該研究旨在確定組織如何有效地保護(hù)其物聯(lián)網(wǎng)(IoT)設(shè)備,包括企業(yè)物聯(lián)網(wǎng)(EIoT)和工業(yè)物聯(lián)網(wǎng)(IIoT)設(shè)備,以及運(yùn)營技術(shù)(OT)和工業(yè)控制系統(tǒng)(ICS)。Ponemon Institute調(diào)查了美國615名了解其組織網(wǎng)絡(luò)安全狀況的IT和IT安全從業(yè)者。
研究顯示,組織越來越依賴這些設(shè)備來優(yōu)化運(yùn)營,IoT和OT端點(diǎn)的數(shù)量也在急劇增長。行業(yè)分析人士估計(jì),CISO將很快應(yīng)對(duì)比幾年前大三倍的攻擊面。此外,這些設(shè)備通常不受管理,不支持使安全態(tài)勢(shì)未知且通常不安全的代理,例如安全基線未實(shí)施、未打補(bǔ)丁和未監(jiān)控。最后,這些設(shè)備通常對(duì)IT安全團(tuán)隊(duì)不可見,因?yàn)樗麄兺ǔH狈Πl(fā)現(xiàn)和清點(diǎn)此類IoT和OT設(shè)備的工具。
IoT/OT的采用對(duì)于持續(xù)的業(yè)務(wù)成功至關(guān)重要。即使擔(dān)心安全問題,推進(jìn)IoT/OT項(xiàng)目也是重中之重。68%的受訪者表示,高級(jí)管理層認(rèn)為IoT/OT對(duì)于支持業(yè)務(wù)創(chuàng)新和其他戰(zhàn)略目標(biāo)至關(guān)重要。65%的受訪者表示,高級(jí)管理層已將IT和IT安全從業(yè)人員計(jì)劃、開發(fā)或部署物聯(lián)網(wǎng)項(xiàng)目以提高業(yè)務(wù)利益作為優(yōu)先事項(xiàng)。由于高級(jí)管理層推動(dòng)部署,很少有IT安全從業(yè)者出于安全考慮而愿意放慢、限制或停止IoT/OT項(xiàng)目的采用,僅占受訪者的31%。
一、主要發(fā)現(xiàn)
鑒于當(dāng)前安全實(shí)踐的無效性、IoT/OT設(shè)備的脆弱性、IoT/OT設(shè)備的風(fēng)險(xiǎn)暴露以及威脅形勢(shì),組織愿意為物聯(lián)網(wǎng)設(shè)備和解決方案支付更多費(fèi)用,以提高IoT/OT安全性。
(1) IoT/OT設(shè)備易受攻擊。這些設(shè)備的設(shè)計(jì)并沒有像PC和移動(dòng)設(shè)備那樣考慮安全性。
- 60%的受訪者表示,IoT/OT設(shè)備是其組織的IT/OT基礎(chǔ)設(shè)施中最不安全的部分之一;
- 55%的受訪者不認(rèn)為IoT/OT設(shè)備的設(shè)計(jì)考慮到了安全性,11%的受訪者不知道。
(2) IoT/OT設(shè)備的風(fēng)險(xiǎn)暴露。攻擊者可以從互聯(lián)網(wǎng)訪問典型網(wǎng)絡(luò)上最不安全的設(shè)備。
- 88%的受訪者表示,他們組織的企業(yè)物聯(lián)網(wǎng)設(shè)備已連接到互聯(lián)網(wǎng),例如用于云打印服務(wù);
- 56%的受訪者表示,他們組織的OT設(shè)備連接到互聯(lián)網(wǎng),目的是實(shí)現(xiàn)遠(yuǎn)程訪問;
- 51%的受訪者表示,OT網(wǎng)絡(luò)連接到企業(yè)IT(業(yè)務(wù))網(wǎng)絡(luò),例如用于SAP、遠(yuǎn)程訪問等。
(3) 缺乏可見性是IoT/OT環(huán)境中的一個(gè)關(guān)鍵安全挑戰(zhàn)。組織很難了解其網(wǎng)絡(luò)上存在哪些設(shè)備,以及這些設(shè)備是否受到保護(hù)和監(jiān)控。47%的受訪者表示,他們的組織主要使用手動(dòng)流程來識(shí)別受感染的IoT/OT設(shè)備,并將其與攻擊相關(guān)聯(lián)。
- 29%的受訪者表示,他們的組織擁有完整的IoT/OT設(shè)備清單。根據(jù)這些受訪者的說法,組織平均擁有9,685臺(tái)設(shè)備;
- 確保物聯(lián)網(wǎng)設(shè)備安全的障礙是缺乏資產(chǎn)和漏洞的可見性。61%的受訪者對(duì)識(shí)別IoT設(shè)備是否受到威脅的能力的信心很低或處于平均水平;
- 42%的受訪者缺乏對(duì)漏洞的可見性。70%的受訪者對(duì)其組織的物聯(lián)網(wǎng)設(shè)備的安全性的信心較低或一般,64%的受訪者對(duì)物聯(lián)網(wǎng)設(shè)備已打補(bǔ)丁并保持最新狀態(tài)的信心較低或一般;
- 積極的方面是,67%的受訪者表示,高級(jí)管理層認(rèn)為,在未來12到24個(gè)月內(nèi),提高IoT/OT安全性是重中之重。
(4) 威脅形勢(shì)已經(jīng)確定。針對(duì)IoT/OT設(shè)備的攻擊量正在增加。
- 35%的受訪者表示,在過去兩年中,他們的組織經(jīng)歷了網(wǎng)絡(luò)事件,其中攻擊者使用物聯(lián)網(wǎng)設(shè)備進(jìn)行更廣泛的攻擊;
- 39%的受訪者在過去兩年中經(jīng)歷過網(wǎng)絡(luò)事件,其中物聯(lián)網(wǎng)設(shè)備本身就是攻擊的目標(biāo);
- 50%的受訪者表示,針對(duì)IoT/OT設(shè)備的攻擊數(shù)量顯著增加(26%)或增加(24%);
- 63%的受訪者表示,攻擊量將顯著增加(36%)或增加(27%)。
組織愿意在物聯(lián)網(wǎng)設(shè)備和解決方案上投入更多資金,以提高IoT/OT環(huán)境的安全性。設(shè)備被設(shè)計(jì)得更加安全。根據(jù)一項(xiàng)特別分析顯示,如果這些設(shè)備的安全性得到改善,受訪者愿意花更多錢,尤其是工業(yè)物聯(lián)網(wǎng)設(shè)備(平均增加37%)和工業(yè)物聯(lián)網(wǎng)解決方案(平均增加41%)。
二、IoT/OT設(shè)備存在安全風(fēng)險(xiǎn)
(1) 高級(jí)管理層和IT安全從業(yè)人員一致認(rèn)為,IoT/OT設(shè)備的不安全性正在給組織帶來風(fēng)險(xiǎn)。60%的受訪者表示,IoT/OT是IT/OT基礎(chǔ)設(shè)施中最不安全的方面之一。IoT/OT設(shè)備對(duì)組織未來的重要性已經(jīng)確立,67%的受訪者表示,高級(jí)管理層在未來的12至24個(gè)月內(nèi)將提高IoT/OT安全性作為首要安全優(yōu)先事項(xiàng)。
而生產(chǎn)力和安全風(fēng)險(xiǎn)之間的差距繼續(xù)擴(kuò)大。研究表明,高層管理人員認(rèn)識(shí)到需要更強(qiáng)大的IoT/OT基礎(chǔ)設(shè)施。
(2) 針對(duì)IoT/OT設(shè)備的攻擊量將會(huì)增加。50%的受訪者表示,針對(duì)IoT/OT設(shè)備的攻擊數(shù)量顯著增加(26%)或增加(24%)。在未來(2021年及以后),63%的受訪者表示攻擊量將顯著增加(36%)和增加(27%)。
IoT/OT基礎(chǔ)設(shè)施中安全風(fēng)險(xiǎn)增加的主要后果是針對(duì)性攻擊的大幅增加。其中許多攻擊依賴于領(lǐng)先的自動(dòng)化方法,例如機(jī)器學(xué)習(xí)、編排和人工智能。
(3) 許多網(wǎng)絡(luò)事件涉及IoT/OT設(shè)備。44%的受訪者表示,他們的組織在過去兩年中經(jīng)歷了涉及IoT/OT設(shè)備的網(wǎng)絡(luò)事件。對(duì)邊緣設(shè)備的日益依賴導(dǎo)致安全風(fēng)險(xiǎn)。這些設(shè)備可以采用靠近最終用戶的具有計(jì)算能力的任何小型設(shè)備的形式。大多數(shù)物聯(lián)網(wǎng)設(shè)備沒有太多的處理能力和安全功能,在邊緣留下了大量易受攻擊的網(wǎng)絡(luò)入口點(diǎn)。
35%的受訪者表示,他們的組織在過去兩年中經(jīng)歷過網(wǎng)絡(luò)事件,其中攻擊者使用物聯(lián)網(wǎng)設(shè)備進(jìn)行更廣泛的攻擊,39%的受訪者在過去兩年中經(jīng)歷過網(wǎng)絡(luò)事件,其中物聯(lián)網(wǎng)設(shè)備本身就是攻擊的目標(biāo)。
物聯(lián)網(wǎng)設(shè)備(例如監(jiān)控視頻、照明系統(tǒng)或本地打印機(jī))的占用空間小,對(duì)設(shè)備級(jí)別的內(nèi)置安全性提出了固有的限制。
(4) 很少有組織在其安全解決方案中擁有準(zhǔn)確的物聯(lián)網(wǎng)設(shè)備資產(chǎn)清單。只有37%的受訪者相信他們的組織在其安全解決方案中擁有準(zhǔn)確的物聯(lián)網(wǎng)設(shè)備資產(chǎn)清單。只有29%的受訪者表示他們的組織擁有完整的IoT/OT設(shè)備清單,組織平均擁有9,685臺(tái)設(shè)備。
研究表明,需要IoT/OT管理程序,例如完成列出所有設(shè)備(包括未連接到互聯(lián)網(wǎng)的設(shè)備)的物理位置的清單過程。
(5) 組織容易受到攻擊,因?yàn)镮T網(wǎng)絡(luò)和OT網(wǎng)絡(luò)上的物聯(lián)網(wǎng)設(shè)備連接到互聯(lián)網(wǎng)。88%的受訪者表示,他們的物聯(lián)網(wǎng)設(shè)備已連接到互聯(lián)網(wǎng),其中包括智能電視、會(huì)議系統(tǒng)和連接到云打印服務(wù)的打印機(jī)等設(shè)備。
這些設(shè)備旨在提高訪問和連接的便利性,而不是安全性。建議在發(fā)現(xiàn)漏洞后立即修補(bǔ)IoT設(shè)備。此外,監(jiān)控設(shè)備交互以及之間的流量移動(dòng)將更容易檢測(cè)異常。
56%的受訪者表示,OT網(wǎng)絡(luò)和OT網(wǎng)絡(luò)上的設(shè)備已連接到互聯(lián)網(wǎng)。51%的受訪者表示,其組織的OT網(wǎng)絡(luò)已連接到企業(yè)IT網(wǎng)絡(luò),以實(shí)現(xiàn)SAP、遠(yuǎn)程訪問等。
結(jié)果表明,許多組織的重大漏洞來源是在IT網(wǎng)絡(luò)中運(yùn)行的物聯(lián)網(wǎng)設(shè)備的連接。
(6) 組織依靠制造商來保護(hù)IoT/OT設(shè)備。55%的受訪者表示,他們不認(rèn)為IoT/OT設(shè)備的設(shè)計(jì)考慮了安全性,11%的受訪者表示他們不知道。
然而,幾乎一半(47%)的受訪者依靠制造商來保護(hù)這些設(shè)備安全,其次是將責(zé)任分配CISO和安全團(tuán)隊(duì)(42%)、運(yùn)營團(tuán)隊(duì)(34%)、IT部門(33%)、托管安全服務(wù)提供商(28%)、和系統(tǒng)集成商(21%),甚至19%的受訪者沒有部門負(fù)責(zé)IoT/OT設(shè)備安全。
沒有明確規(guī)定的領(lǐng)導(dǎo)者全權(quán)負(fù)責(zé)確保整個(gè)組織中使用的IoT/OT設(shè)備的安全。此職能的所有權(quán)對(duì)于建立強(qiáng)有力的IoT/OT治理和/或工業(yè)控制流程至關(guān)重要。
(7) IoT/OT設(shè)備的重要性與對(duì)這些設(shè)備安全性的信心之間存在顯著差距。受訪者被要求對(duì)其組織的IoT/OT設(shè)備的信心水平進(jìn)行評(píng)分,評(píng)分范圍為1=沒有信心到10=高信心。
在七分以上的高分回應(yīng)中,只有30%的受訪者對(duì)其物聯(lián)網(wǎng)設(shè)備的安全性有很高信心,39%的受訪者認(rèn)為其設(shè)備能夠識(shí)別設(shè)備是否受到威脅,36%的受訪者認(rèn)為物聯(lián)網(wǎng)設(shè)備已打補(bǔ)丁并更新到最新,32%的受訪者信任供應(yīng)鏈可以確保IoT/OT設(shè)備安全。
鑒于許多組織缺乏強(qiáng)有力的治理和工業(yè)控制流程,因此對(duì)IoT/OT設(shè)備的安全性缺乏信心也就不足為奇了。
三、保護(hù)IoT/OT設(shè)備的障礙和挑戰(zhàn)
(1) 雖然保護(hù)這些設(shè)備存在障礙和挑戰(zhàn),但預(yù)計(jì)IoT/OT安全態(tài)勢(shì)將得到改善。高級(jí)管理層認(rèn)識(shí)到IoT/OT設(shè)備的漏洞,并致力于將IoT/OT安全作為優(yōu)先事項(xiàng)。由于這一承諾,受訪者對(duì)IoT/OT設(shè)備的安全狀況將在未來五年內(nèi)改善持樂觀態(tài)度。
受訪者被要求對(duì)其組織的傳統(tǒng)IoT/OT設(shè)備的安全態(tài)勢(shì)進(jìn)行評(píng)分,評(píng)價(jià)范圍從1=不安全到10=高度安全。對(duì)于當(dāng)前的IoT/OT設(shè)備的安全狀況,只有37%的受訪者給出了7分以上的高分評(píng)價(jià),然而有69%的受訪者對(duì)其傳統(tǒng)IoT/OT設(shè)備五年后的安全狀況給出了7分以上的高分評(píng)價(jià)。該數(shù)據(jù)描繪了未來五年IoT/OT安全態(tài)勢(shì)的非常積極的圖景。
(2) 缺乏可見性是確保IoT/OT設(shè)備安全的主要障礙。57%的受訪者表示,他們組織的資產(chǎn)缺乏可見性正在影響IoT/OT設(shè)備的安全性。由于沒有威脅可見性(50%)和漏洞可見性(42%),組織也在黑暗中運(yùn)作。其他障礙包括缺乏具有足夠知識(shí)和專業(yè)知識(shí)的人員(36%)、網(wǎng)絡(luò)安全解決方案之間的互操作性問題(25%)、以及孤島問題(23%)。研究表明,IoT/OT基礎(chǔ)設(shè)施的可見性對(duì)于改進(jìn)組織內(nèi)的治理和控制流程非常重要。
圖1 確保IoT和IIoT設(shè)備安全的主要障礙
(3) 組織在防止針對(duì)IoT/OT設(shè)備的網(wǎng)絡(luò)攻擊方面效率低下。受訪者要求對(duì)其組織在預(yù)防網(wǎng)絡(luò)事件方面的有效性進(jìn)行評(píng)分,評(píng)價(jià)范圍為1=無效到10=高效。
在7分以上的高分回答中,只有33%的受訪者認(rèn)為在攻擊者使用IoT設(shè)備進(jìn)行更廣泛攻擊的網(wǎng)絡(luò)事件時(shí)進(jìn)行了有效預(yù)防,31%的受訪者認(rèn)為有效組織了外部攻擊者篡改IoT和OT設(shè)備,僅有26%的受訪者認(rèn)為有效防止了涉及物聯(lián)網(wǎng)設(shè)備持續(xù)或橫向移動(dòng)的網(wǎng)絡(luò)事件。
這突顯了在防止網(wǎng)絡(luò)事件、物聯(lián)網(wǎng)設(shè)備篡改、阻止外部攻擊者方面缺乏有效性。
(4) 組織認(rèn)為他們能夠有效的遵守法規(guī)。受訪者被要求對(duì)滿足其IoT/OT安全計(jì)劃的各種功能的有效性進(jìn)行評(píng)分,評(píng)價(jià)范圍從1=無效到10=高效。在7分以上的高分回答中,受訪者認(rèn)為組織在遵守法規(guī)和標(biāo)準(zhǔn)(62%)、第三方風(fēng)險(xiǎn)管理(58%)、以及意識(shí)和培訓(xùn)(53%)方面最為有效。組織在滿足IoT/OT基礎(chǔ)設(shè)施合規(guī)性要求方面普遍持積極態(tài)度。
(5) 組織無法有效地創(chuàng)建有效的IoT/OT安全計(jì)劃。受訪者被要求對(duì)實(shí)現(xiàn)物聯(lián)網(wǎng)安全計(jì)劃功能的有效性進(jìn)行評(píng)分,評(píng)價(jià)范圍為1=無效到10=高效。在7分以上的高分回答中,大多數(shù)受訪者對(duì)有效滿足IoT/OT安全計(jì)劃功能沒有信心。高效物聯(lián)網(wǎng)安全計(jì)劃的主要特征包括安全、威脅評(píng)估和其他業(yè)務(wù)優(yōu)先事項(xiàng)。
圖2 創(chuàng)建有效IoT安全計(jì)劃的相關(guān)功能
(6) 網(wǎng)絡(luò)檢測(cè)和響應(yīng)(NDR)解決方案被證明可以有效保護(hù)IoT/OT設(shè)備,但只有39%的受訪者表示其組織部署了這些設(shè)備。52%的受訪者表示其組織使用漏洞掃描程序,51%的受訪者依賴防火墻,49%的受訪者使用防病毒技術(shù)。其中許多解決方案不適用于保護(hù)設(shè)備,這表明組織在理解如何實(shí)現(xiàn)更好的安全性方面并不成熟。研究表明,組織正在使用傳統(tǒng)的IT安全工具,而不是OT特定的工具和應(yīng)用程序來保護(hù)IoT設(shè)備和OT基礎(chǔ)設(shè)施。
圖3 有效保護(hù)IoT/OT設(shè)備的安全工具
四、費(fèi)用開銷
在IoT/OT環(huán)境中提高組織安全態(tài)勢(shì)的解決方案有多大價(jià)值?對(duì)此研究人員進(jìn)行了第二項(xiàng)調(diào)查,以確定如果確保在IoT/OT環(huán)境中實(shí)現(xiàn)更高的安全性,組織會(huì)支付多少費(fèi)用。
研究人員在四種不同場(chǎng)景中對(duì)個(gè)人進(jìn)行了調(diào)查,以確定組織為增強(qiáng)其安全態(tài)勢(shì)而支付的平均溢價(jià)百分比。四種情況如下:
- 您愿意為與移動(dòng)設(shè)備一樣安全的企業(yè)物聯(lián)網(wǎng)設(shè)備支付多少錢?
- 您愿意為企業(yè)物聯(lián)網(wǎng)安全解決方案支付多少費(fèi)用,該解決方案提供的保護(hù)、檢測(cè)和響應(yīng)能力與傳統(tǒng)端點(diǎn)的效力水平相同?
- 您愿意為與移動(dòng)設(shè)備一樣安全的工業(yè)物聯(lián)網(wǎng)(OT/ICS)設(shè)備支付多少費(fèi)用?
- 您愿意為工業(yè)物聯(lián)網(wǎng)(OT/ICS)安全解決方案支付多少費(fèi)用,該解決方案提供的保護(hù)、檢測(cè)和響應(yīng)能力與傳統(tǒng)端點(diǎn)的效力水平相同?
在表1中,結(jié)果以四分位數(shù)表示。每個(gè)四分位數(shù)代表受訪者愿意支付的平均溢價(jià)百分比。研究分為企業(yè)物聯(lián)網(wǎng)和工業(yè)物聯(lián)網(wǎng)。結(jié)果顯示,受訪者為工業(yè)支付的平均溢價(jià)高于企業(yè):企業(yè)為23%和32%,而工業(yè)為37%和41%。
表1 受訪者愿意支付的費(fèi)用
五、行業(yè)差異
研究人員調(diào)查了以下行業(yè)的受訪者:92名金融服務(wù)行業(yè)受訪者、55名石油與天然氣行業(yè)受訪者、74名工業(yè)與制造業(yè)受訪者、以及80名健康與醫(yī)藥行業(yè)受訪者。
(1) 所有行業(yè)都認(rèn)為IoT/OT部署對(duì)其組織的業(yè)務(wù)目標(biāo)至關(guān)重要。72%的健康與制藥業(yè)受訪者和71%的金融服務(wù)業(yè)受訪者表示,他們的組織致力于部署IoT/OT設(shè)備。數(shù)據(jù)顯示,IoT/OT環(huán)境中的行業(yè)差異只是名義上的,沒有顯著差異。
健康與制藥業(yè)(38%)和工業(yè)與制造業(yè)(37%)在過去兩年中發(fā)生網(wǎng)絡(luò)事件的可能性略高,物聯(lián)網(wǎng)設(shè)備被用于進(jìn)行更廣泛的攻擊。
(2) 資產(chǎn)、威脅和漏洞的可見性對(duì)于確保物聯(lián)網(wǎng)設(shè)備的安全性至關(guān)重要。64%石油和天然氣行業(yè)受訪者表示,其物聯(lián)網(wǎng)資產(chǎn)缺乏可見性是確保物聯(lián)網(wǎng)設(shè)備安全的障礙,其次是金融服務(wù)行業(yè)(58%)。43%的健康與制藥業(yè)受訪者和45%的金融服務(wù)行業(yè)受訪者認(rèn)為缺乏漏洞可見性不是一個(gè)障礙。
圖4 確保IoT設(shè)備安全的三大障礙
金融服務(wù)(54%)和健康與制藥(53%)最有可能使用自動(dòng)化流程來識(shí)別受影響的IoT設(shè)備,并將其與其他安全解決方案(例如SIEM和EDR)引發(fā)的事件和警報(bào)相關(guān)聯(lián)。工業(yè)和制造業(yè)(54%)和石油天然氣(51%)組織最有可能依賴手動(dòng)流程。
(3) 幾乎每個(gè)行業(yè)的IT網(wǎng)絡(luò)上都有IoT設(shè)備連接到互聯(lián)網(wǎng)。這些連接很難用傳統(tǒng)技術(shù)來保護(hù)。此外,龐大的端點(diǎn)數(shù)量是攻擊者的潛在入口。連接的設(shè)備越多,發(fā)生安全事件的可能性就越大。
圖5 連接到互聯(lián)網(wǎng)的IoT/OT設(shè)備
