В миллионах устройств расширенного Интернета вещей (XIoT) было выявлено огромное количество распространенных уязвимостей, фактов использования паролей по умолчанию и других угроз безопасности. Соответствующее заявление сделали эксперты по безопасности из компании Phosphorus, опубликовавшей отчет, в котором представлены результаты пяти лет исследований в области кибербезопасности и тестирования IoT-устройств.
Согласно результатам проведенного исследования выяснилось, что 99% паролей устройств XIoT, проанализированных экспертами Phosphorus, не соответствовали правилам создания учетных данных, а 68% устройств XIoT имели высокорисковые уязвимости или критические уязвимости (оценка CVSS от 8 до 10). Помимо того, в компании уточнили, что 80% сотрудников ИБ-департаментов не могут сейчас правильно идентифицировать большинство своих устройств XIoT.
«XIoT как потребительская категория прошла путь от зарождающейся до раскрученной и повсеместной за очень короткий промежуток времени. Скорость, точнее, поспешность, является естественным врагом безопасности, что приводит к «слабым по умолчанию» принципам проектирования и разработки, когда речь идет о информационной безопасности и защите пользователей», — заявил Кейси Эллис, основатель и технический директор Bugcrowd.
Чтобы защититься от этих угроз, в отчете Phosphorus компаниям рекомендуется проверять свои устройства на соответствие требованиям безопасности и уменьшать поверхность атаки.
Бад Брумхед, генеральный директор Viakoo, отметил, что нужно уделять больше внимания добавлению уникальных данных IoT и приложений IoT как в решения для обнаружения, так и в решения для баз данных управления конфигурацией. Такой подход позволит использовать записи из истории операций для укрепления защиты систем IoT.
«Многие корпоративные IoT-устройства тесно связаны со своими приложениями, что является дополнительной сложностью для их защиты», — пояснил Бад Брумхед.
Патрик Тике, вице-президент по безопасности и архитектуре Keeper Security, заявил, что поставщики XIoT должны иметь собственную структуру безопасности или выполнять сертификацию, чтобы была возможность сертифицировать свои продукты как безопасные.
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Telegram | Дзен | YouTube | Rutube.
