目前 , 扩展物联网(XIoT)已经得到了广泛应用 , 无论是在生活场所还是在互联网上 , XIoT与商业环境的融合应用已经非常普遍 , 但安全公司Phosphous的一份新报告却发现 , XIoT设备并没有得到充分的保护 , 存在巨大的安全风险 。 同时 , 大部分企业都没有对其XIoT 设备进行清点 , 而这些设备大多数都存在高安全风险或严重漏洞 。 并且 , 高达99%的XIoT密码的安全性都没有满足行业标准 。
XIoT设备安全风险易被忽视据Phosphous五年以来的研究发现 , 目前XIoT设备的使用数量已经比全球人口还多数倍以上 , 截至2020年 , 约有500亿台设备 。 据调查 , 每个企业员工平均拥有三到五台XIoT设备 。 因此 , 设备密码成为最大的网络安全风险 , 报告估计 , 有99%XIoT设备密码的不符合行业要求 , 有50%的设备只设置了附带的默认密码 。
除了密码强度不够以外 , XIoT设备的漏洞问题也十分严重 。 据调查 , 有68%的设备存在一个CVSS评分至少为8的已知漏洞 , 有18%的设备至少携带了9个漏洞 。 当然 , 因为XIoT的领域较为广泛 , 几乎所有与互联网相连接的智能设备都可以称为XIoT设备 。 并且 , 就该种设备提供的功能来看 , 可能与其他设备相比其安全风险相对较低 。 但是 , 大部分企业似乎低估了XIoT设备的安全风险 。 例如 , 当攻击者在野外发现一个仅使用默认密码的车门控制系统 , 攻击者就可以造成企业业务中断或为物理入侵打开大门 。 如果该系统与互联网连接 , 并与企业网络的其他组件连接 , 那么它就可能提升攻击者的访问权限 。
同时 , 还有一些其他类型的设备通常会使用默认密码或弱密码 , 是因为企业自认为攻击者无法进行攻击或是认为无法从外部访问 。 其中包括UPS电源设备、A/V设备、VoIP手机以及通过使用开源软件控制交换系统的VoIP服务器等 。 但正如Bugcrow创始人Casey Ellis所说的 , XIoT作为一个消费产品 , 在很短的时间就从产生 , 到现在无处不在 , 普及速度极快 , 或者说是“匆
安全风险存在于设备设计阶段据报告发现 , XIoT设备的安全风险大多数都源于生产阶段 , 主要因其制造商削减成本以提高收益 。 例如 , 当这些设备使用第三方固件库时 , 如果出现较大漏洞 , 供应商将会放弃对设备的支持 , 不再发布安全补丁来解决这些新出现的漏洞 。 并且 , 虽然目前的智能设备基本都附带有某种密码系统 , 但制造商通常会限制密码长度和复杂性 , 甚至不会提示用户更改其附带的常用密码 。
报告称 ,XIoT的使用已成为一个难以控制的混乱局面 , 企业通常在没有测试的情况下就已经投入使用 。 有80%的受访企业表示 , 他们并不清楚现在具体拥有多少XIoT设备 , 约50%的企业表示 , 已知设备数量与实际使用数量相差甚远 。 据了解 , 《财富》100强企业目前平均拥有数十万至数百万台此类设备 。 同时 , 报告发现 , 已有26%的设备不再得到官方支持 , 需要IT部门自行更新和保护以降低安全风险 。 并且 , 设备固件的使用周期已经大大缩减 , 目前平均固件的使用寿命为六年 , 但实际上远比这个时间短 。
Viakoo首席执行官Bud Broomhead观察到 , 解决XIoT的安全问题并没有想象的那么简单 。 可以通过网络安全服务来保证物联网设备正常运行 , 还可以通过全面的证书管理为物联网设备提供零信任的访问途径等 , 需要企业重点关注物联网和物联网应用数据 , 制定解决方案以及配置管理数据库 , 通过记录历史操作来强化和保护物联网系统 。 许多企业的物联网设备都与其应用程序紧密耦合 , 企业需要了解松散耦合和紧密耦合的物联网设备之间的差异 , 以确保在固件、密码和证书更新后能恢复整个物联网工作流程 。
- 芯片|中国芯片设备国产化加速提升,外媒指美国芯片限制起到了反效果
- Java|网易云音乐发布2022音乐人创收总结,平台创新增收益,海外市场成亮点
- iOS好评榜|12月iOS设备好评榜:iPhone 14全系未能入榜
- 显示器是计算机的重要输出设备|电脑屏幕闪烁的原因及解决方案
- 错误代码:0xc0000001表示引导设备可能有问题|win10系统文件损坏或内存损坏解决方案
- Java|36氪首发 | 西恩科技完成千万级天使轮融资,主攻高端伺服系统及驱动芯片研发
- 系统拒绝访问移动设备传播风险
- 有时候使用热点功能来给其他设备提供网络|怎样查看热点电脑的ip地址
- |二手平台购旧机 当心设备藏“猫腻”
- javascript|大数据“扫黄”将启动,你很有可能“涉黄”了,符合以下特征注意