利用 HoneyCloud 理解物联网安全
1. 物联网安全挑战与应对策略
1.1 现有防御机制的困境
在物联网环境中,现有的基于主机的防御机制难以有效检测出站网络流量中的攻击。这是因为物联网攻击手段多样,攻击者会利用各种信息来判断设备的真实性。
1.2 物联网攻击的特点
- 信息收集:根据对硬件蜜罐的测量,有 9132 次攻击执行了如
lscpu这样的命令,以获取敏感的系统信息。 - 云平台差异:使用 HoneyCloud 发现,托管在 AWS 上的蜜罐平均捕获的攻击比其他公共云上的蜜罐少 6.7%,可能是因为 AWS 公开了其所有 VM 实例的 IP 范围,一些恶意软件(如 Mirai)会故意绕过特定 IP 范围。
1.3 无文件攻击带来的新挑战
无文件攻击在文件系统上不留痕迹,但几乎所有捕获的无文件攻击都使用了 shell 命令,因此可以通过审计物联网设备的 shell 命令历史来检测。然而,许多物联网设备使用只读文件系统来减轻基于恶意软件的攻击,却意外增加了检测无文件攻击的难度(难以持久保存 shell 命令历史)。这是无文件攻击可审计性与抵御基于恶意软件攻击安全性之间的基本权衡,构成了物联网安全的新挑战。
1.4 应对无文件攻击的策略
- 命令分析:发现 65.7% 的无文件攻击是通过一组小命令(
rm、k
