Bezpečnostné riziká v smerovačoch OT/IOT: Nová správa ukazuje alarmujúce fakty
Bezpečnostné riziká v smerovačoch OT/IOT: Nová správa ukazuje alarmujúce fakty
Správa rizík v softvérovom dodávateľskom reťazci pre zariadenia IoT: Sprievodca na zlepšenie kybernetickej bezpečnosti
Mníchov (OTS)
V dnešnom sieťovom svete sa na internete vecí (IoT) a prevádzkovej technológii (OT) stáva bezpečnosť softvérových dodávateľských reťazcov naliehavou témou. Nová správa spoločnosti ForEScout Technologies a konečného štátu s názvom „Rough okolo okrajov“ ponúka hlbokú analýzu bezpečnostnej situácie v tejto kritickej infraštruktúre.
Objavené dátumy zabezpečenia
Vyšetrovanie ukazuje, že bežné obrázky firmvéru firmvéru smerovača majú významné slabosti. V jadre je v priemere 20 vykorisťovaných slabých miest. Celkovo experti analyzovali obrázky firmvéru od poskytovateľov, ako sú ACKSYS, Digi, MDEX, Teltonika a Unitronics. Tieto obrázky, často založené na OpenWRT, obsahujú v priemere 662 komponentov s 2 154 bezpečnostnými hodnoteniami.
Je obzvlášť alarmujúce, že na obrázok bolo identifikovaných 161 známych slabostí, vrátane 24 klasifikovaných ako kritických. Mnohé z týchto problémov sú spôsobené vekom použitých komponentov s otvoreným zdrojom, ktoré sú v priemere 5,5 roka, a preto sú ďaleko za najnovšími verziami. Bezpečnostné funkcie, ako sú RELRO, STACK CANARY a NX, sú bežné.
Výzvy pre Cyber Security
S viac ako 40 miliónmi exponovaných zariadení v oblasti DACH, Nemecko zastáva najvyššiu pozíciu. Najčastejšie používané slabé body zahŕňajú bezpečnostné medzery v zariadeniach od Citrix ADC, Cisco IOS a Huawei Home Gateway. Túto situáciu hodnotia odborníci ako Daniel Dos Santos ako závažné od spoločnosti ForeScout. Uvádza rastúce riziko botnetov, pokročilých pretrvávajúcich hrozieb (APT) a hacktivistov.Okrem toho Larry Pesce, ďalší odborník z konečného štátu, zdôraznil naliehavosť na uprednostňovanie zníženia rizika v dodávateľskom reťazci softvéru. „Posledný firmvér má zvyčajne menej zraniteľností a ponúka lepšiu binárnu ochranu. Avšak aj najnovšie obrázky často ukazujú chyby vo vzťahu k kritickým komponentom, ako je jadro a OpenSSL,“ vysvetľuje Pesce.
Odporúčania pre spoločnosti
Barry Mainz, generálny riaditeľ spoločnosti ForeScout, žiada robustné opatrenia na kybernetickú bezpečnosť na ochranu kritických infraštruktúr. Odporúča vytvoriť komplexný systém systému, integráciu softvérových účtov materiálov (SBOMS) a cielenej analýzy rizika. Pozitívnym vývojom je, že štandardné prihlasovacie údaje sa často generujú individuálne a musia sa meniť počas konfigurácie. Existujú však výzvy, pretože výrobcovia niekedy opravujú slabé stránky, čo môže viesť k novým problémom.
Záver: potreba orientácie akcie
Výsledky správy zdôrazňujú naliehavosť pri riešení rizík v dodávateľskom reťazci softvéru OT/IoT zariadení. Spoločnosti sú povinné prijať jasné opatrenia na zlepšenie kybernetickej bezpečnosti. Vzhľadom na progresívnu sieť systémov sú cielené stratégie znižovania rizika nielen užitočné, ale tiež potrebné na ochranu digitálnej infraštruktúry.
Ďalšie informácie nájdete v správe „drsné okolo okrajov“.