近年來(lái)，物聯(lián)網(wǎng)(IoT)漏洞激增。越來(lái)越多的威脅行為者通過(guò)橫向移動(dòng)未打補(bǔ)丁且通常不受保護(hù)的物聯(lián)網(wǎng)網(wǎng)關(guān)來(lái)訪問(wèn)關(guān)鍵網(wǎng)絡(luò)。

一個(gè)特別容易受到影響的部門是關(guān)鍵的基礎(chǔ)設(shè)施行業(yè)。CNI(關(guān)鍵國(guó)家基礎(chǔ)設(shè)施)組織正在將更多智能設(shè)備和基于云的IT系統(tǒng)連接到工業(yè)運(yùn)營(yíng)技術(shù)(OT)系統(tǒng)，以支持遠(yuǎn)程訪問(wèn)并提高效率。然而，這為威脅行為者創(chuàng)造了一個(gè)機(jī)會(huì)，為他們提供了更大的利用范圍。

為了解決這一問(wèn)題，關(guān)鍵基礎(chǔ)設(shè)施行業(yè)必須能夠快速識(shí)別、披露和修補(bǔ)隱藏在整個(gè)擴(kuò)展物聯(lián)網(wǎng)(XIoT)中的所有漏洞。XIoT指的是所有的信息物理系統(tǒng)，從OT和工業(yè)控制系統(tǒng)(ICS)到醫(yī)療物聯(lián)網(wǎng)(IoMT)。

然而，僅靠組織來(lái)監(jiān)控和披露如此廣泛的系統(tǒng)中的所有漏洞幾乎是不可能的。在很大程度上，供應(yīng)商和第三方必須在識(shí)別和報(bào)告漏洞方面發(fā)揮關(guān)鍵作用-正如我們最近的發(fā)現(xiàn)所表明的那樣，他們已經(jīng)開(kāi)始發(fā)揮這一作用。

物聯(lián)網(wǎng)漏洞披露的狀態(tài)

最新的XIoT漏洞評(píng)估報(bào)告發(fā)現(xiàn)，與前六個(gè)月相比，2022年上半年影響物聯(lián)網(wǎng)設(shè)備的漏洞披露增加了57%。在同一時(shí)期，供應(yīng)商的自我披露增加了69%。

供應(yīng)商自我披露的漏洞數(shù)量首次超過(guò)獨(dú)立研究機(jī)構(gòu)，成為僅次于第三方安全公司(45%)的第二大漏洞報(bào)告機(jī)構(gòu)。這表明，與以往相比，越來(lái)越多的OT、IoT和IoMT供應(yīng)商正在建立漏洞披露計(jì)劃，并增加資源來(lái)檢查其產(chǎn)品的安全性。

我們還觀察到供應(yīng)商的漏洞披露程序已經(jīng)顯著成熟。越來(lái)越多的供應(yīng)商現(xiàn)在已經(jīng)建立了專門的產(chǎn)品應(yīng)急響應(yīng)團(tuán)隊(duì)，他們正在持續(xù)努力識(shí)別和報(bào)告漏洞。他們還簡(jiǎn)化和簡(jiǎn)化了這一過(guò)程，并為公開(kāi)報(bào)告創(chuàng)造了更多的空間。

例如，一些供應(yīng)商在他們的網(wǎng)站上有專門的網(wǎng)頁(yè)，其中包括用于漏洞報(bào)告的電子郵件地址。他們還提供公共加密密鑰，以安全地傳遞有關(guān)安全漏洞的任何信息。

但是，是什么導(dǎo)致供應(yīng)商提高了警惕呢?這可能是由于CNI組織面臨的關(guān)鍵供應(yīng)鏈攻擊和威脅顯著增加造成的。以前由供應(yīng)商系統(tǒng)或設(shè)備泄露發(fā)起的攻擊已經(jīng)導(dǎo)致供應(yīng)商和第三方受到嚴(yán)格審查?；谖锫?lián)網(wǎng)的攻擊也曾威脅到人類生命。就在兩年前，針對(duì)德國(guó)一家醫(yī)院數(shù)字基礎(chǔ)設(shè)施的勒索軟件攻擊影響了醫(yī)生操作和治療危重病人的能力。這次襲擊甚至導(dǎo)致一名病人死亡。

XIoT漏洞導(dǎo)致了網(wǎng)絡(luò)物理犯罪的真實(shí)可能性。這就是為什么組織也在選擇供應(yīng)商時(shí)執(zhí)行嚴(yán)格的標(biāo)準(zhǔn)，要求他們?cè)诰W(wǎng)絡(luò)安全實(shí)踐方面更加警惕和穩(wěn)健。這種日益積極的姿態(tài)可能有助于提高供應(yīng)商在更有效地披露物聯(lián)網(wǎng)漏洞方面的警惕性。

平均而言，XIoT漏洞以每月125個(gè)的速度發(fā)布和解決，到2022年上半年達(dá)到747個(gè)。絕大多數(shù)患者的CVSS評(píng)分為嚴(yán)重(19%)或嚴(yán)重(46%)。這表明整個(gè)行業(yè)在物聯(lián)網(wǎng)系統(tǒng)的安全監(jiān)控方面都有所提高。

盡管漏洞披露的實(shí)踐和過(guò)程已經(jīng)成熟，但如果安全漏洞繼續(xù)以前所未有的速度增長(zhǎng)，組織和供應(yīng)商可能無(wú)法保持面子。此外，即使有一小部分漏洞未被發(fā)現(xiàn)，也可能導(dǎo)致嚴(yán)重的安全事件。

因此，每個(gè)組織都必須有適當(dāng)?shù)姆烙胧?，以減少任何重大安全缺陷的可能性，并采取積極的措施來(lái)減輕風(fēng)險(xiǎn)，即使漏洞被利用。

哪些主動(dòng)措施可以幫助組織防范XIoT漏洞?

網(wǎng)絡(luò)分段無(wú)疑是XIoT漏洞緩解的冠軍。它將整個(gè)網(wǎng)絡(luò)劃分為多個(gè)段或子網(wǎng)，從而將物聯(lián)網(wǎng)連接的設(shè)備和系統(tǒng)與核心網(wǎng)絡(luò)和內(nèi)部資源隔離開(kāi)來(lái)。

隨著OT系統(tǒng)、醫(yī)療設(shè)備和具有物聯(lián)網(wǎng)設(shè)備的嵌入式系統(tǒng)等關(guān)鍵資源不再是氣隙性的，細(xì)分可以通過(guò)限制外部和內(nèi)部對(duì)這些關(guān)鍵資源的訪問(wèn)來(lái)幫助提高安全彈性。即使發(fā)生了入侵，也可以阻止攻擊者橫向移動(dòng)整個(gè)網(wǎng)絡(luò)并訪問(wèn)關(guān)鍵的控制系統(tǒng)。這種主動(dòng)的方法可以幫助組織保留檢查網(wǎng)絡(luò)流量和OT、醫(yī)療和物聯(lián)網(wǎng)特定協(xié)議的能力，以檢測(cè)和防御異常行為。

此外，組織必須有效地管理云的安全風(fēng)險(xiǎn)。如前所述，許多XIoT設(shè)備，特別是OT內(nèi)的設(shè)備，不再是氣隙的，因此具有更大的攻擊面。威脅行為者可能會(huì)看到一個(gè)機(jī)會(huì)，以大規(guī)模連接暴露的漏洞為目標(biāo)。組織應(yīng)在其云存儲(chǔ)庫(kù)中實(shí)施積極主動(dòng)的措施，如加密和安全通信、MFA和特權(quán)訪問(wèn)管理，以建立有效的風(fēng)險(xiǎn)管理。

雖然XIoT漏洞披露在最近一段時(shí)間內(nèi)顯著增加，但很明顯，一些漏洞仍未被發(fā)現(xiàn)和修復(fù)，給組織造成了重大的安全問(wèn)題。因此，討論的主動(dòng)安全措施可以幫助組織保持領(lǐng)先于這些未被發(fā)現(xiàn)的威脅，并提高其安全彈性。