标签: IoT

工业互联网联盟(IIC)发布新型物联网安全成熟度模型(SMM)

外媒 4 月 11 日消息,工业互联网联盟(IIC)基于其自身的安全框架和参考架构开发了一种新型物联网安全成熟度模型(SMM),有助于企业利用现有的安全框架达到他们自己定义的物联网安全成熟度目标级别。本周 IIC 发布了两篇报告中的第一篇 — 《物联网安全成熟度模型:描述和预期用途》,该篇主要是针对较少技术的物联网利益相关者的高级概述。微软物联网标准首席策略师 Ron Zahavi 预计第二篇为安全从业人员提供更多技术观点的白皮书将会在夏季发布。 根据 Ron Zahavi 的说法,《物联网安全成熟度模型:描述和预期用途》是为商人准备的,因为可以帮助他们了解安全所需要的东西,并帮助他们将其转化为自己业务所需的成熟度等级(所需的成熟度级别成为目标成熟度级别)。 Zahavi 表示,这种新型物联网安全成熟度模型的目的是为所有行业部门提供单一的物联网 SMM 和所有与物联网实施相关的,无论个人安全需求如何,也无论是家庭、办公室还是工厂。IIC 的指导原则是开发一种适用于所有行业的新模式,涵盖流程和技术、合理利用 NIST 和 ISA-62443 等现有框架,而不是试图去替代它们、简单和可扩展的、并且可供所有现有的安全评估公司使用等方面。 该模式从成熟度建立在三个主要维度上的基础开始:治理、支持和强化。每个维度包含不同的领域,Zahavi 解释说: “治理涵盖战略、实践和流程的运作和管理,如威胁建模和风险评估以及供应链管理。支持包括传统安全技术的操作和管理,如身份和访问管理、数据保护、资产管理、物理管理等。强化则是关于漏洞和补丁管理的运营方面,以及事件响应和审计等。” 然后在两个轴线上(“综合性”和“范围”)对每个领域和实践进行评估。 综合性是关于将安全措施应用于维度、领域和实践的深度和一致性的程度。分为四个等级(如果包含’没有’,则为五个): –   最低限度; –  临时性(安全性往往是对被宣传的事件或问题的反应); –  一致(使用最佳做法和标准,可能集中而不是现场解决方案); –  形式化(包括一个定义明确的流程,用于管理一切随着时间的推移并将其持续改进) 范围被定义为适合行业或系统需求的程度,分为三种层次: * 一般(没有具体评估与物联网部门的相关性); * 针对特定行业(如果针对行业特定要求实施安全 , 医疗保健可能与制造业不同); * 和系统特定的(安全实施与特定组织中特定系统的特定需求和风险相一致)。对于系统特定的范围,Zahavi 评论说,零售组织可能希望在其 PoS 传感器和其供应链传感器之间进行划分。 将不同实践的综合性和范围相结合,使组织能够在实际和目标级别以及安全实施级别上精细地定义其物联网安全成熟度。 成熟的目标水平几乎是风险偏好的体现,这是一个业务功能,而不是安全功能。多年来,安全团队一直盲目运营,以致业务和安全之间的沟通很少。目前这种情况正在改变,并且工业数字化和操作技术(物联网设备的主要发源地)与信息技术的融合以及将物联网设备在互联网上的曝光正在改变安全失效的底线。 虽然信息的损失可能会造成会损害品牌或者造成惨痛的代价,但是制造业的损失可能是灾难性的。而使用 IIC SMM 则可以帮助更好地将安全性与业务优先级结合起来,并有助于业务和安全性的结合。 IIC 给出的具体建议是: 让业务负责人指定成熟度目标,而安全团队则进行当前的成熟度评估。两个级别之间的差异可以通过差距分析来评估,从中可以制定弥合差距的路线图。路线图可以让任何所需的安全性增强 ,从而引起成熟度级别的重新评估以及流程的重复。 这个过程的一个辅助工具是成熟度模板,当然 IIC 采用这种新的物联网安全成熟度模型的意图是增强而不是替代现有的安全框架,并且 IIC 也希望不同行业的不同公司开发和发布可供其他组织使用的高级 IIC SMM 成熟度模型。 消息来源:securityweek,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

国际刑警组织举办“数字安全挑战赛”提升各国网络应变能力

外媒 3 月 5 日消息,国际刑警组织于近期在奥地利维也纳组织了一场名为“ 国际刑警组织数字安全挑战赛 ” 的培训演练,参与其中的网络犯罪调查人员将会应对通过物联网(IoT)设备发起的模拟攻击,例如针对银行的一些潜在危机事件。 国际刑警组织指出,全世界的警察部队通常不知道如何从计算机和手机以外的设备中收集证据。考虑到易受攻击的物联网设备扩散后引起的重大网络安全风险,上述问题与此次培训演练变得尤为相关。 模拟测试 国际刑警组织安排相关人员部署了恶意软件,并试图从银行中吸走大量资金。这时候,网络犯罪调查人员则会应用数字取证来确定银行电脑上安装恶意代码的时间和地点。 国际刑警组织说:“通过数字取证检查,这些调查小组发现恶意软件是包含在通过网络摄像头发送的电子邮件附件中,而不是直接从计算机发送的,这样做的很大一部分原因可能是是为了帮助掩盖袭击的根源。” 在检查了被黑网络摄像头的数据之后,调查人员确定了用于远程控制网络摄像头并执行攻击的 C&C 服务器。国际刑警组织称,调查人员后来又现了另一台 C&C 服务器,以及一些可用于防止进一步攻击的服务器漏洞。 奥地利内政部秘书长彼得戈德格鲁布尔认为,网络犯罪调查变得越来越复杂,调查人员每天都在面临一些新的障碍,以至于防范能力的提升和发展变得至关重要。 消息来源:welivesecurity,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

逾 1700 台 IoT 设备的有效 Telnet 凭据在线泄漏,61% IP 位于中国

HackerNews.cc 8 月 26 日消息,安全研究人员 Ankit Anubhav 近期在 Twitter 上分享了一条消息,声称逾 1700 台 IoT 设备的有效 Telnet 凭据在线泄漏,疑似成为黑客通过僵尸网络进行 DDoS 攻击的动力来源。 据悉,该列表包含 33,000 个 IP 地址,最初于今年 6 月在 Pastebin 平台出现,早期名单的泄露者与此前发布有效登录凭据转储、散发僵尸网络源代码的黑客是同一人。 统计显示,该列表中的多数 IoT 设备均包含默认登录凭证,其出现频率最多的前五名分别是: root: 出现 782 次 admin: 出现 634 次 root: 出现 320 次 admin: 出现 21次 default: 出现 18 次 GDI 研究人员 Victor Gevers 在分析了上述列表后确认它由 8200 个独特 IP 地址组成,大约每 2.174 个 IP 地址是通过远程登录凭证进行访问的。然而,该列表中的 61% IP 地址位于中国。 此外,该开发人员还在 Pastebin 平台上公布了包括标题为 “Easy To Root Kit”、“Mirai Bots”、“Mirai-CrossCompiler”、“Apache Struts 2 RCE Auto-Exploiter v2”、“Slowloris DDoS Attack Script” 等在内的恶意脚本,以供其他网络罪犯任意使用。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。