物聯(lián)網(wǎng)設(shè)備正以創(chuàng)紀(jì)錄的數(shù)量激增,僅以旨在竊取數(shù)據(jù)和劫持其運(yùn)營(yíng)的攻擊的增長(zhǎng)為目標(biāo)。與此同時(shí),消費(fèi)設(shè)備供應(yīng)商繼續(xù)拒絕報(bào)告其設(shè)備中的漏洞:自從我們一年半前討論這個(gè)主題以來(lái),報(bào)告數(shù)字并沒(méi)有太大改善。
對(duì)已部署和將要部署的物聯(lián)網(wǎng)設(shè)備數(shù)量的估計(jì)差異很大。例如,雖然一些分析師的數(shù)量是兩倍或更多,但IoT Analytics在 9 月份預(yù)測(cè),到 2021 年底,全球連接的物聯(lián)網(wǎng)設(shè)備的數(shù)量將達(dá)到 123 億個(gè)活動(dòng)端點(diǎn)。到 2025 年,該公司預(yù)計(jì)這一數(shù)字將達(dá)到超過(guò)270億。由于 Covid-19 大流行和芯片短缺,去年設(shè)備增長(zhǎng)僅略有放緩。
根據(jù)卡巴斯基 9 月份的數(shù)據(jù),2021 年上半年,對(duì)這些設(shè)備的攻擊翻了一番,達(dá)到 15 億次。
漏洞不斷暴露,例如 Forescout 和 JSOF 發(fā)現(xiàn)的NAME:WRECK DNS 漏洞,可能影響 1 億臺(tái) IoT 設(shè)備,以及Nozomi Networks 報(bào)告的安全攝像頭漏洞,影響數(shù)百萬(wàn)臺(tái)聯(lián)網(wǎng)設(shè)備。
7 月,Zscaler ThreatLabz 的一項(xiàng)研究報(bào)告稱,與 2019 年封鎖前期間發(fā)生的類似攻擊相比,在 2020 年 12 月 15 日至 31 日期間的 5 億次設(shè)備交易中,對(duì)物聯(lián)網(wǎng)設(shè)備的惡意軟件攻擊增加了 700%。
根據(jù) Ordr 于 8 月發(fā)布的2021 年“機(jī)器崛起”報(bào)告,超過(guò) 40% 的聯(lián)網(wǎng)設(shè)備現(xiàn)在是“無(wú)代理的”,這意味著它們無(wú)法受到傳統(tǒng)端點(diǎn)安全代理的保護(hù)。其中包括工業(yè)環(huán)境中的常見(jiàn)設(shè)備,例如 IP 電話、打印機(jī)、安全攝像頭和徽章閱讀器。近一半的連接設(shè)備容易受到中度和高度嚴(yán)重性的攻擊。
與此同時(shí), Tripwire 去年 3 月調(diào)查的99% 的安全專業(yè)人士表示,他們?cè)诒Wo(hù)組織的物聯(lián)網(wǎng)和工業(yè)物聯(lián)網(wǎng)設(shè)備方面面臨挑戰(zhàn)。大約三分之二的人表示,他們?cè)趪L試發(fā)現(xiàn)和修復(fù)漏洞方面遇到了問(wèn)題。
未報(bào)告的漏洞
漏洞報(bào)告程序現(xiàn)在被廣泛認(rèn)為是物聯(lián)網(wǎng)設(shè)備安全的基本要求。然而,根據(jù)物聯(lián)網(wǎng)安全基金會(huì)關(guān)于設(shè)備漏洞披露的第四份報(bào)告,報(bào)告從 2020 年的 18.9% 增長(zhǎng)到 2021 年的 21.26%,增幅很小。
資料來(lái)源:物聯(lián)網(wǎng)安全基金會(huì)
該研究指出:“幾乎五分之四的公司仍未提供非常基本的安全衛(wèi)生機(jī)制,以便向供應(yīng)商報(bào)告安全漏洞以便修復(fù)它們?!?“這是令人無(wú)法接受的低水平。”
IoTSF 董事總經(jīng)理 John Moor 告訴EE Times ,雖然有一些改善,但報(bào)告從 2019 年到 2020 年期間從 13.3% 躍升至 18.9%,主要是由于“預(yù)期監(jiān)管要求”增加了更多的消費(fèi)設(shè)備類別。報(bào)告中討論的未決或即將出臺(tái)的物聯(lián)網(wǎng)安全法規(guī)包括來(lái)自英國(guó)和美國(guó)政府的法規(guī)。例如,英國(guó)正在尋求強(qiáng)制性的物聯(lián)網(wǎng)安全標(biāo)準(zhǔn),并以違規(guī)罰款為后盾。
約翰·摩爾
2021 年,IoTSF 報(bào)告增加了 B2B 類別,以評(píng)估消費(fèi)者和企業(yè)實(shí)踐之間的差異;Moor 說(shuō),B2B 的數(shù)字看起來(lái)比 B2C 的數(shù)字要好得多。這部分是因?yàn)閾碛杏行У膮f(xié)調(diào)漏洞披露計(jì)劃的公司往往是大型的傳統(tǒng) IT 供應(yīng)商,而規(guī)模較小、相對(duì)較新的消費(fèi)者公司則相反。
至于消費(fèi)者供應(yīng)商的報(bào)告,進(jìn)展仍然是“緩慢的”,Moor 說(shuō)?!半m然有些公司可能仍然不知道有什么幫助可用,但由于有關(guān)法規(guī)和免費(fèi)材料的大量宣傳,這種借口已經(jīng)沒(méi)有太多空間了,”他說(shuō)。
“此外,漏洞披露可以外包給第三方,這意味著公司也可以獲得外部專業(yè)知識(shí)或額外能力,所以這也不是一個(gè)有效的借口。然而,消費(fèi)物聯(lián)網(wǎng)行業(yè)仍未能滿足市場(chǎng)對(duì)售后漏洞修復(fù)的明確需求?!?/p>
Moor 說(shuō),盡管物聯(lián)網(wǎng)安全存在幾個(gè)強(qiáng)有力的標(biāo)準(zhǔn),但它們不是強(qiáng)制性的。與商業(yè)買家不同,消費(fèi)者傾向于假設(shè)他們是否可以購(gòu)買產(chǎn)品,它必須是安全的。此外,眾所周知,消費(fèi)者的利潤(rùn)率非常低?!八?,如果你的市場(chǎng)沒(méi)有特別要求安全,也沒(méi)有法規(guī)要求,供應(yīng)商可能會(huì)合理地問(wèn)‘為什么要增加成本?’”
設(shè)備安全很難
拉里·奧康奈爾
連接設(shè)備沒(méi)有得到更好保護(hù)的原因之一是物聯(lián)網(wǎng)安全性很困難?!?a target="_blank">微處理器很難保護(hù),”Sequitur Labs 營(yíng)銷副總裁拉里·奧康奈爾說(shuō)。Sequitur Labs 專注于網(wǎng)絡(luò)邊緣智能設(shè)備的芯片到云安全,主要是工業(yè)客戶和一些芯片供應(yīng)商。
O'Connell 說(shuō),安全性被取消了優(yōu)先級(jí),并且整個(gè)披露過(guò)程沒(méi)有得到妥善管理,因?yàn)槲锫?lián)網(wǎng)供應(yīng)商不從事安全業(yè)務(wù)。他們的首要任務(wù)是構(gòu)建設(shè)備并快速發(fā)貨。“安全不是他們的世界,這是一個(gè)難以解決的問(wèn)題,”他說(shuō)。“披露是同一件事的延伸:一般的安全性和披露,在產(chǎn)品生命周期的整個(gè)設(shè)計(jì)、開(kāi)發(fā)和部署階段都需要放在首位?!?/p>
Sequitur Labs 首席執(zhí)行官 Philip Attfield 補(bǔ)充說(shuō),安全性也是一個(gè)不斷變化的目標(biāo)?!澳惚仨毎ㄋ⒖紤]處理它的機(jī)制,”阿特菲爾德說(shuō)。“流程必須到位,以便現(xiàn)場(chǎng)操作系統(tǒng)的任何人都可以維護(hù)它們?!?/p>
處理器類經(jīng)常決定系統(tǒng)攻擊,這也受系統(tǒng)架構(gòu)的影響。“如果它是大容量微處理器,它的供應(yīng)商將盡可能降低成本,”Attfield 說(shuō)。系統(tǒng)壽命也是一個(gè)因素?!皩?duì)于消費(fèi)者系統(tǒng),需要兩到五年;對(duì)于工業(yè)來(lái)說(shuō),它是五到十年,甚至更長(zhǎng)。因此,它歸結(jié)為風(fēng)險(xiǎn)與將所有這些系統(tǒng)部署到位以進(jìn)行管理的費(fèi)用?!?/p>
菲利普·阿特菲爾德
到 2022 年,由于正在處理的原始數(shù)據(jù)量,網(wǎng)絡(luò)邊緣智能設(shè)備中 AI 部署的大幅增加只會(huì)增加保護(hù)物聯(lián)網(wǎng)和工業(yè)物聯(lián)網(wǎng)設(shè)備的緊迫性?!癐P 現(xiàn)在處于邊緣,”O(jiān)'Connell 說(shuō)。
鑒于軟件堆棧和存儲(chǔ)架構(gòu)的變化,另一個(gè)趨勢(shì)是“電子系統(tǒng)的可破壞足跡實(shí)際上非常小,而且規(guī)模正在迅速縮小,”Attfield 說(shuō)?!袄?,智能手機(jī)越來(lái)越難破解,支付終端也發(fā)生了同樣的事情。
“因此,接下來(lái)受到攻擊的將是其他尚未趕上的系統(tǒng),例如工業(yè)控制系統(tǒng)和醫(yī)療設(shè)備,”他預(yù)測(cè)道。
審核編輯 黃昊宇
-
物聯(lián)網(wǎng)
+關(guān)注
關(guān)注
2894文章
43301瀏覽量
366346 -
物聯(lián)網(wǎng)安全
+關(guān)注
關(guān)注
1文章
111瀏覽量
17169 -
漏洞
+關(guān)注
關(guān)注
0文章
203瀏覽量
15258
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論