2023年5类风险最高的联网设备

2023年5类风险最高的联网设备

Forescout Research – Vedere Labs于7月13日发布了有关2023年企业网络中风险最高设备的最新调查结果，该调查自2020年以来一直在跟踪组织的网络。涵盖IT、IoT、OT(运营技术)和 IoMT(医疗物联网)，数据直接来自连接的设备。该团队注意到，尽管许多设备类型始终位于其高风险联网设备列表中，例如IP摄像机、VoIP设备和可编程逻辑控制器 (PLC)，但由于固有的重要性或由于持续缺乏关注，本年度的观察报告出现了一些新型其他设备(VPN网关、NAS、OOEM、工程工作站、RTU等七类)，这也恰当地反映了威胁形势的新发展。在Forescout题为《2023 年风险最高的互联设备》的最新报告中，风险最高的OT设备包括关键且设计不安全的PLC、许多数据中心中具有默认凭据的UPS，以及去年出现的无处不在但通常不可见的楼宇自动化控制器，仍然位列其中。
 

自2020年以来，Forescout Research–Vedere Labs一直在跟踪组织网络上风险最高的设备。2020年，该团队发布了第一份《企业物联网安全报告》，随后于2022年发布了《企业网络中风险最高的连接设备》报告。报告完全基于直接来自连接设备的数据。多年来，Vedere Labs注意到，这些高风险的联网设备清单上总有那么一些是持续不变的，但每年会发生一些微小的变化，比如2023年中报告中就出现了五类设备。琮有一种情况，预测的情况也可能出现偏差。例如，Vedere Labs在2022年报告称，虚拟机管理程序成为勒索软件的主要目标，这一趋势会增长并持续到2023年。然而，2022年报告(1月至4月)中的数据集并未包括将虚拟机管理程序。黑客活动分子越来越多地瞄准非托管设备、越来越多的员工在新冠疫情后返回办公室。俄罗斯入侵乌克兰后，疫情大流行，西方关键基础设施遭受更严重的攻击。
 

Vedere Labs在其博文和完整报告中，介绍了关于2023年企业网络中风险最高的设备的调查结果。他们再次采用数据驱动的方法，使用Forescout的多因素风险评分方法分析Forescout设备云中的数百万台设备。

2023年风险最高的联网设备是什么?

使用报告中描述的数据集和评分方法，Vedere Labs确定了四个设备类别中风险最高的五种设备类型：IT、IoT、OT 和 IoMT，总共20种设备类型。风险等级从1到5，第级1表示风险最高，依次递减。

在这20种连接的设备类型中：

● 13项已在2022年报告中讨论并保留在列表中：IT中的计算机、服务器和路由器；物联网中的打印机、IP摄像头和VoIP；OT中的UPS、PLC和楼宇自动化；IoMT 中的医疗保健工作站、成像设备、核医学和患者监视器。

● 列表中新增了七种设备类型(表中以蓝色突出显示)：VPN 网关和 IT 安全设备；物联网中的NAS和OOBM；OT中的工程工作站和RTU；IoMT 中的血糖监测仪。
 

Forescout通过查看三类因素来确定设备的风险评分：

配置——设备上存在的漏洞和开放端口的数量和严重性

功能——根据设备的用途对组织的潜在影响

行为 — 互联网暴露以及连接到设备或设备连接到的IP地址的声誉

2023年风险最高的联网设备：主要发现

● 数据集中有超过4,000个漏洞影响设备。其中，78%影响IT设备，14%影响 IoT，6%影响OT，2%影响IoMT。尽管大多数漏洞都会影响 IT 设备，但其中近80%的严重程度较低。相比之下，IoMT设备的漏洞较少，但其中80%是关键漏洞，通常可以完全接管设备。同样，影响OT和IoT设备的漏洞中有一半以上都是严重的。

● 在所有行业中，至少10%安装了端点保护的设备但已将其禁用。这一数字在政府和金融服务领域最高(均接近24%)，紧随其后的是医疗保健领域(21%)。

● 医疗保健是2023年风险最高的行业，其次是零售业和制造业。医疗保健中的设备更有可能打开危险端口，例如Telnet、SSH和RDP。医疗保健领域中近10%的设备仍然开放Telnet端口，而其他行业中这一比例为3-4%。

● 观察到，从2022年到2023年，风险降低幅度最大的是政府部门。然而，妥协指标 (IOC)，例如已知的恶意IP和域名，最常在政府中检测到(63%的 IoC)，其次是医疗保健 (19%) 和金融服务业 (8%)。

● IT网络基础设施和安全设备是互联网上暴露程度最高的设备。其次是物联网设备，例如IP摄像机(占物联网的绝大多数，占23%)、NAS(7%)和 VoIP(3%)。还有大量暴露的办公设备，例如政府中的打印机和 NAS(19%)以及金融服务中的 OT(6%，主要是 UPS)。

● Windows和Linux等传统操作系统在各个行业中占据主导地位，但嵌入式固件等特殊用途操作系统在零售业 (14%)、医疗保健 (13%) 和政府 (12%) 领域尤其强大。管理不受支持的旧版本、跟踪各种特殊用途操作系统以及处理嵌入式固件中的系统安全问题对于安全团队来说都是噩梦。

● 专用设备比通用IT设备更频繁地运行旧版Windows。例如，运行Windows的63% 的OT设备和35%的IoMT设备都使用旧版操作系统。这是因为它们的使用寿命长、运行的遗留应用程序以及供应商需要证明它们可以安全地升级到较新的操作系统。
 

需要强调的是，并非所有漏洞都会被利用，甚至无法被利用。CISA维护着一份不断更新的已知被威胁行为者利用的漏洞列表。截至2023年5月，该列表包含925个漏洞。六家IT软件供应商(Microsoft、Adobe、Apple、Google、Oracle和Apache)对其中477 个 (52%) 个漏洞负有责任，这些漏洞可能会影响运行其软件的各种设备。然而，一些漏洞影响特定类型的设备，包括物联网和OT。威胁行为者针对的所有这些设备类型都出现在2023年风险最高的设备列表中，但会议系统和虚拟机管理程序除外，它们出现在2022年列表中。
 

如何保护您的攻击面

仅适用于特定设备的解决方案无法有效降低风险，因为它们对网络的其他部分被利用进行攻击视而不见。还需要考虑业务关键性等影响因素。因此，最危险的设备列表并不总是与受攻击最严重的设备完全一致。尽管如此，研究者确定的几种风险最高的设备将在2023年成为最受攻击的设备之一。特别是IT网络基础设施设备(路由器、安全设备和VPN网关)和物联网中的NAS显示出只会变得越来越受攻击者欢迎的迹象。

建议可以采取的具体行动来降低直接风险：

● 旧版Windows以及OT和IoMT中严重漏洞的普遍存在– 尽可能升级、更换或隔离这些设备。

● IT设备中经常禁用的端点保护解决方案– 用自动化设备合规性验证和实施，以确保不合规设备无法连接到网络。

● 常见的暴露设备(例如IP摄像机)和危险的开放端口(例如 Telnet) –改进网络安全工作，包括网络分段。
 

从更广泛的角度来看，安全设备、VPN网关、NAS、OOBM和血糖监测仪等各种设备的风险状况不断增加，这意味着组织需要接受这样一个事实：当今不断变化的威胁形势需要新的、卓越的安全方法来识别和降低风险。

为了绕过传统的端点安全方法，威胁行为者不断转向提供更容易初始访问的设备。现代风险和暴露管理必须涵盖每个类别的设备，以降低整个组织的风险。一本化或系统性的解决方案，才有可能应对IT、OT、IoT、IMOT融合发展引入的威胁和风险，单纯的某一种方案恐难奏效。例如，纯OT或IMOT解决方案无法评估IT设备的风险，而纯IT解决方案将错过专用设备的细微差别。

除了风险评估之外，风险缓解还应使用不仅仅依赖于安全代理的自动化控制。同样，它们必须适用于整个企业，而不是IT网络、OT网络或特定类型的IoT设备等孤岛。

参考资源

1、https://www.forescout.com/blog/riskiest-connected-devices-it-iot-ot-iomt/
2、https://industrialcyber.co/reports/forescout-reports-2023-riskiest-connected-devices-across-it-iot-ot-iomt-environments/

来源：网空闲话plus