互聯(lián)設(shè)備中的安全漏洞正在困擾著數(shù)字領(lǐng)域，影響著廣泛的行業(yè)。據(jù)數(shù)據(jù)統(tǒng)計(jì)，IT設(shè)備占受影響設(shè)備的四分之三以上(78%)，而物聯(lián)網(wǎng)(IoT)設(shè)備占易受攻擊設(shè)備總數(shù)的14%。運(yùn)營(yíng)技術(shù)(OT)和醫(yī)療物聯(lián)網(wǎng)(IoMT)設(shè)備分別占6%和2%。

近80%的IT設(shè)備漏洞被歸類為高嚴(yán)重性，這表明給IT團(tuán)隊(duì)帶來(lái)了巨大的挑戰(zhàn)，因?yàn)檫@些漏洞可能導(dǎo)致毀滅性的攻擊。

盡管IoMT設(shè)備的漏洞較少，但其中80%被列為關(guān)鍵設(shè)備，對(duì)敏感醫(yī)療數(shù)據(jù)和患者安全構(gòu)成重大風(fēng)險(xiǎn)。在OT和IoT設(shè)備中發(fā)現(xiàn)的漏洞中，超過(guò)一半屬于關(guān)鍵性質(zhì)。

在所有行業(yè)中發(fā)現(xiàn)的另一個(gè)令人擔(dān)憂的趨勢(shì)是端點(diǎn)保護(hù)的使用不足。

至少10%配備端點(diǎn)保護(hù)的設(shè)備已被禁用，其中政府和金融服務(wù)部門的情況最為嚴(yán)重;這些地區(qū)近四分之一的設(shè)備忽視了這一重要的安全措施。

從更積極的角度來(lái)看，政府部門內(nèi)部的風(fēng)險(xiǎn)管理取得了一些進(jìn)展，2022年至2023年間風(fēng)險(xiǎn)降低幅度最高。然而，有關(guān)入侵指標(biāo)(ioc)，如已知的惡意ip和域名，在政府網(wǎng)絡(luò)中仍然普遍存在，占檢測(cè)到的所有ioc的63%。

醫(yī)療保健和金融服務(wù)行業(yè)也面臨著相當(dāng)數(shù)量的IoC，分別為19%和8%。該報(bào)告還揭示了互聯(lián)網(wǎng)上最容易暴露的設(shè)備，其中IT網(wǎng)絡(luò)基礎(chǔ)設(shè)施和安全設(shè)備位居榜首，而物聯(lián)網(wǎng)設(shè)備，尤其是IP攝像機(jī)緊隨其后，占所有暴露的物聯(lián)網(wǎng)設(shè)備的近四分之一(23%)。

網(wǎng)絡(luò)附加存儲(chǔ)(NAS)和互聯(lián)網(wǎng)協(xié)議語(yǔ)音(VoIP)設(shè)備緊隨其后，分別占7%和3%。政府中的打印機(jī)和NAS設(shè)備等辦公設(shè)備(19%)，以及金融服務(wù)中的OT設(shè)備(6%)，主要是UPS也面臨風(fēng)險(xiǎn)。

減少物聯(lián)網(wǎng)攻擊面

所有安全團(tuán)隊(duì)都有資源限制，通過(guò)強(qiáng)調(diào)最緊迫的安全威脅，值得注意的是，20個(gè)風(fēng)險(xiǎn)最高的設(shè)備中有13個(gè)與去年相同。雖然這些設(shè)備本身存在風(fēng)險(xiǎn)，但一些錯(cuò)誤仍然存在于尚未部署解決這些風(fēng)險(xiǎn)的機(jī)制，例如自動(dòng)修復(fù)和網(wǎng)絡(luò)安全衛(wèi)生的企業(yè)身上。

通過(guò)報(bào)告漏洞的嚴(yán)重性而不僅僅是漏洞的數(shù)量，讓企業(yè)風(fēng)險(xiǎn)的構(gòu)成問(wèn)題更加清晰，例如，雖然IT系統(tǒng)存在78%的漏洞，而物聯(lián)網(wǎng)僅存在14%，但超過(guò)一半的物聯(lián)網(wǎng)漏洞是關(guān)鍵的，這一事實(shí)有助于關(guān)注需要采取補(bǔ)救措施的地方。

當(dāng)考慮到物聯(lián)網(wǎng)、OT和IoMT是網(wǎng)絡(luò)物理系統(tǒng)的形式時(shí)，利用這些系統(tǒng)的漏洞可能會(huì)造成物理?yè)p壞和影響，那么關(guān)注它們的修復(fù)需求就更加重要了。

物聯(lián)網(wǎng)設(shè)備可能因多種原因而出現(xiàn)問(wèn)題。它們通常只用于‘內(nèi)部’部署，永遠(yuǎn)不應(yīng)該暴露在開(kāi)放的互聯(lián)網(wǎng)上，這使得安全性不再那么重要，因?yàn)槿藗冋J(rèn)為它們?cè)诃h(huán)境深處更安全。這可能會(huì)導(dǎo)致開(kāi)發(fā)人員專注于改進(jìn)性能和功能，而安全性充其量只是事后考慮。