正在发生变化,我们是否正在进入一个更安全、通常不太安全的环境?然后也许基于该答案,您可以谈谈环境可能在哪些方面变得更安全,以及在哪些方面可能变得不那么安全。那么围绕物联网设备或物联网系统的攻击环境如何变化?

泰德:关于物联网,所以我要问一个澄清问题,你刚刚回答了这个问题。我们是在谈论物联网,还是更普遍地谈论物联网?所以在物联网中,一些公司实际上在这方面做得更好。他们绝对是少数。但正在发生的事情是物联网的扩散如此之快。采用所有这些不同的连接设备,以及所有这些不同的用例,从廉价的小灯泡或其他东西,到自主的所有巨大、昂贵的系统。

我所看到的是,那些正在变得更好的公司,它们是安全社区所有进步的直接结果,这是发生在构建事物的人身上的知识转移。所以这是非常积极的,我不希望它在故事中迷失。因为很多关于物联网安全性的叙述总是消极的,而且大多数情况下并不好。但是有些公司做得很好,我认为这些公司,我不能说出他们的名字,因为他们中的许多人是我们的客户,但他们值得庆祝,至少值得指出。这些公司做得对。

不幸的是,因为我提到了扩散,所以物联网中的创新如此之多,而大多数创新实际上并没有安全是它的核心。所以我实际上总体上看到,如果你平均来看,因为一切的安全性和物联网实际上随着时间的推移而变得更糟,因为没有市场力量导致优先考虑安全性的快速采用。这就是为什么我提倡这样的东西。这就是为什么我很高兴能和你们一起参加这个节目。这就是我们做 IoT Village 的原因,因为我们知道它可以变得更好。我们已经看到公司做得更好。但不幸的是,我们看到做得不好的公司的规模呈指数级增长。因此,对于整个行业来说,这是一个不稳定的局面。

Erik:现在,这是一个有趣的观点,但围绕特定领域的创新速度会对安全性产生直接影响。我猜在物联网中,你有很多围绕机器学习算法和数据处理的创新,然后你有很多围绕连接解决方案的创新。围绕核心硬件,有很多创新。然后,当然,只是出现了不同的外形尺寸,因此产品激增。

是否有任何特别的领域,每当您与物联网设备客户合作时,您会立即归零并说,好吧,这是我们知道可能存在重大安全问题的三个领域,或者它也只是分散到前三名或立即出现红旗?

泰德:你问的方式可能很难直接回答,但有一个间接的答案。也就是说,公司应该处理或考虑的可能常见问题是什么?第一个问题与领导有关。因此,正在建设事物的公司,如果安全不是领导层的优先事项,那么它就不会成为其他任何人的优先事项。

我会和任何试图这么说的人争论,直到你脸色发青,是的,但我有一个安全人员这样做,我有一个 IT 人员这样做。我对安全一无所知。但是我雇了一个人,他雇了一个比我低五层的人,是的,我很确定我们是安全的。如果这不是你的优先事项,就永远不会发生。所以我认为我们需要从领导层开始,意识到就像业务中的每个其他领域一样,你的责任。

所以对于证券来说,证券就是金融。如果有一个月、一个季度或一年的财务表现不佳,您的工作可能会面临风险。我们应该认为安全性也有同样的重要性。这并不意味着你需要成为专家。这并不意味着您需要知道如何破坏系统。一点也不。但这意味着你需要知道这是你的工作。即使你不是做这件事的人,就像为你的工作提供资金一样,即使你不是做会计的人。所以,第一,领导力。我们见过的每家公司都会遇到这种情况。

第二,你考虑安全的阶段,这是一个重要的阶段。大多数公司在部署之后才考虑安全性。他们说让我们设计解决方案。让我们构建它,让我们推出它。让我们看看市场是如何反应的。让我们对其进行迭代。让我们在第二版中考虑它。当你这样做时,最终发生的事情不仅是你部署了易受攻击的解决方案,而且实际上,你正在为以后解决这些问题而报名参加一条极其痛苦的道路。

我们根据客户实际执行安全性的时间或开始参与安全性的时间来分析我们自己的客户数据,部署后处理安全漏洞的成本是需求或设计级别问题的 25 倍。因此,修复它的小时数是 25 倍。那不是给顾问写支票。那不是付给我 25 倍的钱。那就是你付钱给你的开发人员,他们需要 25 小时才能完成本应花费他们一件事的事情。这对公司产生了巨大的影响,而大多数公司都没有意识到这一点。所以领导是其中之一。您考虑安全性的阶段是两个。

然后第三个,我知道你在技术中要求类似的技术领域,我不会给你技术性的答案。这是因为第三部分,它把它做好了。事实上,我们之前讨论过我的书,我写这本书的全部原因,副标题实际上是“如何做应用程序安全权利”。甚至那些试图做好安全工作的公司,而且有很多,我敢肯定,你的许多听众都属于这一类,他们喜欢,是的,伙计,我支付年度渗透测试费用,我这样做我这样做,他们可以列出他们所做的举措。这些公司通常做错了。不是因为他们愚蠢,不是因为他们无知,也不是因为他们没有尝试,事实上,他们在做所有正确的事情。失败的是执行。大多数公司都没有意识到执行是如何失败的。

这就是我写这本书的原因,因为这就像,伙计,如果人们试图做正确的事,但他们仍然做错了,就像去健身房一样。我之前用健身作为比喻。就像你要去健身房一样,你会说,嘿,我的胸部要变得更强壮,所以我要做一堆俯卧撑。你甚至根本不做俯卧撑。你在做仰卧起坐。有人会说,这不会帮助你实现目标。你的目标是拥有更强壮的胸部。你甚至没有触摸你的胸部。人们就像,但我在健身房。这不是正确的吗?不,执行是非常非常重要的。

所以这是我绝对推荐的三件事。至于问题通常出现在哪里,这在很大程度上取决于不同的系统、它们的用例、它们的威胁模型等。

Erik:所以我知道我们想深入研究实际案例。是否有我的一个顶部,您可以引导我们从第一次与客户联系到检测和解决该安全问题的端到端?

泰德:我为什么不分享一个可能来自研究的东西,因为我可以谈论一些细节?所以我们做了一项研究,这是一项相当长的研究。我们专注于医疗保健,我们正在研究医疗设备。我们真正感兴趣的是攻击者如何对患者造成伤害或死亡?这就是我们看到的在医疗保健领域并没有得到很好的研究,因为人们实际上在研究的更像是信息隐私,而不是患者安全。

所以我们做的第一件事就是联系了多家医院,我们说,嘿,这就是我们想要做的。我们想破解你的一些医疗设备。不用说,大多数电话都没有回。因此,我认为这需要六个月的时间才能让这几家医院参与进来。我们最终在美国各地得到了大约十几个,说,是的,我们想要这样做,因为他们关心病人的安全。因为坦率地说,我们将给他们价值 100,000 美元的免费工作。我们说,嘿,只要给我们访问权限,您就不会为此付费,我们只是希望能够发布它。

因此,一旦我们有了可以合作的组织,我们当然会从威胁建模开始,就像我之前描述的那样。特别是,我们围绕患者监护仪进行了威胁建模,这些监护仪是在床边报告患者生命体征的设备。因此,一旦我们完成了威胁建模练习,我们就开始探索不同的攻击面。

我们发现我们可以对这个特定设备做的一件事是我们可以绕过身份验证,这本质上意味着像登录这样的身份验证。所以有一种技术可以让我们克服它,突然之间,我们可以在没有任何凭据的情况下与设备交互。所以这很糟糕。但灾难性的地方在于我们发现您可以执行所谓的远程代码执行。所以远程代码执行本质上是说,从不在设备上,我实际上可以向设备发送指令,让设备做我想让它做的任何事情。

所以我们之前谈到了 80/20 规则是什么?最坏的情况在哪里?最坏的情况是有人能够做这样的事情。他们可以从世界任何地方发出命令,设备就会做出响应。所以我们发现这两件事的结合意味着来自世界任何地方的攻击者不需要任何凭据。他们可以让病人监护仪做他们想做的事情。

所以从研究的角度来看,这很有趣,因为它不应该以这种方式发生。但从影响的角度来看,它提出了一个问题,这重要吗?好的,所以我们可以弄乱病人监视器,但它没有连接到病人身上。那么,为什么这很重要?因此,我们开始扩展不同的攻击场景。好吧,你能用它做什么?

存在两种非常不稳定的情况。因此,一个是触发误报。所以这意味着我们可以让病人监护仪说这个原本稳定的病人有心脏事件。现在,当所有这些警报响起时,会发生一些事情。我不知道,如果你曾经住过医院,但所有这些警报都会通知护士从护士站到病房。因此,不利的一面是,当然,这会使护士从需要护理的患者转移到不需要护理的患者身上。所以最好的情况是我们浪费了他们的时间并从需要它的人那里得到照顾。

然而,更糟糕的是,假设有某种匆忙,或者他们没有遵循某些安全协议,患者可能没有反应,他们只是使用电动桨,现在,有安全机制,所以那不会是他们的第一个倾向。但在繁忙的医疗保健环境中,这并非不可能发生。如果你给不需要的病人使用电动桨,那会真的伤害或可能杀死那个病人。所以这是第一个场景,触发了误报。

与此一样糟糕的是,相反的情况更糟,那就是禁用误报。因此,这将是患者确实需要护理的地方,进入心脏事件,并且不会向护士站发出信号。所以现在你有一个病人在受苦,当你有类似的事情时,时间是至关重要的。病人需要这种护理,没有得到干预,这会伤害或可能杀死病人。他们没有定期包装。但是,如果轮次的时间与患者需要护理的时间不一致,那么患者就不走运了。

因此,下一步是总结问题,将它们实际报告给受到影响的医疗器械制造商和医院的组织,向他们阐明如何补救这些问题。然后最终由他们来解决。我们从来没有真正让他们告诉我们他们是否解决了问题。所以我会假设他们没有。因为他们会自豪地说,嘿,我们修好了。你想来,就像仔细检查我们做对了吗?

所以在那种情况下,这就是研究。您实际上可以下载该研究,称为“黑客医院”。它在我们的网站上。我相信 URL 是 irc.io/hospitalhacker,类似的东西,或者您的任何观众都可以给我发电子邮件,我会将其发送给他们。是的,所以您实际上可以阅读有关我们如何做到这一点的所有详细信息。

Erik: 是的,我们会把这个链接放在节目说明中,这样人们就可以在那里追踪它。你还有什么想和我们分享的案例吗?

泰德:好吧,也许我会留下最后一个物联网故事。这实际上是我们公司最终如何起步的起源故事。我讲这个故事的原因是它很酷。早在 2005 年,我的商业伙伴和他的几个同事正在攻读博士学位。约翰霍普金斯大学的课程。他们听说了这个称为防盗系统的系统。防盗系统是汽车中的一种防盗机制。本质上,这个想法是你有你的钥匙。如果你想知道为什么你的钥匙有一些体积,就像它不仅仅是你要插入的金属片一样,那是因为那把钥匙里有一个芯片。该芯片与车载计算机进行通信。

本质上,防盗系统是为了确保它是真正的钥匙。所以你可以出示一把钥匙。如果它不是真正的钥匙,防盗系统将固定车辆,实际上会使其无法工作。好吧,那个系统被认为是不可破解的。它只是广泛地说它不能被打败。他们说,史蒂夫和他的伙伴们接受了挑战。

所以他们开始研究这个,花了几周时间对密码算法进行逆向工程,又花了几周时间来构建一个武器化的软件无线电。然后几周后,通过启动福特 Escape 而不使用正宗钥匙,仅使用这个武器化的软件收音机和机械副本来证明概念。它不应该起作用。那是一个很酷的时刻,当然成立了我们的公司,因为当他们发表研究时,每个人都写了它,因为这将是今天很酷的研究。但是当人们多年前没有发表那样的研究时,就会发生这种情况。

于是公司打来电话,他们说,嘿,我们面临挑战,你能帮助我们吗?因此,该公司从未回头。但这个故事的有趣和最终结果是,当我们向福特报告时,他们实际上并不相信我们。我们给他们发了文章,所有的技术总结,我们给他们发了一个视频,实际上是我们在做的。所以我们就像,我们正在和他们通这个电话,他们说,你们这样做很酷。但除此之外还有更多。

我讲这部分故事的原因是人们对他们的系统有一个非常普遍的信念,尤其是构建复杂系统的聪明人,我想你们的许多客户都属于这一类。他们很聪明,他们创造了很酷的东西。像这样的人往往会对他们不知道的事情视而不见。我并不是说你的听众中的任何成员都一定是盲目的。但是我们正在处理的这些人非常聪明,而且绝对是盲目的,他们一直在说,还有更多。

我们想我们就像,我们没有给你看这个视频吗?你没读过这件事吗?事实证明,我们说,等一下。我们向他们询问了这个微不足道的问题,一小段纠错代码。这就像 40 位。它超级小。这是研究中如此微不足道的一部分,我什至认为它在研究中可能只有一句话。我们说,你不是在谈论那个,是吗?他们说请稍等。他们把电话搁置了。接下来是史蒂夫所说的他一生中最喜欢的五分钟沉默。好吧,他们显然在另一端,说,哦,伙计,这些家伙黑了我们的车。然后他们回来了,他们说,好吧,我们明天要来巴尔的摩。

Erik:嗯,一旦我们开始看到一些自动驾驶汽车在路上正常行驶,这个市场可能会让你和许多其他公司忙得不可开交。黑客们和白帽子们会玩得很开心,并且会一直忙于保护自己的安全。泰德,我真的很感谢你抽出时间和我们一起完成这个过程。我的网站的最后一个问题是,对于我们的观众中想要了解更多关于你在做什么的人来说,什么是最好的方式,也许看看你是否可以帮助他们,什么是他们联系你的最佳方式还是你的团队?

泰德:是的,所以我建议三件事。第一,在 LinkedIn 上与我联系。我非常非常活跃,我会回复您的任何 DM 或其他任何内容。所以,Ted Harrington,你可以在 LinkedIn 上找到我。这很容易。第二个是,你可以给我发电子邮件,我的电子邮件地址超级简单,就是 ted@isc.io,所以就像 Independentsecurityevaluators.io,ISE。然后第三件事是读我的书。你可以去 hackablebook.com,加入候补名单,它很快就会出来。我提倡的几乎所有东西都在那里。当然,这是您可以通过该网站与我联系的另一种方式。我会以任何方式回复你们联系我,很乐意尽我所能提供帮助。

埃里克:谢谢你,泰德。

泰德:非常感谢你邀请我。

Erik:感谢您收看另一个版本的工业物联网聚光灯。不要忘记在 IotoneHQ 的 Twitter 上关注我们,并查看我们在 IoTONE.com 上的案例研究数据库。如果您有独特的见解或项目部署故事要分享,我们很乐意在未来的版本中介绍您。写信给我们 erik.walenza@IoTone.com。

联系我们

欢迎与我们交流!

* Required
* Required
* Required
* Invalid email address
提交此表单,即表示您同意 IoT ONE 可以与您联系并分享洞察和营销信息。
不,谢谢,我不想收到来自 IoT ONE 的任何营销电子邮件。
提交

Thank you for your message!
We will contact you soon.