根據(jù) Forescout 最新發(fā)布的《2024 年最危險(xiǎn)的聯(lián)網(wǎng)設(shè)備》報(bào)告顯示，與一年前相比，含有漏洞的物聯(lián)網(wǎng)（IoT）設(shè)備激增了 136%。

此次研究人員分析了近1900萬(wàn)臺(tái)設(shè)備的數(shù)據(jù)，發(fā)現(xiàn)存在漏洞的物聯(lián)網(wǎng)設(shè)備比例從2023年的14%上升到2024年的33%。

其中，最容易受到攻擊的物聯(lián)網(wǎng)設(shè)備是無(wú)線接入點(diǎn)、路由器、打印機(jī)、網(wǎng)絡(luò)電話（VoIP）和 IP 攝像機(jī)。

在此次分析的上述物聯(lián)網(wǎng)設(shè)備中，約有三分之一（33%）存在漏洞。

Forescout 安全情報(bào)副總裁 Rik Ferguson表示，威脅行為者的主要目標(biāo)是連接到企業(yè)堆棧的物聯(lián)網(wǎng)設(shè)備，如 IP 攝像機(jī)和樓宇管理系統(tǒng)，而不是消費(fèi)類智能產(chǎn)品。

這些終端為攻擊者提供了一個(gè)隱秘的、自由進(jìn)出組織系統(tǒng)的機(jī)會(huì)。

Rik Ferguson指出：有黑客在地下論壇分享了一些相關(guān)教程，介紹了如何入侵并利用它們進(jìn)行橫向移動(dòng)、滲透和指揮控制，因?yàn)樵诖蠖鄶?shù)情況下，企業(yè)安全堆棧都看不到它們。

研究人員還強(qiáng)調(diào)，醫(yī)療物聯(lián)網(wǎng)（IoMT）也是一個(gè)重大風(fēng)險(xiǎn)，這些設(shè)備中有 5% 存在漏洞。

在這類設(shè)備中，風(fēng)險(xiǎn)最大的是醫(yī)療信息系統(tǒng)、心電圖儀、醫(yī)學(xué)數(shù)字成像和通信（DICOM）工作站、圖片存檔和通信系統(tǒng)（PACS）以及配藥系統(tǒng)。

研究人員指出，有記錄顯示，勒索軟件攻擊影響了配藥系統(tǒng)的可用性，可能導(dǎo)致患者治療延誤。

與 Forescout 的 2023 年報(bào)告相比，IoMT 在風(fēng)險(xiǎn)最高的設(shè)備類別中也超過了操作技術(shù) (OT)。

網(wǎng)絡(luò)設(shè)備是風(fēng)險(xiǎn)最高的 IT 設(shè)備

據(jù)今年的報(bào)告顯示，網(wǎng)絡(luò)設(shè)備出現(xiàn)漏洞的頻率很高，占據(jù)了整個(gè) IT 設(shè)備漏洞的58%。盡管這一比例相較 2023 年的 78% 有了顯著下降，但網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備，包括路由器和無(wú)線接入點(diǎn)是最具風(fēng)險(xiǎn)的 IT 設(shè)備類別，超過了端點(diǎn)。

Forescout 注意到，另一些 IT 設(shè)備受到攻擊的頻率有所下降，而另一些則有所上升，攻擊者主要將攻擊目標(biāo)集中在無(wú)線接入點(diǎn)和路由器等通常無(wú)人管理的設(shè)備上。

他指出，在過去的一年里，管理程序一直是重大入侵事件的切入點(diǎn)，勒索軟件就是專門針對(duì)這些設(shè)備而開發(fā)的。

不間斷電源 (UPS)、分布式控制系統(tǒng) (DCS)、可編程邏輯控制器 (PLC)、機(jī)器人和樓宇管理系統(tǒng) (BMS) 是在 OT 環(huán)境中發(fā)現(xiàn)的五種最危險(xiǎn)的設(shè)備類型，共有 4% 的 OT 設(shè)備被發(fā)現(xiàn)存在漏洞。

同時(shí)，研究人員還指出，在電子和汽車制造等行業(yè)中，機(jī)器人的使用正在迅速增加，這些行業(yè)的工廠之間的聯(lián)系越來(lái)越緊密。其中許多機(jī)器人與其他 OT 設(shè)備存在相同的安全問題，包括軟件過時(shí)和默認(rèn)憑據(jù)。

醫(yī)療保健行業(yè)安全風(fēng)險(xiǎn)最低

根據(jù)數(shù)據(jù)顯示，平均設(shè)備風(fēng)險(xiǎn)最高的行業(yè)是技術(shù)（得分：8.3）、教育（得分：8.14）、制造（得分：7.98）和金融（得分：7.95）。

有趣的是，在 Forescout 的最新報(bào)告中，醫(yī)療保健行業(yè)從 2023 年風(fēng)險(xiǎn)最高的行業(yè)變成了風(fēng)險(xiǎn)最低的行業(yè)，得分為 7.25。

研究人員表示，這是由于醫(yī)療保健行業(yè)去年在設(shè)備安全方面進(jìn)行了大量投資。

Ferguson 指出，醫(yī)療保健行業(yè)已經(jīng)從過去一年的勒索軟件攻擊中吸取了教訓(xùn)，關(guān)閉了攻擊者的關(guān)鍵進(jìn)入點(diǎn)，特別是減少了 Telnet 和 RDP 的暴露。

風(fēng)險(xiǎn)評(píng)分根據(jù)配置、行為和功能進(jìn)行量化，每臺(tái)設(shè)備的得分介于 1 到 10 之間。

來(lái)源：Forescout

平均設(shè)備風(fēng)險(xiǎn)較高的國(guó)家有菲律賓（6.97）、泰國(guó)（6.96）、加拿大（6.51）和美國(guó)（6.44）。

在本次報(bào)告中所分析的國(guó)家中，英國(guó)的風(fēng)險(xiǎn)得分最低，僅為 6 分。