微軟研究：超過75%工業(yè)控制器存在未修補嚴重漏洞，成為黑客入侵新破口

微軟發(fā)布第三期《Cyber Signals》網(wǎng)絡威脅情報研究報告，警示隨著信息技術（IT）、運營科技（OT）和物聯(lián)網(wǎng)（IoT）的疆界逐漸模糊及彼此連接的情況不斷增加，關鍵基礎設施遭受攻擊與破壞的風險也提升。

微軟在客戶的OT網(wǎng)絡中發(fā)現(xiàn)，最常使用的工業(yè)控制器有75%存在未經(jīng)修補的嚴重漏洞，成為黑客、惡意軟件或工業(yè)間諜入侵盜取機密資訊新入口。微軟建議企業(yè)組織及基礎設施供應商必須全面掌握聯(lián)網(wǎng)系統(tǒng)的狀況，并評估安全風險及依賴性，同時以零信任架構確認OT身份識別及限制訪問權，以降低遭受攻擊風險。

OT包含各種可程序化系統(tǒng)或設備的軟硬件，或者用于管理會與實體環(huán)境互動的設備，比如建筑管理系統(tǒng)、消防控制系統(tǒng)，以及大門及電梯的門禁管控機制等，都屬于OT范疇。

隨著IT、OT和IoT的疆界逐漸模糊，彼此連接的情況不斷增加，無論企業(yè)或個人都需要反思此種現(xiàn)象對于安全風險的影響和后果。舉例來說，若失竊的筆記本或者新型車輛上存有家中Wi-Fi密碼的緩存資料，竊賊不必經(jīng)過授權便能連上家中網(wǎng)絡；同理，制造廠的遠程連接設備或者智能建筑的監(jiān)視器如果遭到入侵，也為惡意軟件或工業(yè)間諜等安全威脅攻擊者增加新的入侵途徑。

根據(jù)IDC的研究，企業(yè)及家用環(huán)境中的IoT設備數(shù)量預計將會在2025年前達到416億個，增長率高于傳統(tǒng)IT設備。盡管近年來IT設備的安全性有所加強，但物聯(lián)網(wǎng)和OT設備的安全性并沒有跟上步伐，這些智能攝影機、智能音箱、智能門鎖等設備都可能成為黑客入侵的新破口。

微軟安全、合規(guī)、身份識別和管理全球副總裁Vasu Jakkal表示：“隨著能源、交通和其他基礎設施的OT系統(tǒng)與IT系統(tǒng)的連接越來越緊密，這些以前分開的系統(tǒng)之間的界限變得模糊，中斷和損害發(fā)生的風險也隨之增加。對于各行各業(yè)的企業(yè)和基礎設施供應商而言，必須全面了解這些相互聯(lián)接的系統(tǒng)，并權衡不斷變化的風險和依賴性以確安全全?！?/p>

本期《Cyber Signals》的主要發(fā)現(xiàn)包括：微軟在客戶的OT網(wǎng)絡中發(fā)現(xiàn)，最常使用的工業(yè)控制器有75%都有未經(jīng)修補的嚴重漏洞。說明即使是資源充足的企業(yè)，為了避免運營中斷，要停機更新來修補控制系統(tǒng)的挑戰(zhàn)性也相當高。

從2020年到2022年，主要供應商生產(chǎn)的工業(yè)控制設備中被披露為高嚴重性漏洞的數(shù)量增加了78%。

有超過100萬臺執(zhí)行Boa系統(tǒng)的聯(lián)網(wǎng)設備在網(wǎng)絡上公開可見，這個過時、不再被支持的軟件，仍廣泛應用于物聯(lián)網(wǎng)設備和軟件開發(fā)組件（SDK）中。

對于企業(yè)和個人而言，采用零信任架構保護物聯(lián)網(wǎng)，要從非特定針對物聯(lián)網(wǎng)的要求開始。這可以通過實施身份驗證和設備防護，并限制訪問權限來完成。這些要求包括確實驗證用戶、掌握網(wǎng)絡中的設備、以及即時風險偵測。