物联网安全：物联网设备指纹识别的现代策略

2016 年， Mirai 僵尸网络的创建者利用数千台物联网设备的漏洞，清楚地展示了联网设备所带来的风险。

越来越明显的是，如果不能准确识别互联网或企业网络上的每台设备，就无法有效防范物联网风险。

根据 Statista 的预测，到2033年，企业网络和互联网上使用的智能设备数量将超过390亿台。

持续监控和控制网络活动对于有效防范与物联网相关的风险至关重要。

然而，这需要识别网络上的所有设备。

这可以通过捕获设备操作系统的数字指纹来实现，如本文所述。

物联网的工作原理及其风险

众所周知，物联网概念将日常生活中使用的各种技术设备整合在一起：

智能电视、路由器、IP摄像头、智能扬声器以及其他可访问互联网的小工具和家用电器。

物联网的问题在于，所有这些设备都连接到互联网，可以自动执行某些任务。

这种连接性使网络犯罪分子能够反复利用物联网中的漏洞以及连接到网络的许多设备固有的不可靠性。

物联网设备的广泛采用带来了新的网络安全挑战，包括与外部攻击面管理相关的挑战。

在上述案例中，Mirai 僵尸网络扫描互联网，寻找基于 ARC 处理器的 IoT 设备，然后控制它们，将它们添加到其僵尸网络中。

找到合适的设备后，它开始使用最简单的暴力攻击，直到获得访问权限。

在大多数情况下，找到登录密码组合并不困难。

许多物联网设备都带有出厂时预装的简单默认凭证。

多年来，制造商一直在发布具有相同默认设置的设备，因为这使他们的测试和维修更加容易。

专家建议在开始使用物联网设备之前立即更改默认设置。

然而，大多数用户往往会忽略这些细节，而是选择依赖供应商提供的官方应用程序。

因此，Mirai 僵尸网络成功入侵约145,000 台物联网设备也就不足为奇了。

这使得 Mirai 的创建者能够对多家托管服务提供商和热门互联网网站的网络资源发起大规模DDoS攻击。

虽然这起案件被认为是涉及智能设备的最大攻击之一，但远非唯一。

Mirai 的著名继任者之一是 NoaBot 僵尸网络，它不仅使用小工具进行 DDoS 攻击，还执行更复杂的任务，例如加密挖掘。

针对智能家居设备的大多数网络攻击都是基于 Mirai 恶意软件的变种。

与此同时，越来越多的行业正在整合物联网设备，包括医疗保健、金融业和酒店业。

随着智能设备在制造业、医疗机构和其他企业的广泛使用，创建安全的工业物联网(IIoT) 的需求日益增加。

通过数字足迹识别物联网设备

智能设备数量的增加给信息安全专家提出了一个关键问题：

如何管理物联网流量并确保其他网络节点的安全？

毕竟，利用这种攻击媒介，网络犯罪分子可以破坏敏感信息的机密性或夺取对重要资源（如电源系统）的控制权。

IT 管理员可以使用预装客户端软件传输的唯一标识符来识别设备类型及其操作系统。

但是，在某些操作系统上可能无法安装此类应用程序。

对于物联网设备和集成系统中使用的操作系统尤其如此。

物联网设备旨在执行特定任务，通常以最低限度的计算能力、内存和内部存储运行。

因此，物联网设备可能无法支持安装其他应用程序。

出于这些原因，我们对一种不需要安装任何软件的被动识别方法很感兴趣。

它应该与专门针对物联网设备优化的监控系统一样有效。这类方法包括分析数字足迹。

无需直接与操作系统交互，即可根据网络行为对物联网设备进行分类

被动操作系统指纹识别的工作原理是检查网络流量的特定特征，从而间接揭示客户端设备的操作系统。

它还会考虑用于互联网连接的通信通道。

这种方法依赖于既定的方法和标准指纹数据库，它们总结了不同操作系统的典型流量模式和行为，例如 TCP/IP 标头和 DHCP 请求中广播的参数。

本质上，被动指纹识别（即获取数字指纹）将设备生成的网络流量及其参数与已知的操作系统配置文件进行比较，从而对特定网络活动进行分类。

它类似于安全服务的非侵入性工作，即根据潜在入侵者的外表和行为在普通人群中识别他们，而无需直接与他们互动。

同样，设备与网络的交互可以揭示很多有关其所有权、功能和潜在隐藏威胁的信息。被动读取不需要安装客户端应用程序。

数字指纹识别中捕获的关键参数

可以利用以下特征来获取操作系统数字指纹：

• MAC 地址 – 分配给每个网络设备的唯一标识符

  MAC 地址标识广泛用于控制对网络资源的访问。每个 MAC 地址通常包含制造商分配给特定设备的组织唯一标识符 (OUI)。

  例如，如果信息安全管理员检测到 MAC 地址“88:66:5A: 12:34:56”，他们可以识别出 Apple 制造了此设备，因为前缀“88:66:5A”与 Apple Inc. 相关联。同样，物联网设备的流量包含具有特定制造商独有的 OUI 的 MAC 地址。但是，不应忽视MAC 地址克隆或欺骗的可能性。

• TCP/IP 参数

  TCP 和 IP 数据包头包含一组遵循相应协议格式的特定字段。不同的操作系统以不同的方式处理 TCP/IP 属性，从而产生可识别的字段值，例如数据包的生存时间、窗口大小、TCP 头标志等。

  信息安全管理员可以比较和分析这些字段，以根据其典型的 TCP/IP 堆栈实现来确定底层操作系统。但是，TCP/IP 指纹可以在代理服务器级别被混淆或掩盖，从而使识别操作系统变得更加困难。

• HTTP 协议

  当客户端设备通过 HTTP 与服务器交换数据时，它会在请求中包含一个特殊的 User-Agent 标头。此标头包含有关客户端软件名称和版本、设备操作系统和其他相关数据的详细信息。

  例如，Linux 上的 Chrome 浏览器中的 User-Agent 标头值可能如下所示：“Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/ 127.0.6533.100 Safari/537.36”。信息安全管理员可以查看此标头以及 HTTP 请求中的其他行来识别设备。

• DHCP 请求

  动态主机配置协议用于自动为网络上的设备分配 IP 地址。DHCP 请求包括提供有关客户端信息的特定字段，例如供应商类别标识符、主机名和操作系统类型。

  但是，由于存在其他设置和各种修改，DHCP 请求不被视为确定底层操作系统的完全可靠来源。尽管如此，当任务需要时，它们仍然可用于详细的设备识别。

尽管存在一些限制，但对 TCP/IP 协议级别的行为和参数进行全面评估通常可以可靠地识别设备。

信息安全管理员可以使用操作系统指纹识别来指导访问控制决策并确保遵守网络安全政策。

物联网中的操作系统指纹识别挑战和特点

鉴于物联网的快速发展及其相关漏洞，操作系统指纹对于企业网络中设备的被动识别至关重要。

例如，众所周知，摄像头、路由器和打印机是黑客的热门目标。然而，手动删除数字指纹是一项复杂的任务，需要这方面的实践知识，而且很耗时。

问题在于规模。手动分析企业网络中的流量几乎是不可能的，因为它需要比较数千个唯一标识符。

为了解决这个问题，企业可以利用融合网络基础设施和云安全堆栈的功能。

安全访问服务边缘(SASE) 等解决方案可以提供对必要资源的访问。

此外，可以使用机器学习算法来分析大量网络流量，通过基于数据处理统计数据创建模式来帮助识别可疑行为的迹象。

融合网络基础设施可以实现网络数据的自动收集和分析。

然后可以将收集到的信息与来自各种来源的安全数据进行比较，例如网络攻击检测系统、防火墙日志和路由器配置。

这种方法提供了网络活动的全面视图，并有助于识别与特定操作系统和物联网设备的连接。

监控网络安全、检测可疑活动和预防潜在威胁都与物联网设备的强制识别密不可分。

如果不牢牢理解这些原则，IT 专家和信息安全团队将无法实施有效的数据保护措施。

融合大大简化了基于客户端设备独特特征的自动识别和分类。

此外，组织集中管理控制台简化了企业内识别和分析操作系统数字指纹的过程。

这些措施有助于确保迅速响应与授予智能设备访问内部网络和保持遵守安全策略相关的问题。

原文始发于微信公众号（网络研究观）：物联网安全：物联网设备指纹识别的现代策略