扩展物联网 (XIoT) 漏洞激增,安全压力倍增

发布于 作者:

扩展物联网 (XIoT) 漏洞激增,安全压力倍增

Robert Lemos 代码卫士 2022-09-06 19:10

聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

网络安全专家表示,物联网设备中不断增多的漏洞数量意味着企业面临着新的补丁管理问题。

Claroty 公司最近发布报告指出,联网产品增多、研究员审计增强,加上漏洞披露的法规要求,导致披露漏洞的不断增长。例如,扩展物联网(XIoT)产品漏洞的数量在今年上半年增长了57%。

同时,嵌入式IoT设备漏洞在XIoT设备漏洞中的比重增长到15%,而在2021年下半年,这一比例为9%。Claroty 公司的研究总监 Sharon Brizinov 指出,IoT设备和基础设施的快速扩张局面意味着企业需要确保可见性,不仅要确保对IoT设备的可见性而且要确保对管理这些设备的所有系统的可见性,并且应当做好快速修复这些设备的准备。

他表示,“网络比以往变得更加多样化,加上查找漏洞的安全研究人员越来越多,因此设备增多、意识提升、研究人员增多、设备调查增多意味着披露的漏洞越来越多。”

这一趋势将持续,现在不过是开始之初。报告指出,企业将需要追踪IoT资产,而且因为漏洞修复通常要求软件更新,因此需要评估所部属设备是否可轻松更新。

Rapid7公司的IoT首席安全研究员指出,试图隐藏自身安全问题、静默打补丁的厂商越来越少,虽然这是良好的安全发展趋势但也是被公开披露的IoT漏洞数量“明显增长”的原因之一。

他指出,“如果公众不了解任何数据,那么终端用户无法意识到由漏洞引发的潜在安全风险,因此可能会推迟打补丁。因此,厂商以这种方式发布是一种积极行动。”

不断增多的 XIoT 问题

报告指出,总体而言,1月初至6月末期间披露的XIoT 设备漏洞共有747个,比之前六个月增长了57%。受影响产品遍布86家厂商,而且厂商积极主动披露首次成为经第三方披露后,发布漏洞信息的第二大最常见渠道。独立研究人员和ZDI分别是第二大和第三大漏洞信息来源。

厂商整体并不一定在安全性方面表现更好,漏洞数量由多家大型厂商如西门子驱动,它们执行了强大的安全计划。西门子是XIoT漏洞披露数量最多的厂商,它披露了214个漏洞;第二个是 Reolink 公司,共披露87个;其次是施耐德,共披露52个。

他指出,“这一结果是由一些商业决策决定的,一些决策者决定坦白,他们明白这是重要信息。”

另外,不同的倡议也加速了漏洞披露数量的增长。《2020年物联网网络安全改进法案》对向政府提供IoT产品的企业施压;而一个要求为IoT设备创建“营养标签”的消费者计划可能会促使消费者选择更加注重安全的产品。

不断改变的物联网定义

现为 Flashpoint 公司组成部分的漏洞情报公司 Risk Based Security也注意到,组成IoT生态系统的产品中的安全问题越来越多。不过该公司强调称由于缺少对IoT设备的良好定义,因此难以追踪这一类别。

工业监控设备、医疗成像设备、IP视频摄像头和电子门锁都与互联网连接而且可使数字化通信对物理世界产生影响。2020年的出版物《IoT设备制造商的根本网络活动》指出,美国国家标准和技术研究院 (NIST) 对IoT 设备的定义是“具有至少一个用于直接和物理世界连接的以及至少一个用于和数字化世界交互的网络接口的传感器的设备”。

Claroty 公司将这类设备统称为扩展物联网 (XIoT),囊括了医疗、工业和商业应用程序。该公司证实称,XIoT 类别中所包含的产品可能去年并未被收录在内,原因是新设备已发布、旧产品增加了连接性以及新产品推动了对IoT的定义。

例如,随着制造、关键基础设施和城市管理采用了联网设备,西门子和其它运营技术 (OT) 企业已将产品从工业控制系统转移到工业物联网,因此网络安全已成为这一转型的关键组成部分。Brizinov指出,“过去,IT和OT之间界限明显,我们可以画一个圈它们就得以区分。但IoT来临后,这些圈子互相关联,因此一些设备同时属于IT和OT。”

IoT 的另一个增长方面在于移动设备如智能手机和平板。很多企业将移动设备当做监控和控制物联网设备的方法,这意味着该设备不仅是物联网生态系统的唯一组件,移动设备和后端服务器也必须包括在内。

为此,Rapid 7 公司将云组件和管理软件视作该生态系统的一部分。Heiland 指出,“一般而言,移动设备作为独立设备不会被视作IoT的组成部分。当运行旨在交互、控制和/或管理IoT解决方案的软件时,它确实是IoT产品生态系统的一部分,因此在评估IoT产品的安全性时应当被视作IoT的组成部分。”

代码卫士试用地址:
https://codesafe.qianxin.com

开源卫士试用地址:
https://oss.qianxin.com

推荐阅读

NASA、西门子和大众都在用的 IoT 协议可遭滥用

研究员告警:严重漏洞影响数千万台IoT设备,可远程查看实时音视频并接管设备

Realtek WiFi SDK 被曝多个漏洞,影响供应链上至少65家厂商近百万台IoT设备

Ripple 20:严重漏洞影响全球数十亿IoT设备,复杂软件供应链使修复难上加难

三年蜜罐实验:黑客想从物联网设备中得到什么?

原文链接

https://www.darkreading.com/iot/iot-bug-disclosure-security-teams

题图:
Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

觉得不错,就点个 “
在看
” 或 “

” 吧~