如何才能保证收益最大化？

在软件开发生命周期和产品设计过程中，一个常见的错误做法是合并第三方软件和硬件组件，而不列出已添加到设备中的组件。因此，当在其中一个组件上发现一个新的漏洞时，比如零日漏洞，就很难知道同一个供应商有多少产品受到了影响，点此查看具体的攻击示例。更糟糕的是，可能很难确定在不同的供应商和制造商之间，通常有多少设备受到这个漏洞的影响。通常，安装在不同设备上的固件使用已知包含漏洞的不推荐的库或组件。尽管如此，该固件仍可用于市场上许多设备的生产中。

从用户的角度来看，很难知道正在购买的物联网设备中有哪些组件在运行。这些组件具有内在的安全属性，这些属性依赖于其他组件，而这些组件又具有它们自己的安全属性。如果这些组件中的任何一个是脆弱的，攻击者可以破坏整个设备。此外，使用物联网设备管理网络的用户并不总是保持连接到该网络的物联网设备数量的库存。因此，跟踪企业网络中存在的潜在易受攻击的设备，将安全和风险管理变成一项艰巨的任务，这会提高网络攻击成功的几率。
 

但是，任何事都有两面性，这种趋势也增加了攻击面，这很可能会吸引更多针对物联网设备和物联网供应链的攻击和利用。本文，Unit 42研究了当前的物联网供应链生态系统，并解释了影响物联网供应链的多层威胁和漏洞。没有任何层级是完整和安全的，另外研究人员还研究了攻击物联网供应链的潜在动机类型。介绍硬件、固件、操作和漏洞层的风险和现实世界的例子，有助于有效地制定风险控制和缓解战略，防止理论上的网络攻击成为现实。

物联网供应链风险

供应链是供应商、制造商或零售商和他们的供应商之间的一系列联系，这种联系使生产和向消费者提供硬件或软件产品或运营服务成为可能。

COVID-19的大流行加速了物联网设备的采用，随着复工和就业的需要，很多企业都采用了非接触式物联网设，例如销售点(POS)终端和体温摄像头，以确保业务运营的安全。Palo Alto Networks的研究表明，目前全球89%的IT行业从业者表示，其组织网络中的物联网设备数量在去年有所增加，其中有超过三分之一(35%)的人表示有显著增加。此外，国际数据公司(IDC)估计，到2025年，将有416亿台联网的物联网设备被投入使用。
 

许多无文件攻击始于利用现有的合法程序，以成为新启动的“子进程”，或者通过使用操作系统中内置的现有合法工具(如Microsoft的PowerShell)。最终结果是无文件攻击更难被检测和阻止。如果你还不熟悉常见的无文件攻击技术和程序，你应该去熟悉，如果你想在计算机安全领域工作的话。

7. 广告软件

如果幸运的话，你接触到的唯一恶意软件程序就是广告软件，它试图将受到损害的最终用户暴露在不需要的、潜在的恶意广告中。常见的广告软件程序可能会将用户的浏览器搜索重定向到包含其他产品促销的相似网页。

8. 恶意广告

不要与广告软件相混淆，恶意广告是指使用合法广告或广告网络向不知情的用户计算机秘密发送恶意软件。例如，网络罪犯可能会花钱在合法网站上投放广告。当用户点击广告时，广告中的代码要么会将他们重定向到恶意网站，要么会在他们的计算机上安装恶意软件。在某些情况下，嵌入在广告中的恶意软件可能会在用户不采取任何行动的情况下自动执行，这种技术被称为“路过式下载”。

众所周知，网络犯罪分子还会破坏向许多网站发送广告的合法广告网络。纽约时报、Spotify和伦敦证券交易所等受欢迎的网站经常会成为恶意广告的载体，使其用户处于危险之中。

当然，使用恶意广告的网络罪犯的目标是赚钱。恶意广告可以传播任何类型的赚钱恶意软件，包括勒索软件、密码挖掘脚本或是银行特洛伊木马。

（编辑：衡水站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!