物聯(lián)網(wǎng)漏洞披露猛增 安全團(tuán)隊(duì)壓力山大

聯(lián)網(wǎng)產(chǎn)品增多、研究人員審查力度加大，再加上要求披露漏洞的各項(xiàng)法律法規(guī)，引爆了漏洞披露熱潮。在最近發(fā)布的一份報(bào)告中，工業(yè)網(wǎng)絡(luò)安全平臺(tái)Claroty表示，與去年下半年相比，今年上半年在所謂擴(kuò)展物聯(lián)網(wǎng)(XIoT)產(chǎn)品中發(fā)現(xiàn)的漏洞增長(zhǎng)了57%。

同時(shí)，嵌入式物聯(lián)網(wǎng)設(shè)備中發(fā)現(xiàn)的漏洞占XIoT產(chǎn)品漏洞的15%，比2021年下半年躍升9%之多。

Claroty研究主管Sharon Brizinov表示，物聯(lián)網(wǎng)設(shè)備和基礎(chǔ)設(shè)施的迅速增長(zhǎng)意味著公司不僅需要確保其物聯(lián)網(wǎng)設(shè)備的可見性，還需要確保管理這些設(shè)備的所有系統(tǒng)的可見性，并做好快速修復(fù)這些設(shè)備的準(zhǔn)備。

“網(wǎng)絡(luò)多樣性已更甚從前，而這與越來越多的安全研究人員抓緊尋找漏洞密切相關(guān)。”他表示，“因此，設(shè)備增多、意識(shí)提高，且有更多安全研究人員深入分析這些設(shè)備，也就意味著會(huì)有更多漏洞被披露出來。”

XIoT漏洞細(xì)分

而且，專家表示，這一趨勢(shì)只會(huì)持續(xù)下去。公司不僅需要跟蹤掌握自己的物聯(lián)網(wǎng)資產(chǎn)，還得評(píng)估是否能夠輕松更新已部署設(shè)備——由于漏洞修復(fù)通常需要軟件更新。

Rapid7物聯(lián)網(wǎng)首席安全研究員Deral Heiland表示，供應(yīng)商不再試圖隱瞞自身安全漏洞，并逐漸摒棄無聲修復(fù)，這對(duì)于安全而言是個(gè)不錯(cuò)的進(jìn)展，但也會(huì)“顯著增加”公開披露的物聯(lián)網(wǎng)漏洞數(shù)量。

他指出：“如果不公開任何數(shù)據(jù)，那么最終用戶就無法意識(shí)到漏洞導(dǎo)致的潛在嚴(yán)重風(fēng)險(xiǎn)，可能會(huì)拖延修復(fù)。所以，供應(yīng)商公開漏洞信息是值得肯定的做法。”

XIoT漏洞越來越多

根據(jù)Claroty《2022年上半年XIoT安全狀況》報(bào)告，總體而言，今年1月初至6月底，共披露了747個(gè)XIoT設(shè)備漏洞，比前六個(gè)月增加了57%。受影響產(chǎn)品出自86家不同供應(yīng)商，且供應(yīng)商主動(dòng)披露首次成為第二大漏洞信息發(fā)布方式，僅略遜于第三方公司披露。獨(dú)立研究人員和Zero Day Initiative(ZDI)是第三和第四大漏洞信息來源。

Claroty研究主管Brizinov認(rèn)為，在安全方面，供應(yīng)商這個(gè)群體未必比其他人做得更好，其數(shù)據(jù)是由西門子等實(shí)施了強(qiáng)大安全計(jì)劃的少數(shù)幾家大型公司推動(dòng)的。Claroty的報(bào)告顯示，西門子披露的XIoT漏洞最多，為214個(gè);列第二的是Reolink，為87個(gè);接下來是施耐德，披露的漏洞數(shù)量是52個(gè)。

“某些商業(yè)決策導(dǎo)致了這個(gè)結(jié)果：一些決策者決定和盤托出。”Brizinov表示，“他們知道這是很重要的信息。”

各項(xiàng)倡議也推動(dòng)了披露率的節(jié)節(jié)攀升。《2020年物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》對(duì)向政府提供物聯(lián)網(wǎng)產(chǎn)品的公司施加了壓力，而面向消費(fèi)者的物聯(lián)網(wǎng)設(shè)備安全“營(yíng)養(yǎng)標(biāo)簽”計(jì)劃，則可能會(huì)推動(dòng)消費(fèi)者購買更注重安全的產(chǎn)品。

物聯(lián)網(wǎng)定義困境

Flashpoint旗下漏洞情報(bào)公司Risk Based Security也注意到，可歸類到物聯(lián)網(wǎng)生態(tài)系統(tǒng)的產(chǎn)品中，安全漏洞數(shù)量有所上升。但是，該公司強(qiáng)調(diào)，物聯(lián)網(wǎng)設(shè)備缺乏明確定義，導(dǎo)致跟蹤這一類漏洞尤為困難。

工業(yè)監(jiān)控設(shè)備、醫(yī)療成像設(shè)備、IP攝像機(jī)和電子門鎖等都連接到互聯(lián)網(wǎng)，令數(shù)字通信可對(duì)物理世界產(chǎn)生影響。在其2020年出版物《物聯(lián)網(wǎng)設(shè)備制造商基礎(chǔ)網(wǎng)絡(luò)安全活動(dòng)》中，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)將物聯(lián)網(wǎng)設(shè)備定義為“至少有一個(gè)換能器(傳感器或致動(dòng)器)用于直接與物理世界交互的設(shè)備，并具備至少一個(gè)網(wǎng)絡(luò)接口用于連接數(shù)字世界”的設(shè)備。

Claroty將此類別稱為擴(kuò)展物聯(lián)網(wǎng)(XIoT)，并將醫(yī)療、工業(yè)和商用設(shè)備歸為一類。該公司承認(rèn)，由于新設(shè)備發(fā)布、老產(chǎn)品增加聯(lián)網(wǎng)功能，以及新產(chǎn)品推動(dòng)IoT定義發(fā)展，納入XIoT類別的產(chǎn)品可能去年還沒出現(xiàn)。

例如，隨著制造業(yè)、關(guān)鍵基礎(chǔ)設(shè)施和城市管理紛紛采用聯(lián)網(wǎng)設(shè)備，西門子和其他運(yùn)營(yíng)技術(shù)(OT)公司已將其產(chǎn)品從工業(yè)控制系統(tǒng)轉(zhuǎn)型為工業(yè)物聯(lián)網(wǎng)，而網(wǎng)絡(luò)安全正是這一轉(zhuǎn)型的關(guān)鍵部分。

Claroty的Brizinov表示：“過去，IT與OT之間界限分明，我們可以圈出這些領(lǐng)域，這些圈子互不相交。然后，物聯(lián)網(wǎng)時(shí)代來臨，這些圈子相互交疊，有些設(shè)備既在IT圈里，也在OT圈里。”

物聯(lián)網(wǎng)另一個(gè)日益增長(zhǎng)的方面是移動(dòng)設(shè)備，如智能手機(jī)和平板電腦。很多公司將移動(dòng)設(shè)備作為監(jiān)視和控制其物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)的一種方式，也就是說，受控設(shè)備不是物聯(lián)網(wǎng)生態(tài)系統(tǒng)的唯一組成部分，移動(dòng)設(shè)備和后端服務(wù)器也必須囊括進(jìn)來。

因此，Rapid7將云組件和管理軟件視為生態(tài)系統(tǒng)的一部分。

“通常，作為單機(jī)的移動(dòng)設(shè)備不會(huì)被視為物聯(lián)網(wǎng)。”Rapid7的Heiland表示，“但運(yùn)行旨在交互、控制和/或管理物聯(lián)網(wǎng)解決方案的軟件時(shí)，它又確實(shí)成為了物聯(lián)網(wǎng)產(chǎn)品生態(tài)系統(tǒng)的一部分，在評(píng)估物聯(lián)網(wǎng)產(chǎn)品安全時(shí)應(yīng)予以考慮。”

來源：數(shù)世咨詢