Asimily 发布了一份题为“2024 年物联网设备安全:无所作为的高昂成本”的新报告。这份免费的综合报告重点介绍了新兴的物联网设备安全趋势和挑战。
企业继续采用物联网战略来简化运营、提高效率并改善客户体验。从医院到制造商再到公共部门机构,物联网设备群对于实现这些现代化目标至关重要。然而,互联设备部署的加速为网络犯罪分子打开了新的窗口,并使网络面临潜在的漏洞。本报告解决了物联网设备安全日益严峻的挑战,并探讨了企业忽视足够网络弹性的后果。它还为实施综合方法来减轻物联网相关的网络攻击风险提供了宝贵的指导。
新报告中的主要发现和分析包括:
- 违规策略不断演变:寻求出售机密专有数据以获取经济利益的网络犯罪分子会寻找并渗透易受攻击且通常不安全的物联网设备,以建立对企业网络的初始访问权限。这种策略也支持勒索软件攻击,犯罪分子通过物联网端点获得访问权限,加密数据并勒索赎金。在其他情况下,民族国家资助的团体有动机关闭或破坏其目标的服务。一种常见的策略是收集大量易受攻击的物联网设备来创建僵尸网络并利用它们进行 DDoS 攻击。攻击者还知道他们可以利用未解决的遗留漏洞,因为 39 个最常用的 IoT 漏洞中有 34 个已经在设备中存在至少三年了。
- 路由器是最具针对性的物联网设备,占所有物联网感染的 75%。黑客利用路由器作为访问网络内其他连接设备的垫脚石。安全摄像头和 IP 摄像头是第二大目标设备,占所有攻击的 15%。其他常见的目标设备包括数字标牌、媒体播放器、数字录像机、打印机和智能照明。该报告还强调了与专业工业设备相关的特别严重的风险,包括对医疗保健中的患者护理至关重要的设备(包括血糖监测仪和起搏器)、制造业的实时监测设备以及市政当局的水质传感器。
- 网络保险公司正在限制赔付金额。随着网络攻击变得越来越普遍,网络安全保险变得越来越昂贵且难以获得。现在,越来越多的保险公司要求企业具备强大的物联网安全和风险管理能力,以获得承保资格,并且越来越多地拒绝或限制那些不符合特定阈值的企业的承保范围。在网络保险公司拒绝承保的原因中,缺乏安全协议是最常见的,占 43%。不遵守合规程序占承保拒绝的 33%。不过,即使投保了,声誉受损仍然是一个风险:如果企业客户不相信自己的数据安全,80% 的客户就会流失。
- 制造业现在是首要目标:网络犯罪分子越来越将注意力集中在制造业、金融和能源行业。零售、教育、医疗保健和政府组织仍然是热门目标,而媒体和交通在过去几年中已不再受到重视。
Asimily 营销副总裁 Kenan Frager 表示:
“对于许多企业来说,易受攻击的物联网设备仍然是一个明显的网络安全弱点。” “在急于吸收这些设备提供的所有业务优势的过程中,足够的安全性以及安全性对更广泛网络的影响往往不受控制。无论哪个行业,对物联网基础设施的攻击都可能导致运营停机、IP 损失、收入损失和声誉损害。监管合规性又增加了一层压力,影响 HIPAA、PCI DSS、NIST、SOC 2 和其他日益严格的法规的违规行为将面临巨额罚款和制裁。”
Asimily 首席执行官 Shankar Somasundaram 表示:
“更多企业显然迫切需要优先考虑更彻底的风险管理策略,以应对物联网的独特挑战。” “虽然组织经常面临物联网设备中大量漏洞的困扰,但制定有效的风险 KPI 并部署工具来了解设备行为使他们能够确定优先级并应用有针对性的修复。这种方法加上对攻击者行为的更深入了解,使团队能够区分直接威胁、可管理的风险和不存在的危险。正确的战略使组织能够将精力集中在最重要的事情上,最大限度地利用资源,同时大规模确保物联网生态系统的安全。”
