近年來，物聯(lián)網(wǎng)(IoT)漏洞激增。越來越多的威脅行為者通過橫向移動未打補(bǔ)丁且通常不受保護(hù)的物聯(lián)網(wǎng)網(wǎng)關(guān)來訪問關(guān)鍵網(wǎng)絡(luò)。

一個特別容易受到影響的部門是關(guān)鍵的基礎(chǔ)設(shè)施行業(yè)。CNI(關(guān)鍵國家基礎(chǔ)設(shè)施)組織正在將更多智能設(shè)備和基于云的IT系統(tǒng)連接到工業(yè)運(yùn)營技術(shù)(OT)系統(tǒng)，以支持遠(yuǎn)程訪問并提高效率。然而，這為威脅行為者創(chuàng)造了一個機(jī)會，為他們提供了更大的利用范圍。

為了解決這一問題，關(guān)鍵基礎(chǔ)設(shè)施行業(yè)必須能夠快速識別、披露和修補(bǔ)隱藏在整個擴(kuò)展物聯(lián)網(wǎng)(XIoT)中的所有漏洞。XIoT指的是所有的信息物理系統(tǒng)，從OT和工業(yè)控制系統(tǒng)(ICS)到醫(yī)療物聯(lián)網(wǎng)(IoMT)。

然而，僅靠組織來監(jiān)控和披露如此廣泛的系統(tǒng)中的所有漏洞幾乎是不可能的。在很大程度上，供應(yīng)商和第三方必須在識別和報告漏洞方面發(fā)揮關(guān)鍵作用-正如我們最近的發(fā)現(xiàn)所表明的那樣，他們已經(jīng)開始發(fā)揮這一作用。

物聯(lián)網(wǎng)漏洞披露的狀態(tài)

最新的XIoT漏洞評估報告發(fā)現(xiàn)，與前六個月相比，2022年上半年影響物聯(lián)網(wǎng)設(shè)備的漏洞披露增加了57%。在同一時期，供應(yīng)商的自我披露增加了69%。

供應(yīng)商自我披露的漏洞數(shù)量首次超過獨立研究機(jī)構(gòu)，成為僅次于第三方安全公司(45%)的第二大漏洞報告機(jī)構(gòu)。這表明，與以往相比，越來越多的OT、IoT和IoMT供應(yīng)商正在建立漏洞披露計劃，并增加資源來檢查其產(chǎn)品的安全性。

我們還觀察到供應(yīng)商的漏洞披露程序已經(jīng)顯著成熟。越來越多的供應(yīng)商現(xiàn)在已經(jīng)建立了專門的產(chǎn)品應(yīng)急響應(yīng)團(tuán)隊，他們正在持續(xù)努力識別和報告漏洞。他們還簡化和簡化了這一過程，并為公開報告創(chuàng)造了更多的空間。

例如，一些供應(yīng)商在他們的網(wǎng)站上有專門的網(wǎng)頁，其中包括用于漏洞報告的電子郵件地址。他們還提供公共加密密鑰，以安全地傳遞有關(guān)安全漏洞的任何信息。

但是，是什么導(dǎo)致供應(yīng)商提高了警惕呢?這可能是由于CNI組織面臨的關(guān)鍵供應(yīng)鏈攻擊和威脅顯著增加造成的。以前由供應(yīng)商系統(tǒng)或設(shè)備泄露發(fā)起的攻擊已經(jīng)導(dǎo)致供應(yīng)商和第三方受到嚴(yán)格審查。基于物聯(lián)網(wǎng)的攻擊也曾威脅到人類生命。就在兩年前，針對德國一家醫(yī)院數(shù)字基礎(chǔ)設(shè)施的勒索軟件攻擊影響了醫(yī)生操作和治療危重病人的能力。這次襲擊甚至導(dǎo)致一名病人死亡。

XIoT漏洞導(dǎo)致了網(wǎng)絡(luò)物理犯罪的真實可能性。這就是為什么組織也在選擇供應(yīng)商時執(zhí)行嚴(yán)格的標(biāo)準(zhǔn)，要求他們在網(wǎng)絡(luò)安全實踐方面更加警惕和穩(wěn)健。這種日益積極的姿態(tài)可能有助于提高供應(yīng)商在更有效地披露物聯(lián)網(wǎng)漏洞方面的警惕性。

平均而言，XIoT漏洞以每月125個的速度發(fā)布和解決，到2022年上半年達(dá)到747個。絕大多數(shù)患者的CVSS評分為嚴(yán)重(19%)或嚴(yán)重(46%)。這表明整個行業(yè)在物聯(lián)網(wǎng)系統(tǒng)的安全監(jiān)控方面都有所提高。

盡管漏洞披露的實踐和過程已經(jīng)成熟，但如果安全漏洞繼續(xù)以前所未有的速度增長，組織和供應(yīng)商可能無法保持面子。此外，即使有一小部分漏洞未被發(fā)現(xiàn)，也可能導(dǎo)致嚴(yán)重的安全事件。

因此，每個組織都必須有適當(dāng)?shù)姆烙胧?，以減少任何重大安全缺陷的可能性，并采取積極的措施來減輕風(fēng)險，即使漏洞被利用。

哪些主動措施可以幫助組織防范XIoT漏洞?

網(wǎng)絡(luò)分段無疑是XIoT漏洞緩解的冠軍。它將整個網(wǎng)絡(luò)劃分為多個段或子網(wǎng)，從而將物聯(lián)網(wǎng)連接的設(shè)備和系統(tǒng)與核心網(wǎng)絡(luò)和內(nèi)部資源隔離開來。

隨著OT系統(tǒng)、醫(yī)療設(shè)備和具有物聯(lián)網(wǎng)設(shè)備的嵌入式系統(tǒng)等關(guān)鍵資源不再是氣隙性的，細(xì)分可以通過限制外部和內(nèi)部對這些關(guān)鍵資源的訪問來幫助提高安全彈性。即使發(fā)生了入侵，也可以阻止攻擊者橫向移動整個網(wǎng)絡(luò)并訪問關(guān)鍵的控制系統(tǒng)。這種主動的方法可以幫助組織保留檢查網(wǎng)絡(luò)流量和OT、醫(yī)療和物聯(lián)網(wǎng)特定協(xié)議的能力，以檢測和防御異常行為。

此外，組織必須有效地管理云的安全風(fēng)險。如前所述，許多XIoT設(shè)備，特別是OT內(nèi)的設(shè)備，不再是氣隙的，因此具有更大的攻擊面。威脅行為者可能會看到一個機(jī)會，以大規(guī)模連接暴露的漏洞為目標(biāo)。組織應(yīng)在其云存儲庫中實施積極主動的措施，如加密和安全通信、MFA和特權(quán)訪問管理，以建立有效的風(fēng)險管理。

雖然XIoT漏洞披露在最近一段時間內(nèi)顯著增加，但很明顯，一些漏洞仍未被發(fā)現(xiàn)和修復(fù)，給組織造成了重大的安全問題。因此，討論的主動安全措施可以幫助組織保持領(lǐng)先于這些未被發(fā)現(xiàn)的威脅，并提高其安全彈性。