從2021年下半年到2022年上半年,物聯(lián)網(wǎng)漏洞披露增長了57%

時間:2022-08-25

來源:千家網(wǎng)

導(dǎo)語:根據(jù)網(wǎng)絡(luò)物理系統(tǒng)保護公司 Claroty 今天發(fā)布的新研究,與前六個月相比,影響物聯(lián)網(wǎng)設(shè)備的漏洞披露在 2022 年上半年 (1H) 增加了 57%。

  Claroty‘s Team82發(fā)布的XIoT安全狀況報告:2022年上半年揭示了物聯(lián)網(wǎng)漏洞、供應(yīng)商自我披露以及完全或部分修復(fù)的固件漏洞的增加。

  根據(jù)網(wǎng)絡(luò)物理系統(tǒng)保護公司 Claroty 今天發(fā)布的新研究,與前六個月相比,影響物聯(lián)網(wǎng)設(shè)備的漏洞披露在 2022 年上半年 (1H) 增加了 57%。

  XIoT 安全狀況報告:1H 2022 還發(fā)現(xiàn),在同一時間段內(nèi),供應(yīng)商的自我披露增加了 69%,報告的數(shù)量首次超過了獨立研究機構(gòu),完全或部分修復(fù)的固件漏洞增加了 79 個%,鑒于修補固件與軟件漏洞的相對挑戰(zhàn),這是一個顯著的改進。

  該報告由 Claroty 屢獲殊榮的研究團隊 Team82 編寫,深入研究和分析了影響擴展物聯(lián)網(wǎng) (XIoT) 的漏洞,這是一個龐大的網(wǎng)絡(luò)物理系統(tǒng)網(wǎng)絡(luò),包括運營技術(shù)和工業(yè)控制系統(tǒng) (OT/ICS )、醫(yī)療物聯(lián)網(wǎng) (IoMT)、樓宇管理系統(tǒng)和企業(yè)物聯(lián)網(wǎng)。該數(shù)據(jù)集包含 Team82 發(fā)現(xiàn)的漏洞以及來自可信開源的漏洞,包括國家漏洞數(shù)據(jù)庫 (NVD)、工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組 (ICS-CERT)、CERT@VDE、MITRE 以及工業(yè)自動化供應(yīng)商施耐德電氣和西門子.

  “在將事物連接到互聯(lián)網(wǎng)數(shù)十年后,網(wǎng)絡(luò)物理系統(tǒng)正在對我們在現(xiàn)實世界中的體驗產(chǎn)生直接影響,包括我們吃的食物、喝的水、乘坐的電梯以及我們接受的醫(yī)療服務(wù), ” Claroty 研究副總裁 Amir Preminger 說。

  “我們開展這項研究是為了讓這些關(guān)鍵領(lǐng)域的決策者對XIoT漏洞狀況有一個完整的了解,使他們能夠正確評估、優(yōu)先處理和解決支撐公共安全、患者健康、智能電網(wǎng)和公用事業(yè)等的關(guān)鍵任務(wù)系統(tǒng)的風(fēng)險?!?/p>

  主要發(fā)現(xiàn)

  ? 物聯(lián)網(wǎng)設(shè)備:15% 的漏洞出現(xiàn)在物聯(lián)網(wǎng)設(shè)備中,與 Team82 上一份涵蓋 2021 年下半年 (2H) 的報告中的 9% 相比顯著增加。此外,物聯(lián)網(wǎng)和 IoMT 漏洞的組合首次出現(xiàn) (18.2%) ) 超過 IT 漏洞 (16.5%)。這表明供應(yīng)商和研究人員加強了對保護這些連接設(shè)備的理解,因為它們可以成為更深入的網(wǎng)絡(luò)滲透的門戶。

  ? 供應(yīng)商自我披露:供應(yīng)商自我披露 (29%) 首次超過獨立研究機構(gòu) (19%),成為僅次于第三方安全公司 (45%) 的第二大漏洞報告者。發(fā)布的 214 個 CVE 幾乎是 Team82 2H 2021 報告中的 127 個總數(shù)的兩倍。這表明越來越多的 OT、IoT 和 IoMT 供應(yīng)商正在建??立漏洞披露程序,并投入更多資源來檢查其產(chǎn)品的安全性和安全性。

  ? 固件:已發(fā)布的固件漏洞與軟件漏洞幾乎持平(分別為 46% 和 48%),與 2H 2021 報告相比大幅躍升,當(dāng)時軟件 (62%) 和固件 (37%) 之間的差距幾乎為 2:1 .該報告還顯示,完全或部分修復(fù)的固件漏洞顯著增加(2022 年 1 月為 40%,高于 2021 年 2 月的 21%),鑒于更新周期較長和維護窗口不頻繁,修補固件面臨相對挑戰(zhàn),這一點值得注意。這表明研究人員對保護低級別 Purdue 模型的設(shè)備越來越感興趣,這些設(shè)備與流程本身更直接相關(guān),因此對攻擊者來說更有吸引力。

  ? 數(shù)量和嚴重性:平均而言,XIoT 漏洞以每月 125 個的速度發(fā)布和解決,到 2022 年上半年達到 747 個。絕大多數(shù)的 CVSS 得分為嚴重 (19%) 或高嚴重性 (46%) )。

  ? 影響:近四分之三 (71%) 對系統(tǒng)和設(shè)備可用性有很大影響,這是最適用于 XIoT 設(shè)備的影響指標。主要的潛在影響是未經(jīng)授權(quán)的遠程代碼或命令執(zhí)行(在 54% 的漏洞中普遍存在),其次是拒絕服務(wù)條件(崩潰、退出或重啟),占 43%。

  ? 緩解措施:首要緩解措施是網(wǎng)絡(luò)分段(在 45% 的漏洞披露中建議使用),其次是安全遠程訪問 (38%) 和勒索軟件、網(wǎng)絡(luò)釣魚和垃圾郵件防護 (15%)。

  ? Team82 貢獻:Team82 繼續(xù)在 OT 漏洞研究方面處于領(lǐng)先地位,在 1H 2022 中披露了 44 個漏洞,迄今為止共披露了 335 個漏洞。


中傳動網(wǎng)版權(quán)與免責(zé)聲明:

凡本網(wǎng)注明[來源:中國傳動網(wǎng)]的所有文字、圖片、音視和視頻文件,版權(quán)均為中國傳動網(wǎng)(www.wangxinlc.cn)獨家所有。如需轉(zhuǎn)載請與0755-82949061聯(lián)系。任何媒體、網(wǎng)站或個人轉(zhuǎn)載使用時須注明來源“中國傳動網(wǎng)”,違反者本網(wǎng)將追究其法律責(zé)任。

本網(wǎng)轉(zhuǎn)載并注明其他來源的稿件,均來自互聯(lián)網(wǎng)或業(yè)內(nèi)投稿人士,版權(quán)屬于原版權(quán)人。轉(zhuǎn)載請保留稿件來源及作者,禁止擅自篡改,違者自負版權(quán)法律責(zé)任。

如涉及作品內(nèi)容、版權(quán)等問題,請在作品發(fā)表之日起一周內(nèi)與本網(wǎng)聯(lián)系,否則視為放棄相關(guān)權(quán)利。

關(guān)注伺服與運動控制公眾號獲取更多資訊

關(guān)注直驅(qū)與傳動公眾號獲取更多資訊

關(guān)注中國傳動網(wǎng)公眾號獲取更多資訊

最新新聞
查看更多資訊

熱搜詞
  • 運動控制
  • 伺服系統(tǒng)
  • 機器視覺
  • 機械傳動
  • 編碼器
  • 直驅(qū)系統(tǒng)
  • 工業(yè)電源
  • 電力電子
  • 工業(yè)互聯(lián)
  • 高壓變頻器
  • 中低壓變頻器
  • 傳感器
  • 人機界面
  • PLC
  • 電氣聯(lián)接
  • 工業(yè)機器人
  • 低壓電器
  • 機柜
回頂部
點贊 0
取消 0