物联网漏洞报告仍然很少

物联网设备正以创纪录的数量激增，仅以旨在窃取数据和劫持其运营的攻击的增长为目标。与此同时，消费设备供应商继续拒绝报告其设备中的漏洞：自从我们一年半前讨论这个主题以来，报告数字并没有太大改善。

对已部署和将要部署的物联网设备数量的估计差异很大。例如，虽然一些分析师的数量是两倍或更多，但IoT Analytics在 9 月份预测，到 2021 年底，全球连接的物联网设备的数量将达到 123 亿个活动端点。到 2025 年，该公司预计这一数字将达到超过270亿。由于 Covid-19 大流行和芯片短缺，去年设备增长仅略有放缓。

根据卡巴斯基 9 月份的数据，2021 年上半年，对这些设备的攻击翻了一番，达到 15 亿次。

漏洞不断暴露，例如 Forescout 和 JSOF 发现的NAME:WRECK DNS 漏洞，可能影响 1 亿台 IoT 设备，以及Nozomi Networks 报告的安全摄像头漏洞，影响数百万台联网设备。

7 月，Zscaler ThreatLabz 的一项研究报告称，与 2019 年封锁前期间发生的类似攻击相比，在 2020 年 12 月 15 日至 31 日期间的 5 亿次设备交易中，对物联网设备的恶意软件攻击增加了 700%。

根据 Ordr 于 8 月发布的2021 年“机器崛起”报告，超过 40% 的联网设备现在是“无代理的”，这意味着它们无法受到传统端点安全代理的保护。其中包括工业环境中的常见设备，例如 IP 电话、打印机、安全摄像头和徽章阅读器。近一半的连接设备容易受到中度和高度严重性的攻击。

与此同时， Tripwire 去年 3 月调查的99% 的安全专业人士表示，他们在保护组织的物联网和工业物联网设备方面面临挑战。大约三分之二的人表示，他们在尝试发现和修复漏洞方面遇到了问题。

未报告的漏洞

漏洞报告程序现在被广泛认为是物联网设备安全的基本要求。然而，根据物联网安全基金会关于设备漏洞披露的第四份报告，报告从 2020 年的 18.9% 增长到 2021 年的 21.26%，增幅很小。

资料来源：物联网安全基金会

该研究指出：“几乎五分之四的公司仍未提供非常基本的安全卫生机制，以便向供应商报告安全漏洞以便修复它们。” “这是令人无法接受的低水平。”

IoTSF 董事总经理 John Moor 告诉EE Times ，虽然有一些改善，但报告从 2019 年到 2020 年期间从 13.3% 跃升至 18.9%，主要是由于“预期监管要求”增加了更多的消费设备类别。报告中讨论的未决或即将出台的物联网安全法规包括来自英国和美国政府的法规。例如，英国正在寻求强制性的物联网安全标准，并以违规罚款为后盾。

约翰·摩尔

2021 年，IoTSF 报告增加了 B2B 类别，以评估消费者和企业实践之间的差异；Moor 说，B2B 的数字看起来比 B2C 的数字要好得多。这部分是因为拥有有效的协调漏洞披露计划的公司往往是大型的传统 IT 供应商，而规模较小、相对较新的消费者公司则相反。

至于消费者供应商的报告，进展仍然是“缓慢的”，Moor 说。“虽然有些公司可能仍然不知道有什么帮助可用，但由于有关法规和免费材料的大量宣传，这种借口已经没有太多空间了，”他说。

“此外，漏洞披露可以外包给第三方，这意味着公司也可以获得外部专业知识或额外能力，所以这也不是一个有效的借口。然而，消费物联网行业仍未能满足市场对售后漏洞修复的明确需求。”

Moor 说，尽管物联网安全存在几个强有力的标准，但它们不是强制性的。与商业买家不同，消费者倾向于假设他们是否可以购买产品，它必须是安全的。此外，众所周知，消费者的利润率非常低。“所以，如果你的市场没有特别要求安全，也没有法规要求，供应商可能会合理地问‘为什么要增加成本？’”

设备安全很难

拉里·奥康奈尔

连接设备没有得到更好保护的原因之一是物联网安全性很困难。“微处理器很难保护，”Sequitur Labs 营销副总裁拉里·奥康奈尔说。Sequitur Labs 专注于网络边缘智能设备的芯片到云安全，主要是工业客户和一些芯片供应商。

O'Connell 说，安全性被取消了优先级，并且整个披露过程没有得到妥善管理，因为物联网供应商不从事安全业务。他们的首要任务是构建设备并快速发货。“安全不是他们的世界，这是一个难以解决的问题，”他说。“披露是同一件事的延伸：一般的安全性和披露，在产品生命周期的整个设计、开发和部署阶段都需要放在首位。”

Sequitur Labs 首席执行官 Philip Attfield 补充说，安全性也是一个不断变化的目标。“你必须包括它，并考虑处理它的机制，”阿特菲尔德说。“流程必须到位，以便现场操作系统的任何人都可以维护它们。”

处理器类经常决定系统攻击，这也受系统架构的影响。“如果它是大容量微处理器，它的供应商将尽可能降低成本，”Attfield 说。系统寿命也是一个因素。“对于消费者系统，需要两到五年；对于工业来说，它是五到十年，甚至更长。因此，它归结为风险与将所有这些系统部署到位以进行管理的费用。”

菲利普·阿特菲尔德

到 2022 年，由于正在处理的原始数据量，网络边缘智能设备中 AI 部署的大幅增加只会增加保护物联网和工业物联网设备的紧迫性。“IP 现在处于边缘，”O'Connell 说。

鉴于软件堆栈和存储架构的变化，另一个趋势是“电子系统的可破坏足迹实际上非常小，而且规模正在迅速缩小，”Attfield 说。“例如，智能手机越来越难破解，支付终端也发生了同样的事情。

“因此，接下来受到攻击的将是其他尚未赶上的系统，例如工业控制系统和医疗设备，”他预测道。

审核编辑 黄昊宇