物聯網設備正以創紀錄的數量激增，僅以旨在竊取數據和劫持其運營的攻擊的增長為目標。與此同時，消費設備供應商繼續拒絕報告其設備中的漏洞：自從我們一年半前討論這個主題以來，報告數字并沒有太大改善。

對已部署和將要部署的物聯網設備數量的估計差異很大。例如，雖然一些分析師的數量是兩倍或更多，但IoT Analytics在 9 月份預測，到 2021 年底，全球連接的物聯網設備的數量將達到 123 億個活動端點。到 2025 年，該公司預計這一數字將達到超過270億。由于 Covid-19 大流行和芯片短缺，去年設備增長僅略有放緩。

根據卡巴斯基 9 月份的數據，2021 年上半年，對這些設備的攻擊翻了一番，達到 15 億次。

漏洞不斷暴露，例如 Forescout 和 JSOF 發現的NAME:WRECK DNS 漏洞，可能影響 1 億臺 IoT 設備，以及Nozomi Networks 報告的安全攝像頭漏洞，影響數百萬臺聯網設備。

7 月，Zscaler ThreatLabz 的一項研究報告稱，與 2019 年封鎖前期間發生的類似攻擊相比，在 2020 年 12 月 15 日至 31 日期間的 5 億次設備交易中，對物聯網設備的惡意軟件攻擊增加了 700%。

根據 Ordr 于 8 月發布的2021 年“機器崛起”報告，超過 40% 的聯網設備現在是“無代理的”，這意味著它們無法受到傳統端點安全代理的保護。其中包括工業環境中的常見設備，例如 IP 電話、打印機、安全攝像頭和徽章閱讀器。近一半的連接設備容易受到中度和高度嚴重性的攻擊。

與此同時， Tripwire 去年 3 月調查的99% 的安全專業人士表示，他們在保護組織的物聯網和工業物聯網設備方面面臨挑戰。大約三分之二的人表示，他們在嘗試發現和修復漏洞方面遇到了問題。

未報告的漏洞

漏洞報告程序現在被廣泛認為是物聯網設備安全的基本要求。然而，根據物聯網安全基金會關于設備漏洞披露的第四份報告，報告從 2020 年的 18.9% 增長到 2021 年的 21.26%，增幅很小。

資料來源：物聯網安全基金會

該研究指出：“幾乎五分之四的公司仍未提供非常基本的安全衛生機制，以便向供應商報告安全漏洞以便修復它們。” “這是令人無法接受的低水平。”

IoTSF 董事總經理 John Moor 告訴EE Times ，雖然有一些改善，但報告從 2019 年到 2020 年期間從 13.3% 躍升至 18.9%，主要是由于“預期監管要求”增加了更多的消費設備類別。報告中討論的未決或即將出臺的物聯網安全法規包括來自英國和美國政府的法規。例如，英國正在尋求強制性的物聯網安全標準，并以違規罰款為后盾。

約翰·摩爾

2021 年，IoTSF 報告增加了 B2B 類別，以評估消費者和企業實踐之間的差異；Moor 說，B2B 的數字看起來比 B2C 的數字要好得多。這部分是因為擁有有效的協調漏洞披露計劃的公司往往是大型的傳統 IT 供應商，而規模較小、相對較新的消費者公司則相反。

至于消費者供應商的報告，進展仍然是“緩慢的”，Moor 說。“雖然有些公司可能仍然不知道有什么幫助可用，但由于有關法規和免費材料的大量宣傳，這種借口已經沒有太多空間了，”他說。

“此外，漏洞披露可以外包給第三方，這意味著公司也可以獲得外部專業知識或額外能力，所以這也不是一個有效的借口。然而，消費物聯網行業仍未能滿足市場對售后漏洞修復的明確需求。”

Moor 說，盡管物聯網安全存在幾個強有力的標準，但它們不是強制性的。與商業買家不同，消費者傾向于假設他們是否可以購買產品，它必須是安全的。此外，眾所周知，消費者的利潤率非常低。“所以，如果你的市場沒有特別要求安全，也沒有法規要求，供應商可能會合理地問‘為什么要增加成本？’”

設備安全很難

拉里·奧康奈爾

連接設備沒有得到更好保護的原因之一是物聯網安全性很困難。“微處理器很難保護，”Sequitur Labs 營銷副總裁拉里·奧康奈爾說。Sequitur Labs 專注于網絡邊緣智能設備的芯片到云安全，主要是工業客戶和一些芯片供應商。

O'Connell 說，安全性被取消了優先級，并且整個披露過程沒有得到妥善管理，因為物聯網供應商不從事安全業務。他們的首要任務是構建設備并快速發貨。“安全不是他們的世界，這是一個難以解決的問題，”他說。“披露是同一件事的延伸：一般的安全性和披露，在產品生命周期的整個設計、開發和部署階段都需要放在首位。”

Sequitur Labs 首席執行官 Philip Attfield 補充說，安全性也是一個不斷變化的目標。“你必須包括它，并考慮處理它的機制，”阿特菲爾德說。“流程必須到位，以便現場操作系統的任何人都可以維護它們。”

處理器類經常決定系統攻擊，這也受系統架構的影響。“如果它是大容量微處理器，它的供應商將盡可能降低成本，”Attfield 說。系統壽命也是一個因素。“對于消費者系統，需要兩到五年；對于工業來說，它是五到十年，甚至更長。因此，它歸結為風險與將所有這些系統部署到位以進行管理的費用。”

菲利普·阿特菲爾德

到 2022 年，由于正在處理的原始數據量，網絡邊緣智能設備中 AI 部署的大幅增加只會增加保護物聯網和工業物聯網設備的緊迫性。“IP 現在處于邊緣，”O'Connell 說。

鑒于軟件堆棧和存儲架構的變化，另一個趨勢是“電子系統的可破壞足跡實際上非常小，而且規模正在迅速縮小，”Attfield 說。“例如，智能手機越來越難破解，支付終端也發生了同樣的事情。

“因此，接下來受到攻擊的將是其他尚未趕上的系統，例如工業控制系統和醫療設備，”他預測道。

審核編輯 黃昊宇