越來越多的互聯繫統被用於提供我們日常生活的必需品。從進入我們家中的水和電到我們接受的醫療,都涉及到“擴展物聯網”(XIoT)。
來自 Claroty 的 Team82 研究人員表明,自 2021 年達到峰值以來,2022 年下半年披露的這些網絡物理系統中的漏洞下降了 14%. 同時,內部研究和產品安全團隊發現的漏洞同比增加了 80%,表明供應商正在認真對待風險。
“絕大多數供應商現在都有一個披露漏洞的正式流程,”Claroty 數據副總裁 Nadav Erez 說。 “看到一家沒有披露流程的公司經歷了這一過程並理解它的重要性並建立它並使其正式化,真是令人興奮。”
研究表明,62% 的已發布 OT 漏洞影響 ICS 普渡模型。這些設備管理生產工作流程,並且可以成為 IT 和 OT 網絡之間的關鍵交叉點,因此對旨在破壞工業運營的威脅行為者非常有吸引力。
根據該報告,71% 的漏洞被評估為 CVSS v3 分數的“嚴重”或“高”漏洞,63% 的漏洞可通過網絡遠程利用,這意味著威脅行為者不需要對受影響設備進行本地、相鄰或物理訪問即可利用該漏洞。
當談到風險時,最主要的潛在影響是未經授權的遠程代碼或命令執行(普遍存在於 54% 的漏洞中),其次是拒絕服務條件(崩潰、退出或重啟),佔 43
“我們看到政府在醫療保健和關鍵基礎設施方面加強了監管,”Erez 補充道。 “這種來自監管的推動一直向下推向供應商。我們還看到客戶在選擇使用哪個供應商時開始將安全性作為一個考慮因素。這顯然是一種商業動機,最終會產生很大的影響,如果你失去了一個因為您無法提供軟件材料清單而達成交易,那麼這是為下一個提供材料清單的巨大動力。”
完整的 XIoT 安全報告可從 Claroty 網站獲取。
圖片來源:jamesteohart/Depositphotos.com