Turvallisuusriskit OT/IOT -reitittimissä: Uusi raportti näyttää hälyttävät tosiasiat
Turvallisuusriskit OT/IOT -reitittimissä: Uusi raportti näyttää hälyttävät tosiasiat
IoT -laitteiden ohjelmistolaiteketjun riskienhallinta: Opas tietoturvan parantamiseksi
München (OTS)
Nykypäivän verkottuneessa maailmassa, esineiden Internetissä (IoT) ja operatiivisessa tekniikassa (OT) ohjelmistoketjujen turvallisuudesta tulee kiireellinen aihe. Forescout Technologiesin ja äärellisen valtion uuden raportin "Karkea reunojen ympärillä" tarjoaa syvän analyysin turvallisuustilanteesta tässä kriittisessä infrastruktuurissa.
löydetyt turvapäivät
Tutkimus osoittaa, että yhteisillä reitittimen laiteohjelmistokuvilla on merkittäviä heikkouksia. Ytimessä on keskimäärin 20 hyödynnetyn N-päivän heikkoja pisteitä. Kaiken kaikkiaan asiantuntijat analysoivat laiteohjelmistokuvia palveluntarjoajilta, kuten ACKSYS, DIGI, MDEX, Teltonika ja yksikkö. Nämä kuvat, jotka usein perustuvat OpenWRT: hen, sisältävät keskimäärin 662 komponenttia, joissa on 2 154 turvallisuusarviointia.
On erityisen huolestuttavaa, että kuvaa kohti tunnistettiin 161 tunnettua heikkoutta, mukaan lukien 24 luokiteltu kriittiseksi. Monet näistä ongelmista johtuvat käytettyjen avoimen lähdekoodin komponenttien iästä, jotka ovat keskimäärin 5,5 vuotta vanhoja ja ovat siksi kaukana uusimmista versioista. Turvaominaisuudet, kuten Relro, Stack -kanariansaaret ja NX, ovat yleisiä.
haasteet kyberturvallisuudelle
Yli 40 miljoonalla altistuneella laitteella DACH -alueellaSaksa on ylimmässä asemassa. Yleisimmin käytettyjä heikkoja pisteitä ovat tietoturvapuut Citrix ADC: n, Cisco IOS: n ja Huawei Home Gateway -laitteiden laitteissa. Ennakkomaksun kaltaiset asiantuntijat arvioivat tämän tilanteen vakavasti asiantuntijat, kuten Daniel Dos Santos. Hän osoittaa kasvavan botnetsien, edistyneiden jatkuvien uhkien (APTS) ja hacktivistien riskin.
Lisäksi Larry Pesce, toinen äärellisen valtion asiantuntija, korosti kiireellisyyttä priorisoidakseen ohjelmiston toimitusketjun riskien vähentämisen. "Viimeaikaisella laiteohjelmistolla on yleensä vähemmän haavoittuvuuksia ja se tarjoaa parempaa binaarisuojaa. Jopa viimeisimmät kuvat osoittavat usein puutteita suhteessa kriittisiin komponentteihin, kuten ytimeen ja OpenSSL", Pesce selittää.
suositukset yrityksille
Barry Mainz, Forescoutin toimitusjohtaja, vetoaa vahvoihin kyberturvallisuustoimenpiteisiin kriittisten infrastruktuurien suojelemiseksi. Hän suosittelee kattavan järjestelmävaraston luomista, materiaalilaskujen (SBOMS) integrointia ja kohdennetun riskianalyysin. Positiivinen kehitys on, että tavanomaiset kirjautumistiedot luodaan usein erikseen ja niitä on muutettava kokoonpanon aikana. Siitä huolimatta on haasteita, koska valmistajat joskus laastavat heikkouksia, mikä voi johtaa uusiin ongelmiin.
PÄÄTELMÄT: toiminnan suunnan tarve
Raportin tulokset korostavat kiireellisyyttä riskejen torjumiseksi OT/IOT -laitteiden ohjelmistotoimitusketjussa. Yritysten on toteutettava selkeät toimenpiteet kyberturvallisuuden parantamiseksi. Järjestelmien asteittaisen verkottumisen vuoksi kohdennetut riskin vähentämisen strategiat eivät ole vain hyödyllisiä, vaan myös välttämättömiä digitaalisen infrastruktuurin suojaamiseksi.
Lisätietoja löytyy raportista "karkea reunojen ympärillä".