隨著組織跟上數字化轉型的需求，攻擊面變得比以往任何時候都更廣泛。網絡犯罪分子有許多切入點——從物聯網生態系統中的漏洞到供應鏈中的盲點，再到內部人員濫用他們對業務的訪問權限。Darktrace 每天都能看到這些威脅。有時，就像上面將在本博客中討論的真實示例一樣，它們可能發生在同一次攻擊中。

在逃避檢測和發起攻擊時，內部威脅可以利用他們對系統的熟悉程度和訪問級別作為關鍵優勢。但內部人員不一定是惡意的。每個員工或承包商都是潛在的威脅：點擊網絡釣魚鏈接或意外發布數據通常會導致大規模泄露。

同時，工作空間中的連接——每個物聯網設備都通過自己的 IP 地址與企業網絡和互聯網通信——是一個緊迫的安全問題。例如，訪問控制系統通過跟蹤誰進入辦公室以及何時進入，增加了一層物理安全性。然而，這些相同的控制系統通過引入一組傳感器、鎖、警報系統和鍵盤來危及數字安全，這些傳感器、鎖、警報系統和鍵盤保存敏感的用戶信息并連接到公司基礎設施。

此外，很大一部分物聯網設備是在沒有考慮安全性的情況下構建的。供應商優先考慮上市時間，并且通常沒有資源投資于內置的安全措施。考慮制造物聯網的初創企業的數量——超過 60%的家庭自動化公司的員工少于 10 人。

Cyber?? AI 檢測到的內部威脅

2021 年 1 月，一家中型北美公司在第三方供應商連接到智能門的控制單元時遭受了供應鏈攻擊。供應商公司的技術人員進來進行定期維護。他們被授權直接連接到門禁控制單元，但不知道他們使用的筆記本電腦是從組織外部帶進來的，已經感染了惡意軟件。

一旦筆記本電腦與控制單元連接，惡意軟件就會檢測到一個開放的端口，識別出漏洞，并開始橫向移動。幾分鐘之內，人們就看到物聯網設備與稀有的外部 IP 地址建立了極不尋常的連接。這些連接是使用 HTTP 建立的，并且包含可疑的用戶代理和 URI。

然后，Darktrace 檢測到控制單元正在嘗試下載木馬和其他有效負載，包括upupx2.exe和36BB9658.moe。其他連接用于發送包含設備名稱和組織外部 IP 地址的 base64 編碼字符串。

不久之后檢測到使用 Monero (XMR) CPU 礦工進行的加密貨幣挖礦活動。該設備還利用 SMB 漏洞在端口 445 上建立外部連接，同時使用過時的 SMBv1 協議搜索易受攻擊的內部設備。

一小時后，該設備連接到與第三方遠程訪問工具 TeamViewer 相關的端點。幾分鐘后，可以看到該設備將超過 15 MB 的數據上傳到一個 100% 罕見的外部 IP。

供應鏈中的安全威脅

一旦控制單元遭到破壞，網絡 AI 就會立即標記對客戶的內部威脅。攻擊成功繞過了組織的其余安全堆棧，原因很簡單，它是直接從受信任的外部筆記本電腦引入的，而物聯網設備本身由第三方供應商管理，因此客戶幾乎無法看到它。

傳統的安全工具對此類供應鏈攻擊無效。從SolarWinds 黑客攻擊到供應商電子郵件妥協， 2021 年為基于簽名的安全性敲響了棺材——證明我們不能依靠昨天的攻擊來預測明天的威脅。

國際供應鏈以及與現代組織合作的大量不同合作伙伴和供應商因此構成了嚴重的安全困境：我們如何允許外部供應商進入我們的網絡并保持系統的密閉？

第一個答案是零信任訪問。這涉及將公司網絡內外的每臺設備都視為惡意設備，并要求在所有階段進行驗證。第二個答案是可見性和響應。安全產品必須清楚地了解云和物聯網基礎設施，并在整個企業出現細微異常時自動做出反應。

物聯網調查

Darktrace 的網絡人工智能分析師報告了攻擊的每個階段，包括第一個惡意可執行文件的下載。網絡 AI 分析師調查了 C2 連接，提供了活動的高級摘要。IoT 設備訪問了帶有隨機生成的字母數字名稱的可疑 MOE 文件。人工智能不僅檢測到活動的每個階段，而且在攻擊開始幾分鐘后的 16:59 發生高分模型違規后，客戶還通過主動威脅通知收到警報。

陌生人的危險

第三方來調整設備設置和調整網絡可能會產生意想不到的后果。隨著 5G 和工業 4.0 的出現，我們所生活的超連接世界已成為網絡犯罪分子的數字游樂場。

在上述真實案例研究中，物聯網設備不安全且配置錯誤。隨著物聯網生態系統的快速創建、相互交織的供應鏈以及連接到企業基礎設施的大量個人和設備，現代組織不能指望依靠預定義規則來阻止內部威脅和其他高級網絡攻擊的簡單安全工具。

該組織對門禁控制單元的管理沒有可見性。盡管如此，盡管事先不知道攻擊類型或物聯網設備中存在的漏洞，Darktrace 還是立即檢測到了行為異常。如果沒有 Cyber?? AI，感染可能會在客戶的環境中持續數周或數月，從而提升權限、默默地進行加密挖掘并泄露敏感的公司數據。