Ryzyka bezpieczeństwa w routerach OT/IoT: Nowy raport pokazuje niepokojące fakty
Ryzyka bezpieczeństwa w routerach OT/IoT: Nowy raport pokazuje niepokojące fakty
Zarządzanie ryzykiem w łańcuchu dostaw oprogramowania dla urządzeń IoT: Przewodnik poprawy bezpieczeństwa cybernetycznego
Monachium (OTS)
W dzisiejszym świecie sieciowym, w Internecie rzeczy (IoT) i technologii operacyjnej (OT), bezpieczeństwo łańcuchów dostaw oprogramowania staje się pilnym tematem. Nowy raport Forescout Technologies i skończony państwo zatytułowane „Rough wokół krawędzi” zawiera głęboką analizę sytuacji bezpieczeństwa w tej krytycznej infrastrukturze.
Odkryłem daty bezpieczeństwa
Badanie pokazuje, że wspólne obrazy oprogramowania układowego routera mają znaczące słabości. W jądrze jest średnio 20 wykorzystywanych słabych miejsc w Day Day. Ogólnie rzecz biorąc, eksperci analizowali obrazy oprogramowania układowego od dostawców takich jak Acksys, Digi, MDEX, Teltonika i Unitronics. Obrazy te, często oparte na OpenWRT, zawierają średnio 662 komponentów z 2154 ocenami bezpieczeństwa.
Szczególnie niepokojące jest to, że zidentyfikowano 161 znanych słabości na obraz, w tym 24 sklasyfikowane jako krytyczne. Wiele z tych problemów wynika z wieku zastosowanych komponentów open source, które mają średnio 5,5 lat i dlatego są daleko w tyle za najnowszymi wersjami. Funkcje bezpieczeństwa, takie jak RELRO, Kanary Stack i NX, są powszechne.
Wyzwania dotyczące bezpieczeństwa cybernetycznego
Z ponad 40 milionami odsłoniętych urządzeń w regionie DachNiemcy zajmują najwyższą pozycję. Najczęściej używane słabe punkty obejmują luki bezpieczeństwa w urządzeniach z Citrix ADC, Cisco IOS i Huawei Home Gateway. Sytuacja ta jest oceniana jako poważna przez ekspertów takich jak Daniel Dos Santos przez FORESCOUT. Wskazuje na rosnące ryzyko botnetów, zaawansowanych uporczywych zagrożeń (APTS) i hacktivistów.
Ponadto Larry Pesce, inny ekspert w stanie skończonym, podkreślił pilną priorytetowo zmniejszenie ryzyka łańcucha dostaw oprogramowania. „Ostatnie oprogramowanie układowe zwykle ma mniej luk i oferuje lepszą ochronę binarną. Jednak nawet najnowsze obrazy często pokazują wady w odniesieniu do krytycznych komponentów, takich jak jądro i OpenSSL”, wyjaśnia Pesce.
Zalecenia dla firm
Barry Mainz, CEO FORESCOUT, błaga o solidne środki bezpieczeństwa cybernetycznego w celu ochrony krytycznej infrastruktury. Zaleca tworzenie kompleksowych zapasów systemowych, integracji rachunków za oprogramowanie (SBOMS) i ukierunkowanej analizy ryzyka. Pozytywnym rozwojem polega na tym, że standardowe dane logowania są często generowane indywidualnie i muszą być zmieniane podczas konfiguracji. Niemniej jednak istnieją wyzwania, ponieważ producenci czasami łatwe osłabienie, które mogą prowadzić do nowych problemów.
WNIOSEK: Potrzeba orientacji działania
Wyniki raportu podkreślają pilną potrzebę zagrożenia w łańcuchu dostaw oprogramowania urządzeń OT/IoT. Firmy są zobowiązane do podjęcia jasnych środków w celu poprawy bezpieczeństwa cybernetycznego. Z uwagi na progresywną sieć systemów, ukierunkowane strategie redukcji ryzyka są nie tylko przydatne, ale także niezbędne do ochrony infrastruktury cyfrowej.
Dalsze informacje można znaleźć w raporcie „Rough wokół krawędzi”.