在2021年發(fā)生了多起針對網(wǎng)絡(luò)設(shè)備、監(jiān)控系統(tǒng)、管道和水處理設(shè)施的知名網(wǎng)絡(luò)攻擊事件，使得大幅改進(jìn)IoT/OT網(wǎng)絡(luò)安全的需求變得更加明顯。為了更好地了解組織面臨的挑戰(zhàn)，Microsoft委托Ponemon Institute進(jìn)行了一項調(diào)查研究，以更好的從客戶角度了解IoT/OT安全狀態(tài)。該報告提供了關(guān)于物聯(lián)網(wǎng)采用的業(yè)務(wù)關(guān)鍵性和組織面臨的挑戰(zhàn)，以及組織正在尋找的解決方案類型的寶貴見解。

該研究旨在確定組織如何有效地保護(hù)其物聯(lián)網(wǎng)(IoT)設(shè)備，包括企業(yè)物聯(lián)網(wǎng)(EIoT)和工業(yè)物聯(lián)網(wǎng)(IIoT)設(shè)備，以及運(yùn)營技術(shù)(OT)和工業(yè)控制系統(tǒng)(ICS)。Ponemon Institute調(diào)查了美國615名了解其組織網(wǎng)絡(luò)安全狀況的IT和IT安全從業(yè)者。

[[442043]]

研究顯示，組織越來越依賴這些設(shè)備來優(yōu)化運(yùn)營，IoT和OT端點(diǎn)的數(shù)量也在急劇增長。行業(yè)分析人士估計，CISO將很快應(yīng)對比幾年前大三倍的攻擊面。此外，這些設(shè)備通常不受管理，不支持使安全態(tài)勢未知且通常不安全的代理，例如安全基線未實施、未打補(bǔ)丁和未監(jiān)控。最后，這些設(shè)備通常對IT安全團(tuán)隊不可見，因為他們通常缺乏發(fā)現(xiàn)和清點(diǎn)此類IoT和OT設(shè)備的工具。

IoT/OT的采用對于持續(xù)的業(yè)務(wù)成功至關(guān)重要。即使擔(dān)心安全問題，推進(jìn)IoT/OT項目也是重中之重。68%的受訪者表示，高級管理層認(rèn)為IoT/OT對于支持業(yè)務(wù)創(chuàng)新和其他戰(zhàn)略目標(biāo)至關(guān)重要。65%的受訪者表示，高級管理層已將IT和IT安全從業(yè)人員計劃、開發(fā)或部署物聯(lián)網(wǎng)項目以提高業(yè)務(wù)利益作為優(yōu)先事項。由于高級管理層推動部署，很少有IT安全從業(yè)者出于安全考慮而愿意放慢、限制或停止IoT/OT項目的采用，僅占受訪者的31%。

一、主要發(fā)現(xiàn)

鑒于當(dāng)前安全實踐的無效性、IoT/OT設(shè)備的脆弱性、IoT/OT設(shè)備的風(fēng)險暴露以及威脅形勢，組織愿意為物聯(lián)網(wǎng)設(shè)備和解決方案支付更多費(fèi)用，以提高IoT/OT安全性。

(1) IoT/OT設(shè)備易受攻擊。這些設(shè)備的設(shè)計并沒有像PC和移動設(shè)備那樣考慮安全性。

• 60%的受訪者表示，IoT/OT設(shè)備是其組織的IT/OT基礎(chǔ)設(shè)施中最不安全的部分之一;
• 55%的受訪者不認(rèn)為IoT/OT設(shè)備的設(shè)計考慮到了安全性，11%的受訪者不知道。

(2) IoT/OT設(shè)備的風(fēng)險暴露。攻擊者可以從互聯(lián)網(wǎng)訪問典型網(wǎng)絡(luò)上最不安全的設(shè)備。

• 88%的受訪者表示，他們組織的企業(yè)物聯(lián)網(wǎng)設(shè)備已連接到互聯(lián)網(wǎng)，例如用于云打印服務(wù);
• 56%的受訪者表示，他們組織的OT設(shè)備連接到互聯(lián)網(wǎng)，目的是實現(xiàn)遠(yuǎn)程訪問;
• 51%的受訪者表示，OT網(wǎng)絡(luò)連接到企業(yè)IT(業(yè)務(wù))網(wǎng)絡(luò)，例如用于SAP、遠(yuǎn)程訪問等。

(3) 缺乏可見性是IoT/OT環(huán)境中的一個關(guān)鍵安全挑戰(zhàn)。組織很難了解其網(wǎng)絡(luò)上存在哪些設(shè)備，以及這些設(shè)備是否受到保護(hù)和監(jiān)控。47%的受訪者表示，他們的組織主要使用手動流程來識別受感染的IoT/OT設(shè)備，并將其與攻擊相關(guān)聯(lián)。

• 29%的受訪者表示，他們的組織擁有完整的IoT/OT設(shè)備清單。根據(jù)這些受訪者的說法，組織平均擁有9,685臺設(shè)備;
• 確保物聯(lián)網(wǎng)設(shè)備安全的障礙是缺乏資產(chǎn)和漏洞的可見性。61%的受訪者對識別IoT設(shè)備是否受到威脅的能力的信心很低或處于平均水平;
• 42%的受訪者缺乏對漏洞的可見性。70%的受訪者對其組織的物聯(lián)網(wǎng)設(shè)備的安全性的信心較低或一般，64%的受訪者對物聯(lián)網(wǎng)設(shè)備已打補(bǔ)丁并保持最新狀態(tài)的信心較低或一般;
• 積極的方面是，67%的受訪者表示，高級管理層認(rèn)為，在未來12到24個月內(nèi)，提高IoT/OT安全性是重中之重。

(4) 威脅形勢已經(jīng)確定。針對IoT/OT設(shè)備的攻擊量正在增加。

• 35%的受訪者表示，在過去兩年中，他們的組織經(jīng)歷了網(wǎng)絡(luò)事件，其中攻擊者使用物聯(lián)網(wǎng)設(shè)備進(jìn)行更廣泛的攻擊;
• 39%的受訪者在過去兩年中經(jīng)歷過網(wǎng)絡(luò)事件，其中物聯(lián)網(wǎng)設(shè)備本身就是攻擊的目標(biāo);
• 50%的受訪者表示，針對IoT/OT設(shè)備的攻擊數(shù)量顯著增加(26%)或增加(24%);
• 63%的受訪者表示，攻擊量將顯著增加(36%)或增加(27%)。

組織愿意在物聯(lián)網(wǎng)設(shè)備和解決方案上投入更多資金，以提高IoT/OT環(huán)境的安全性。設(shè)備被設(shè)計得更加安全。根據(jù)一項特別分析顯示，如果這些設(shè)備的安全性得到改善，受訪者愿意花更多錢，尤其是工業(yè)物聯(lián)網(wǎng)設(shè)備(平均增加37%)和工業(yè)物聯(lián)網(wǎng)解決方案(平均增加41%)。

二、IoT/OT設(shè)備存在安全風(fēng)險

(1) 高級管理層和IT安全從業(yè)人員一致認(rèn)為，IoT/OT設(shè)備的不安全性正在給組織帶來風(fēng)險。60%的受訪者表示，IoT/OT是IT/OT基礎(chǔ)設(shè)施中最不安全的方面之一。IoT/OT設(shè)備對組織未來的重要性已經(jīng)確立，67%的受訪者表示，高級管理層在未來的12至24個月內(nèi)將提高IoT/OT安全性作為首要安全優(yōu)先事項。

而生產(chǎn)力和安全風(fēng)險之間的差距繼續(xù)擴(kuò)大。研究表明，高層管理人員認(rèn)識到需要更強(qiáng)大的IoT/OT基礎(chǔ)設(shè)施。

(2) 針對IoT/OT設(shè)備的攻擊量將會增加。50%的受訪者表示，針對IoT/OT設(shè)備的攻擊數(shù)量顯著增加(26%)或增加(24%)。在未來(2021年及以后)，63%的受訪者表示攻擊量將顯著增加(36%)和增加(27%)。

IoT/OT基礎(chǔ)設(shè)施中安全風(fēng)險增加的主要后果是針對性攻擊的大幅增加。其中許多攻擊依賴于領(lǐng)先的自動化方法，例如機(jī)器學(xué)習(xí)、編排和人工智能。

(3) 許多網(wǎng)絡(luò)事件涉及IoT/OT設(shè)備。44%的受訪者表示，他們的組織在過去兩年中經(jīng)歷了涉及IoT/OT設(shè)備的網(wǎng)絡(luò)事件。對邊緣設(shè)備的日益依賴導(dǎo)致安全風(fēng)險。這些設(shè)備可以采用靠近最終用戶的具有計算能力的任何小型設(shè)備的形式。大多數(shù)物聯(lián)網(wǎng)設(shè)備沒有太多的處理能力和安全功能，在邊緣留下了大量易受攻擊的網(wǎng)絡(luò)入口點(diǎn)。

35%的受訪者表示，他們的組織在過去兩年中經(jīng)歷過網(wǎng)絡(luò)事件，其中攻擊者使用物聯(lián)網(wǎng)設(shè)備進(jìn)行更廣泛的攻擊，39%的受訪者在過去兩年中經(jīng)歷過網(wǎng)絡(luò)事件，其中物聯(lián)網(wǎng)設(shè)備本身就是攻擊的目標(biāo)。

物聯(lián)網(wǎng)設(shè)備(例如監(jiān)控視頻、照明系統(tǒng)或本地打印機(jī))的占用空間小，對設(shè)備級別的內(nèi)置安全性提出了固有的限制。

(4) 很少有組織在其安全解決方案中擁有準(zhǔn)確的物聯(lián)網(wǎng)設(shè)備資產(chǎn)清單。只有37%的受訪者相信他們的組織在其安全解決方案中擁有準(zhǔn)確的物聯(lián)網(wǎng)設(shè)備資產(chǎn)清單。只有29%的受訪者表示他們的組織擁有完整的IoT/OT設(shè)備清單，組織平均擁有9,685臺設(shè)備。

研究表明，需要IoT/OT管理程序，例如完成列出所有設(shè)備(包括未連接到互聯(lián)網(wǎng)的設(shè)備)的物理位置的清單過程。

(5) 組織容易受到攻擊，因為IT網(wǎng)絡(luò)和OT網(wǎng)絡(luò)上的物聯(lián)網(wǎng)設(shè)備連接到互聯(lián)網(wǎng)。88%的受訪者表示，他們的物聯(lián)網(wǎng)設(shè)備已連接到互聯(lián)網(wǎng)，其中包括智能電視、會議系統(tǒng)和連接到云打印服務(wù)的打印機(jī)等設(shè)備。

這些設(shè)備旨在提高訪問和連接的便利性，而不是安全性。建議在發(fā)現(xiàn)漏洞后立即修補(bǔ)IoT設(shè)備。此外，監(jiān)控設(shè)備交互以及之間的流量移動將更容易檢測異常。

56%的受訪者表示，OT網(wǎng)絡(luò)和OT網(wǎng)絡(luò)上的設(shè)備已連接到互聯(lián)網(wǎng)。51%的受訪者表示，其組織的OT網(wǎng)絡(luò)已連接到企業(yè)IT網(wǎng)絡(luò)，以實現(xiàn)SAP、遠(yuǎn)程訪問等。

結(jié)果表明，許多組織的重大漏洞來源是在IT網(wǎng)絡(luò)中運(yùn)行的物聯(lián)網(wǎng)設(shè)備的連接。

(6) 組織依靠制造商來保護(hù)IoT/OT設(shè)備。55%的受訪者表示，他們不認(rèn)為IoT/OT設(shè)備的設(shè)計考慮了安全性，11%的受訪者表示他們不知道。

然而，幾乎一半(47%)的受訪者依靠制造商來保護(hù)這些設(shè)備安全，其次是將責(zé)任分配CISO和安全團(tuán)隊(42%)、運(yùn)營團(tuán)隊(34%)、IT部門(33%)、托管安全服務(wù)提供商(28%)、和系統(tǒng)集成商(21%)，甚至19%的受訪者沒有部門負(fù)責(zé)IoT/OT設(shè)備安全。

沒有明確規(guī)定的領(lǐng)導(dǎo)者全權(quán)負(fù)責(zé)確保整個組織中使用的IoT/OT設(shè)備的安全。此職能的所有權(quán)對于建立強(qiáng)有力的IoT/OT治理和/或工業(yè)控制流程至關(guān)重要。

(7) IoT/OT設(shè)備的重要性與對這些設(shè)備安全性的信心之間存在顯著差距。受訪者被要求對其組織的IoT/OT設(shè)備的信心水平進(jìn)行評分，評分范圍為1=沒有信心到10=高信心。

在七分以上的高分回應(yīng)中，只有30%的受訪者對其物聯(lián)網(wǎng)設(shè)備的安全性有很高信心，39%的受訪者認(rèn)為其設(shè)備能夠識別設(shè)備是否受到威脅，36%的受訪者認(rèn)為物聯(lián)網(wǎng)設(shè)備已打補(bǔ)丁并更新到最新，32%的受訪者信任供應(yīng)鏈可以確保IoT/OT設(shè)備安全。

鑒于許多組織缺乏強(qiáng)有力的治理和工業(yè)控制流程，因此對IoT/OT設(shè)備的安全性缺乏信心也就不足為奇了。

三、保護(hù)IoT/OT設(shè)備的障礙和挑戰(zhàn)

(1) 雖然保護(hù)這些設(shè)備存在障礙和挑戰(zhàn)，但預(yù)計IoT/OT安全態(tài)勢將得到改善。高級管理層認(rèn)識到IoT/OT設(shè)備的漏洞，并致力于將IoT/OT安全作為優(yōu)先事項。由于這一承諾，受訪者對IoT/OT設(shè)備的安全狀況將在未來五年內(nèi)改善持樂觀態(tài)度。

受訪者被要求對其組織的傳統(tǒng)IoT/OT設(shè)備的安全態(tài)勢進(jìn)行評分，評價范圍從1=不安全到10=高度安全。對于當(dāng)前的IoT/OT設(shè)備的安全狀況，只有37%的受訪者給出了7分以上的高分評價，然而有69%的受訪者對其傳統(tǒng)IoT/OT設(shè)備五年后的安全狀況給出了7分以上的高分評價。該數(shù)據(jù)描繪了未來五年IoT/OT安全態(tài)勢的非常積極的圖景。

(2) 缺乏可見性是確保IoT/OT設(shè)備安全的主要障礙。57%的受訪者表示，他們組織的資產(chǎn)缺乏可見性正在影響IoT/OT設(shè)備的安全性。由于沒有威脅可見性(50%)和漏洞可見性(42%)，組織也在黑暗中運(yùn)作。其他障礙包括缺乏具有足夠知識和專業(yè)知識的人員(36%)、網(wǎng)絡(luò)安全解決方案之間的互操作性問題(25%)、以及孤島問題(23%)。研究表明，IoT/OT基礎(chǔ)設(shè)施的可見性對于改進(jìn)組織內(nèi)的治理和控制流程非常重要。

圖1 確保IoT和IIoT設(shè)備安全的主要障礙

(3) 組織在防止針對IoT/OT設(shè)備的網(wǎng)絡(luò)攻擊方面效率低下。受訪者要求對其組織在預(yù)防網(wǎng)絡(luò)事件方面的有效性進(jìn)行評分，評價范圍為1=無效到10=高效。

在7分以上的高分回答中，只有33%的受訪者認(rèn)為在攻擊者使用IoT設(shè)備進(jìn)行更廣泛攻擊的網(wǎng)絡(luò)事件時進(jìn)行了有效預(yù)防，31%的受訪者認(rèn)為有效組織了外部攻擊者篡改IoT和OT設(shè)備，僅有26%的受訪者認(rèn)為有效防止了涉及物聯(lián)網(wǎng)設(shè)備持續(xù)或橫向移動的網(wǎng)絡(luò)事件。

這突顯了在防止網(wǎng)絡(luò)事件、物聯(lián)網(wǎng)設(shè)備篡改、阻止外部攻擊者方面缺乏有效性。

(4) 組織認(rèn)為他們能夠有效的遵守法規(guī)。受訪者被要求對滿足其IoT/OT安全計劃的各種功能的有效性進(jìn)行評分，評價范圍從1=無效到10=高效。在7分以上的高分回答中，受訪者認(rèn)為組織在遵守法規(guī)和標(biāo)準(zhǔn)(62%)、第三方風(fēng)險管理(58%)、以及意識和培訓(xùn)(53%)方面最為有效。組織在滿足IoT/OT基礎(chǔ)設(shè)施合規(guī)性要求方面普遍持積極態(tài)度。

(5) 組織無法有效地創(chuàng)建有效的IoT/OT安全計劃。受訪者被要求對實現(xiàn)物聯(lián)網(wǎng)安全計劃功能的有效性進(jìn)行評分，評價范圍為1=無效到10=高效。在7分以上的高分回答中，大多數(shù)受訪者對有效滿足IoT/OT安全計劃功能沒有信心。高效物聯(lián)網(wǎng)安全計劃的主要特征包括安全、威脅評估和其他業(yè)務(wù)優(yōu)先事項。

圖2 創(chuàng)建有效IoT安全計劃的相關(guān)功能

(6) 網(wǎng)絡(luò)檢測和響應(yīng)(NDR)解決方案被證明可以有效保護(hù)IoT/OT設(shè)備，但只有39%的受訪者表示其組織部署了這些設(shè)備。52%的受訪者表示其組織使用漏洞掃描程序，51%的受訪者依賴防火墻，49%的受訪者使用防病毒技術(shù)。其中許多解決方案不適用于保護(hù)設(shè)備，這表明組織在理解如何實現(xiàn)更好的安全性方面并不成熟。研究表明，組織正在使用傳統(tǒng)的IT安全工具，而不是OT特定的工具和應(yīng)用程序來保護(hù)IoT設(shè)備和OT基礎(chǔ)設(shè)施。

圖3 有效保護(hù)IoT/OT設(shè)備的安全工具

四、費(fèi)用開銷

在IoT/OT環(huán)境中提高組織安全態(tài)勢的解決方案有多大價值?對此研究人員進(jìn)行了第二項調(diào)查，以確定如果確保在IoT/OT環(huán)境中實現(xiàn)更高的安全性，組織會支付多少費(fèi)用。

研究人員在四種不同場景中對個人進(jìn)行了調(diào)查，以確定組織為增強(qiáng)其安全態(tài)勢而支付的平均溢價百分比。四種情況如下：

• 您愿意為與移動設(shè)備一樣安全的企業(yè)物聯(lián)網(wǎng)設(shè)備支付多少錢?
• 您愿意為企業(yè)物聯(lián)網(wǎng)安全解決方案支付多少費(fèi)用，該解決方案提供的保護(hù)、檢測和響應(yīng)能力與傳統(tǒng)端點(diǎn)的效力水平相同?
• 您愿意為與移動設(shè)備一樣安全的工業(yè)物聯(lián)網(wǎng)(OT/ICS)設(shè)備支付多少費(fèi)用?
• 您愿意為工業(yè)物聯(lián)網(wǎng)(OT/ICS)安全解決方案支付多少費(fèi)用，該解決方案提供的保護(hù)、檢測和響應(yīng)能力與傳統(tǒng)端點(diǎn)的效力水平相同?

在表1中，結(jié)果以四分位數(shù)表示。每個四分位數(shù)代表受訪者愿意支付的平均溢價百分比。研究分為企業(yè)物聯(lián)網(wǎng)和工業(yè)物聯(lián)網(wǎng)。結(jié)果顯示，受訪者為工業(yè)支付的平均溢價高于企業(yè)：企業(yè)為23%和32%，而工業(yè)為37%和41%。

表1 受訪者愿意支付的費(fèi)用

五、行業(yè)差異

研究人員調(diào)查了以下行業(yè)的受訪者：92名金融服務(wù)行業(yè)受訪者、55名石油與天然氣行業(yè)受訪者、74名工業(yè)與制造業(yè)受訪者、以及80名健康與醫(yī)藥行業(yè)受訪者。

(1) 所有行業(yè)都認(rèn)為IoT/OT部署對其組織的業(yè)務(wù)目標(biāo)至關(guān)重要。72%的健康與制藥業(yè)受訪者和71%的金融服務(wù)業(yè)受訪者表示，他們的組織致力于部署IoT/OT設(shè)備。數(shù)據(jù)顯示，IoT/OT環(huán)境中的行業(yè)差異只是名義上的，沒有顯著差異。

健康與制藥業(yè)(38%)和工業(yè)與制造業(yè)(37%)在過去兩年中發(fā)生網(wǎng)絡(luò)事件的可能性略高，物聯(lián)網(wǎng)設(shè)備被用于進(jìn)行更廣泛的攻擊。

(2) 資產(chǎn)、威脅和漏洞的可見性對于確保物聯(lián)網(wǎng)設(shè)備的安全性至關(guān)重要。64%石油和天然氣行業(yè)受訪者表示，其物聯(lián)網(wǎng)資產(chǎn)缺乏可見性是確保物聯(lián)網(wǎng)設(shè)備安全的障礙，其次是金融服務(wù)行業(yè)(58%)。43%的健康與制藥業(yè)受訪者和45%的金融服務(wù)行業(yè)受訪者認(rèn)為缺乏漏洞可見性不是一個障礙。

圖4 確保IoT設(shè)備安全的三大障礙

金融服務(wù)(54%)和健康與制藥(53%)最有可能使用自動化流程來識別受影響的IoT設(shè)備，并將其與其他安全解決方案(例如SIEM和EDR)引發(fā)的事件和警報相關(guān)聯(lián)。工業(yè)和制造業(yè)(54%)和石油天然氣(51%)組織最有可能依賴手動流程。

(3) 幾乎每個行業(yè)的IT網(wǎng)絡(luò)上都有IoT設(shè)備連接到互聯(lián)網(wǎng)。這些連接很難用傳統(tǒng)技術(shù)來保護(hù)。此外，龐大的端點(diǎn)數(shù)量是攻擊者的潛在入口。連接的設(shè)備越多，發(fā)生安全事件的可能性就越大。

圖5 連接到互聯(lián)網(wǎng)的IoT/OT設(shè)備