Varnostna tveganja v usmerjevalnikih OT/IoT: Novo poročilo prikazuje zaskrbljujoča dejstva
Varnostna tveganja v usmerjevalnikih OT/IoT: Novo poročilo prikazuje zaskrbljujoča dejstva
Upravljanje tveganj v dobavni verigi programske opreme za naprave IoT: Vodnik za izboljšanje kibernetske varnosti
München (OTS)
V današnjem omrežnem svetu, na internetu stvari (IoT) in operativni tehnologiji (OT), varnost programskih dobavnih verig postane nujna tema. Novo poročilo tehnologije Forescout in končnega stanja z naslovom "Grobo po robovih" ponuja globoko analizo varnostnih razmer v tej kritični infrastrukturi.
Odkrite datume varnosti
Preiskava kaže, da imajo slike skupne vdelane programske opreme v strojni programski opremi pomembne pomanjkljivosti. V jedru je v povprečju 20 izkoriščenih šibkih točk N-dneva. Na splošno so strokovnjaki analizirali slike vdelane programske opreme ponudnikov, kot so ACKSYS, DIGI, MDEX, TELTONAKA in UTRONICS. Te slike, ki pogosto temeljijo na OpenWRT, vsebujejo v povprečju 662 komponent z 2.154 varnostnimi ocenami.
Še posebej zaskrbljujoče je, da je bilo na sliko identificiranih 161 znanih pomanjkljivosti, vključno s 24, ki je razvrščenih kot kritični. Mnoge od teh težav so posledica starosti uporabljenih odprtokodnih komponent, ki so v povprečju stare 5,5 leta in so zato daleč za najnovejšimi različicami. Varnostne funkcije, kot so Relro, Stack Canaries in NX, so pogoste.
izzivi za kibernetsko varnost
Z več kot 40 milijoni izpostavljenih naprav v regiji DachNemčija zaseda najvišji položaj. Najpogosteje uporabljene šibke točke vključujejo varnostne vrzeli v napravah Citrix ADC, Cisco IOS in Huawei Home Gateway. Strokovnjaki, kot je Daniel Dos Santos, to stanje ocenjujejo kot resno. Nakazuje naraščajoče tveganje za botnete, napredne vztrajne grožnje (APT) in hacktiviste.
Poleg tega je Larry Pesce, še en strokovnjak končne države, poudaril nujnost, da je dal prednost zmanjšanju tveganja v dobavni verigi programske opreme. "Nedavna vdelana programska oprema ima običajno manj ranljivosti in nudi boljšo binarno zaščito. Vendar pa tudi najnovejše slike pogosto kažejo okvare glede na kritične komponente, kot sta jedro in OpenSSL," razlaga Pesce.
priporočila za podjetja
Barry Mainz, izvršni direktor FORESCOUT, se zavzema za zanesljive ukrepe za kibernetsko varnost za zaščito kritične infrastrukture. Priporoča, da ustvarite obsežen sistemski popis, integracijo programskih računov materialov (SBOM) in ciljno analizo tveganja. Pozitiven razvoj je, da se standardni podatki za prijavo pogosto ustvarjajo posamično in jih je treba med konfiguracijo spremeniti. Kljub temu obstajajo izzivi, ker proizvajalci včasih zakrbijo slabosti, kar lahko privede do novih težav.
Sklep: Potreba po akcijski orientaciji
Rezultati poročila poudarjajo nujnost reševanja tveganj v programski dobavni verigi naprav OT/IoT. Podjetja morajo sprejeti jasne ukrepe za izboljšanje kibernetske varnosti. Glede na progresivno mreženje sistemov ciljne strategije za zmanjšanje tveganja niso samo koristne, ampak tudi potrebne za zaščito digitalne infrastrukture.
Nadaljnje informacije najdete v poročilu "Grobo po robovih".