NEW YORK, Tháng Hai 14, 2023 / PRNewswire / - Các lỗ hổng hệ thống vật lý-điện tử được tiết lộ trong nửa cuối năm 2 đã giảm 2022% kể từ khi đạt đỉnh điểm trong nửa cuối năm 14, trong khi các lỗ hổng được tìm thấy bởi nhóm nghiên cứu nội bộ và bảo mật sản phẩm đã tăng 2% trong cùng khoảng thời gian, theo đến Báo cáo tình trạng bảo mật XIoT: nửa cuối năm 2 phát hành hôm nay bởi Nguyên mẫu, công ty bảo vệ hệ thống vật lý không gian mạng. Những phát hiện này chỉ ra rằng các nhà nghiên cứu bảo mật đang có tác động tích cực trong việc tăng cường bảo mật của Internet vạn vật mở rộng (XIoT), một mạng lưới rộng lớn các hệ thống vật lý không gian mạng trong các môi trường công nghiệp, chăm sóc sức khỏe và thương mại, đồng thời các nhà cung cấp XIoT đang dành nhiều nguồn lực hơn để kiểm tra tính bảo mật và an toàn của sản phẩm của họ hơn bao giờ hết.
Tổng hợp bởi Team82, nhóm nghiên cứu từng đoạt giải thưởng của Claroty, Báo cáo bảo mật XIoT định kỳ sáu tháng lần thứ sáu là một cuộc kiểm tra và phân tích chuyên sâu về các lỗ hổng ảnh hưởng đến XIoT, bao gồm công nghệ vận hành và hệ thống kiểm soát công nghiệp (OT/ICS), Internet of Medical Things (IoMT), xây dựng hệ thống quản lý và IoT doanh nghiệp. Tập dữ liệu bao gồm các lỗ hổng được Team2 tiết lộ công khai trong nửa cuối năm 2022 và từ các nguồn mở đáng tin cậy, bao gồm Cơ sở dữ liệu về lỗ hổng bảo mật quốc gia (NVD), Nhóm ứng phó khẩn cấp mạng của Hệ thống kiểm soát công nghiệp (ICS-CERT), , MITER và các nhà cung cấp tự động hóa công nghiệp Schneider Electric và Siemens.
“Các hệ thống vật lý-mạng tạo sức mạnh cho lối sống của chúng ta. Nước chúng ta uống, năng lượng sưởi ấm ngôi nhà của chúng ta, dịch vụ chăm sóc y tế mà chúng ta nhận được – tất cả những thứ này đều dựa vào mã máy tính và có mối liên hệ trực tiếp với kết quả thực tế,” ông nói. Amir Preminger, Phó chủ tịch nghiên cứu tại Claroty. “Mục đích nghiên cứu và biên soạn báo cáo này của Team82 là cung cấp cho những người ra quyết định trong những lĩnh vực quan trọng này thông tin họ cần để đánh giá, ưu tiên và giải quyết đúng đắn các rủi ro đối với môi trường được kết nối của họ, vì vậy thật vui mừng khi chúng tôi bắt đầu thấy được thành quả lao động của nhà cung cấp và nhà nghiên cứu trong số lượng thông tin tiết lộ ngày càng tăng do các nhóm nội bộ cung cấp. Điều này cho thấy rằng các nhà cung cấp đang nắm bắt được nhu cầu bảo mật các hệ thống vật lý không gian mạng bằng cách dành thời gian, con người và tiền bạc để không chỉ vá các lỗ hổng phần mềm và chương trình cơ sở mà còn cho các nhóm bảo mật sản phẩm nói chung.”
Những phát hiện chính
- Thiết bị bị ảnh hưởng: 62% lỗ hổng OT được công bố ảnh hưởng đến các thiết bị ở Cấp độ 3 của Mô hình Purdue dành cho ICS. Các thiết bị này quản lý quy trình sản xuất và có thể là điểm giao thoa quan trọng giữa mạng IT và OT, do đó rất hấp dẫn đối với các tác nhân đe dọa nhằm phá vỡ hoạt động công nghiệp.
- Mức độ nghiêm trọng: 71% lỗ hổng được đánh giá theo điểm CVSS v3 là “nghiêm trọng” (9.0-10) hoặc “cao” (7.0-8.9), phản ánh xu hướng của các nhà nghiên cứu bảo mật là tập trung vào việc xác định các lỗ hổng có tác động tiềm ẩn lớn nhất nhằm giảm thiểu tác hại tối đa . Ngoài ra, 2022 trong số 25 Điểm yếu phổ biến nhất (CWE) trong bộ dữ liệu cũng nằm trong top XNUMX trong số XNUMX điểm yếu nguy hiểm nhất của phần mềm nguy hiểm nhất CWE năm XNUMX của MITER. Các điểm yếu này có thể khai thác tương đối đơn giản và cho phép đối thủ phá vỡ tính khả dụng của hệ thống và cung cấp dịch vụ. .
- Vectơ tấn công: 63% lỗ hổng có thể bị khai thác từ xa qua mạng, nghĩa là tác nhân đe dọa không yêu cầu quyền truy cập cục bộ, lân cận hoặc vật lý vào thiết bị bị ảnh hưởng để khai thác lỗ hổng.
- Tác động: Tác động tiềm ẩn hàng đầu là việc thực thi lệnh hoặc mã từ xa trái phép (phổ biến ở 54% lỗ hổng), tiếp theo là các tình trạng từ chối dịch vụ (sự cố, thoát hoặc khởi động lại) ở mức 43%.
- Giảm nhẹ: Bước giảm thiểu hàng đầu là phân đoạn mạng (được khuyến nghị trong 29% trường hợp tiết lộ lỗ hổng bảo mật), tiếp theo là truy cập từ xa an toàn (26%) và chống ransomware, lừa đảo và chống spam (22%).
- Đóng góp của Team82: Team82 đã duy trì vị trí dẫn đầu trong nhiều năm trong lĩnh vực nghiên cứu lỗ hổng OT với 65 lỗ hổng được tiết lộ trong nửa cuối năm 2, 2022 trong số đó được đánh giá có điểm CVSS v30 từ 3 trở lên và hơn 9.5 lỗ hổng cho đến nay.
Để truy cập vào bộ phát hiện đầy đủ, phân tích chuyên sâu và các biện pháp bảo mật được đề xuất của Team82 để ứng phó với xu hướng dễ bị tổn thương, hãy tải xuống bản đầy đủ Báo cáo tình trạng bảo mật XIoT: nửa cuối năm 2 báo cáo.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến thức. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/ics-ot/cyber-physical-systems-vulnerability-disclosures-reach-peak-while-disclosures-by-internal-teams-increase-80-over-18-months
- 2021
- 2022
- 26%
- 7
- 9
- a
- truy cập
- Theo
- ngang qua
- diễn viên
- Ngoài ra
- địa chỉ
- ảnh hưởng đến
- Định hướng
- Tất cả
- phân tích
- và
- đánh giá
- hấp dẫn
- Tự động hóa
- sẵn có
- từng đoạt giải thưởng
- trước
- Bắt đầu
- giữa
- Xây dựng
- mà
- mã
- thương gia
- Chung
- công ty
- hoàn thành
- máy tính
- điều kiện
- kết nối
- đóng góp
- điều khiển
- Crash
- quan trọng
- không gian mạng
- Nguy hiểm
- dữ liệu
- tập dữ liệu
- Cơ sở dữ liệu
- Ngày
- quyết định
- sâu
- giao hàng
- thiết bị
- Thiết bị (Devices)
- trực tiếp
- Làm gián đoạn
- tải về
- Đồ Uống
- suốt trong
- Điện
- ôm hôn
- trường hợp khẩn cấp
- cho phép
- năng lượng
- Doanh nghiệp
- môi trường
- BAO GIỜ
- Kiểm tra
- thực hiện
- Ra
- Khai thác
- Tập trung
- sau
- tìm thấy
- từ
- Trái cây
- Cho
- lớn nhất
- Phát triển
- Một nửa
- có
- chăm sóc sức khỏe
- Cao
- cao hơn
- đánh
- Homes
- HTTPS
- xác định
- Va chạm
- in
- sâu
- Bao gồm
- Tăng lên
- tăng
- chỉ
- công nghiệp
- thông tin
- nội bộ
- Internet
- Internet của sự vật
- iốt
- IT
- Key
- nhân công
- Lãnh đạo
- hàng đầu
- Cấp
- Cuộc sống
- LINK
- địa phương
- Các nhà sản xuất
- quản lý
- quản lý
- Tối đa hóa
- có nghĩa là
- các biện pháp
- y khoa
- chăm sóc y tế
- giảm nhẹ
- kiểu mẫu
- tiền
- tháng
- chi tiết
- hầu hết
- quốc dân
- Cần
- mạng
- mạng
- con số
- mở
- hoạt động
- Hoạt động
- gọi món
- tổng thể
- Vá
- Đỉnh
- người
- thời gian
- Lừa đảo
- vật lý
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- điểm
- vị trí
- tích cực
- tiềm năng
- quyền lực
- thịnh hành
- Ưu tiên
- Sản phẩm
- Sản lượng
- Sản phẩm
- đúng
- bảo vệ
- bảo vệ
- công khai
- công bố
- mục đích
- ransomware
- đạt
- thế giới thực
- nhận
- đề nghị
- tương đối
- xa
- truy cập từ xa
- báo cáo
- yêu cầu
- nghiên cứu
- nhà nghiên cứu
- Thông tin
- phản ứng
- rủi ro
- Sự An Toàn
- tương tự
- Schneider Electric
- Thứ hai
- Ngành
- an toàn
- an ninh
- phân khúc
- dịch vụ
- định
- Chương trình
- Siemens
- Đơn giản
- kể từ khi
- 6
- So
- Phần mềm
- nguồn
- thư rác
- Tiểu bang
- Bước
- tăng cường
- hệ thống
- hệ thống
- nhóm
- đội
- Công nghệ
- Sản phẩm
- thông tin
- cung cấp their dịch
- điều
- mối đe dọa
- diễn viên đe dọa
- thời gian
- đến
- bây giờ
- hàng đầu
- Xu hướng
- đáng tin cậy
- Lớn
- nhà cung cấp
- Lỗ hổng
- dễ bị tổn thương
- Nước
- điểm yếu
- cái nào
- trong khi
- Luồng công việc
- zephyrnet