供应商对物联网漏洞的披露是不是越来越警惕
发布时间:2023-02-18 11:12:52 所属栏目:安全 来源:互联网
导读:近年来,物联网(IoT)漏洞激增。越来越多的威胁行为者通过横向移动未打补丁且通常不受保护的物联网网关来访问关键网络。 一个特别容易受到影响的部门是关键的基础设施行业。CNI(关键国家基础设施)组织正在将更多智能设备和基于云的IT系统连接到工业运营技术(O
|
近年来,物联网(IoT)漏洞激增。越来越多的威胁行为者通过横向移动未打补丁且通常不受保护的物联网网关来访问关键网络。 一个特别容易受到影响的部门是关键的基础设施行业。CNI(关键国家基础设施)组织正在将更多智能设备和基于云的IT系统连接到工业运营技术(OT)系统,以支持远程访问并提高效率。然而,这为威胁行为者创造了一个机会,为他们提供了更大的利用范围。 为了解决这一问题,关键基础设施行业必须能够快速识别、披露和修补隐藏在整个扩展物联网(XIoT)中的所有漏洞。XIoT指的是所有的信息物理系统,从OT和工业控制系统(ICS)到医疗物联网(IoMT)。 最新的XIoT漏洞评估报告发现,与前六个月相比,2022年上半年影响物联网设备的漏洞披露增加了57%。在同一时期,供应商的自我披露增加了69%。 供应商自我披露的漏洞数量首次超过独立研究机构,成为仅次于第三方安全公司(45%)的第二大漏洞报告机构。这表明,与以往相比,越来越多的OT、IoT和IoMT供应商正在建立漏洞披露计划,并增加资源来检查其产品的安全性。 我们还观察到供应商的漏洞披露程序已经显著成熟。越来越多的供应商现在已经建立了专门的产品应急响应团队,他们正在持续努力识别和报告漏洞。他们还简化和简化了这一过程,并为公开报告创造了更多的空间。 XIoT漏洞导致了网络物理犯罪的真实可能性。这就是为什么组织也在选择供应商时执行严格的标准,要求他们在网络安全实践方面更加警惕和稳健。这种日益积极的姿态可能有助于提高供应商在更有效地披露物联网漏洞方面的警惕性。 平均而言,XIoT漏洞以每月125个的速度发布和解决,到2022年上半年达到747个。绝大多数患者的CVSS评分为严重(19%)或严重(46%)。这表明整个行业在物联网系统的安全监控方面都有所提高。 尽管漏洞披露的实践和过程已经成熟,但如果安全漏洞继续以前所未有的速度增长,组织和供应商可能无法保持面子。此外,即使有一小部分漏洞未被发现,也可能导致严重的安全事件。 此外,组织必须有效地管理云的安全风险。如前所述,许多XIoT设备,特别是OT内的设备,不再是气隙的,因此具有更大的攻击面。威胁行为者可能会看到一个机会,以大规模连接暴露的漏洞为目标。组织应在其云存储库中实施积极主动的措施,如加密和安全通信、MFA和特权访问管理,以建立有效的风险管理。 (编辑:娄底站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
