鑽石舞台

Claroty 公司最近發布報告指出，聯網產品增多、研究員審計增強，加上漏洞披露的法規要求，導致披露漏洞的不斷增長。例如，擴展物聯網（XIoT）產品漏洞的數量在今年上半年增長了57%。

同時，嵌入式IoT設備漏洞在XIoT設備漏洞中的比重增長到15%，而在2021年下半年，這一比例為9%。Claroty 公司的研究總監 Sharon Brizinov 指出，IoT設備和基礎設施的快速擴張局面意味着企業需要確保可見性，不僅要確保對IoT設備的可見性而且要確保對管理這些設備的所有系統的可見性，並且應當做好快速修復這些設備的準備。

他表示，「網絡比以往變得更加多樣化，加上查找漏洞的安全研究人員越來越多，因此設備增多、意識提升、研究人員增多、設備調查增多意味着披露的漏洞越來越多。」

這一趨勢將持續，現在不過是開始之初。報告指出，企業將需要追蹤IoT資產，而且因為漏洞修復通常要求軟件更新，因此需要評估所部屬設備是否可輕鬆更新。

Rapid7公司的IoT首席安全研究員指出，試圖隱藏自身安全問題、靜默打補丁的廠商越來越少，雖然這是良好的安全發展趨勢但也是被公開披露的IoT漏洞數量「明顯增長」的原因之一。

他指出，「如果公眾不了解任何數據，那麼終端用戶無法意識到由漏洞引發的潛在安全風險，因此可能會推遲打補丁。因此，廠商以這種方式發布是一種積極行動。」

不斷增多的 XIoT 問題

報告指出，總體而言，1月初至6月末期間披露的XIoT 設備漏洞共有747個，比之前六個月增長了57%。受影響產品遍布86家廠商，而且廠商積極主動披露首次成為經第三方披露後，發布漏洞信息的第二大最常見渠道。獨立研究人員和ZDI分別是第二大和第三大漏洞信息來源。

廠商整體並不一定在安全性方面表現更好，漏洞數量由多家大型廠商如西門子驅動，它們執行了強大的安全計劃。西門子是XIoT漏洞披露數量最多的廠商，它披露了214個漏洞；第二個是 Reolink 公司，共披露87個；其次是施耐德，共披露52個。

他指出，「這一結果是由一些商業決策決定的，一些決策者決定坦白，他們明白這是重要信息。」

另外，不同的倡議也加速了漏洞披露數量的增長。《2020年物聯網網絡安全改進法案》對向政府提供IoT產品的企業施壓；而一個要求為IoT設備創建「營養標籤」的消費者計劃可能會促使消費者選擇更加注重安全的產品。

不斷改變的物聯網定義

現為 Flashpoint 公司組成部分的漏洞情報公司 Risk Based Security也注意到，組成IoT生態系統的產品中的安全問題越來越多。不過該公司強調稱由於缺少對IoT設備的良好定義，因此難以追蹤這一類別。

工業監控設備、醫療成像設備、IP視頻攝像頭和電子門鎖都與互聯網連接而且可使數字化通信對物理世界產生影響。2020年的出版物《IoT設備製造商的根本網絡活動》指出，美國國家標準和技術研究院 (NIST) 對IoT 設備的定義是「具有至少一個用於直接和物理世界連接的以及至少一個用於和數字化世界交互的網絡接口的傳感器的設備」。

Claroty 公司將這類設備統稱為擴展物聯網 (XIoT)，囊括了醫療、工業和商業應用程序。該公司證實稱，XIoT 類別中所包含的產品可能去年並未被收錄在內，原因是新設備已發布、舊產品增加了連接性以及新產品推動了對IoT的定義。

例如，隨着製造、關鍵基礎設施和城市管理採用了聯網設備，西門子和其它運營技術 (OT) 企業已將產品從工業控制系統轉移到工業物聯網，因此網絡安全已成為這一轉型的關鍵組成部分。Brizinov指出，「過去，IT和OT之間界限明顯，我們可以畫一個圈它們就得以區分。但IoT來臨後，這些圈子互相關聯，因此一些設備同時屬於IT和OT。」

IoT 的另一個增長方面在於移動設備如智能手機和平板。很多企業將移動設備當做監控和控制物聯網設備的方法，這意味着該設備不僅是物聯網生態系統的唯一組件，移動設備和後端服務器也必須包括在內。

為此，Rapid 7 公司將雲組件和管理軟件視作該生態系統的一部分。Heiland 指出，「一般而言，移動設備作為獨立設備不會被視作IoT的組成部分。當運行旨在交互、控制和/或管理IoT解決方案的軟件時，它確實是IoT產品生態系統的一部分，因此在評估IoT產品的安全性時應當被視作IoT的組成部分。」

題圖：Pixabay License‍

本文由奇安信編譯，不代表奇安信觀點。轉載請註明「轉自奇安信代碼衛士 https://codesafe.qianxin.com」。

奇安信代碼衛士 (codesafe)

國內首個專注於軟件開發安全的產品線。

覺得不錯，就點個「在看」 或 "贊」 吧~