目前�����,擴展物聯(lián)網(wǎng)(XIoT)已經得到了廣泛應用�,無論是在生活場所還是在互聯(lián)網(wǎng)上����,XIoT與商業(yè)環(huán)境的融合應用已經非常普遍��,但安全公司Phosphous的一份新報告卻發(fā)現(xiàn)�����,XIoT設備并沒有得到充分的保護�,存在巨大的安全風險。同時�,大部分企業(yè)都沒有對其XIoT 設備進行清點,而這些設備大多數(shù)都存在高安全風險或嚴重漏洞�。并且,高達99%的XIoT密碼的安全性都沒有滿足行業(yè)標準�。
XIoT設備安全風險易被忽視
據(jù)Phosphous五年以來的研究發(fā)現(xiàn),目前XIoT設備的使用數(shù)量已經比全球人口還多數(shù)倍以上��,截至2020年���,約有500億臺設備�����。據(jù)調查���,每個企業(yè)員工平均擁有三到五臺XIoT設備��。因此����,設備密碼成為最大的網(wǎng)絡安全風險�,報告估計,有99%XIoT設備密碼的不符合行業(yè)要求��,有50%的設備只設置了附帶的默認密碼�����。
除了密碼強度不夠以外�,XIoT設備的漏洞問題也十分嚴重。據(jù)調查�,有68%的設備存在一個CVSS評分至少為8的已知漏洞,有18%的設備至少攜帶了9個漏洞�����。當然�,因為XIoT的領域較為廣泛��,幾乎所有與互聯(lián)網(wǎng)相連接的智能設備都可以稱為XIoT設備。并且�,就該種設備提供的功能來看,可能與其他設備相比其安全風險相對較低�����。但是�,大部分企業(yè)似乎低估了XIoT設備的安全風險。例如����,當攻擊者在野外發(fā)現(xiàn)一個僅使用默認密碼的車門控制系統(tǒng),攻擊者就可以造成企業(yè)業(yè)務中斷或為物理入侵打開大門�����。如果該系統(tǒng)與互聯(lián)網(wǎng)連接���,并與企業(yè)網(wǎng)絡的其他組件連接��,那么它就可能提升攻擊者的訪問權限�。
同時��,還有一些其他類型的設備通常會使用默認密碼或弱密碼��,是因為企業(yè)自認為攻擊者無法進行攻擊或是認為無法從外部訪問。其中包括UPS電源設備����、A/V設備、VoIP手機以及通過使用開源軟件控制交換系統(tǒng)的VoIP服務器等��。但正如Bugcrow創(chuàng)始人Casey Ellis所說的���,XIoT作為一個消費產品��,在很短的時間就從產生���,到現(xiàn)在無處不在,普及速度極快�����,或者說是“匆忙”����,導致使用者對其的了解程度不高,所以通常會選擇默認設置��。
安全風險存在于設備設計階段
據(jù)報告發(fā)現(xiàn),XIoT設備的安全風險大多數(shù)都源于生產階段�,主要因其制造商削減成本以提高收益���。例如���,當這些設備使用第三方固件庫時,如果出現(xiàn)較大漏洞���,供應商將會放棄對設備的支持���,不再發(fā)布安全補丁來解決這些新出現(xiàn)的漏洞。并且����,雖然目前的智能設備基本都附帶有某種密碼系統(tǒng),但制造商通常會限制密碼長度和復雜性��,甚至不會提示用戶更改其附帶的常用密碼�����。
報告稱����, XIoT的使用已成為一個難以控制的混亂局面��,企業(yè)通常在沒有測試的情況下就已經投入使用��。有80%的受訪企業(yè)表示����,他們并不清楚現(xiàn)在具體擁有多少XIoT設備����,約50%的企業(yè)表示,已知設備數(shù)量與實際使用數(shù)量相差甚遠����。據(jù)了解,《財富》100強企業(yè)目前平均擁有數(shù)十萬至數(shù)百萬臺此類設備���。同時����,報告發(fā)現(xiàn)�����,已有26%的設備不再得到官方支持,需要IT部門自行更新和保護以降低安全風險���。并且��,設備固件的使用周期已經大大縮減,目前平均固件的使用壽命為六年����,但實際上遠比這個時間短。
Viakoo首席執(zhí)行官Bud Broomhead觀察到�����,解決XIoT的安全問題并沒有想象的那么簡單�����??梢酝ㄟ^網(wǎng)絡安全服務來保證物聯(lián)網(wǎng)設備正常運行,還可以通過全面的證書管理為物聯(lián)網(wǎng)設備提供零信任的訪問途徑等�����,需要企業(yè)重點關注物聯(lián)網(wǎng)和物聯(lián)網(wǎng)應用數(shù)據(jù)��,制定解決方案以及配置管理數(shù)據(jù)庫,通過記錄歷史操作來強化和保護物聯(lián)網(wǎng)系統(tǒng)����。許多企業(yè)的物聯(lián)網(wǎng)設備都與其應用程序緊密耦合,企業(yè)需要了解松散耦合和緊密耦合的物聯(lián)網(wǎng)設備之間的差異����,以確保在固件、密碼和證書更新后能恢復整個物聯(lián)網(wǎng)工作流程����。
Keeper Security安全與架構副總裁Patrick Tiquet認為,無論是OT����、ICS、 IIoT還是XIoT都得益于IT中安全實踐的應用�����,這些安全實踐包括定期固件或軟件升級��、漏洞修復�、強密碼以及安全認證等。他認為�,XIoT供應商需要對設備進行一個安全認證或制定設備安全框架以確保其產品的安全性�����。
安全419編譯
www.cpomagazine.com/cyber-security/security-risks-serious-vulnerabilities-rampant-among-xiot-devices-in-the-workplace/
來源:安全419
在線咨詢
在線咨詢
0371-63319761