Forescout ： 2024 年最冒险的互联备报

2024年最危险的连接设备 CONTENTS 1.ExecutiveSummary3 2.中风险最高的连接设备20244 3.详细分析6 3.1.风险工业6 3.2.风险country7 3.3.Operating系统8 3.4.漏洞9 3.5.打开港口10 3.6.Internet暴露11 4.Conclusion12 我们如何量化设备的风险 为了衡量风险，我们使用多因素风险评分方法这是根据三个因素计算的：配置、行为和功能。 配置是设备上漏洞的数量和严重程度，加上开放端口的数量和关键程度。 Behavior跟踪设备的入站和出站恶意流量以及设备的入站Internet流量。 功能是设备受损时对组织的潜在影响。 每个设备的风险评分在1到10之间。在测量每个设备的风险后，我们计算每个设备类型的平均值，以了解哪些类型的风险最大。 对于本报告，我们分析了1月1日至4月30日期间Forescout设备云中的设备数据。 2 2024年最危险的连接设备 1.执行摘要 在2024年，攻击者正在穿越孤岛，以在所有设备，操作系统和嵌入式固件中找到入口点。今天，网络设备已成为超越端点的最具风险的IT设备类别。威胁行为者正在路由器和无线接入点中发现新的漏洞-并在大规模活动中迅速利用它们。同样，具有漏洞的物联网设备扩展了高达136％一年前。 还有一个新兴的危险设备领域值得关注：工业机器人。专用操作系统也令人担忧：我们的数据显示超过2500个独特的版本来管理. 相反，有一些积极的消息要报道：医疗保健行业在设备安全方面的投资有助于降低一年前的风险。在其他积极的垂直新闻中，几乎每个行业都减少了Telnet的曝光并增加了SSH的使用。然而，医疗保健无疑感受到了2024年主要勒索软件攻击的痛苦，尤其是在美国。与此同时，医疗物联网(IoMT)已经用运营技术交易了风险场所，并提升了风险设备规模。 自2021年以来，我们已经认识到持续存在的常见风险设备嫌疑人数量。例如，可编程逻辑控制器（PLC）和VoIP设备始终处于不稳定的状态它们始终列在我们的风险清单上，因为这些设备要么本身不安全，要么安全协议和配置被忽略。安全领导者和团队有责任智能地管理这些支离破碎的资产环境，并拥有更多的控制权——即使在活动异常时也是如此。 关键发现 预测研究-Vedere实验室一直在报告组织网络中风险最高的设备，这些设备使用直接来自近1900万台设备的数据。今年是我们的第四次年度报告。 技术： IT设备占大多数漏洞（58％），低于2023年的78％ 物联网漏洞从去年的14％增加到今天的33％（增加了136％） 最脆弱的设备类型是： o无线接入点 o路由器 o打印机 oVoIP oIP摄像机 最公开的非托管设备类型： oVoIP设备 o联网设备 o打印机 按垂直： 最危险的设备前三名： 技术 Education Manufacturing 今年，医疗保健行业的风险设备下降幅度最大，原因是: RDP使用 旧版Windows版本使用 找到的旧版Windows版本的最高百分比: 技术 Education Retail 医疗保健 3 2. 2024年风险最高的连接设备 使用我们的数据集和评分方法，我们在四个设备类别中确定了五种风险最高的设备类型：IT，IoT，OT和IoMT 2024年最危险的连接设备 表1-每个类别的风险最高的连接设备 在这20种设备类型中，有11种包含在2023年报告中，并保留在列表中。9种设备类型不在2023年的列表中（表中以蓝色突出显示）：无线接入点，虚拟机管理程序，NVR，机器人技术以及IoMT类别中的所有设备。在这九个中，有四个在2022年的列表中并返回。然而，四个是全新的：NVR，机器人，医疗信息系统，心电图和药物分配系统。 IT设备 最危险的IT设备继续分为两大类：网络基础设施设备和端点。 网络基础设施设备-路由器和无线接入点-通常在线暴露，并且具有危险的开放端口。在2023年初，端点仍然比网络设备风险更大 。今天，我们看到了逆转这表示自2023年下半年以来，在网络基础设施设备中发现和利用的漏洞数量有所增加。 路由器更经常被远程利用，但无线接入点是物理位置内部和外部网络之间的典型边界。它们经常托管来宾和公司网络，并用于连接来宾设备，包括计算机和移动设备。 端点-服务器、计算机和虚拟机管理程序-作为网络钓鱼的入口点或未修补的系统和应用程序仍然存在风险。此外，虚拟机管理程序,自2022年以来，托管虚拟机（VM）的专用服务器已成为勒索软件团伙的最爱目标，因为它们允许攻击者一次加密多个VM。 4 2024年最危险的连接设备 勒索软件开发人员正在转向Go和Rust等语言，这些语言允许更容易的交叉编译，并且可以针对LinuxandWindows 。就像网络基础结构设备一样，虚拟机管理程序通常是非托管的，不支持传统的端点保护代理。 IoT设备 最危险的物联网设备包括最持久的嫌疑人-NAS，VoIP，IP摄像机和打印机。这些通常在互联网上暴露，并且历来受到攻击者的攻击。但是，有一个新条目：NVR。 NAS设备已经成为勒索软件参与者不断增长的目标，由于它们存储的宝贵数据和大量漏洞，有几个专门为在它们上运行而设计的勒索软件家族。 VoIP和IP摄像机是有风险的，因为它们通常暴露在互联网上，并且有针对它们的威胁行为者的悠久历史。在2019年，APT28入侵VoIP电话以初始访问多个网络。在2021年，Conti的目标摄像机在受影响的组织内部移动。在2022年，APT29和TAG-38的目标摄像机用作指挥和控制基础设施。 NVRs坐在网络上的IP摄像机旁边以存储其录制的视频。就像IP摄像机一样，它们通常在网上找到，并且具有被网络犯罪僵尸网络和APT利用的重大漏洞。 打印机包括连接办公室中使用的多功能打印和复印设备。它们还包括用于打印收据，标签，票据，腕带和其他用途的专用设备。尽管打印机与网络风险并不广泛相关，但它们应该是。与IP摄像机一样，它们也被APT28等威胁行为者利用，并多次被黑客分子垃圾邮件。打印机通常还连接到敏感设备，例如销售点系统和具有特权用户的常规工作站。 OT设备 风险最高的OT设备包括关键且不安全的设计PLC和DCS。它还包括许多具有默认凭据的数据中心中存在的UPS-以及无处不在的 ，通常不可见的楼宇自动化系统。 UPS在电源监控和数据中心电源管理中发挥关键作用。CISA已向威胁者发出警报，目标是具有默认凭据的UPS。对这些设备的攻击可能会产生物理影响，例如在关键位置关闭电源或篡改电压以损坏敏感设备。 PLC和DCS是有风险的，因为它们非常关键，允许完全控制工业过程，并且在设计上已知是不安全的，通常允许攻击者与它们交互，甚至在不需要身份验证的情况下重新配置它们。 建筑管理系统，也称为楼宇自动化系统，对设施管理至关重要。有几个例子表明，威胁行为者利用智能建筑来使控制器无法使用，为僵尸网络招募易受攻击的物理访问控制设备，或者利用管理工作站进行初始访问。这些设备危险地将OT的不安全设计特性与物联网的互联网连接混合在一起，即使在关键位置也经常被发现在线暴露。 机器人技术:在电子和汽车制造业等行业中，机器人的使用正在迅速增加，这些行业的工厂正变得“更智能”和更多连接。2023年，全球有将近400万个工业机器人，其中约80％分布在五个国家：中国，日本，美国，韩国和德国。 也有服务机器人部署在其他各种行业，如物流和军事。尽管使用广泛，但许多机器人与其他OT设备存在相同的安全问题，包括:过时的 5 2024年最危险的连接设备 软件，默认凭据和宽松的安全姿势。对机器人的攻击范围从生产破坏到物理损坏和人类安全。 IoMT设备 与去年相比，风险最大的IoMT设备都发生了变化，但它们包括用于医疗保健的IT设备的组合，例如医疗信息系统和工作站 。这些系统通常具有专用的嵌入式设备，例如心电图和自动药物分配。 医疗信息系统使用HL7等标准格式存储和管理临床数据，以连接包含电子健康记录和账单信息的系统。这些系统存储非常敏感的信息，这些信息在暗网上很有价值，并且经常被勒索软件团伙泄露。尽管它们的数据很关键，但仍可以在线发现数千个这样的系统。 心电图是有风险的，因为它们在急性患者护理中的基本作用和巨大影响。一项同行评审的研究表明，医院的数据泄露补救工作导致心电图延迟2.7分钟，从而使患者死亡率增加0.36％。正如作者指出的那样，在勒索软件事件（这不是他们数据集的一部分）的情况下，情况可能更糟。在我们的数据集上，心电图是仅次于药物分配系统和输液泵的第三大易受攻击的IoMT设备。. DICOM工作站和PACS用于医学成像。他们经常运行旧版易受攻击的IT 操作系统，具有广泛的网络连接性以允许共享成像文件，并使用DICOM标准来共享这些文件。DICOM定义了存储医学图像的格式and用于交换它们的通信协议。该协议支持消息加密，但其用法由各个医疗机构配置。我们在许多组织中观察到未加密的通信，这可能允许攻击者获取或篡改医学图像，包括传播恶意软件。 到目前为止，PACS是我们数据集中最常暴露的IoMT设备。 药物分配系统由于BillyRios在该类别中流行设备的七个第三方组件上记录了1,418个漏洞，因此近十年来一直处于易受攻击状态 。在该研究进行了八年多之后，我们仍然将药物分配系统视为总体上第六大易受攻击的设备类型，而不仅仅是在IoMT类别中（请 参阅第3.5节）。 有记录在案的勒索软件攻击影响分配系统的可用性，这可能导致患者治疗的延迟。我们还报告了2022年在线曝光的183个系统 。不到2年后，这个数字已经增长到225个。药物分配系统是我们数据集中第二大曝光量的IoMT设备类型。 3.详细分析 3.1.按行业划分的风险 图1显示了我们数据集中按行业划分的平均设备风险分布。我们选择了设备最多的10个行业进行此分析。 2024年，技术平均风险最高的设备，其次是教育和制造。我们从去年开始改变了分类方法，当时我们计算了具有关键或高风险的设备的百分比，而不是跨设备的平均风险。 医疗保健已经取得了显著的进步，不再是风险最高的行业。去年，它拥有中高风险设备的比例最大。如今，它的平均设备风险为7.25，是10个行业中最低的。同样，零售业在2023年是第二大风险，今年也显示出了很大的改善。 6 2024年最危险的连接设备 零售业现在的平均设备风险为7.37，略高于医疗保健。制造业仍然是7.98的第三大风险。 图1-平均设备风险最高的行业 3.2.按国家划分的风险 图2显示了按国家划分的平均设备风险分布。我们选择了平均设备风险大于6.0的13个国家。平均设备风险最高的前三个国家都在亚洲。其次是加拿大和美国。风险最高的欧洲国家是丹麦、意大利和英国。 图2-平均器械风险最高的国家 7 2024年最危险的连接设备 3.3.操作系统 图3显示了10个行业中设备的操作系统（OS）。大多数设备仍然运行“传统”IT操作系统，如Widows，Lix，Mac和UNIX。这包括几个运行Lix或Widows的专用IoT/OT/IoMT设备。但是，特殊用途操作系统的类别在石油和天然气（21％），医疗保健和娱乐（各14％）和零售（12％）中特别重要。在除教育以外的所有行业中，特殊用途操作系统比移动操作系统更常见。 各种特殊用途操作系统是安全团队跟踪的噩梦，也是提高对网络设备可见性的主要原因之一。我们在设备云上观察到超过2500个独特版本。嵌入式固件还以呈现系统安全问题而闻名，例如后门、硬编码凭证和密钥以及内存损坏漏洞。 图3-按行业划分的操作系统分布 由于Windows是迄今为止每个行业中最常见的操作系统，因此我们深入了解每个行业中使用的版本。我们将Windows版本分为两类 ：当前支持的（例如Windows10和11）和旧