市場上芯片的缺乏，以及新冠肺炎大流行對全球供應(yīng)鏈的持續(xù)影響還不足以阻擋阻止物聯(lián)網(wǎng)(IoT)的發(fā)展。根據(jù)IoT Analytics的數(shù)據(jù)，預(yù)計到2021年，活躍的物聯(lián)網(wǎng)設(shè)備的數(shù)量將達(dá)到123億臺，到2025年將達(dá)到270億臺以上。

然而，安全性并沒有隨著物聯(lián)網(wǎng)的急劇崛起而獲得應(yīng)有關(guān)注。Gartner研究副總裁厄爾·珀金斯(Earl Perkins)說：“創(chuàng)新的步伐要求人們更加關(guān)注保護數(shù)百萬臺設(shè)備，其中大多數(shù)設(shè)備都連接到(主要是無線)網(wǎng)絡(luò)。不幸的是，這些設(shè)備中的許多在軟件和基礎(chǔ)設(shè)施層面幾乎沒有安全性”。據(jù)該咨詢公司稱，超過25%的企業(yè)網(wǎng)絡(luò)攻擊將涉及物聯(lián)網(wǎng)，而物聯(lián)網(wǎng)只占到IT預(yù)算的10%不到。

不難得出結(jié)論，缺乏解決安全問題的能力最終會影響物聯(lián)網(wǎng)項目。在卡巴斯基的一項研究中，57%的受訪組織認(rèn)為，網(wǎng)絡(luò)安全風(fēng)險是項目實施的最大障礙。這一能力缺失可能來自于這樣一個事實，即物聯(lián)網(wǎng)為設(shè)備、平臺、操作系統(tǒng)和網(wǎng)絡(luò)連接類型增加了許多新的安全風(fēng)險和挑戰(zhàn)。

工業(yè)物聯(lián)網(wǎng)解決方案提供商研華的董事Eric Kao解釋道：“物聯(lián)網(wǎng)項目非常分散，具有典型的行業(yè)特性，并且需要大量的集成工作。相比之下，傳統(tǒng)的IT項目有大約80%的共同需求。物聯(lián)網(wǎng)實施需要解決傳統(tǒng)系統(tǒng)、物理約束、協(xié)議、多供應(yīng)商解決方案，并在可用性、可擴展性和安全性之間保持合理的平衡。為了滿足這些要求，安全最終成為一項巨大的挑戰(zhàn)。”

Microsoft Defender for IoT存在嚴(yán)重漏洞

在Microsoft Defender for IoT中發(fā)現(xiàn)的多個漏洞允許攻擊者在沒有獲得身份驗證的情況下獲得遠(yuǎn)程訪問連網(wǎng)設(shè)備的權(quán)限。

微軟Defender for IoT是一款前身為CyberX的產(chǎn)品，于2020年被微軟收購。它是一種安全解決方案，可以監(jiān)測物聯(lián)網(wǎng)/OT資產(chǎn)并檢測威脅，可以部署在本地或微軟Azure連接的環(huán)境中。最吸引人的攻擊面是其Web界面，可以讓你輕松控制物聯(lián)網(wǎng)環(huán)境。另一個敏感元素是分析網(wǎng)絡(luò)流量的DPI(深度包檢測)服務(wù)。

根據(jù)調(diào)查結(jié)果，未經(jīng)身份驗證的攻擊者可以通過利用Azure的密碼恢復(fù)引擎中的漏洞，遠(yuǎn)程破壞受微軟Azure Defender for IoT保護的設(shè)備。SentinelLabs 于 2021 年 6 月向Microsoft通報了這些漏洞，這些漏洞被跟蹤為并標(biāo)記為嚴(yán)重，其中一些CVSS得分為10.0，這是最高的。目前，Microsoft已發(fā)布了安全更新以解決關(guān)鍵漏洞。

在給VentureBeat網(wǎng)站的一份聲明中，微軟表示，“安全漏洞是我們都面臨的嚴(yán)重問題，這就是為什么它與行業(yè)保持合作伙伴關(guān)系，并遵循協(xié)調(diào)一致的漏洞披露流程的原因所在，以在漏洞公開之前保護客戶。”微軟還表示，它已經(jīng)解決了提到的問題，并感謝合作伙伴。

來源： 物聯(lián)之家