聯(lián)網(wǎng)產(chǎn)品增多、研究人員審查力度加大，再加上要求披露漏洞的各項法律法規(guī)，引爆了漏洞披露熱潮。在最近發(fā)布的一份報告中，工業(yè)網(wǎng)絡安全平臺Claroty表示，與去年下半年相比，今年上半年在所謂擴展物聯(lián)網(wǎng)（XIoT）產(chǎn)品中發(fā)現(xiàn)的漏洞增長了57%。

同時，嵌入式物聯(lián)網(wǎng)設(shè)備中發(fā)現(xiàn)的漏洞占XIoT產(chǎn)品漏洞的15%，比2021年下半年躍升9%之多。

Claroty研究主管Sharon Brizinov表示，物聯(lián)網(wǎng)設(shè)備和基礎(chǔ)設(shè)施的迅速增長意味著公司不僅需要確保其物聯(lián)網(wǎng)設(shè)備的可見性，還需要確保管理這些設(shè)備的所有系統(tǒng)的可見性，并做好快速修復這些設(shè)備的準備。

“網(wǎng)絡多樣性已更甚從前，而這與越來越多的安全研究人員抓緊尋找漏洞密切相關(guān)?！彼硎?，“因此，設(shè)備增多、意識提高，且有更多安全研究人員深入分析這些設(shè)備，也就意味著會有更多漏洞被披露出來。”

XIoT漏洞細分

而且，專家表示，這一趨勢只會持續(xù)下去。公司不僅需要跟蹤掌握自己的物聯(lián)網(wǎng)資產(chǎn)，還得評估是否能夠輕松更新已部署設(shè)備——由于漏洞修復通常需要軟件更新。

Rapid7物聯(lián)網(wǎng)首席安全研究員Deral Heiland表示，供應商不再試圖隱瞞自身安全漏洞，并逐漸摒棄無聲修復，這對于安全而言是個不錯的進展，但也會“顯著增加”公開披露的物聯(lián)網(wǎng)漏洞數(shù)量。

他指出：“如果不公開任何數(shù)據(jù)，那么最終用戶就無法意識到漏洞導致的潛在嚴重風險，可能會拖延修復。所以，供應商公開漏洞信息是值得肯定的做法。”

XIoT漏洞越來越多

根據(jù)Claroty《2022年上半年XIoT安全狀況》報告，總體而言，今年1月初至6月底，共披露了747個XIoT設(shè)備漏洞，比前六個月增加了57%。受影響產(chǎn)品出自86家不同供應商，且供應商主動披露首次成為第二大漏洞信息發(fā)布方式，僅略遜于第三方公司披露。獨立研究人員和Zero Day Initiative（ZDI）是第三和第四大漏洞信息來源。

Claroty研究主管Brizinov認為，在安全方面，供應商這個群體未必比其他人做得更好，其數(shù)據(jù)是由西門子等實施了強大安全計劃的少數(shù)幾家大型公司推動的。Claroty的報告顯示，西門子披露的XIoT漏洞最多，為214個；列第二的是Reolink，為87個；接下來是施耐德，披露的漏洞數(shù)量是52個。

“某些商業(yè)決策導致了這個結(jié)果：一些決策者決定和盤托出?！盉rizinov表示，“他們知道這是很重要的信息?！?/p>

各項倡議也推動了披露率的節(jié)節(jié)攀升?！?020年物聯(lián)網(wǎng)網(wǎng)絡安全改進法案》對向政府提供物聯(lián)網(wǎng)產(chǎn)品的公司施加了壓力，而面向消費者的物聯(lián)網(wǎng)設(shè)備安全“營養(yǎng)標簽”計劃，則可能會推動消費者購買更注重安全的產(chǎn)品。

物聯(lián)網(wǎng)定義困境

Flashpoint旗下漏洞情報公司Risk Based Security也注意到，可歸類到物聯(lián)網(wǎng)生態(tài)系統(tǒng)的產(chǎn)品中，安全漏洞數(shù)量有所上升。但是，該公司強調(diào)，物聯(lián)網(wǎng)設(shè)備缺乏明確定義，導致跟蹤這一類漏洞尤為困難。

工業(yè)監(jiān)控設(shè)備、醫(yī)療成像設(shè)備、IP攝像機和電子門鎖等都連接到互聯(lián)網(wǎng)，令數(shù)字通信可對物理世界產(chǎn)生影響。在其2020年出版物《物聯(lián)網(wǎng)設(shè)備制造商基礎(chǔ)網(wǎng)絡安全活動》中，美國國家標準與技術(shù)研究院（NIST）將物聯(lián)網(wǎng)設(shè)備定義為“至少有一個換能器（傳感器或致動器）用于直接與物理世界交互的設(shè)備，并具備至少一個網(wǎng)絡接口用于連接數(shù)字世界”的設(shè)備。

Claroty將此類別稱為擴展物聯(lián)網(wǎng)（XIoT），并將醫(yī)療、工業(yè)和商用設(shè)備歸為一類。該公司承認，由于新設(shè)備發(fā)布、老產(chǎn)品增加聯(lián)網(wǎng)功能，以及新產(chǎn)品推動IoT定義發(fā)展，納入XIoT類別的產(chǎn)品可能去年還沒出現(xiàn)。

例如，隨著制造業(yè)、關(guān)鍵基礎(chǔ)設(shè)施和城市管理紛紛采用聯(lián)網(wǎng)設(shè)備，西門子和其他運營技術(shù)（OT）公司已將其產(chǎn)品從工業(yè)控制系統(tǒng)轉(zhuǎn)型為工業(yè)物聯(lián)網(wǎng)，而網(wǎng)絡安全正是這一轉(zhuǎn)型的關(guān)鍵部分。

Claroty的Brizinov表示：“過去，IT與OT之間界限分明，我們可以圈出這些領(lǐng)域，這些圈子互不相交。然后，物聯(lián)網(wǎng)時代來臨，這些圈子相互交疊，有些設(shè)備既在IT圈里，也在OT圈里?！?/p>

物聯(lián)網(wǎng)另一個日益增長的方面是移動設(shè)備，如智能手機和平板電腦。很多公司將移動設(shè)備作為監(jiān)視和控制其物聯(lián)網(wǎng)設(shè)備網(wǎng)絡的一種方式，也就是說，受控設(shè)備不是物聯(lián)網(wǎng)生態(tài)系統(tǒng)的唯一組成部分，移動設(shè)備和后端服務器也必須囊括進來。

因此，Rapid7將云組件和管理軟件視為生態(tài)系統(tǒng)的一部分。

“通常，作為單機的移動設(shè)備不會被視為物聯(lián)網(wǎng)。”Rapid7的Heiland表示，“但運行旨在交互、控制和/或管理物聯(lián)網(wǎng)解決方案的軟件時，它又確實成為了物聯(lián)網(wǎng)產(chǎn)品生態(tài)系統(tǒng)的一部分，在評估物聯(lián)網(wǎng)產(chǎn)品安全時應予以考慮。”