物联网(IoT)漏洞近年来激增。威胁行为者越来越多地通过横向移动未打补丁且通常未受保护的物联网网关来访问关键网络。一个特别脆弱的部门是关键基础设施行业。CNI(国家关键基础设施)组织正在将更多智能设备和基于云的IT系统连接到工业运营技术(OT)系统,以实现远程访问并提高效率。然而,这为威胁行为者创造了机会,为他们提供了更大的利用空间。为了解决这个问题,关键基础设施行业必须能够快速识别、披露和修补潜伏在整个扩展物联网(XIoT)中的所有漏洞。XIoT指所有信息物理系统,从OT和工业控制系统(ICS)到医疗物联网(IoMT)。然而,仅靠一个组织几乎不可能监控和披露如此广泛的系统中的所有漏洞。在很大程度上,供应商和第三方必须在识别和报告漏洞方面发挥关键作用——而且,正如我们最近的调查结果表明的那样,他们已经开始发挥这一作用。物联网漏洞披露状况最新的XIoT漏洞评估报告发现,与前六个月相比,2022年上半年影响物联网设备的漏洞披露增加了57%。同期,供应商自我披露增加了69%。厂商自行披露的漏洞数量首次超过独立研究机构,成为仅次于第三方安全公司(45%)的第二大漏洞报告机构。这表明比以往更多的OT、IoT和IoMT供应商正在建??立漏洞披露计划并增加资源来检查其产品的安全性。我们还观察到供应商的漏洞披露程序已经显着成熟。越来越多的供应商现在已经建立了专门的产品事件响应团队,他们正在不断努力识别和报告漏洞。他们还简化并精简了流程,并为公开报告创造了更多空间。例如,一些供应商在其网站上有专门的页面,其中包含漏洞报告的电子邮件地址。他们还提供公共加密密钥,以安全地传达有关安全漏洞的任何信息。但是是什么让供应商更加警惕呢?这可能是由于CNI组织面临的关键供应链攻击和威胁显着增加。以前由受损的供应商系统或设备发起的攻击导致对供应商和第三方的严格审查。基于物联网的攻击也威胁到人类的生命。就在两年前,针对一家德国医院数字基础设施的勒索软件攻击影响了医生操作和治疗危重病人的能力。这次袭击甚至导致一名患者死亡。XIoT漏洞导致网络物理犯罪的真正可能性。这就是为什么组织在选择供应商时也执行严格的标准,要求他们在网络安全实践中更加警惕和稳健。这种日益激进的立场可能有助于提高供应商在更有效地披露物联网漏洞方面的警惕性。平均而言,XIoT漏洞的发布和解决速度为每月125个,到2022年上半年达到747个。绝大多数患者的CVSS评分为严重(19%)或严重(46%)。这表明整个行业在物联网系统的安全监控方面有所提升。尽管漏洞披露的做法和流程已经成熟,但如果安全漏洞继续以前所未有的速度增长,组织和供应商可能无法挽回面子。此外,即使是一小部分未被发现的漏洞也可能导致严重的安全事件。因此,每个组织都必须采取防御措施,以减少出现任何重大安全漏洞的可能性,并采取积极措施降低风险,即使漏洞被利用也是如此。哪些主动措施可以帮助组织防范XIoT漏洞?网络分段是XIoT漏洞缓解的明显冠军。它将整个网络划分为网段或子网,从而将物联网连接的设备和系统与核心网络和内部资源隔离开来。由于OT系统、医疗设备和带有IoT设备的嵌入式系统等关键资源不再是气隙隔离的,因此分段可以通过限制对这些关键资源的外部和内部访问来帮助提高安全弹性。即使发生漏洞,攻击者也无法在网络中横向移动并获得对关键控制系统的访问权限。这种主动方法可以帮助组织保持检查网络流量和OT、医疗和物联网特定协议的能力,以检测和防御异常行为。此外,组织必须有效地管理云的安全风险。如前所述,许多XIoT设备,尤其是OT中的设备,不再气隙,因此具有更大的攻击面。威胁行为者可能会看到机会针对大量连接暴露的漏洞。组织应在其云存储库中实施加密和安全通信、MFA和特权访问管理等主动措施,以建立有效的风险管理。虽然最近XIoT漏洞披露显着增加,但很明显,一些漏洞仍未被发现和修复,给组织带来了严重的安全问题。因此,所讨论的主动安全措施可以帮助组织领先于这些未检测到的威胁并提高其安全弹性。
