根據 Forescout 最新發布的《2024 年最危險的聯網設備》報告顯示，與一年前相比，含有漏洞的物聯網（IoT）設備激增了 136%。

此次研究人員分析了近1900萬臺設備的數據，發現存在漏洞的物聯網設備比例從2023年的14%上升到2024年的33%。

其中，最容易受到攻擊的物聯網設備是無線接入點、路由器、打印機、網絡電話（VoIP）和 IP 攝像機。

在此次分析的上述物聯網設備中，約有三分之一（33%）存在漏洞。

Forescout 安全情報副總裁 Rik Ferguson表示，威脅行為者的主要目標是連接到企業堆棧的物聯網設備，如 IP 攝像機和樓宇管理系統，而不是消費類智能產品。

這些終端為攻擊者提供了一個隱秘的、自由進出組織系統的機會。

Rik Ferguson指出：有黑客在地下論壇分享了一些相關教程，介紹了如何入侵并利用它們進行橫向移動、滲透和指揮控制，因為在大多數情況下，企業安全堆棧都看不到它們。

研究人員還強調，醫療物聯網（IoMT）也是一個重大風險，這些設備中有 5% 存在漏洞。

在這類設備中，風險最大的是醫療信息系統、心電圖儀、醫學數字成像和通信（DICOM）工作站、圖片存檔和通信系統（PACS）以及配藥系統。

研究人員指出，有記錄顯示，勒索軟件攻擊影響了配藥系統的可用性，可能導致患者治療延誤。

與 Forescout 的 2023 年報告相比，IoMT 在風險最高的設備類別中也超過了操作技術 (OT)。

網絡設備是風險最高的 IT 設備

據今年的報告顯示，網絡設備出現漏洞的頻率很高，占據了整個 IT 設備漏洞的58%。盡管這一比例相較 2023 年的 78% 有了顯著下降，但網絡基礎設施設備，包括路由器和無線接入點是最具風險的 IT 設備類別，超過了端點。

Forescout 注意到，另一些 IT 設備受到攻擊的頻率有所下降，而另一些則有所上升，攻擊者主要將攻擊目標集中在無線接入點和路由器等通常無人管理的設備上。

他指出，在過去的一年里，管理程序一直是重大入侵事件的切入點，勒索軟件就是專門針對這些設備而開發的。

不間斷電源 (UPS)、分布式控制系統 (DCS)、可編程邏輯控制器 (PLC)、機器人和樓宇管理系統 (BMS) 是在 OT 環境中發現的五種最危險的設備類型，共有 4% 的 OT 設備被發現存在漏洞。

同時，研究人員還指出，在電子和汽車制造等行業中，機器人的使用正在迅速增加，這些行業的工廠之間的聯系越來越緊密。其中許多機器人與其他 OT 設備存在相同的安全問題，包括軟件過時和默認憑據。

醫療保健行業安全風險最低

根據數據顯示，平均設備風險最高的行業是技術（得分：8.3）、教育（得分：8.14）、制造（得分：7.98）和金融（得分：7.95）。

有趣的是，在 Forescout 的最新報告中，醫療保健行業從 2023 年風險最高的行業變成了風險最低的行業，得分為 7.25。

研究人員表示，這是由于醫療保健行業去年在設備安全方面進行了大量投資。

Ferguson 指出，醫療保健行業已經從過去一年的勒索軟件攻擊中吸取了教訓，關閉了攻擊者的關鍵進入點，特別是減少了 Telnet 和 RDP 的暴露。

風險評分根據配置、行為和功能進行量化，每臺設備的得分介于 1 到 10 之間。

來源：Forescout

平均設備風險較高的國家有菲律賓（6.97）、泰國（6.96）、加拿大（6.51）和美國（6.44）。

在本次報告中所分析的國家中，英國的風險得分最低，僅為 6 分。