在當(dāng)今復(fù)雜的網(wǎng)絡(luò)威脅環(huán)境中，幾乎每個(gè)企業(yè)都面臨大量IT、物聯(lián)網(wǎng)（IoT）和操作技術(shù)（OT）設(shè)備資產(chǎn)安全風(fēng)險(xiǎn)。這些設(shè)備資產(chǎn)，為黑客提供了大量隱蔽的攻擊路徑（例如暖通空調(diào)系統(tǒng)和醫(yī)療設(shè)備）。

為幫助企業(yè)評(píng)估現(xiàn)代復(fù)雜設(shè)備資產(chǎn)環(huán)境中的潛在風(fēng)險(xiǎn)，F(xiàn)orescout Research旗下的VedereLabs近日研究了近1900萬(wàn)臺(tái)設(shè)備，以確定2024年哪些類別對(duì)組織構(gòu)成最大的威脅。研究結(jié)果基于設(shè)備配置錯(cuò)誤的可能性、發(fā)現(xiàn)的漏洞數(shù)量、互聯(lián)網(wǎng)暴露程度以及在被攻破時(shí)對(duì)組織的潛在影響。調(diào)查主要結(jié)果如下：

物聯(lián)網(wǎng)漏洞猛增136%

基準(zhǔn)數(shù)據(jù)表明，IT設(shè)備漏洞占比依然最高（58%），但這一比例已從2023年的78%顯著下降。物聯(lián)網(wǎng)漏洞則猛增了136%，從去年的14%上升到今年的33%。

總體來(lái)看，最脆弱的設(shè)備類型包括：無(wú)線接入點(diǎn)（WAP）、路由器、打印機(jī)、語(yǔ)音IP（VoIP）設(shè)備和IP攝像頭。而暴露最多的未管理設(shè)備是VoIP設(shè)備、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和打印機(jī)。

風(fēng)險(xiǎn)最高的三個(gè)行業(yè)是：科技、教育和制造業(yè)。2024年，醫(yī)療領(lǐng)域的高風(fēng)險(xiǎn)設(shè)備數(shù)量有所下降，但物聯(lián)網(wǎng)醫(yī)療設(shè)備（IoMT）中的問(wèn)題設(shè)備今年快速增長(zhǎng)。

Forescout強(qiáng)調(diào)，評(píng)估環(huán)境風(fēng)險(xiǎn)時(shí)需要全盤考慮?！皟H關(guān)注單一類別的高風(fēng)險(xiǎn)設(shè)備是不夠的，因?yàn)楣粽呖梢岳貌煌悇e的設(shè)備發(fā)動(dòng)攻擊?！盕orescout展示了一個(gè)名為“R4IoT”的概念驗(yàn)證攻擊，攻擊從IP攝像頭開(kāi)始，轉(zhuǎn)移到工作站（IT），最終禁用可編程邏輯控制器（PLC）。

“現(xiàn)代風(fēng)險(xiǎn)和暴露管理必須涵蓋所有類別的設(shè)備，以識(shí)別、優(yōu)先級(jí)和降低整個(gè)組織的風(fēng)險(xiǎn)?！盕orescout表示，“僅適用于特定設(shè)備的解決方案無(wú)法有效降低風(fēng)險(xiǎn)，因?yàn)樗鼈儫o(wú)法察覺(jué)網(wǎng)絡(luò)中其他被利用的部分。”

2024年風(fēng)險(xiǎn)最高的聯(lián)網(wǎng)設(shè)備分類榜單：

IT設(shè)備

• 路由器
• 無(wú)線接入點(diǎn)
• 服務(wù)器
• 計(jì)算機(jī)
• 虛擬機(jī)管理程序

IT終端傳統(tǒng)上是網(wǎng)絡(luò)攻擊者獲取初始訪問(wèn)權(quán)限的主要目標(biāo)，但自2023年初以來(lái)，網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備在風(fēng)險(xiǎn)方面已經(jīng)超過(guò)終端。這主要是由于該類別中發(fā)現(xiàn)和利用的漏洞數(shù)量增加。因此，路由器和無(wú)線接入點(diǎn)位列最具風(fēng)險(xiǎn)的IT設(shè)備榜首，其次是服務(wù)器和計(jì)算機(jī)，再次是虛擬機(jī)管理程序。

物聯(lián)網(wǎng)設(shè)備

• NAS
• VoIP
• IP攝像頭
• NVR
• 打印機(jī)

最具風(fēng)險(xiǎn)的物聯(lián)網(wǎng)設(shè)備清單中新增了一個(gè)條目：網(wǎng)絡(luò)視頻錄像機(jī)（NVR）。報(bào)告指出，“NVR與IP攝像頭一起在網(wǎng)絡(luò)中存儲(chǔ)其錄制的視頻，和IP攝像頭一樣，它們常常暴露在互聯(lián)網(wǎng)上，并且具有被網(wǎng)絡(luò)犯罪僵尸網(wǎng)絡(luò)和高級(jí)持續(xù)性威脅（APT）利用的重大漏洞。”其他高風(fēng)險(xiǎn)設(shè)備包括網(wǎng)絡(luò)附加存儲(chǔ)（NAS）、VoIP、IP攝像頭、打印機(jī)和NVR。

OT設(shè)備

• UPS
• DCS
• PLC
• 機(jī)器人
• 建筑管理系統(tǒng)

美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）定期發(fā)布關(guān)于美國(guó)操作技術(shù)環(huán)境中威脅增加的警報(bào)，這一領(lǐng)域應(yīng)成為組織防御改進(jìn)的優(yōu)先事項(xiàng)。最具風(fēng)險(xiǎn)的設(shè)備包括不間斷電源（UPS）、分布式控制系統(tǒng)（DCS）、PLC、機(jī)器人和建筑管理系統(tǒng)。

醫(yī)療物聯(lián)網(wǎng)設(shè)備（IoMT）

• 醫(yī)療信息系統(tǒng)（HIS）
• 心電圖機(jī)
• DICOM工作站
• 圖片存檔和通信系統(tǒng)（PACS）
• 藥物分配系統(tǒng)

Forescout的IoMT設(shè)備分析中包含今年所有的新設(shè)備，包括混合IT設(shè)備和專用嵌入式設(shè)備，這些設(shè)備可能對(duì)患者安全和個(gè)人健康信息（PHI）構(gòu)成巨大風(fēng)險(xiǎn)。最具風(fēng)險(xiǎn)的IoMT設(shè)備包括醫(yī)療信息系統(tǒng)、心電圖機(jī)、DICOM工作站、圖片存檔和通信系統(tǒng)（PACS）以及藥物分配系統(tǒng)。