Sicherheitsrisiken in Millionen von XIoT-Geräten gefunden

In Millionen von Geräten des erweiterten Internets der Dinge (XIoT) wurde eine große Anzahl von allgemeinen Schwachstellen und Expositionen (CVEs), Standardpasswörtern und anderen Sicherheitsrisiken gefunden.

Die Behauptungen stammen von den Sicherheitsexperten von Phosphorus, die kürzlich einen Bericht veröffentlicht haben, der fünf Jahre Sicherheitsforschung und Gerätetests zusammenfasst.

Der Bericht enthält einige besorgniserregende Ergebnisse, die auf der Analyse von Millionen von XIoT-Geräten basieren, die in Unternehmensnetzwerkumgebungen in führenden Branchen eingesetzt werden.

Phosphorus hat behauptet, dass 99 % der Passwörter von XIoT-Geräten, die im Rahmen seiner Untersuchung analysiert wurden, nicht den Best Practices entsprachen und 68 % der XIoT-Geräte hochriskante oder kritische Schwachstellen (CVSS-Scores von 8-10) aufwiesen. Außerdem gab das Unternehmen an, dass 80 % der Sicherheitsteams die meisten ihrer XIoT-Geräte nicht korrekt identifizieren konnten.

„XIoT als Verbraucherkategorie hat sich innerhalb kürzester Zeit von der Entstehung über den Hype bis hin zur Allgegenwärtigkeit entwickelt“, so Casey Ellis, Gründer und CTO von Bugcrowd. „Geschwindigkeit, oder genauer gesagt Eile, ist der natürliche Feind der Sicherheit, was dazu führt, dass bei Design und Entwicklung im Allgemeinen weniger Rücksicht auf Cybersicherheit und Benutzerschutz genommen wird.“

Um sich gegen diese Bedrohungen zu schützen, empfiehlt der Phosphorus-Bericht den Unternehmen, Geräte zu härten und ihre Angriffsfläche zu verringern.

„Die von Phosphorus aufgezeigten Probleme sind echt, aber die Lösung dieser Probleme ist nicht so einfach, wie sie dargestellt werden“, kommentierte Bud Broomhead, CEO von Viakoo.

„So ist beispielsweise die Gewissheit, dass IoT-Geräte ordnungsgemäß funktionieren, auch eine Komponente der Härtung und Sicherung von Geräten. Es muss auch ein Schwerpunkt darauf gelegt werden, IoT-Geräten durch ein umfassendes Zertifikatsmanagement einen Weg zu Nullvertrauen zu bieten.“

Die Führungskraft fügte hinzu, dass man sich stärker darauf konzentrieren müsse, eindeutige IoT- und IoT-Anwendungsdaten in Discovery-Lösungen und Konfigurationsmanagement-Datenbanklösungen aufzunehmen. Dies würde die Verwendung von Aufzeichnungen historischer Vorgänge zur Härtung und Sicherung von IoT-Systemen ermöglichen.

„Viele IoT-Geräte in Unternehmen sind eng mit ihren Anwendungen gekoppelt, was ihre Absicherung noch komplexer macht“, erklärte Broomhead.

„Man muss die Unterschiede zwischen lose gekoppelten und eng gekoppelten IoT-Geräten verstehen, um sie so zu sichern, dass der gesamte IoT-Workflow nach Firmware-, Passwort- und Zertifikats-Updates wiederhergestellt werden kann.“

Patrick Tiquet, Vice President of Security and Architecture bei Keeper Security, geht noch einen Schritt weiter und meint, dass es einen Sicherheitsrahmen oder eine Zertifizierung für XIoT-Anbieter geben sollte, um ihre Produkte als sicher zu zertifizieren.

„Diese Art der Zertifizierung würde Verbrauchern und Unternehmen die Gewissheit geben, dass die XIoT-Produkte, die sie verwenden, tatsächlich sicher sind.“

Der Phosphorus-Bericht kommt Monate nach der Veröffentlichung neuer Daten durch Claroty, die darauf hindeuten, dass die Zahl der Schwachstellenmeldungen, die XIoT-Geräte betreffen, im ersten Halbjahr 2022 im Vergleich zu den vorangegangenen sechs Monaten um 57 % gestiegen ist.

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com