Новый отчетNetRise анализирует состав ПО, уязвимости и риски, не связанные с CVE, присутствующие в программном обеспечении корпоративного сетевого оборудования – маршрутизаторы, коммутаторы, брандмауэры, VPN-шлюзы и беспроводные точки доступа.
NetRise отмечает, что организации используют сложный массив программного обеспечения для работы своего сетевого оборудования, включая сторонние, открытые программы, приложения, контейнеры и прошивки устройств. Каждое новое внедряемое ПО несет в себе риски, которые часто остаются незамеченными. Увеличение атак на цепочки поставок ПО подтверждает необходимость принципа “доверяй, но проверяй”. Компании должны иметь полную видимость всех компонентов и зависимостей своего программного обеспечения для минимизации рисков.
Основные выводы отчета включают:
- Инвентаризация ПО для понимания рисков: Исследователи NetRise проанализировали код и создали детализированные SBOM (Software Bill of Materials) для каждого протестированного устройства, обнаружив в среднем 1267 компонентов ПО на каждом устройстве.
- Детализированный анализ ПО превосходит традиционное сканирование уязвимостей: выявленные риски уязвимостей в среднем в 200 раз превышают результаты традиционных сканеров. Исследователи обнаружили 1120 известных уязвимостей в программных компонентах, причем более трети из них старше 5 лет.
3. Не полагаться только на оценки уязвимостей по CVSS: из 1120 известных уязвимостей в каждом сетевом устройстве более 42% (473) оцениваются как “High” или “Critical” по CVSS. Средний показатель количества уязвимостей, используемых в атаках, составил 20 на устройство, из которых только 7 доступны через сеть.
Исследование подчеркивает важность составления SBOM – перечень отдельных программных компонентов, используемых в создании программного обеспечения. Однако лишь 35% опрошенных организаций создают или генерируют такие списки. В некоторых секторах, таких как медицинские устройства и автомобилестроение, использование SBOM стало обязательным из-за регулирующих требований.
Понимание ПО внутри организации критически важно для своевременного расследования и устранения кибератак. Однако только 38% организаций считают, что эффективно выявляют и реагируют на атаки с эксплуатацией уязвимостей ПО. 47% организаций заявляет, что на устранение критической уязвимости уходит от 1 месяца до полугода.
Организации все чаще принимают продвинутые инструменты анализа цепочки поставок программного обеспечения и управления рисками. Эти инструменты предоставляют детализированные SBOM, включая встроенное ПО, операционные системы, программное обеспечение виртуализации и приложения, выявляют уязвимости и риски, не связанные с CVE, и приоритизируют выявленные риски.
Правительства и регулирующие органы также ужесточают нормы для обеспечения безопасности сетевого оборудования и подключенных устройств, делая обязательным соблюдение стандартов, таких как рекомендации Национального института стандартов и технологий (NIST) и Общий регламент по защите данных Европейского Союза (GDPR).
Сетевые устройства, такие как маршрутизаторы, коммутаторы, брандмауэры, VPN-шлюзы и беспроводные точки доступа, стали основными целями для кибератак. Уязвимости в таких устройствах активно эксплуатируются злоумышленниками, что делает их самой рискованной категорией IT-устройств. Уязвимости в Все большая часть IoT-устройств создается для использования потребителями, включая транспортные средства, системы “Умный дом”, умную одежду, медицинские устройства и приборы с возможностями удаленного мониторинга.