物聯(lián)網(wǎng)設(shè)備正以創(chuàng)紀錄的數(shù)量激增，僅以旨在竊取數(shù)據(jù)和劫持其運營的攻擊的增長為目標。與此同時，消費設(shè)備供應(yīng)商繼續(xù)拒絕報告其設(shè)備中的漏洞：自從我們一年半前討論這個主題以來，報告數(shù)字并沒有太大改善。

對已部署和將要部署的物聯(lián)網(wǎng)設(shè)備數(shù)量的估計差異很大。例如，雖然一些分析師的數(shù)量是兩倍或更多，但IoT Analytics在 9 月份預(yù)測，到 2021 年底，全球連接的物聯(lián)網(wǎng)設(shè)備的數(shù)量將達到 123 億個活動端點。到 2025 年，該公司預(yù)計這一數(shù)字將達到超過270億。由于 Covid-19 大流行和芯片短缺，去年設(shè)備增長僅略有放緩。

根據(jù)卡巴斯基 9 月份的數(shù)據(jù)，2021 年上半年，對這些設(shè)備的攻擊翻了一番，達到 15 億次。

漏洞不斷暴露，例如 Forescout 和 JSOF 發(fā)現(xiàn)的NAME:WRECK DNS 漏洞，可能影響 1 億臺 IoT 設(shè)備，以及Nozomi Networks 報告的安全攝像頭漏洞，影響數(shù)百萬臺聯(lián)網(wǎng)設(shè)備。

7 月，Zscaler ThreatLabz 的一項研究報告稱，與 2019 年封鎖前期間發(fā)生的類似攻擊相比，在 2020 年 12 月 15 日至 31 日期間的 5 億次設(shè)備交易中，對物聯(lián)網(wǎng)設(shè)備的惡意軟件攻擊增加了 700%。

根據(jù) Ordr 于 8 月發(fā)布的2021 年“機器崛起”報告，超過 40% 的聯(lián)網(wǎng)設(shè)備現(xiàn)在是“無代理的”，這意味著它們無法受到傳統(tǒng)端點安全代理的保護。其中包括工業(yè)環(huán)境中的常見設(shè)備，例如 IP 電話、打印機、安全攝像頭和徽章閱讀器。近一半的連接設(shè)備容易受到中度和高度嚴重性的攻擊。

與此同時， Tripwire 去年 3 月調(diào)查的99% 的安全專業(yè)人士表示，他們在保護組織的物聯(lián)網(wǎng)和工業(yè)物聯(lián)網(wǎng)設(shè)備方面面臨挑戰(zhàn)。大約三分之二的人表示，他們在嘗試發(fā)現(xiàn)和修復(fù)漏洞方面遇到了問題。

未報告的漏洞

漏洞報告程序現(xiàn)在被廣泛認為是物聯(lián)網(wǎng)設(shè)備安全的基本要求。然而，根據(jù)物聯(lián)網(wǎng)安全基金會關(guān)于設(shè)備漏洞披露的第四份報告，報告從 2020 年的 18.9% 增長到 2021 年的 21.26%，增幅很小。

資料來源：物聯(lián)網(wǎng)安全基金會

該研究指出：“幾乎五分之四的公司仍未提供非常基本的安全衛(wèi)生機制，以便向供應(yīng)商報告安全漏洞以便修復(fù)它們?！?“這是令人無法接受的低水平。”

IoTSF 董事總經(jīng)理 John Moor 告訴EE Times ，雖然有一些改善，但報告從 2019 年到 2020 年期間從 13.3% 躍升至 18.9%，主要是由于“預(yù)期監(jiān)管要求”增加了更多的消費設(shè)備類別。報告中討論的未決或即將出臺的物聯(lián)網(wǎng)安全法規(guī)包括來自英國和美國政府的法規(guī)。例如，英國正在尋求強制性的物聯(lián)網(wǎng)安全標準，并以違規(guī)罰款為后盾。

約翰·摩爾

2021 年，IoTSF 報告增加了 B2B 類別，以評估消費者和企業(yè)實踐之間的差異；Moor 說，B2B 的數(shù)字看起來比 B2C 的數(shù)字要好得多。這部分是因為擁有有效的協(xié)調(diào)漏洞披露計劃的公司往往是大型的傳統(tǒng) IT 供應(yīng)商，而規(guī)模較小、相對較新的消費者公司則相反。

至于消費者供應(yīng)商的報告，進展仍然是“緩慢的”，Moor 說?！半m然有些公司可能仍然不知道有什么幫助可用，但由于有關(guān)法規(guī)和免費材料的大量宣傳，這種借口已經(jīng)沒有太多空間了，”他說。

“此外，漏洞披露可以外包給第三方，這意味著公司也可以獲得外部專業(yè)知識或額外能力，所以這也不是一個有效的借口。然而，消費物聯(lián)網(wǎng)行業(yè)仍未能滿足市場對售后漏洞修復(fù)的明確需求。”

Moor 說，盡管物聯(lián)網(wǎng)安全存在幾個強有力的標準，但它們不是強制性的。與商業(yè)買家不同，消費者傾向于假設(shè)他們是否可以購買產(chǎn)品，它必須是安全的。此外，眾所周知，消費者的利潤率非常低?！八?，如果你的市場沒有特別要求安全，也沒有法規(guī)要求，供應(yīng)商可能會合理地問‘為什么要增加成本？’”

設(shè)備安全很難

拉里·奧康奈爾

連接設(shè)備沒有得到更好保護的原因之一是物聯(lián)網(wǎng)安全性很困難?！?a target="_blank">微處理器很難保護，”Sequitur Labs 營銷副總裁拉里·奧康奈爾說。Sequitur Labs 專注于網(wǎng)絡(luò)邊緣智能設(shè)備的芯片到云安全，主要是工業(yè)客戶和一些芯片供應(yīng)商。

O'Connell 說，安全性被取消了優(yōu)先級，并且整個披露過程沒有得到妥善管理，因為物聯(lián)網(wǎng)供應(yīng)商不從事安全業(yè)務(wù)。他們的首要任務(wù)是構(gòu)建設(shè)備并快速發(fā)貨?！鞍踩皇撬麄兊氖澜?，這是一個難以解決的問題，”他說?！芭妒峭患碌难由欤阂话愕陌踩院团叮诋a(chǎn)品生命周期的整個設(shè)計、開發(fā)和部署階段都需要放在首位?！?/p>

Sequitur Labs 首席執(zhí)行官 Philip Attfield 補充說，安全性也是一個不斷變化的目標。“你必須包括它，并考慮處理它的機制，”阿特菲爾德說。“流程必須到位，以便現(xiàn)場操作系統(tǒng)的任何人都可以維護它們?！?/p>

處理器類經(jīng)常決定系統(tǒng)攻擊，這也受系統(tǒng)架構(gòu)的影響?！叭绻谴笕萘课⑻幚砥?，它的供應(yīng)商將盡可能降低成本，”Attfield 說。系統(tǒng)壽命也是一個因素。“對于消費者系統(tǒng)，需要兩到五年；對于工業(yè)來說，它是五到十年，甚至更長。因此，它歸結(jié)為風險與將所有這些系統(tǒng)部署到位以進行管理的費用。”

菲利普·阿特菲爾德

到 2022 年，由于正在處理的原始數(shù)據(jù)量，網(wǎng)絡(luò)邊緣智能設(shè)備中 AI 部署的大幅增加只會增加保護物聯(lián)網(wǎng)和工業(yè)物聯(lián)網(wǎng)設(shè)備的緊迫性。“IP 現(xiàn)在處于邊緣，”O(jiān)'Connell 說。

鑒于軟件堆棧和存儲架構(gòu)的變化，另一個趨勢是“電子系統(tǒng)的可破壞足跡實際上非常小，而且規(guī)模正在迅速縮小，”Attfield 說。“例如，智能手機越來越難破解，支付終端也發(fā)生了同樣的事情。

“因此，接下來受到攻擊的將是其他尚未趕上的系統(tǒng)，例如工業(yè)控制系統(tǒng)和醫(yī)療設(shè)備，”他預(yù)測道。

審核編輯 黃昊宇