市場上芯片的缺乏,以及新冠肺炎大流行對全球供應(yīng)鏈的持續(xù)影響還不足以阻擋阻止物聯(lián)網(wǎng)(IoT)的發(fā)展。根據(jù)IoT Analytics的數(shù)據(jù),預(yù)計到2021年,活躍的物聯(lián)網(wǎng)設(shè)備的數(shù)量將達(dá)到123億臺,到2025年將達(dá)到270億臺以上。
然而,安全性并沒有隨著物聯(lián)網(wǎng)的急劇崛起而獲得應(yīng)有關(guān)注。Gartner研究副總裁厄爾·珀金斯(Earl Perkins)說:“創(chuàng)新的步伐要求人們更加關(guān)注保護(hù)數(shù)百萬臺設(shè)備,其中大多數(shù)設(shè)備都連接到(主要是無線)網(wǎng)絡(luò)。不幸的是,這些設(shè)備中的許多在軟件和基礎(chǔ)設(shè)施層面幾乎沒有安全性”。據(jù)該咨詢公司稱,超過25%的企業(yè)網(wǎng)絡(luò)攻擊將涉及物聯(lián)網(wǎng),而物聯(lián)網(wǎng)只占到IT預(yù)算的10%不到。
不難得出結(jié)論,缺乏解決安全問題的能力最終會影響物聯(lián)網(wǎng)項目。在卡巴斯基的一項研究中,57%的受訪組織認(rèn)為,網(wǎng)絡(luò)安全風(fēng)險是項目實(shí)施的最大障礙。這一能力缺失可能來自于這樣一個事實(shí),即物聯(lián)網(wǎng)為設(shè)備、平臺、操作系統(tǒng)和網(wǎng)絡(luò)連接類型增加了許多新的安全風(fēng)險和挑戰(zhàn)。
工業(yè)物聯(lián)網(wǎng)解決方案提供商研華的董事Eric Kao解釋道:“物聯(lián)網(wǎng)項目非常分散,具有典型的行業(yè)特性,并且需要大量的集成工作。相比之下,傳統(tǒng)的IT項目有大約80%的共同需求。物聯(lián)網(wǎng)實(shí)施需要解決傳統(tǒng)系統(tǒng)、物理約束、協(xié)議、多供應(yīng)商解決方案,并在可用性、可擴(kuò)展性和安全性之間保持合理的平衡。為了滿足這些要求,安全最終成為一項巨大的挑戰(zhàn)。”
Microsoft Defender for IoT存在嚴(yán)重漏洞
在Microsoft Defender for IoT中發(fā)現(xiàn)的多個漏洞允許攻擊者在沒有獲得身份驗證的情況下獲得遠(yuǎn)程訪問連網(wǎng)設(shè)備的權(quán)限。
微軟Defender for IoT是一款前身為CyberX的產(chǎn)品,于2020年被微軟收購。它是一種安全解決方案,可以監(jiān)測物聯(lián)網(wǎng)/OT資產(chǎn)并檢測威脅,可以部署在本地或微軟Azure連接的環(huán)境中。最吸引人的攻擊面是其Web界面,可以讓你輕松控制物聯(lián)網(wǎng)環(huán)境。另一個敏感元素是分析網(wǎng)絡(luò)流量的DPI(深度包檢測)服務(wù)。
根據(jù)調(diào)查結(jié)果,未經(jīng)身份驗證的攻擊者可以通過利用Azure的密碼恢復(fù)引擎中的漏洞,遠(yuǎn)程破壞受微軟Azure Defender for IoT保護(hù)的設(shè)備。SentinelLabs 于 2021 年 6 月向Microsoft通報了這些漏洞,這些漏洞被跟蹤為并標(biāo)記為嚴(yán)重,其中一些CVSS得分為10.0,這是最高的。目前,Microsoft已發(fā)布了安全更新以解決關(guān)鍵漏洞。
在給VentureBeat網(wǎng)站的一份聲明中,微軟表示,“安全漏洞是我們都面臨的嚴(yán)重問題,這就是為什么它與行業(yè)保持合作伙伴關(guān)系,并遵循協(xié)調(diào)一致的漏洞披露流程的原因所在,以在漏洞公開之前保護(hù)客戶。”微軟還表示,它已經(jīng)解決了提到的問題,并感謝合作伙伴。
來源: 物聯(lián)之家