市場上芯片的缺乏,以及新冠肺炎大流行對全球供應鏈的持續影響還不足以阻擋阻止物聯網(IoT)的發展。根據IoT Analytics的數據,預計到2021年,活躍的物聯網設備的數量將達到123億臺,到2025年將達到270億臺以上。
然而,安全性并沒有隨著物聯網的急劇崛起而獲得應有關注。Gartner研究副總裁厄爾·珀金斯(Earl Perkins)說:“創新的步伐要求人們更加關注保護數百萬臺設備,其中大多數設備都連接到(主要是無線)網絡。不幸的是,這些設備中的許多在軟件和基礎設施層面幾乎沒有安全性”。據該咨詢公司稱,超過25%的企業網絡攻擊將涉及物聯網,而物聯網只占到IT預算的10%不到。
不難得出結論,缺乏解決安全問題的能力最終會影響物聯網項目。在卡巴斯基的一項研究中,57%的受訪組織認為,網絡安全風險是項目實施的最大障礙。這一能力缺失可能來自于這樣一個事實,即物聯網為設備、平臺、操作系統和網絡連接類型增加了許多新的安全風險和挑戰。
工業物聯網解決方案提供商研華的董事Eric Kao解釋道:“物聯網項目非常分散,具有典型的行業特性,并且需要大量的集成工作。相比之下,傳統的IT項目有大約80%的共同需求。物聯網實施需要解決傳統系統、物理約束、協議、多供應商解決方案,并在可用性、可擴展性和安全性之間保持合理的平衡。為了滿足這些要求,安全最終成為一項巨大的挑戰。”
Microsoft Defender for IoT存在嚴重漏洞
在Microsoft Defender for IoT中發現的多個漏洞允許攻擊者在沒有獲得身份驗證的情況下獲得遠程訪問連網設備的權限。
微軟Defender for IoT是一款前身為CyberX的產品,于2020年被微軟收購。它是一種安全解決方案,可以監測物聯網/OT資產并檢測威脅,可以部署在本地或微軟Azure連接的環境中。最吸引人的攻擊面是其Web界面,可以讓你輕松控制物聯網環境。另一個敏感元素是分析網絡流量的DPI(深度包檢測)服務。
根據調查結果,未經身份驗證的攻擊者可以通過利用Azure的密碼恢復引擎中的漏洞,遠程破壞受微軟Azure Defender for IoT保護的設備。SentinelLabs 于 2021 年 6 月向Microsoft通報了這些漏洞,這些漏洞被跟蹤為并標記為嚴重,其中一些CVSS得分為10.0,這是最高的。目前,Microsoft已發布了安全更新以解決關鍵漏洞。
在給VentureBeat網站的一份聲明中,微軟表示,“安全漏洞是我們都面臨的嚴重問題,這就是為什么它與行業保持合作伙伴關系,并遵循協調一致的漏洞披露流程的原因所在,以在漏洞公開之前保護客戶。”微軟還表示,它已經解決了提到的問題,并感謝合作伙伴。
來源: 物聯之家