近年來，物聯網(IoT)漏洞激增。越來越多的威脅行為者通過橫向移動未打補丁且通常不受保護的物聯網網關來訪問關鍵網絡。

一個特別容易受到影響的部門是關鍵的基礎設施行業。CNI(關鍵國家基礎設施)組織正在將更多智能設備和基于云的IT系統連接到工業運營技術(OT)系統，以支持遠程訪問并提高效率。然而，這為威脅行為者創造了一個機會，為他們提供了更大的利用范圍。

為了解決這一問題，關鍵基礎設施行業必須能夠快速識別、披露和修補隱藏在整個擴展物聯網(XIoT)中的所有漏洞。XIoT指的是所有的信息物理系統，從OT和工業控制系統(ICS)到醫療物聯網(IoMT)。

然而，僅靠組織來監控和披露如此廣泛的系統中的所有漏洞幾乎是不可能的。在很大程度上，供應商和第三方必須在識別和報告漏洞方面發揮關鍵作用-正如我們最近的發現所表明的那樣，他們已經開始發揮這一作用。

物聯網漏洞披露的狀態

最新的XIoT漏洞評估報告發現，與前六個月相比，2022年上半年影響物聯網設備的漏洞披露增加了57%。在同一時期，供應商的自我披露增加了69%。

供應商自我披露的漏洞數量首次超過獨立研究機構，成為僅次于第三方安全公司(45%)的第二大漏洞報告機構。這表明，與以往相比，越來越多的OT、IoT和IoMT供應商正在建立漏洞披露計劃，并增加資源來檢查其產品的安全性。

我們還觀察到供應商的漏洞披露程序已經顯著成熟。越來越多的供應商現在已經建立了專門的產品應急響應團隊，他們正在持續努力識別和報告漏洞。他們還簡化和簡化了這一過程，并為公開報告創造了更多的空間。

例如，一些供應商在他們的網站上有專門的網頁，其中包括用于漏洞報告的電子郵件地址。他們還提供公共加密密鑰，以安全地傳遞有關安全漏洞的任何信息。

但是，是什么導致供應商提高了警惕呢?這可能是由于CNI組織面臨的關鍵供應鏈攻擊和威脅顯著增加造成的。以前由供應商系統或設備泄露發起的攻擊已經導致供應商和第三方受到嚴格審查。基于物聯網的攻擊也曾威脅到人類生命。就在兩年前，針對德國一家醫院數字基礎設施的勒索軟件攻擊影響了醫生操作和治療危重病人的能力。這次襲擊甚至導致一名病人死亡。

XIoT漏洞導致了網絡物理犯罪的真實可能性。這就是為什么組織也在選擇供應商時執行嚴格的標準，要求他們在網絡安全實踐方面更加警惕和穩健。這種日益積極的姿態可能有助于提高供應商在更有效地披露物聯網漏洞方面的警惕性。

平均而言，XIoT漏洞以每月125個的速度發布和解決，到2022年上半年達到747個。絕大多數患者的CVSS評分為嚴重(19%)或嚴重(46%)。這表明整個行業在物聯網系統的安全監控方面都有所提高。

盡管漏洞披露的實踐和過程已經成熟，但如果安全漏洞繼續以前所未有的速度增長，組織和供應商可能無法保持面子。此外，即使有一小部分漏洞未被發現，也可能導致嚴重的安全事件。

因此，每個組織都必須有適當的防御措施，以減少任何重大安全缺陷的可能性，并采取積極的措施來減輕風險，即使漏洞被利用。

哪些主動措施可以幫助組織防范XIoT漏洞?

網絡分段無疑是XIoT漏洞緩解的冠軍。它將整個網絡劃分為多個段或子網，從而將物聯網連接的設備和系統與核心網絡和內部資源隔離開來。

隨著OT系統、醫療設備和具有物聯網設備的嵌入式系統等關鍵資源不再是氣隙性的，細分可以通過限制外部和內部對這些關鍵資源的訪問來幫助提高安全彈性。即使發生了入侵，也可以阻止攻擊者橫向移動整個網絡并訪問關鍵的控制系統。這種主動的方法可以幫助組織保留檢查網絡流量和OT、醫療和物聯網特定協議的能力，以檢測和防御異常行為。

此外，組織必須有效地管理云的安全風險。如前所述，許多XIoT設備，特別是OT內的設備，不再是氣隙的，因此具有更大的攻擊面。威脅行為者可能會看到一個機會，以大規模連接暴露的漏洞為目標。組織應在其云存儲庫中實施積極主動的措施，如加密和安全通信、MFA和特權訪問管理，以建立有效的風險管理。

雖然XIoT漏洞披露在最近一段時間內顯著增加，但很明顯，一些漏洞仍未被發現和修復，給組織造成了重大的安全問題。因此，討論的主動安全措施可以幫助組織保持領先于這些未被發現的威脅，并提高其安全彈性。