在當今復雜的網(wǎng)絡威脅環(huán)境中，幾乎每個企業(yè)都面臨大量IT、物聯(lián)網(wǎng)（IoT）和操作技術（OT）設備資產(chǎn)安全風險。這些設備資產(chǎn)，為黑客提供了大量隱蔽的攻擊路徑（例如暖通空調(diào)系統(tǒng)和醫(yī)療設備）。

為幫助企業(yè)評估現(xiàn)代復雜設備資產(chǎn)環(huán)境中的潛在風險，F(xiàn)orescout Research旗下的VedereLabs近日研究了近1900萬臺設備，以確定2024年哪些類別對組織構成最大的威脅。研究結(jié)果基于設備配置錯誤的可能性、發(fā)現(xiàn)的漏洞數(shù)量、互聯(lián)網(wǎng)暴露程度以及在被攻破時對組織的潛在影響。調(diào)查主要結(jié)果如下：

物聯(lián)網(wǎng)漏洞猛增136%

基準數(shù)據(jù)表明，IT設備漏洞占比依然最高（58%），但這一比例已從2023年的78%顯著下降。物聯(lián)網(wǎng)漏洞則猛增了136%，從去年的14%上升到今年的33%。

總體來看，最脆弱的設備類型包括：無線接入點（WAP）、路由器、打印機、語音IP（VoIP）設備和IP攝像頭。而暴露最多的未管理設備是VoIP設備、網(wǎng)絡基礎設施和打印機。

風險最高的三個行業(yè)是：科技、教育和制造業(yè)。2024年，醫(yī)療領域的高風險設備數(shù)量有所下降，但物聯(lián)網(wǎng)醫(yī)療設備（IoMT）中的問題設備今年快速增長。

Forescout強調(diào)，評估環(huán)境風險時需要全盤考慮。“僅關注單一類別的高風險設備是不夠的，因為攻擊者可以利用不同類別的設備發(fā)動攻擊。”Forescout展示了一個名為“R4IoT”的概念驗證攻擊，攻擊從IP攝像頭開始，轉(zhuǎn)移到工作站（IT），最終禁用可編程邏輯控制器（PLC）。

“現(xiàn)代風險和暴露管理必須涵蓋所有類別的設備，以識別、優(yōu)先級和降低整個組織的風險。”Forescout表示，“僅適用于特定設備的解決方案無法有效降低風險，因為它們無法察覺網(wǎng)絡中其他被利用的部分。”

2024年風險最高的聯(lián)網(wǎng)設備分類榜單：

IT設備

• 路由器
• 無線接入點
• 服務器
• 計算機
• 虛擬機管理程序

IT終端傳統(tǒng)上是網(wǎng)絡攻擊者獲取初始訪問權限的主要目標，但自2023年初以來，網(wǎng)絡基礎設施設備在風險方面已經(jīng)超過終端。這主要是由于該類別中發(fā)現(xiàn)和利用的漏洞數(shù)量增加。因此，路由器和無線接入點位列最具風險的IT設備榜首，其次是服務器和計算機，再次是虛擬機管理程序。

物聯(lián)網(wǎng)設備

• NAS
• VoIP
• IP攝像頭
• NVR
• 打印機

最具風險的物聯(lián)網(wǎng)設備清單中新增了一個條目：網(wǎng)絡視頻錄像機（NVR）。報告指出，“NVR與IP攝像頭一起在網(wǎng)絡中存儲其錄制的視頻，和IP攝像頭一樣，它們常常暴露在互聯(lián)網(wǎng)上，并且具有被網(wǎng)絡犯罪僵尸網(wǎng)絡和高級持續(xù)性威脅（APT）利用的重大漏洞。”其他高風險設備包括網(wǎng)絡附加存儲（NAS）、VoIP、IP攝像頭、打印機和NVR。

OT設備

• UPS
• DCS
• PLC
• 機器人
• 建筑管理系統(tǒng)

美國網(wǎng)絡安全和基礎設施安全局（CISA）定期發(fā)布關于美國操作技術環(huán)境中威脅增加的警報，這一領域應成為組織防御改進的優(yōu)先事項。最具風險的設備包括不間斷電源（UPS）、分布式控制系統(tǒng)（DCS）、PLC、機器人和建筑管理系統(tǒng)。

醫(yī)療物聯(lián)網(wǎng)設備（IoMT）

• 醫(yī)療信息系統(tǒng)（HIS）
• 心電圖機
• DICOM工作站
• 圖片存檔和通信系統(tǒng)（PACS）
• 藥物分配系統(tǒng)

Forescout的IoMT設備分析中包含今年所有的新設備，包括混合IT設備和專用嵌入式設備，這些設備可能對患者安全和個人健康信息（PHI）構成巨大風險。最具風險的IoMT設備包括醫(yī)療信息系統(tǒng)、心電圖機、DICOM工作站、圖片存檔和通信系統(tǒng)（PACS）以及藥物分配系統(tǒng)。