גידול של 57% בשיעור חולשות אבטחה בהתקני ה-IoT במחצית ראשונה 2022
מאת:
מערכת Telecom News, 4.9.22, 15:20
הדו"ח מספק בחינה וניתוח מעמיקים של חולשות אבטחה המשפיעות על האינטרנט המורחב של הדברים (XIoT), במחצית הראשונה של 2022 בהשוואה ל-6 החודשים הקודמים, דהיינו במחצית השנייה של 2021.
שיעור גילוי חולשות האבטחה בהתקני האינטרנט של הדברים (
IoT) עלה ב-57% במחצית הראשונה של 2022 בהשוואה למחצית הקודמת. כך עולה מדו"ח
State of XIoT Security Report: 1H 2022, שפורסם ע"י
קלארוטי (
Claroty), שעוסקת באבטחת מערכות סייבר-פיזיות.
הדו"ח כולל רשת עצומה של מערכות סייבר-פיזיקליות, טכנולוגיה תפעולית ומערכות בקרה תעשייתיות (
OT/ICS), התקנים רפואיים (
IoMT), מערכות ניהול בנייה ו-
IoT ארגוני. מערך הנתונים כולל חולשות אבטחה, שהתגלו ע"י
Team82, צוות המחקר של
Claroty, וממקורות פתוחים מהימנים, כולל מסד הנתונים הלאומי לפגיעות (
NVD), צוות תגובת החירום של מערכות בקרה תעשייתיות
(ICS-CERT),
CERT@VDE,
MITRE וספקי האוטומציה התעשייתית שניידר אלקטריק וסימנס.
המחברים העיקריים של דו"ח זה הם
בר אופנר, חוקר אבטחה בקלארוטי, ו
חן פרדקין, מדען נתונים. בין התורמים:
רותם מסיקה, ראש קבוצת איומים וסיכונים;
נדב ארז, מנהל חדשנות; שרון בריזינוב, מנהל מחקר; ואמיר פרמינגר, סגן נשיא למחקר. כל צוות
Team82 תמך בהיבטים שונים של דו"ח זה ובמאמצי המחקר שהזינו אותו.
לצד הנתון של ה-57% של שיעור גילוי חולשות אבטחה בהתקני
IoT, במחצית הראשונה של 2022, חושף הדו"ח, שבאותה תקופה, שיעור חולשות האבטחה, שהתגלו במחקרים הפנימיים של ספקי ה-
XIoT, גדל ב-69% והם הפכו לראשונה לכלי דיווח פוריים יותר מגופי מחקר עצמאיים. בנוסף, שיעור חולשות האבטחה, שנמצאו בקושחות ותוקנו באופן מלא או חלקי, גדל ב-79%, שיפור בולט בהתחשב באתגרים בעדכון קושחה לעומת עדכון תוכנה.
הדו"ח מספק בחינה וניתוח מעמיקים של חולשות אבטחה המשפיעות על האינטרנט המורחב של הדברים (
XIoT), במחצית הראשונה של 2022 בהשוואה ל-6 החודשים הקודמים, דהיינו במחצית השנייה של 2021.
ממצאים מרכזיים במחקר:
התקני IoT: 15% מחולשות האבטחה נמצאו בהתקני
IoT, עלייה משמעותית לעומת 9% במחצית השנייה של 2021. בנוסף, בפעם הראשונה, השיעור המשולב של חולשות האבטחה בהתקני
IoT ובהתקנים רפואיים מחוברים (
IoMT) יחד (18.2%) עולה על שיעורן במערכות מידע (16.5%). מגמה זאת מצביעה על הבנה גדולה יותר מצד ספקים וחוקרים לאבטחת התקנים המחוברים הללו, שיכולים להוות שער לחדירה עמוקה יותר לרשת.
חולשות אבטחה, שנחשפו במחקרים פנימיים של ספקים: לראשונה, שיעור החולשות, שהתגלו במחקרים פנימיים של ספקים (29%), עלה על שיעור הגילוי שלהן ע"י חברות מחקר עצמאיות (19%). שיעור החולשות, שנחשף ע"י חברות אבטחה מצד שלישי עדיין מוביל (45%). מגמה זאת מצביעה על כך, שיותר מאי פעם, ספקי
IoT,
OT ו-
IoMT מקימים תכניות לגילוי חולשות אבטחה ומקדישים משאבים לבחינת אבטחת המוצרים שלהם.
קושחות: שיעור חולשות האבטחה בקושחות שווה כמעט לשיעור חולשות האבטחה בתוכנה (46% ו-48% בהתאמה), זינוק עצום לעומת הדו"ח הקודם של החברה מהמחצית השנייה של 2021, בו היה קיים פער של כמעט 1:2 בין תוכנה (62%) לקושחה (37%). הדו"ח גם חשף עלייה משמעותית בפגיעויות הקושחה, שתוקנו באופן מלא או חלקי (40% במחצית הראשונה של 2022, עלייה מ-21% מהמחצית השנייה של 2021), נתון בולט לאור האתגרים היחסיים בתיקון קושחה, שנובעים ממחזורי עדכונים ארוכים יותר וחלונות תחזוקה מעטים.
הדבר מצביע על העניין הגובר של החוקרים בהגנה על מכשירים ברמות נמוכות יותר במודל
Purdue, שמחוברים ישירות יותר לתהליך עצמו ומהווים מסיבה זאת מטרה אטרקטיבית יותר לתוקפים.
נפח וקריטיות: בממוצע, חולשות
XIoT מתפרסמות ומטופלות בקצב של 125 בחודש, והן הגיעו לסך של 747 במחצית הראשונה של 2022. לרובן המכריע יש ציון
CVSS קריטי (19%) או ברמת חומרה גבוהה (46%).
השפעה: כמעט שלושה רבעים (71%) מחולשות האבטחה הם בעלי השפעה גבוהה על זמינות המערכת וההתקן, מדד ההשפעה המקובל ביותר למכשירי
XIoT. ההשפעה המובילה היא ביצוע לא מורשה מרחוק של קוד או פקודה ב-54% מחולשות האבטחה, ואחריה מניעת שירות (נפילה, יציאה או הפעלה מחדש) ב-43% מחולשות האבטחה.
התמודדות: הצעד המוביל להתמודדות עם חולשות אבטחה הוא פילוח רשת (מומלץ ב-45% מגילויי החולשות), ואחריו גישה מאובטחת מרחוק (38%) והגנה מפני תוכנות כופר, פישינג וספאם (15%).
אמיר פרמינגר, סגן נשיא למחקר בקלארוטי: "למערכות סייבר-פיזיות קיימת השפעה ישירה על החוויות שלנו בעולם האמתי, כולל האוכל שאנו אוכלים, המים שאנו שותים, המעליות שאנו נוסעים בהן והטיפול הרפואי שאנו מקבלים. המחקר מספק למקבלי החלטות במגזרים קריטיים אלה תמונת מצב מלאה של נוף הפגיעויות, דבר המאפשר להם להעריך נכון, לתעדף ולטפל בסיכונים למערכות קריטיות, שעומדות בבסיס בטיחות הציבור, בריאות המטופל, רשתות חכמות, שירותים ועוד".