物聯網安全問題大 傳統(tǒng)“補丁競賽”是一場雙輸游戲

極客網·企業(yè)級IT 10月10日 持續(xù)為系統(tǒng)打補丁以提高安全性是一種傳統(tǒng)的方法，對物聯網設備制造商和用戶來說都是一個長期存在的問題，但這種情況即將改變，因為可以通過預防漏洞徹底改變人們保護物聯網的方式。

物聯網網絡安全問題巨大 

目前全球采用290多億臺物聯網設備、傳感器和執(zhí)行器。這是一個適合利用的大型網絡攻擊面。據估計，超過一半的物聯網設備可能容易受到或低或高的風險攻擊。 

網絡攻擊者經常利用常見的漏洞和暴露侵入設備，然后利用這個立足點發(fā)起其他攻擊，實現攻擊目標。根據研究機構發(fā)布的“2022事件響應報告”，利用軟件漏洞是黑客第二大最常用的攻擊方法。事實上，在他們分析的事件中，近三分之一(31%)是網絡攻擊者利用軟件漏洞訪問企業(yè)環(huán)境的結果。

這些網絡攻擊可能產生重大而深遠的后果。據估計，目前網絡犯罪使全球經濟損失約1萬億美元(超過全球GDP的1%)。 

那么，物聯網設備制造商能做些什么來試圖關閉這個巨大的攻擊缺口呢？研究得出的結論是：解決問題的方法不在于在漏洞被發(fā)現后嘗試修補漏洞，而在于從一開始就防止常見的軟件和硬件漏洞被利用。這樣一來，存在什么漏洞(已知的和未知的)就不重要了。

無休止的補丁并不起作用

《2021年網絡攻擊面管理威脅報告》表明，網絡攻擊者通常在通用漏洞披露（CVE）宣布之后15分鐘內開始掃描漏洞。當漏洞足夠嚴重時，網絡攻擊者的掃描幾乎與漏洞的公布同時進行是很正常的。這沒有給制造商太多時間來發(fā)布補丁，更沒有時間給客戶部署補丁來保護他們的環(huán)境。這還是在假設打補丁是可行的情況下。 

如果漏洞存在于任何第三方軟件庫中，設備開發(fā)人員通常會受到限制，這些軟件庫用于通信、加密、身份驗證、OTA更新和其他基本功能。如果不能看到這個第三方源代碼(它通常以二進制形式交付)，開發(fā)人員就無法理解如何創(chuàng)建一個可行的補丁來保護整個設備。 

開發(fā)人員進一步受到技術混合的阻礙，例如新舊操作系統(tǒng)版本的混合以及新舊代碼庫等。為所有不同的設備配置文件構建和發(fā)布補丁可能非常耗時和昂貴(成本高達數百萬美元)。對于其中一些設備，這是不可能實現的，因為它們的位置或關鍵(例如心臟起搏器)，根本無法接觸到或可以中斷。 

很明顯，修補程序還不夠有效或不夠快速，無法消除物聯網設備漏洞帶來的風險。企業(yè)需要的是能夠對抗這些漏洞本身的東西，也就是能夠防止攻擊，而不管潛在的漏洞是什么。例如專注于對抗通用缺陷枚舉 (CWE)，就可以實現這一點。

利用通用缺陷枚舉 (CWE)阻止攻擊路徑 

在網絡攻擊發(fā)生時阻止它們是一種更可持續(xù)的方法。大多數針對設備漏洞的攻擊都共享通用的利用方法（例如內存溢出）作為先決步驟。因此，如果停止內存溢出，就停止了針對大量相似內存漏洞的所有相同的利用，而無論攻擊路徑、操作系統(tǒng)、設備類型是什么。對其他CWE類別進行同樣的操作可以提供全面的保護，并確保設備免受已知和未知攻擊。 

CWE最初由網絡安全商MITRE公司定義，它是一種常見的漏洞類型族。這包括內存損壞(堆和堆棧緩沖區(qū)溢出)和內存內的Vulns(在釋放后使用，雙釋放后使用，等等)，命令注入和執(zhí)行流中斷，可以立即停止，從而達到防止效果。 

其他CWE包括可疑活動(如DDoS指示、暴力登錄嘗試、數據盜竊或已知的惡意IP訪問，這些都是常見的安全威脅)的漏洞，Sternum可以檢測到這些活動，然后根據用戶配置的規(guī)則/策略進行調度。 

如此一來，漏洞將變得不那么重要，一個無法利用的漏洞再也不能被用來獲得立足點。通過確保代碼只做它應該做的事情，制造商為他們的物聯網設備提供了精確和確定的安全解決方案。 

據統(tǒng)計，目前共有352個類別的1327個CWE。相比之下，而每月公布的漏洞多達數千個。通過CWE開發(fā)來實現預防的有效性，而不是試圖贏得無休止的補丁競賽，這是一個簡單的數學問題。 

總之，物聯網時代企業(yè)需要了解如何擺脫無休止的打補丁，找到預防漏洞的更有效的方法，才能更好地保護物聯網免受或少受攻擊。

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。