物聯(lián)網(wǎng)漏洞報(bào)告仍然很少

物聯(lián)網(wǎng)設(shè)備正以創(chuàng)紀(jì)錄的數(shù)量激增，僅以旨在竊取數(shù)據(jù)和劫持其運(yùn)營(yíng)的攻擊的增長(zhǎng)為目標(biāo)。與此同時(shí)，消費(fèi)設(shè)備供應(yīng)商繼續(xù)拒絕報(bào)告其設(shè)備中的漏洞：自從我們一年半前討論這個(gè)主題以來(lái)，報(bào)告數(shù)字并沒(méi)有太大改善。

對(duì)已部署和將要部署的物聯(lián)網(wǎng)設(shè)備數(shù)量的估計(jì)差異很大。例如，雖然一些分析師的數(shù)量是兩倍或更多，但IoT Analytics在 9 月份預(yù)測(cè)，到 2021 年底，全球連接的物聯(lián)網(wǎng)設(shè)備的數(shù)量將達(dá)到 123 億個(gè)活動(dòng)端點(diǎn)。到 2025 年，該公司預(yù)計(jì)這一數(shù)字將達(dá)到超過(guò)270億。由于 Covid-19 大流行和芯片短缺，去年設(shè)備增長(zhǎng)僅略有放緩。

根據(jù)卡巴斯基 9 月份的數(shù)據(jù)，2021 年上半年，對(duì)這些設(shè)備的攻擊翻了一番，達(dá)到 15 億次。

漏洞不斷暴露，例如 Forescout 和 JSOF 發(fā)現(xiàn)的NAME:WRECK DNS 漏洞，可能影響 1 億臺(tái) IoT 設(shè)備，以及Nozomi Networks 報(bào)告的安全攝像頭漏洞，影響數(shù)百萬(wàn)臺(tái)聯(lián)網(wǎng)設(shè)備。

7 月，Zscaler ThreatLabz 的一項(xiàng)研究報(bào)告稱，與 2019 年封鎖前期間發(fā)生的類似攻擊相比，在 2020 年 12 月 15 日至 31 日期間的 5 億次設(shè)備交易中，對(duì)物聯(lián)網(wǎng)設(shè)備的惡意軟件攻擊增加了 700%。

根據(jù) Ordr 于 8 月發(fā)布的2021 年“機(jī)器崛起”報(bào)告，超過(guò) 40% 的聯(lián)網(wǎng)設(shè)備現(xiàn)在是“無(wú)代理的”，這意味著它們無(wú)法受到傳統(tǒng)端點(diǎn)安全代理的保護(hù)。其中包括工業(yè)環(huán)境中的常見(jiàn)設(shè)備，例如 IP 電話、打印機(jī)、安全攝像頭和徽章閱讀器。近一半的連接設(shè)備容易受到中度和高度嚴(yán)重性的攻擊。

與此同時(shí)， Tripwire 去年 3 月調(diào)查的99% 的安全專業(yè)人士表示，他們?cè)诒Ｗo(hù)組織的物聯(lián)網(wǎng)和工業(yè)物聯(lián)網(wǎng)設(shè)備方面面臨挑戰(zhàn)。大約三分之二的人表示，他們?cè)趪L試發(fā)現(xiàn)和修復(fù)漏洞方面遇到了問(wèn)題。

未報(bào)告的漏洞

漏洞報(bào)告程序現(xiàn)在被廣泛認(rèn)為是物聯(lián)網(wǎng)設(shè)備安全的基本要求。然而，根據(jù)物聯(lián)網(wǎng)安全基金會(huì)關(guān)于設(shè)備漏洞披露的第四份報(bào)告，報(bào)告從 2020 年的 18.9% 增長(zhǎng)到 2021 年的 21.26%，增幅很小。

資料來(lái)源：物聯(lián)網(wǎng)安全基金會(huì)

該研究指出：“幾乎五分之四的公司仍未提供非常基本的安全衛(wèi)生機(jī)制，以便向供應(yīng)商報(bào)告安全漏洞以便修復(fù)它們?！?“這是令人無(wú)法接受的低水平。”

IoTSF 董事總經(jīng)理 John Moor 告訴EE Times ，雖然有一些改善，但報(bào)告從 2019 年到 2020 年期間從 13.3% 躍升至 18.9%，主要是由于“預(yù)期監(jiān)管要求”增加了更多的消費(fèi)設(shè)備類別。報(bào)告中討論的未決或即將出臺(tái)的物聯(lián)網(wǎng)安全法規(guī)包括來(lái)自英國(guó)和美國(guó)政府的法規(guī)。例如，英國(guó)正在尋求強(qiáng)制性的物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)，并以違規(guī)罰款為后盾。

約翰·摩爾

2021 年，IoTSF 報(bào)告增加了 B2B 類別，以評(píng)估消費(fèi)者和企業(yè)實(shí)踐之間的差異；Moor 說(shuō)，B2B 的數(shù)字看起來(lái)比 B2C 的數(shù)字要好得多。這部分是因?yàn)閾碛杏行У膮f(xié)調(diào)漏洞披露計(jì)劃的公司往往是大型的傳統(tǒng) IT 供應(yīng)商，而規(guī)模較小、相對(duì)較新的消費(fèi)者公司則相反。

至于消費(fèi)者供應(yīng)商的報(bào)告，進(jìn)展仍然是“緩慢的”，Moor 說(shuō)?！半m然有些公司可能仍然不知道有什么幫助可用，但由于有關(guān)法規(guī)和免費(fèi)材料的大量宣傳，這種借口已經(jīng)沒(méi)有太多空間了，”他說(shuō)。

“此外，漏洞披露可以外包給第三方，這意味著公司也可以獲得外部專業(yè)知識(shí)或額外能力，所以這也不是一個(gè)有效的借口。然而，消費(fèi)物聯(lián)網(wǎng)行業(yè)仍未能滿足市場(chǎng)對(duì)售后漏洞修復(fù)的明確需求?！?/p>

Moor 說(shuō)，盡管物聯(lián)網(wǎng)安全存在幾個(gè)強(qiáng)有力的標(biāo)準(zhǔn)，但它們不是強(qiáng)制性的。與商業(yè)買家不同，消費(fèi)者傾向于假設(shè)他們是否可以購(gòu)買產(chǎn)品，它必須是安全的。此外，眾所周知，消費(fèi)者的利潤(rùn)率非常低?！八?，如果你的市場(chǎng)沒(méi)有特別要求安全，也沒(méi)有法規(guī)要求，供應(yīng)商可能會(huì)合理地問(wèn)‘為什么要增加成本？’”

設(shè)備安全很難

拉里·奧康奈爾

連接設(shè)備沒(méi)有得到更好保護(hù)的原因之一是物聯(lián)網(wǎng)安全性很困難?！?a target="_blank">微處理器很難保護(hù)，”Sequitur Labs 營(yíng)銷副總裁拉里·奧康奈爾說(shuō)。Sequitur Labs 專注于網(wǎng)絡(luò)邊緣智能設(shè)備的芯片到云安全，主要是工業(yè)客戶和一些芯片供應(yīng)商。

O'Connell 說(shuō)，安全性被取消了優(yōu)先級(jí)，并且整個(gè)披露過(guò)程沒(méi)有得到妥善管理，因?yàn)槲锫?lián)網(wǎng)供應(yīng)商不從事安全業(yè)務(wù)。他們的首要任務(wù)是構(gòu)建設(shè)備并快速發(fā)貨。“安全不是他們的世界，這是一個(gè)難以解決的問(wèn)題，”他說(shuō)。“披露是同一件事的延伸：一般的安全性和披露，在產(chǎn)品生命周期的整個(gè)設(shè)計(jì)、開(kāi)發(fā)和部署階段都需要放在首位?！?/p>

Sequitur Labs 首席執(zhí)行官 Philip Attfield 補(bǔ)充說(shuō)，安全性也是一個(gè)不斷變化的目標(biāo)?！澳惚仨毎ㄋ⒖紤]處理它的機(jī)制，”阿特菲爾德說(shuō)。“流程必須到位，以便現(xiàn)場(chǎng)操作系統(tǒng)的任何人都可以維護(hù)它們?！?/p>

處理器類經(jīng)常決定系統(tǒng)攻擊，這也受系統(tǒng)架構(gòu)的影響。“如果它是大容量微處理器，它的供應(yīng)商將盡可能降低成本，”Attfield 說(shuō)。系統(tǒng)壽命也是一個(gè)因素?！皩?duì)于消費(fèi)者系統(tǒng)，需要兩到五年；對(duì)于工業(yè)來(lái)說(shuō)，它是五到十年，甚至更長(zhǎng)。因此，它歸結(jié)為風(fēng)險(xiǎn)與將所有這些系統(tǒng)部署到位以進(jìn)行管理的費(fèi)用?！?/p>

菲利普·阿特菲爾德

到 2022 年，由于正在處理的原始數(shù)據(jù)量，網(wǎng)絡(luò)邊緣智能設(shè)備中 AI 部署的大幅增加只會(huì)增加保護(hù)物聯(lián)網(wǎng)和工業(yè)物聯(lián)網(wǎng)設(shè)備的緊迫性?！癐P 現(xiàn)在處于邊緣，”O(jiān)'Connell 說(shuō)。

鑒于軟件堆棧和存儲(chǔ)架構(gòu)的變化，另一個(gè)趨勢(shì)是“電子系統(tǒng)的可破壞足跡實(shí)際上非常小，而且規(guī)模正在迅速縮小，”Attfield 說(shuō)?！袄?，智能手機(jī)越來(lái)越難破解，支付終端也發(fā)生了同樣的事情。

“因此，接下來(lái)受到攻擊的將是其他尚未趕上的系統(tǒng)，例如工業(yè)控制系統(tǒng)和醫(yī)療設(shè)備，”他預(yù)測(cè)道。

審核編輯 黃昊宇