从2021年下半年到2022年上半年,物联网漏洞披露增长了57%

安全 漏洞 物联网
根据网络物理系统保护公司 Claroty 今天发布的新研究,与前六个月相比,影响物联网设备的漏洞披露在 2022 年上半年 (1H) 增加了 57%。

Claroty‘s Team82发布的XIoT安全状况报告:2022年上半年揭示了物联网漏洞、供应商自我披露以及完全或部分修复的固件漏洞的增加。

根据网络物理系统保护公司 Claroty 今天发布的新研究,与前六个月相比,影响物联网设备的漏洞披露在 2022 年上半年 (1H) 增加了 57%。

XIoT 安全状况报告:1H 2022 还发现,在同一时间段内,供应商的自我披露增加了 69%,报告的数量首次超过了独立研究机构,完全或部分修复的固件漏洞增加了 79 个%,鉴于修补固件与软件漏洞的相对挑战,这是一个显着的改进。

该报告由 Claroty 屡获殊荣的研究团队 Team82 编写,深入研究和分析了影响扩展物联网 (XIoT) 的漏洞,这是一个庞大的网络物理系统网络,包括运营技术和工业控制系统 (OT/ICS )、医疗物联网 (IoMT)、楼宇管理系统和企业物联网。该数据集包含 Team82 发现的漏洞以及来自可信开源的漏洞,包括国家漏洞数据库 (NVD)、工业控制系统网络应急响应小组 (ICS-CERT)、CERT@VDE、MITRE 以及工业自动化供应商施耐德电气和西门子.

“在将事物连接到互联网数十年后,网络物理系统正在对我们在现实世界中的体验产生直接影响,包括我们吃的食物、喝的水、乘坐的电梯以及我们接受的医疗服务, ” Claroty 研究副总裁 Amir Preminger 说。

“我们开展这项研究是为了让这些关键领域的决策者对XIoT漏洞状况有一个完整的了解,使他们能够正确评估、优先处理和解决支撑公共安全、患者健康、智能电网和公用事业等的关键任务系统的风险。”

主要发现

  • 物联网设备:15% 的漏洞出现在物联网设备中,与 Team82 上一份涵盖 2021 年下半年 (2H) 的报告中的 9% 相比显着增加。此外,物联网和 IoMT 漏洞的组合首次出现 (18.2%) ) 超过 IT 漏洞 (16.5%)。这表明供应商和研究人员加强了对保护这些连接设备的理解,因为它们可以成为更深入的网络渗透的门户。
  • 供应商自我披露:供应商自我披露 (29%) 首次超过独立研究机构 (19%),成为仅次于第三方安全公司 (45%) 的第二大漏洞报告者。发布的 214 个 CVE 几乎是 Team82 2H 2021 报告中的 127 个总数的两倍。这表明越来越多的 OT、IoT 和 IoMT 供应商正在建??立漏洞披露程序,并投入更多资源来检查其产品的安全性和安全性。
  • 固件:已发布的固件漏洞与软件漏洞几乎持平(分别为 46% 和 48%),与 2H 2021 报告相比大幅跃升,当时软件 (62%) 和固件 (37%) 之间的差距几乎为 2:1 .该报告还显示,完全或部分修复的固件漏洞显着增加(2022 年 1 月为 40%,高于 2021 年 2 月的 21%),鉴于更新周期较长和维护窗口不频繁,修补固件面临相对挑战,这一点值得注意。这表明研究人员对保护低级别 Purdue 模型的设备越来越感兴趣,这些设备与流程本身更直接相关,因此对攻击者来说更有吸引力。
  • 数量和严重性:平均而言,XIoT 漏洞以每月 125 个的速度发布和解决,到 2022 年上半年达到 747 个。绝大多数的 CVSS 得分为严重 (19%) 或高严重性 (46%) )。
  • 影响:近四分之三 (71%) 对系统和设备可用性有很大影响,这是最适用于 XIoT 设备的影响指标。主要的潜在影响是未经授权的远程代码或命令执行(在 54% 的漏洞中普遍存在),其次是拒绝服务条件(崩溃、退出或重启),占 43%。
  • 缓解措施:首要缓解措施是网络分段(在 45% 的漏洞披露中建议使用),其次是安全远程访问 (38%) 和勒索软件、网络钓鱼和垃圾邮件防护 (15%)。
  • Team82 贡献:Team82 继续在 OT 漏洞研究方面处于领先地位,在 1H 2022 中披露了 44 个漏洞,迄今为止共披露了 335 个漏洞。
责任编辑:华轩 来源: 千家网
相关推荐

2022-09-15 09:49:17

网络安全扩展物联网漏洞

2022-06-15 14:29:41

NFT加密货币游戏

2022-07-31 23:43:10

网络安全漏洞风险管理

2021-02-07 11:39:42

工控系统漏洞网络攻击

2021-08-31 16:58:04

漏洞网络安全网络攻击

2021-08-13 10:48:26

漏洞网络安全网络攻击

2023-06-14 13:59:05

2018-08-04 06:35:41

物联网IOT智能

2010-01-21 10:18:17

成绩查询

2023-08-06 00:07:31

ICS漏洞​ICS

2019-08-28 14:17:31

网络安全信息安全网络攻击

2011-12-31 09:11:46

服务器宕机数据中心

2021-09-03 13:58:28

漏洞工业控制系统ICS

2009-02-10 15:18:26

软考成绩查询

2021-09-07 09:02:44

UI设计风格

2010-10-18 14:05:04

软考

2021-09-28 09:45:38

AMD芯片短缺工厂

2010-08-25 12:02:59

LTE

2018-12-17 07:45:16

深度学习机器学习自然语言

2012-07-26 16:25:16

点赞
收藏

51CTO技术栈公众号