物联网是一场安全梦night,它揭示了最新的现实世界分析
发布时间:2020-05-11 10:28:30发布人:日新微博
最新分析显示,不少于98%的物联网(IoT)设备发送的流量未加密,从而将大量个人和机密数据暴露给潜在的攻击者。
而且,大多数网络将IoT设备与更传统的IT资产(例如笔记本电脑,台式机和移动设备)混合在一起,使这些网络从两端都受到恶意软件的攻击:易受攻击的IoT设备可以感染PC;而未打补丁的笔记本电脑可以使攻击者访问IoT设备-以及大量可售数据。
这些是Palo Alto Networks在美国数千个物理位置对120万个IoT设备进行的真实世界测试得出的重要结论。
该公司还专注于医疗保健行业,发现了一个真正令人震惊的安全状况:不少于83%的医学成像设备运行在不受支持的操作系统上;由于对Windows 7的终止支持,与两年前相比大幅增长了56%。
报告指出,这使医院“容易受到攻击,可能破坏护理或暴露敏感的医疗信息”。此外,72%的医疗VLAN混合了物联网和传统资产,因此黑客访问个人健康数据的潜力是定时炸弹。
研究人员估计,目前有超过一半(57%)的IoT设备容易受到中度或高度严重攻击,这使其成为黑客的明显目标。报告指出:“我们发现,尽管物联网设备的脆弱性使其很容易成为目标,但它们通常被用作横向移动攻击网络上其他系统的垫脚石。” “此外,由于制造商设置的密码薄弱和密码安全性不佳,我们发现与密码相关的攻击在IoT设备上仍然很普遍。”
讨厌这么说每个人都告诉你...
简而言之,人们多年来一直在警告的不良物联网安全性现在有可能损害大型网络,因为它们已连接到同一网络。而且由于无法将成像设备升级到较新的操作系统,黑客在网络中也有一条额外的途径,他们可以从未加密的IoT设备中收集大量数据。换句话说,这是双重打击。
有个好消息是:加利福尼亚州的新物联网法(SB-327)要求每台设备使用不同的密码-而不是制造商的默认密码-于年初开始生效,并有望减少容易的黑客入侵。
尽管这是一种改进,但正如我们之前所提到的,该法律仅处理最低限度的成果,并且不包括安全软件更新之类的东西,随着时间的推移,安全软件更新会带来更大的安全风险-因为运行Windows 7的用户可能会发现接下来的几年。即使是要求制造商定期提示用户升级其软件的法律,也可能对安全产生巨大的积极影响。
要求加密的法律也将有很大的帮助。就像数据最小化法律一样,该法律要求公司仅请求和存储其产品功能所需的数据。就像某种强制性的双重身份验证一样。
担心的是,由于立法者通过了一项消除默认密码的法律,因此立法者将把注意力从可怕的物联网安全上移开。据我们所知,这似乎没有任何新的安全立法通过权力通道发挥作用。
Windoze
该报告还对特定的安全风险和操作系统使用情况提出了一些有趣的观察。“我们目睹了攻击者从运行僵尸网络通过物联网设备进行DDoS攻击的主要动机转变为通过蠕虫状功能在网络中传播的恶意软件,从而使攻击者可以运行恶意代码来进行各种新的攻击,作者指出。
至于关键医院设备正在使用的操作系统:56%的操作系统不支持Windows 7,而令人恐惧的11%的操作系统仍在使用WinXP。7%的人运行不受支持的Linux或Unix;只有2%的人使用受支持的Linux。
该报告提供了一些建议,以限制对物联网相关威胁的暴露。首先,找出网络上是否有IoT设备,如果有,则跨VLAN对其进行分段。然后打补丁,打补丁,打补丁-尤其是打印机之类的简单操作。最后,切换到主动监视,这样您就可以更快地发现正在发生的事情。
相关评论 (0条)
暂无任何评论,欢迎您点评!