大多數的安全漏洞會危害到電腦和伺服器,但在物聯網(IoT)與營運科技(OT)裝置當中,卻具有更高比例的嚴重弱點。
文/Lucian Constantin‧譯/曾祥信
最新的一份研究分析了真實世界中 1,900 萬台企業裝置的風險因素,例如:已知的安全漏洞、開放連接埠、舊有作業系統、端點防護、網路暴露等,此研究涵蓋不同產業及不同用途類型的裝置,包括 IT、物聯網、營運科技或工業物聯網(OT/IIoT),以及醫療物聯網(Internet of Medical Things,IoMT)裝置。
資安公司 Forescout 使用企業客戶的匿名統計資料進行研究分析,根據 Forescout 表示,由於新的安全漏洞(vulnerability)與弱點利用(exploit)的出現,風險最高的前 20 名裝置當中,跟一年前比較,出現 7 種新的裝置類型,包括:虛擬私有網路閘道器(VPN gateway)、安全設備、網路附接儲存裝置(NAS)、頻外管理平台(OOBM platform)、工作站、遠端終端裝置(RTU)與血糖監測設備。
有 13 種裝置仍維持在前 20 名清單當中,包括:IT 類別裡的電腦、伺服器和路由器;物聯網中的印表機、網路監控攝影機(IP camera)和 VoIP 系統;OT/IIoT 中的不斷電系統(UPS)、可程式化邏輯控制器(PLC)與建築自動化系統;醫療物聯網裡的醫療工作站、影像裝置、核醫學系統與病患監控設備。
Forescout 根據三項因素來決定裝置的風險指數:
- 弱點結構(Configuration)─ 裝置上安全漏洞和開放連接埠的數量與嚴重程度。
- 功能(Function)─ 依照裝置的用途,評估安全風險對於組織的潛在影響程度。
- 行為(Behavior)─ 與裝置連線的 IP 位址的網路暴露程度與信譽分數。
追蹤超過四千種的裝置安全漏洞
Forescout 依握有的資料,追蹤存在於 1,900 萬台網路裝置上,多達四千種以上的安全漏洞。不意外的,絕大多數漏洞(78%)影響的是 IT 裝置,IT 裝置類別包含企業網路當中最常見的裝置類型,例如電腦和伺服器。物聯網裝置佔所有安全漏洞比例的 16%,工業裝置為 6%,醫療裝置則是 2%。
不過,安全漏洞的嚴重程度不盡相同,而且不是所有漏洞都容易修補。舉例來說,IT 裝置的安全漏洞只有 20% 屬於嚴重程度,營運科技(OT)與物聯網裝置的漏洞有一半為嚴重弱點,而醫療裝置的漏洞,有 80% 達到嚴重程度的分數。嚴重的安全漏洞,通常會讓入侵者掌握裝置的完整控制權。此外,在營運科技(OT)和醫療領域用的一些特殊嵌入式裝置,比起執行 Windows 的電腦更難修補漏洞。這類裝置也更有可能使用特製化的韌體(firmware),而非 Windows 或 Linux 等一般用途的作業系統。
不意外的,醫療保健產業具有最多數量的高度及中度風險裝置,同時,與 Forescout 的 2022 年分析相比,醫療領域也是唯一在這類裝置上數量增加的產業。排名緊接在後的是零售業、製造業、金融業與政府機關。事實上,政府部門是過去一年,中度及高度風險裝置數量減少最多的產業別,由 40% 減為 10%。
美國 CISA 維護並持續更新一份已知被實際利用的安全漏洞清單 ─ 目前有超過 900 項漏洞。此外,政府機構必須在特定期限內修補好漏洞,這些事實,很可能在減少政府網路的風險裝置數量上,發揮了極大的影響。
修補企業裝置弱點時面臨的挑戰
在安裝特殊用途作業系統與韌體的嵌入式裝置上,修補安全漏洞通常比較困難,因此不意外的,擁有這類裝置數量最多的醫療與零售業,同時也是具有最多中度及高度風險裝置的產業。
「特殊用途作業系統的多樣化(我們在 Device Cloud 觀察到 2,500 種以上不同版本的作業系統)可說是安全團隊在追蹤安全弱點時的惡夢,也是我們極需網路裝置能見度的主因之一」,Forescout 研究員如此說道。「嵌入式韌體(embedded firmware)在引入系統性安全問題上,也是惡名昭彰,例如:後門、寫死的(hardcoded)憑證與金鑰、以及記憶體損毀漏洞等」。
單純因為某個裝置運行在 Windows 之上,不代表修補漏洞就比較容易。各個產業中,都有很多特殊用途的裝置,使用早已不再支援的 Windows 版本,例如 Windows 8、7、XP 和 CE。再次地,醫療與零售產業擁有最多數量的這類裝置,而使用過時 Windows 版本的裝置類別,最多的是 63% 的營運科技(OT)裝置,其次是 35% 的醫療裝置。
開放連接埠成為弱點利用的風險
開放的網路通訊連接埠,是另一項增加風險的因素,尤其是舊有過時的通訊協定所使用的連接埠,例如 Telnet,或是經常被入侵者利用的 SSH、SMB(伺服器訊息區塊)或 RDP(遠端桌面協定)。
研究員表示:「醫療產業在除了 SMB 以外的每項協定都具有最多漏洞。大約 10% 的裝置仍然開放 Telnet 連接埠,在其他產業裡,這個數字約在 3% 到 4% 之間。SMB 在金融服務產業最普遍(29%),不過其他產業開放 SMB 連接埠的比例也不少(27%),只有製造業較低,開放比例為 24%」。
不是所有裝置都能夠執行防毒軟體這類的端點安全防護程式,而且,即使裝置有安裝這類程式,有時候也被使用者手動關閉了。有安裝卻停用端點安全防護軟體的裝置,數量最多的是金融服務與政府部門領域,各有 24%,其次是醫療產業的 21%,製造業的 17%,以及零售業的 10%。
或許這就說明了,為什麼政府機關裡的裝置,經常會觸發入侵指標(IoC, indicators of comprise)警報,例如與已知的惡意 IP 位址和網域建立網路連線。Forescout 監控的政府網路裝置,觸發入侵指標偵測功能的比例高達 63%,相較之下,醫療產業為 19%,金融服務為 8%。零售和製造業裝置觸發警報的比例只有 5%。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
雖然直接暴露在網際網路上,不代表裝置就會被入侵,但如果裝置具有已知而尚未修補的安全弱點,或是未能即時地部署修補程式,無疑會使風險大幅提升。正如我們預期的,路由器、其他網路裝置與安全設備,加起來就佔所有網路暴露裝置的一半左右,分別是 25% 與 33%。這很合理,因為這些設備通常是控制或檢查企業網路進出流量的周邊裝置。在網路暴露裝置清單上,接下來出現的是網路監控攝影機(23%)、NAS 機器(7%)、VoIP 系統(3%)和印表機(2%)。約有 5% 是其他的物聯網裝置,2% 為營運科技(OT)裝置。
將這些數字與產業別關聯起來,也能看出一些有趣的趨勢。例如,政府部門、製造業和零售業,暴露在網路上的 NAS 機器,數量多到不尋常的地步,此外,政府部門和金融服務業也有很多暴露於網路上的印表機。跟其他產業相比,金融服務業暴露在網路上的營運科技(OT)裝置特別地多,還有很多安全設備,只有醫療產業的數量可以匹配。
降低企業裝置的風險
Forescout 建議,組織應當採取具體行動來減少資安風險:
- 過時 Windows 系統的泛濫程度,以及營運科技(OT)和醫療物聯網的嚴重漏洞,意謂組織需要立即的行動計劃,儘可能地升級、更換或隔離這類裝置。
- IT 裝置中,經常被停用的端點防護軟體,代表組織必須採行裝置符合規範的自動化驗證與強制措施,以確保不符合規範的裝置無法連線到網路。
- 容易被找到的暴露裝置,例如網路監控攝影機和危險的開放連接埠如 Telnet,意謂著組織必須改善網路安全措施,包括網路分割(segmentation)。
Forescout 研究員表示:「現代化的風險與暴露管理,必須包含各種類別的裝置,才能有效降低整個組織承受的風險。除了風險評估以外,風險緩解必須使用毋需仰賴安全人力的自動化控制方法。同樣地,這些流程不能只用在 IT 網路、營運科技(OT)網路或特定種類的物聯網裝置,而是必須套用到整個組織,才能發揮效果」。
(本文授權非營利轉載,請註明出處:CIO Taiwan)