超過 75% 工業控制器存在未修補嚴重漏洞成為駭客入侵新破口
微軟發佈第三期《Cyber Signals》網路威脅情報研究報告,警示隨著資訊科技(IT)、營運科技(OT)和物聯網(IoT)的疆界逐漸模糊及彼此連線的情況不斷增加,關鍵基礎設施遭受攻擊與破壞的風險也提升。微軟在客戶的 OT 網路中發現,最常使用的工業控制器有 75% 存在未經修補的嚴重漏洞,成為駭客、惡意軟體或工業間諜入侵盜取機密資訊新入口。微軟建議企業組織及基礎設施供應商必須全面掌握連網系統的狀況,並評估資安風險及依賴性,同時以零信任架構確認 OT 身分識別及限制存取權,以降低遭受攻擊風險。
OT 包含各種可程式化系統或裝置的軟硬體,或者用於管理會與實體環境互動的裝置,比如建築管理系統、消防控制系統,以及大門及電梯的門禁控管機制等,都屬於 OT 範疇。
隨著 IT、OT 和 IoT 的疆界逐漸模糊,彼此連線的情況不斷增加,無論企業或個人都需要反思此種現象對於資安風險的影響和後果。舉例來說,若失竊的筆記型電腦或者新型車輛上存有家中 Wi-Fi 密碼的快取資料,竊賊毋須經過授權便能連上家中網路;同理,製造廠的遠端連線設備或者智慧建築的監視器如果遭到入侵,也為惡意軟體或工業間諜等資安威脅攻擊者增加新的入侵途徑。
根據 IDC 的研究,企業及家用環境中的 IoT 裝置數量預計將會在 2025 年前達到 416 億個,增長率高於傳統 IT 設備。儘管近年來 IT 設備的安全性有所加強,但物聯網和 OT 設備的安全性並沒有跟上步伐,這些智慧攝影機、智慧音箱、智慧門鎖等裝置都可能成為駭客入侵的新破口。
微軟安全、合規、身份識別和管理全球副總裁 Vasu Jakkal 表示:「隨著能源、交通和其他基礎設施的 OT 系統與 IT 系統的連接越來越緊密,這些以前分開的系統之間的界限變得模糊,中斷和損害發生的風險也隨之增加。對於各行各業的企業和基礎設施供應商而言,必須全面了解這些相互連接的系統,並權衡不斷變化的風險和依賴性以確保安全。」
本期《Cyber Signals》的主要發現包括:
- 微軟在客戶的 OT 網路中發現,最常使用的工業控制器有 75% 都有未經修補的嚴重漏洞。說明即使是資源充足的企業,為了避免營運中斷,要停機更新來修補控制系統的挑戰性也相當高。
- 從 2020 年到 2022 年,主要供應商生產的工業控制設備中被揭露為高嚴重性漏洞的數量增加了 78%。
- 有超過 100 萬台執行 Boa 系統的連網裝置在網路上公開可見,這個過時、不再被支援的軟體,仍廣泛應用於物聯網裝置和軟體開發套件(SDK)中。
對於企業和個人而言,採用零信任架構保護物聯網,要從非特定針對物聯網的要求開始。這可以透過實施身份驗證和裝置防護,並限制存取權限來達成。這些要求包括確實驗證使用者、掌握網路中的裝置、以及即時風險偵測。
微軟威脅情報提供對威脅攻擊者行為的可視性,藉由每天分析 43 兆個資安訊號,以及超過 8,500 名微軟專家(包含威脅獵捕人員、取證調查人員、惡意軟體工程師和研究人員)的智慧,使得微軟能夠在第一時間看到企業組織面臨的問題,並致力協助企業利用這些資訊預先防禦並破壞勒索軟體攻擊威脅。
完整報告請參考 Cyber Signals 網站及第三期《Cyber Signals》研究報告,並可從部落格文章中閱讀更多內容。欲進一步了解網路犯罪經濟以及企業如何保護自己,請參考微軟安全部落格。