在数百万扩展物联网 (XIoT) 设备中发现了大量常见漏洞和暴露 (CVE)、默认密码和其他安全风险。
这些声明来自Phosphorus的安全专家,他们最近发布了一份报告,总结了五年的安全研究和设备测试。
该研究基于对部署在领先垂直行业企业网络环境中的数百万 XIoT 设备的分析,提出了一些令人担忧的发现。
Phosphorus 声称,在其研究中分析的 XIoT 设备密码中有 99% 不符合最佳实践,并且 68% 的 XIoT 设备存在高风险或严重漏洞(CVSS 得分为 8-10)。此外,该公司表示,80% 的安全团队无法正确识别他们的大部分 XIoT 设备。
Bugcrowd 创始人兼首席技术官 Casey Ellis 表示:“XIoT 作为一个消费类别,在很短的时间内从新生到大肆宣传再到无处不在。 ” “速度,或者更具体地说是仓促,是安全的天敌,在网络安全和用户保护方面,通常会导致更多‘默认松散’的设计和开发考虑。”
为了抵御这些威胁,Phosphorus报告建议公司应该强化设备并减少攻击面。
“Phosphorus 发现的问题是真实的,但解决这些问题并不像他们说的那么简单,” Viakoo首席执行官 Bud Broomhead 评论道。
“例如,通过服务保证了解物联网设备是否正常运行也是加固和保护设备的一个组成部分。还必须重点关注通过全面的证书管理为物联网设备提供零信任的途径。”
这位高管补充说,需要更加关注将独特的物联网和物联网应用程序数据添加到发现解决方案和配置管理数据库解决方案中。这将使使用历史操作记录来加强和保护物联网系统成为可能。
“许多企业物联网设备与其应用程序紧密耦合,这是保护它们的另一层复杂性,”Broomhead 解释道。
“了解松散耦合和紧密耦合的物联网设备之间的差异,需要以一种能够在固件、密码和证书更新后恢复整个物联网工作流程的方式来保护它们。”
Keeper Security的安全和架构副总裁 Patrick Tiquet更进一步,他表示应该有一个安全框架或认证供 XIoT 供应商证明他们的产品是安全的。
“这种类型的认证将为消费者和企业提供一定程度的保证,即他们使用的 XIoT 产品实际上是安全的。”
在 Claroty发布新数据表明与前六个月相比,2022 年上半年影响 XIoT 设备的漏洞披露数量增加了 57% 之后几个月,Phosphorus 报告发布了。
