2023年風(fēng)險最高的20種聯(lián)網(wǎng)設(shè)備
網(wǎng)絡(luò)安全公司Forescout根據(jù)其企業(yè)客戶的匿名遙測數(shù)據(jù)研究��,公布了2023年風(fēng)險最高的20種聯(lián)網(wǎng)設(shè)備榜單���;與2022年的榜單相比����,2023年有7種新設(shè)備類型上榜(下圖����,藍(lán)色高亮內(nèi)容為新增設(shè)備類別)���,包括:
● VPN網(wǎng)關(guān)
● 網(wǎng)絡(luò)安全設(shè)備
● 網(wǎng)絡(luò)附加存儲(NAS)
● 帶外管理(OOBM)平臺
● 工程工作站
● 遠(yuǎn)程終端單元(RTU)
● 血糖監(jiān)測儀
Forescout分析了1900萬臺現(xiàn)實世界企業(yè)設(shè)備的風(fēng)險因素���,例如已知漏洞、開放端口�、遺留操作系統(tǒng)、端點保護(hù)����、互聯(lián)網(wǎng)暴露等��,涵蓋不同行業(yè)和設(shè)備使用類別(例如IT�����、物聯(lián)網(wǎng)����、運營技術(shù)或工業(yè)物聯(lián)網(wǎng))和醫(yī)療設(shè)備(物聯(lián)網(wǎng))���。
2023年最危險設(shè)備榜單中13種設(shè)備與去年的榜單相同,包括:IT類別中的計算機(jī)���、服務(wù)器和路由器�、物聯(lián)網(wǎng)中的打印機(jī)���、IP攝像機(jī)和VoIP系統(tǒng)�、不間斷電源(UPS)���、可編程邏輯控制器(PLC)和工業(yè)物聯(lián)網(wǎng)中的樓宇自動化系統(tǒng)�、醫(yī)療工作站�����、成像設(shè)備��、核醫(yī)學(xué)系統(tǒng)以及物聯(lián)網(wǎng)中的患者監(jiān)視器��。
Forescout通過三類因素來確定設(shè)備的風(fēng)險評分:
● 配置——設(shè)備上存在的漏洞和開放端口的數(shù)量和嚴(yán)重性
● 功能——根據(jù)設(shè)備的用途對組織的潛在影響
● 行為——互聯(lián)網(wǎng)暴露以及連接到設(shè)備或設(shè)備連接到的IP地址的聲譽
醫(yī)療是設(shè)備風(fēng)險最高的行業(yè)
Forescout追蹤了1900萬臺網(wǎng)絡(luò)設(shè)備中存在的4000多個漏洞。正如預(yù)期的那樣���,其中大多數(shù)(78%)影響了IT設(shè)備����,該類別包括企業(yè)網(wǎng)絡(luò)上最常見的設(shè)備類型�����,例如計算機(jī)和服務(wù)器��。物聯(lián)網(wǎng)設(shè)備類別占漏洞的16%�����,工業(yè)設(shè)備占6%����,醫(yī)療設(shè)備占2%。
然而���,并非所有漏洞都是平等的�,也并非所有漏洞都很容易修復(fù)�。例如,對于IT設(shè)備來說�,只有20%的漏洞是嚴(yán)重的,而對于OT和IoT設(shè)備來說���,有一半的漏洞是嚴(yán)重漏洞����,80%的醫(yī)療設(shè)備都存在會導(dǎo)致設(shè)備被完全接管的嚴(yán)重漏洞(下圖):
此外�����,像OT和醫(yī)療領(lǐng)域使用的專用嵌入式設(shè)備比運行Windows的計算機(jī)更難修補�,因為這些設(shè)備大多數(shù)都運行專門的固件,而不是Windows或Linux等通用操作系統(tǒng)�����。
與Forescout之前的2022年分析相比�����,醫(yī)療是高風(fēng)險和中風(fēng)險設(shè)備數(shù)量最多的行業(yè)����,也是唯一一個此類設(shè)備數(shù)量有所增加的行業(yè)�。其次是零售��、制造���、金融���、和政府。
自去年以來��,美國政府部門中高風(fēng)險設(shè)備的數(shù)量減少幅度最大——從40%降至10%�。這可能是因為美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)維護(hù)著一份不斷更新的已知在野外被利用的漏洞列表(目前超過900個),而美國政府機(jī)構(gòu)各部分需要在指定的最后期限內(nèi)修補這些漏洞��,這可能在減少政府設(shè)備漏洞方面發(fā)揮了作用�。
漏洞管理的噩夢
運行專用操作系統(tǒng)和固件的嵌入式設(shè)備通常更難修補漏洞。醫(yī)療和零售業(yè)是嵌入式設(shè)備數(shù)量最多的行業(yè)���,同時也是中高風(fēng)險設(shè)備數(shù)量最多的行業(yè)����。
“各種專用操作系統(tǒng)(我們在DeviceCloud上觀察到超過2500個獨特版本)對于安全團(tuán)隊來說是一場噩夢�����,這也是需要了解聯(lián)網(wǎng)設(shè)備的主要原因之一,”Forescout研究人員說:“嵌入式固件還因存在系統(tǒng)安全問題而聞名��,例如后門��、硬編碼憑據(jù)和密鑰以及內(nèi)存損壞漏洞����。”
設(shè)備運行Windows并不意味著它很容易打補丁�。所有行業(yè)的許多特殊用途設(shè)備都運行不再受支持的舊版本W(wǎng)indows版本,例如Windows8�����、7����、XP和CE。醫(yī)療和零售業(yè)在其網(wǎng)絡(luò)上的此類設(shè)備數(shù)量方面再次領(lǐng)先�����,運行舊版Windows版本的設(shè)備所占比例最大的設(shè)備類別是OT(占63%)和醫(yī)療設(shè)備(占35%)���。
開放端口和資產(chǎn)暴露風(fēng)險
開放通信端口是另一個可能增加風(fēng)險的因素����,特別是Telnet等傳統(tǒng)協(xié)議或SSH、SMB�、RDP等常用協(xié)議。
不同行業(yè)的開放端口分布
數(shù)據(jù)來源:Forescout
研究人員表示:“除中小企業(yè)外�����,醫(yī)療在所有開放端口協(xié)議中均處于領(lǐng)先地位�。”“醫(yī)療行業(yè)中近10%的設(shè)備仍然打開Telnet端口,而其他行業(yè)中只有大約3%到4%的設(shè)備存在這種情況����。SMB協(xié)議是各行業(yè)開放端口最多的協(xié)議,尤其是金融服務(wù)業(yè)(29%)�����,制造業(yè)的SMB協(xié)議風(fēng)險敞口要低得多�,為24%。”
并非所有設(shè)備都可以運行防病毒等端點安全代理�,但即使在安裝了此類代理的設(shè)備上,它們有時也會被禁用����。金融服務(wù)和政府部門安裝和禁用端點安全代理的設(shè)備數(shù)量最多(各占24%)���,其次是醫(yī)療部門(21%)、制造業(yè)(17%)和零售業(yè)(10%)���。
政府設(shè)備經(jīng)常會針對已知的危害指標(biāo)(IoC)(例如與已知的惡意IP地址和域名通信)觸發(fā)警報,政府網(wǎng)絡(luò)中的設(shè)備觸發(fā)了Forescout監(jiān)控的63%的IoC的檢測���,而醫(yī)療行業(yè)的這一比例為19%�����,金融服務(wù)行業(yè)的比例為8%����。零售和制造領(lǐng)域的設(shè)備僅觸發(fā)了5%的IoC警報����。
雖然直接暴露于互聯(lián)網(wǎng)并不一定意味著設(shè)備會受到損害,但如果該設(shè)備存在已知的未修補漏洞或未及時安裝補丁����,則肯定會增加風(fēng)險。正如預(yù)期的那樣���,路由器和其他網(wǎng)絡(luò)設(shè)備以及安全設(shè)備約占互聯(lián)網(wǎng)暴露設(shè)備的一半�,分別為25%和33%,因為這些通常是控制或檢查進(jìn)出公司網(wǎng)絡(luò)的流量的外圍設(shè)備����。接下來是IP攝像機(jī),占互聯(lián)網(wǎng)暴露設(shè)備的23%����,NAS設(shè)備占7%,VoIP系統(tǒng)占3%����,打印機(jī)占2%,其他IoT設(shè)備占大約5%是�����,其余2%是OT設(shè)備(下圖):
暴露設(shè)備的行業(yè)統(tǒng)計數(shù)據(jù)(下圖)還揭示了一些有趣的趨勢��。例如�����,政府、制造和零售垂直行業(yè)有大量暴露在互聯(lián)網(wǎng)上的NAS設(shè)備�,政府和金融服務(wù)也有許多暴露在互聯(lián)網(wǎng)上的打印機(jī)。與其他垂直行業(yè)相比�,金融服務(wù)擁有更多數(shù)量的OT設(shè)備以及許多安全設(shè)備,只有醫(yī)療行業(yè)才能與之“媲美”�。
如何降低企業(yè)設(shè)備風(fēng)險
根據(jù)Forescout的建議,企業(yè)應(yīng)采取具體行動來降低風(fēng)險:
● 舊版Windows以及OT和IoMT(醫(yī)療聯(lián)網(wǎng)設(shè)備)中高危漏洞的普遍存在意味著組織需要立即采取行動計劃來盡可能升級�、更換或隔離這些設(shè)備。
● IT設(shè)備中的端點保護(hù)解決方案經(jīng)常被禁用�����,這意味著企業(yè)必須采用自動化設(shè)備合規(guī)性驗證和實施��,以確保不合規(guī)的設(shè)備無法連接到網(wǎng)絡(luò)����。
● 常見的暴露設(shè)備(例如IP攝像機(jī))和危險的開放端口(例如Telnet)意味著企業(yè)必須改進(jìn)網(wǎng)絡(luò)安全工作�,包括網(wǎng)絡(luò)分段。
Forescout研究人員表示:“風(fēng)險和暴露管理必須涵蓋所有類別設(shè)備���,以降低整個組織的風(fēng)險�����。”“除了風(fēng)險評估之外��,風(fēng)險緩解還應(yīng)該采用不完全依賴安全代理的自動化控制��。這些控制措施必須覆蓋整個企業(yè)����,而不僅是IT網(wǎng)絡(luò)、OT網(wǎng)絡(luò)或特定類型的物聯(lián)網(wǎng)設(shè)備孤島���。”
來源:GoUpSec
在線咨詢
在線咨詢
0371-63319761