市場上芯片的缺乏,以及新冠肺炎大流行對全球供應(yīng)鏈的持續(xù)影響還不足以阻擋阻止物聯(lián)網(wǎng)(IoT)的發(fā)展。根據(jù)IoT Analytics的數(shù)據(jù),預(yù)計到2021年,活躍的物聯(lián)網(wǎng)設(shè)備的數(shù)量將達到123億臺,到2025年將達到270億臺以上。
然而,安全性并沒有隨著物聯(lián)網(wǎng)的急劇崛起而獲得應(yīng)有關(guān)注。Gartner研究副總裁厄爾·珀金斯(Earl Perkins)說:“創(chuàng)新的步伐要求人們更加關(guān)注保護數(shù)百萬臺設(shè)備,其中大多數(shù)設(shè)備都連接到(主要是無線)網(wǎng)絡(luò)。不幸的是,這些設(shè)備中的許多在軟件和基礎(chǔ)設(shè)施層面幾乎沒有安全性”。據(jù)該咨詢公司稱,超過25%的企業(yè)網(wǎng)絡(luò)攻擊將涉及物聯(lián)網(wǎng),而物聯(lián)網(wǎng)只占到IT預(yù)算的10%不到。
不難得出結(jié)論,缺乏解決安全問題的能力最終會影響物聯(lián)網(wǎng)項目。在卡巴斯基的一項研究中,57%的受訪組織認為,網(wǎng)絡(luò)安全風險是項目實施的最大障礙。這一能力缺失可能來自于這樣一個事實,即物聯(lián)網(wǎng)為設(shè)備、平臺、操作系統(tǒng)和網(wǎng)絡(luò)連接類型增加了許多新的安全風險和挑戰(zhàn)。
工業(yè)物聯(lián)網(wǎng)解決方案提供商研華的董事Eric Kao解釋道:“物聯(lián)網(wǎng)項目非常分散,具有典型的行業(yè)特性,并且需要大量的集成工作。相比之下,傳統(tǒng)的IT項目有大約80%的共同需求。物聯(lián)網(wǎng)實施需要解決傳統(tǒng)系統(tǒng)、物理約束、協(xié)議、多供應(yīng)商解決方案,并在可用性、可擴展性和安全性之間保持合理的平衡。為了滿足這些要求,安全最終成為一項巨大的挑戰(zhàn)。”
Microsoft Defender for IoT存在嚴重漏洞
在Microsoft Defender for IoT中發(fā)現(xiàn)的多個漏洞允許攻擊者在沒有獲得身份驗證的情況下獲得遠程訪問連網(wǎng)設(shè)備的權(quán)限。
微軟Defender for IoT是一款前身為CyberX的產(chǎn)品,于2020年被微軟收購。它是一種安全解決方案,可以監(jiān)測物聯(lián)網(wǎng)/OT資產(chǎn)并檢測威脅,可以部署在本地或微軟Azure連接的環(huán)境中。最吸引人的攻擊面是其Web界面,可以讓你輕松控制物聯(lián)網(wǎng)環(huán)境。另一個敏感元素是分析網(wǎng)絡(luò)流量的DPI(深度包檢測)服務(wù)。
根據(jù)調(diào)查結(jié)果,未經(jīng)身份驗證的攻擊者可以通過利用Azure的密碼恢復(fù)引擎中的漏洞,遠程破壞受微軟Azure Defender for IoT保護的設(shè)備。SentinelLabs 于 2021 年 6 月向Microsoft通報了這些漏洞,這些漏洞被跟蹤為并標記為嚴重,其中一些CVSS得分為10.0,這是最高的。目前,Microsoft已發(fā)布了安全更新以解決關(guān)鍵漏洞。
在給VentureBeat網(wǎng)站的一份聲明中,微軟表示,“安全漏洞是我們都面臨的嚴重問題,這就是為什么它與行業(yè)保持合作伙伴關(guān)系,并遵循協(xié)調(diào)一致的漏洞披露流程的原因所在,以在漏洞公開之前保護客戶。”微軟還表示,它已經(jīng)解決了提到的問題,并感謝合作伙伴。
來源: 物聯(lián)之家