微軟研究：超過75%工業(yè)控制器存在未修補(bǔ)嚴(yán)重漏洞，成為黑客入侵新破口

微軟發(fā)布第三期《Cyber Signals》網(wǎng)絡(luò)威脅情報(bào)研究報(bào)告，警示隨著信息技術(shù)（IT）、運(yùn)營科技（OT）和物聯(lián)網(wǎng)（IoT）的疆界逐漸模糊及彼此連接的情況不斷增加，關(guān)鍵基礎(chǔ)設(shè)施遭受攻擊與破壞的風(fēng)險(xiǎn)也提升。

微軟在客戶的OT網(wǎng)絡(luò)中發(fā)現(xiàn)，最常使用的工業(yè)控制器有75%存在未經(jīng)修補(bǔ)的嚴(yán)重漏洞，成為黑客、惡意軟件或工業(yè)間諜入侵盜取機(jī)密資訊新入口。微軟建議企業(yè)組織及基礎(chǔ)設(shè)施供應(yīng)商必須全面掌握聯(lián)網(wǎng)系統(tǒng)的狀況，并評(píng)估安全風(fēng)險(xiǎn)及依賴性，同時(shí)以零信任架構(gòu)確認(rèn)OT身份識(shí)別及限制訪問權(quán)，以降低遭受攻擊風(fēng)險(xiǎn)。

OT包含各種可程序化系統(tǒng)或設(shè)備的軟硬件，或者用于管理會(huì)與實(shí)體環(huán)境互動(dòng)的設(shè)備，比如建筑管理系統(tǒng)、消防控制系統(tǒng)，以及大門及電梯的門禁管控機(jī)制等，都屬于OT范疇。

隨著IT、OT和IoT的疆界逐漸模糊，彼此連接的情況不斷增加，無論企業(yè)或個(gè)人都需要反思此種現(xiàn)象對(duì)于安全風(fēng)險(xiǎn)的影響和后果。舉例來說，若失竊的筆記本或者新型車輛上存有家中Wi-Fi密碼的緩存資料，竊賊不必經(jīng)過授權(quán)便能連上家中網(wǎng)絡(luò)；同理，制造廠的遠(yuǎn)程連接設(shè)備或者智能建筑的監(jiān)視器如果遭到入侵，也為惡意軟件或工業(yè)間諜等安全威脅攻擊者增加新的入侵途徑。

根據(jù)IDC的研究，企業(yè)及家用環(huán)境中的IoT設(shè)備數(shù)量預(yù)計(jì)將會(huì)在2025年前達(dá)到416億個(gè)，增長率高于傳統(tǒng)IT設(shè)備。盡管近年來IT設(shè)備的安全性有所加強(qiáng)，但物聯(lián)網(wǎng)和OT設(shè)備的安全性并沒有跟上步伐，這些智能攝影機(jī)、智能音箱、智能門鎖等設(shè)備都可能成為黑客入侵的新破口。

微軟安全、合規(guī)、身份識(shí)別和管理全球副總裁Vasu Jakkal表示：“隨著能源、交通和其他基礎(chǔ)設(shè)施的OT系統(tǒng)與IT系統(tǒng)的連接越來越緊密，這些以前分開的系統(tǒng)之間的界限變得模糊，中斷和損害發(fā)生的風(fēng)險(xiǎn)也隨之增加。對(duì)于各行各業(yè)的企業(yè)和基礎(chǔ)設(shè)施供應(yīng)商而言，必須全面了解這些相互聯(lián)接的系統(tǒng)，并權(quán)衡不斷變化的風(fēng)險(xiǎn)和依賴性以確安全全?！?/p>

本期《Cyber Signals》的主要發(fā)現(xiàn)包括：微軟在客戶的OT網(wǎng)絡(luò)中發(fā)現(xiàn)，最常使用的工業(yè)控制器有75%都有未經(jīng)修補(bǔ)的嚴(yán)重漏洞。說明即使是資源充足的企業(yè)，為了避免運(yùn)營中斷，要停機(jī)更新來修補(bǔ)控制系統(tǒng)的挑戰(zhàn)性也相當(dāng)高。

從2020年到2022年，主要供應(yīng)商生產(chǎn)的工業(yè)控制設(shè)備中被披露為高嚴(yán)重性漏洞的數(shù)量增加了78%。

有超過100萬臺(tái)執(zhí)行Boa系統(tǒng)的聯(lián)網(wǎng)設(shè)備在網(wǎng)絡(luò)上公開可見，這個(gè)過時(shí)、不再被支持的軟件，仍廣泛應(yīng)用于物聯(lián)網(wǎng)設(shè)備和軟件開發(fā)組件（SDK）中。

對(duì)于企業(yè)和個(gè)人而言，采用零信任架構(gòu)保護(hù)物聯(lián)網(wǎng)，要從非特定針對(duì)物聯(lián)網(wǎng)的要求開始。這可以通過實(shí)施身份驗(yàn)證和設(shè)備防護(hù)，并限制訪問權(quán)限來完成。這些要求包括確實(shí)驗(yàn)證用戶、掌握網(wǎng)絡(luò)中的設(shè)備、以及即時(shí)風(fēng)險(xiǎn)偵測(cè)。