近年来,物联网(IoT)漏洞激增。越来越多的威胁行为者通过横向移动未打补丁且通常不受保护的物联网网关来访问关键网络。
一个特别容易受到影响的部门是关键的基础设施行业。CNI(关键国家基础设施)组织正在将更多智能设备和基于云的IT系统连接到工业运营技术(OT)系统,以支持远程访问并提高效率。然而,这为威胁行为者创造了一个机会,为他们提供了更大的利用范围。
为了解决这一问题,关键基础设施行业必须能够快速识别、披露和修补隐藏在整个扩展物联网(XIoT)中的所有漏洞。XIoT指的是所有的信息物理系统,从OT和工业控制系统(ICS)到医疗物联网(IoMT)。
然而,仅靠组织来监控和披露如此广泛的系统中的所有漏洞几乎是不可能的。在很大程度上,供应商和第三方必须在识别和报告漏洞方面发挥关键作用-正如我们最近的发现所表明的那样,他们已经开始发挥这一作用。
物联网漏洞披露的状态
最新的XIoT漏洞评估报告发现,与前六个月相比,2022年上半年影响物联网设备的漏洞披露增加了57%。在同一时期,供应商的自我披露增加了69%。
供应商自我披露的漏洞数量首次超过独立研究机构,成为仅次于第三方安全公司(45%)的第二大漏洞报告机构。这表明,与以往相比,越来越多的OT、IoT和IoMT供应商正在建立漏洞披露计划,并增加资源来检查其产品的安全性。
我们还观察到供应商的漏洞披露程序已经显著成熟。越来越多的供应商现在已经建立了专门的产品应急响应团队,他们正在持续努力识别和报告漏洞。他们还简化和简化了这一过程,并为公开报告创造了更多的空间。
例如,一些供应商在他们的网站上有专门的网页,其中包括用于漏洞报告的电子邮件地址。他们还提供公共加密密钥,以安全地传递有关安全漏洞的任何信息。
但是,是什么导致供应商提高了警惕呢?这可能是由于CNI组织面临的关键供应链攻击和威胁显著增加造成的。以前由供应商系统或设备泄露发起的攻击已经导致供应商和第三方受到严格审查。基于物联网的攻击也曾威胁到人类生命。就在两年前,针对德国一家医院数字基础设施的勒索软件攻击影响了医生操作和治疗危重病人的能力。这次袭击甚至导致一名病人死亡。
XIoT漏洞导致了网络物理犯罪的真实可能性。这就是为什么组织也在选择供应商时执行严格的标准,要求他们在网络安全实践方面更加警惕和稳健。这种日益积极的姿态可能有助于提高供应商在更有效地披露物联网漏洞方面的警惕性。
平均而言,XIoT漏洞以每月125个的速度发布和解决,到2022年上半年达到747个。绝大多数患者的CVSS评分为严重(19%)或严重(46%)。这表明整个行业在物联网系统的安全监控方面都有所提高。
尽管漏洞披露的实践和过程已经成熟,但如果安全漏洞继续以前所未有的速度增长,组织和供应商可能无法保持面子。此外,即使有一小部分漏洞未被发现,也可能导致严重的安全事件。
因此,每个组织都必须有适当的防御措施,以减少任何重大安全缺陷的可能性,并采取积极的措施来减轻风险,即使漏洞被利用。
哪些主动措施可以帮助组织防范XIoT漏洞?
网络分段无疑是XIoT漏洞缓解的冠军。它将整个网络划分为多个段或子网,从而将物联网连接的设备和系统与核心网络和内部资源隔离开来。
随着OT系统、医疗设备和具有物联网设备的嵌入式系统等关键资源不再是气隙性的,细分可以通过限制外部和内部对这些关键资源的访问来帮助提高安全弹性。即使发生了入侵,也可以阻止攻击者横向移动整个网络并访问关键的控制系统。这种主动的方法可以帮助组织保留检查网络流量和OT、医疗和物联网特定协议的能力,以检测和防御异常行为。
此外,组织必须有效地管理云的安全风险。如前所述,许多XIoT设备,特别是OT内的设备,不再是气隙的,因此具有更大的攻击面。威胁行为者可能会看到一个机会,以大规模连接暴露的漏洞为目标。组织应在其云存储库中实施积极主动的措施,如加密和安全通信、MFA和特权访问管理,以建立有效的风险管理。
虽然XIoT漏洞披露在最近一段时间内显著增加,但很明显,一些漏洞仍未被发现和修复,给组织造成了重大的安全问题。因此,讨论的主动安全措施可以帮助组织保持领先于这些未被发现的威胁,并提高其安全弹性。