互联网产品增多,研究人员加大审查力度,加之各种法律法规要求披露漏洞,掀起了漏洞披露热潮。在最近发布的一份报告中,工业网络安全平台Claroty表示,与去年下半年相比,今年上半年在所谓的扩展物联网(XIoT)产品中发现的漏洞增加了57%。同时,在嵌入式物联网设备中发现的漏洞占XIoT产品漏洞的15%,比2021年下半年增长了9%。Claroty研究总监SharonBrizinov表示,物联网设备和基础设施的快速增长意味着企业需要不仅要确保他们的物联网设备的可见性,还要确保管理这些设备的所有系统的可见性,并准备好快速修复它们。“网络比以往任何时候都更加多样化,这与越来越多的寻找漏洞的安全研究人员密切相关,”他说。“因此,会有更多的设备、更多的意识和更多的安全研究人员分析这些设备,这意味着更多的漏洞将被披露。”XIoTVulnerabilityBreakdown而且,专家说,这种趋势只会继续下去。公司不仅需要跟踪他们的IoT资产,而且他们还需要评估他们是否可以轻松更新已部署的设备——因为错误修复通常需要软件更新。Rapid7物联网首席安全研究员Heiland表示,供应商不再试图隐藏其安全漏洞,并正在远离静默修复,这对安全性来说是一个良好的发展,但也会“显着增加”公开披露的物联网漏洞的数量他指出:“如果不披露数据,最终用户将不会意识到漏洞造成的潜在严重风险,并可能延迟修复。”因此,供应商披露漏洞信息是一种积极的做法。”XIoT漏洞呈上升趋势据Claroty《2022年上半年XIoT安全状况》报道,总体来看,从今年1月初到6月底,共有747个XIoT设备漏洞被披露。披露,较前六个月增长57%,受影响产品来自86家不同的供应商,首次由供应商自愿披露,成为第二大漏洞信息发布方式,仅次于第三方公司披露。研究人员和零日计划(ZDI)是漏洞信息的第三大和第四大来源。根据Claroty研究主管Brizinov的说法,在安全方面,供应商组不一定比其他供应商做得更好,这些数字是由少数几家大公司推动的,例如西门子,这些公司拥有强大的安全计划。根据Claroty的说法报告中,西门子披露的XIoT漏洞最多,有214个;Reolink以87分排名第二;施耐德紧随其后,有52个漏洞。“某些商业决策导致了这种情况:一些决策者决定讲述整个故事,”Brizinov说。“他们知道这是重要的信息。”举措也推动了披露率的上升。《2020年物联网网络安全改进法案》对向政府提供物联网产品的公司施加压力,而面向消费者的物联网设备安全“营养标签”计划可能会促使消费者购买更具安全意识的产品。IoTDefinitionDilemmaRiskBasedSecurity是Fl??ashpoint旗下的一家漏洞情报公司,它也注意到可归类为IoT生态系统的产品中的安全漏洞数量有所增加。然而,该公司强调,缺乏对物联网设备的明确定义使得跟踪此类漏洞变得特别困难。工业监控设备、医疗影像设备、网??络摄像机、电子门锁都连接到互联网,让数字通信对物理世界产生影响。美国国家标准与技术研究院(NIST)在其2020年出版物《物联网设备制造商基础网络安全活动》中将IoT设备定义为“具有至少一个传感器(传感器或执行器)以与物理世界直接交互的设备,并且至少具有一个用于连接数字世界的网络接口”。Claroty将这一类别称为扩展物联网(XIoT),并将医疗、工业和商业设备归为一类。属于XIoT类别的产品可能在去年还没有出现,该公司承认,随着新设备的发布,旧产品增加了网络功能,新产品推动了物联网的定义。例如,随着制造、关键基础设施和城市管理采用连接设备,西门子和其他运营技术(OT)公司已经将他们的产品从工业控制系统转变为工业物联网,而网络安全是这一转变的核心。节。Claroty的Brizinov说:“过去,IT和OT之间有明确的界线,我们可以把这些区域圈起来,这些圈子彼此不相交。然后有了物联网,这些圈子重叠了,一些设备是都在IT圈子里。也在OT圈子里。IoT的另一个增长方面是移动设备,例如智能手机和平板电脑。许多公司使用移动设备作为监视和控制其IoT设备网络的方式。也就是说,受控设备并不是IoT生态系统的唯一部分,移动设备和后端服务器也必须包括在内。因此,Rapid7将云组件和管理软件视为生态系统的一部分。“通常情况下,作为独立设备的移动设备不会被视为物联网产品,”Rapid7的Heiland说,“但当它运行旨在与物联网解决方案交互、控制和/或管理的软件时,它确实成为了物联网产品。”生态系统的一部分,在评估物联网产品的安全性时应予以考虑。
