XIoT设备漏洞频发 网络安全存在严重风险

首页 / 业界 / 报告 /  正文
作者:荏珺
来源:安全419
发布于:2022-12-26
目前,扩展物联网(XIoT)已经得到了广泛应用,无论是在生活场所还是在互联网上,XIoT与商业环境的融合应用已经非常普遍,但安全公司Phosphous的一份新报告却发现,XIoT设备并没有得到充分的保护,存在巨大的安全风险。同时,大部分企业都没有对其XIoT 设备进行清点,而这些设备大多数都存在高安全风险或严重漏洞。并且,高达99%的XIoT密码的安全性都没有满足行业标准。
 


XIoT设备安全风险易被忽视

据Phosphous五年以来的研究发现,目前XIoT设备的使用数量已经比全球人口还多数倍以上,截至2020年,约有500亿台设备。据调查,每个企业员工平均拥有三到五台XIoT设备。因此,设备密码成为最大的网络安全风险,报告估计,有99%XIoT设备密码的不符合行业要求,有50%的设备只设置了附带的默认密码。
 
除了密码强度不够以外,XIoT设备的漏洞问题也十分严重。据调查,有68%的设备存在一个CVSS评分至少为8的已知漏洞,有18%的设备至少携带了9个漏洞。当然,因为XIoT的领域较为广泛,几乎所有与互联网相连接的智能设备都可以称为XIoT设备。并且,就该种设备提供的功能来看,可能与其他设备相比其安全风险相对较低。但是,大部分企业似乎低估了XIoT设备的安全风险。例如,当攻击者在野外发现一个仅使用默认密码的车门控制系统,攻击者就可以造成企业业务中断或为物理入侵打开大门。如果该系统与互联网连接,并与企业网络的其他组件连接,那么它就可能提升攻击者的访问权限。
 
同时,还有一些其他类型的设备通常会使用默认密码或弱密码,是因为企业自认为攻击者无法进行攻击或是认为无法从外部访问。其中包括UPS电源设备、A/V设备、VoIP手机以及通过使用开源软件控制交换系统的VoIP服务器等。但正如Bugcrow创始人Casey Ellis所说的,XIoT作为一个消费产品,在很短的时间就从产生,到现在无处不在,普及速度极快,或者说是“匆忙”,导致使用者对其的了解程度不高,所以通常会选择默认设置。
 
安全风险存在设备设计阶段

据报告发现,XIoT设备的安全风险大多数都源于生产阶段,主要因其制造商削减成本以提高收益。例如,当这些设备使用第三方固件库时,如果出现较大漏洞,供应商将会放弃对设备的支持,不再发布安全补丁来解决这些新出现的漏洞。并且,虽然目前的智能设备基本都附带有某种密码系统,但制造商通常会限制密码长度和复杂性,甚至不会提示用户更改其附带的常用密码。
 
报告称, XIoT的使用已成为一个难以控制的混乱局面,企业通常在没有测试的情况下就已经投入使用。有80%的受访企业表示,他们并不清楚现在具体拥有多少XIoT设备,约50%的企业表示,已知设备数量与实际使用数量相差甚远。据了解,《财富》100强企业目前平均拥有数十万至数百万台此类设备。同时,报告发现,已有26%的设备不再得到官方支持,需要IT部门自行更新和保护以降低安全风险。并且,设备固件的使用周期已经大大缩减,目前平均固件的使用寿命为六年,但实际上远比这个时间短。
 
Viakoo首席执行官Bud Broomhead观察到,解决XIoT的安全问题并没有想象的那么简单。可以通过网络安全服务来保证物联网设备正常运行,还可以通过全面的证书管理为物联网设备提供零信任的访问途径等,需要企业重点关注物联网和物联网应用数据,制定解决方案以及配置管理数据库,通过记录历史操作来强化和保护物联网系统。许多企业的物联网设备都与其应用程序紧密耦合,企业需要了解松散耦合和紧密耦合的物联网设备之间的差异,以确保在固件、密码和证书更新后能恢复整个物联网工作流程。
 
Keeper Security安全与架构副总裁Patrick Tiquet认为,无论是OT、ICS、 IIoT还是XIoT都得益于IT中安全实践的应用,这些安全实践包括定期固件或软件升级、漏洞修复、强密码以及安全认证等。他认为,XIoT供应商需要对设备进行一个安全认证或制定设备安全框架以确保其产品的安全性。