该研究旨在确定组织如何有效地保护其物联网(IoT)设备,包括企业物联网(EIoT)和工业物联网(IIoT)设备,以及运营技术(OT)和工业控制系统(ICS)。Ponemon Institute调查了美国615名了解其组织网络安全状况的IT和IT安全从业者。

研究显示,组织越来越依赖这些设备来优化运营,IoT和OT端点的数量也在急剧增长。行业分析人士估计,CISO将很快应对比几年前大三倍的攻击面。此外,这些设备通常不受管理,不支持使安全态势未知且通常不安全的代理,例如安全基线未实施、未打补丁和未监控。最后,这些设备通常对IT安全团队不可见,因为他们通常缺乏发现和清点此类IoT和OT设备的工具。

IoT/OT的采用对于持续的业务成功至关重要。即使担心安全问题,推进IoT/OT项目也是重中之重。68%的受访者表示,高级管理层认为IoT/OT对于支持业务创新和其他战略目标至关重要。65%的受访者表示,高级管理层已将IT和IT安全从业人员计划、开发或部署物联网项目以提高业务利益作为优先事项。由于高级管理层推动部署,很少有IT安全从业者出于安全考虑而愿意放慢、限制或停止IoT/OT项目的采用,仅占受访者的31%。

一、主要发现

鉴于当前安全实践的无效性、IoT/OT设备的脆弱性、IoT/OT设备的风险暴露以及威胁形势,组织愿意为物联网设备和解决方案支付更多费用,以提高IoT/OT安全性。

IoT/OT设备易受攻击。这些设备的设计并没有像PC和移动设备那样考虑安全性。

  • 60%的受访者表示,IoT/OT设备是其组织的IT/OT基础设施中最不安全的部分之一;
  • 55%的受访者不认为IoT/OT设备的设计考虑到了安全性,11%的受访者不知道。

IoT/OT设备的风险暴露。攻击者可以从互联网访问典型网络上最不安全的设备。

  • 88%的受访者表示,他们组织的企业物联网设备已连接到互联网,例如用于云打印服务;
  • 56%的受访者表示,他们组织的OT设备连接到互联网,目的是实现远程访问;
  • 51%的受访者表示,OT网络连接到企业IT(业务)网络,例如用于SAP、远程访问等。

缺乏可见性是IoT/OT环境中的一个关键安全挑战。组织很难了解其网络上存在哪些设备,以及这些设备是否受到保护和监控。47%的受访者表示,他们的组织主要使用手动流程来识别受感染的IoT/OT设备,并将其与攻击相关联。

  • 29%的受访者表示,他们的组织拥有完整的IoT/OT设备清单。根据这些受访者的说法,组织平均拥有9,685台设备;
  • 确保物联网设备安全的障碍是缺乏资产和漏洞的可见性。61%的受访者对识别IoT设备是否受到威胁的能力的信心很低或处于平均水平;
  • 42%的受访者缺乏对漏洞的可见性。70%的受访者对其组织的物联网设备的安全性的信心较低或一般,64%的受访者对物联网设备已打补丁并保持最新状态的信心较低或一般;
  • 积极的方面是,67%的受访者表示,高级管理层认为,在未来12到24个月内,提高IoT/OT安全性是重中之重。

威胁形势已经确定。针对IoT/OT设备的攻击量正在增加。

  • 35%的受访者表示,在过去两年中,他们的组织经历了网络事件,其中攻击者使用物联网设备进行更广泛的攻击;
  • 39%的受访者在过去两年中经历过网络事件,其中物联网设备本身就是攻击的目标;
  • 50%的受访者表示,针对IoT/OT设备的攻击数量显著增加(26%)或增加(24%);
  • 63%的受访者表示,攻击量将显著增加(36%)或增加(27%)。

组织愿意在物联网设备和解决方案上投入更多资金,以提高IoT/OT环境的安全性。设备被设计得更加安全。根据一项特别分析显示,如果这些设备的安全性得到改善,受访者愿意花更多钱,尤其是工业物联网设备(平均增加37%)和工业物联网解决方案(平均增加41%)。

二、IoT/OT设备存在安全风险

高级管理层和IT安全从业人员一致认为,IoT/OT设备的不安全性正在给组织带来风险。60%的受访者表示,IoT/OT是IT/OT基础设施中最不安全的方面之一。IoT/OT设备对组织未来的重要性已经确立,67%的受访者表示,高级管理层在未来的12至24个月内将提高IoT/OT安全性作为首要安全优先事项。

而生产力和安全风险之间的差距继续扩大。研究表明,高层管理人员认识到需要更强大的IoT/OT基础设施。

针对IoT/OT设备的攻击量将会增加。50%的受访者表示,针对IoT/OT设备的攻击数量显著增加(26%)或增加(24%)。在未来(2021年及以后),63%的受访者表示攻击量将显著增加(36%)和增加(27%)。

IoT/OT基础设施中安全风险增加的主要后果是针对性攻击的大幅增加。其中许多攻击依赖于领先的自动化方法,例如机器学习、编排和人工智能。

许多网络事件涉及IoT/OT设备。44%的受访者表示,他们的组织在过去两年中经历了涉及IoT/OT设备的网络事件。对边缘设备的日益依赖导致安全风险。这些设备可以采用靠近最终用户的具有计算能力的任何小型设备的形式。大多数物联网设备没有太多的处理能力和安全功能,在边缘留下了大量易受攻击的网络入口点。

35%的受访者表示,他们的组织在过去两年中经历过网络事件,其中攻击者使用物联网设备进行更广泛的攻击,39%的受访者在过去两年中经历过网络事件,其中物联网设备本身就是攻击的目标。

物联网设备(例如监控视频、照明系统或本地打印机)的占用空间小,对设备级别的内置安全性提出了固有的限制。

很少有组织在其安全解决方案中拥有准确的物联网设备资产清单。只有37%的受访者相信他们的组织在其安全解决方案中拥有准确的物联网设备资产清单。只有29%的受访者表示他们的组织拥有完整的IoT/OT设备清单,组织平均拥有9,685台设备。

研究表明,需要IoT/OT管理程序,例如完成列出所有设备(包括未连接到互联网的设备)的物理位置的清单过程。

组织容易受到攻击,因为IT网络和OT网络上的物联网设备连接到互联网。88%的受访者表示,他们的物联网设备已连接到互联网,其中包括智能电视、会议系统和连接到云打印服务的打印机等设备。

这些设备旨在提高访问和连接的便利性,而不是安全性。建议在发现漏洞后立即修补IoT设备。此外,监控设备交互以及之间的流量移动将更容易检测异常。

56%的受访者表示,OT网络和OT网络上的设备已连接到互联网。51%的受访者表示,其组织的OT网络已连接到企业IT网络,以实现SAP、远程访问等。

结果表明,许多组织的重大漏洞来源是在IT网络中运行的物联网设备的连接。

组织依靠制造商来保护IoT/OT设备。55%的受访者表示,他们不认为IoT/OT设备的设计考虑了安全性,11%的受访者表示他们不知道。

然而,几乎一半(47%)的受访者依靠制造商来保护这些设备安全,其次是将责任分配CISO和安全团队(42%)、运营团队(34%)、IT部门(33%)、托管安全服务提供商(28%)、和系统集成商(21%),甚至19%的受访者没有部门负责IoT/OT设备安全。

没有明确规定的领导者全权负责确保整个组织中使用的IoT/OT设备的安全。此职能的所有权对于建立强有力的IoT/OT治理和/或工业控制流程至关重要。

IoT/OT设备的重要性与对这些设备安全性的信心之间存在显著差距。受访者被要求对其组织的IoT/OT设备的信心水平进行评分,评分范围为1=没有信心到10=高信心。

在七分以上的高分回应中,只有30%的受访者对其物联网设备的安全性有很高信心,39%的受访者认为其设备能够识别设备是否受到威胁,36%的受访者认为物联网设备已打补丁并更新到最新,32%的受访者信任供应链可以确保IoT/OT设备安全。

鉴于许多组织缺乏强有力的治理和工业控制流程,因此对IoT/OT设备的安全性缺乏信心也就不足为奇了。

三、保护IoT/OT设备的障碍和挑战

虽然保护这些设备存在障碍和挑战,但预计IoT/OT安全态势将得到改善。高级管理层认识到IoT/OT设备的漏洞,并致力于将IoT/OT安全作为优先事项。由于这一承诺,受访者对IoT/OT设备的安全状况将在未来五年内改善持乐观态度。

受访者被要求对其组织的传统IoT/OT设备的安全态势进行评分,评价范围从1=不安全到10=高度安全。对于当前的IoT/OT设备的安全状况,只有37%的受访者给出了7分以上的高分评价,然而有69%的受访者对其传统IoT/OT设备五年后的安全状况给出了7分以上的高分评价。该数据描绘了未来五年IoT/OT安全态势的非常积极的图景。

缺乏可见性是确保IoT/OT设备安全的主要障碍。57%的受访者表示,他们组织的资产缺乏可见性正在影响IoT/OT设备的安全性。由于没有威胁可见性(50%)和漏洞可见性(42%),组织也在黑暗中运作。其他障碍包括缺乏具有足够知识和专业知识的人员(36%)、网络安全解决方案之间的互操作性问题(25%)、以及孤岛问题(23%)。研究表明,IoT/OT基础设施的可见性对于改进组织内的治理和控制流程非常重要。

图1 确保IoT和IIoT设备安全的主要障碍

组织在防止针对IoT/OT设备的网络攻击方面效率低下。受访者要求对其组织在预防网络事件方面的有效性进行评分,评价范围为1=无效到10=高效。

在7分以上的高分回答中,只有33%的受访者认为在攻击者使用IoT设备进行更广泛攻击的网络事件时进行了有效预防,31%的受访者认为有效组织了外部攻击者篡改IoT和OT设备,仅有26%的受访者认为有效防止了涉及物联网设备持续或横向移动的网络事件。

这突显了在防止网络事件、物联网设备篡改、阻止外部攻击者方面缺乏有效性。

组织认为他们能够有效的遵守法规。受访者被要求对满足其IoT/OT安全计划的各种功能的有效性进行评分,评价范围从1=无效到10=高效。在7分以上的高分回答中,受访者认为组织在遵守法规和标准(62%)、第三方风险管理(58%)、以及意识和培训(53%)方面最为有效。组织在满足IoT/OT基础设施合规性要求方面普遍持积极态度。

组织无法有效地创建有效的IoT/OT安全计划。受访者被要求对实现物联网安全计划功能的有效性进行评分,评价范围为1=无效到10=高效。在7分以上的高分回答中,大多数受访者对有效满足IoT/OT安全计划功能没有信心。高效物联网安全计划的主要特征包括安全、威胁评估和其他业务优先事项。

图2 创建有效IoT安全计划的相关功能 

网络检测和响应(NDR)解决方案被证明可以有效保护IoT/OT设备,但只有39%的受访者表示其组织部署了这些设备。52%的受访者表示其组织使用漏洞扫描程序,51%的受访者依赖防火墙,49%的受访者使用防病毒技术。其中许多解决方案不适用于保护设备,这表明组织在理解如何实现更好的安全性方面并不成熟。研究表明,组织正在使用传统的IT安全工具,而不是OT特定的工具和应用程序来保护IoT设备和OT基础设施。

图3 有效保护IoT/OT设备的安全工具

四、费用开销

在IoT/OT环境中提高组织安全态势的解决方案有多大价值?对此研究人员进行了第二项调查,以确定如果确保在IoT/OT环境中实现更高的安全性,组织会支付多少费用。

研究人员在四种不同场景中对个人进行了调查,以确定组织为增强其安全态势而支付的平均溢价百分比。四种情况如下:

  • 您愿意为与移动设备一样安全的企业物联网设备支付多少钱?
  • 您愿意为企业物联网安全解决方案支付多少费用,该解决方案提供的保护、检测和响应能力与传统端点的效力水平相同?
  • 您愿意为与移动设备一样安全的工业物联网(OT/ICS)设备支付多少费用?
  • 您愿意为工业物联网(OT/ICS)安全解决方案支付多少费用,该解决方案提供的保护、检测和响应能力与传统端点的效力水平相同?

在表1中,结果以四分位数表示。每个四分位数代表受访者愿意支付的平均溢价百分比。研究分为企业物联网和工业物联网。结果显示,受访者为工业支付的平均溢价高于企业:企业为23%和32%,而工业为37%和41%。

表1 受访者愿意支付的费用 

五、行业差异

研究人员调查了以下行业的受访者:92名金融服务行业受访者、55名石油与天然气行业受访者、74名工业与制造业受访者、以及80名健康与医药行业受访者。

所有行业都认为IoT/OT部署对其组织的业务目标至关重要。72%的健康与制药业受访者和71%的金融服务业受访者表示,他们的组织致力于部署IoT/OT设备。数据显示,IoT/OT环境中的行业差异只是名义上的,没有显著差异。

健康与制药业(38%)和工业与制造业(37%)在过去两年中发生网络事件的可能性略高,物联网设备被用于进行更广泛的攻击。

资产、威胁和漏洞的可见性对于确保物联网设备的安全性至关重要。64%石油和天然气行业受访者表示,其物联网资产缺乏可见性是确保物联网设备安全的障碍,其次是金融服务行业(58%)。43%的健康与制药业受访者和45%的金融服务行业受访者认为缺乏漏洞可见性不是一个障碍。

图4 确保IoT设备安全的三大障碍 

金融服务(54%)和健康与制药(53%)最有可能使用自动化流程来识别受影响的IoT设备,并将其与其他安全解决方案(例如SIEM和EDR)引发的事件和警报相关联。工业和制造业(54%)和石油天然气(51%)组织最有可能依赖手动流程。

几乎每个行业的IT网络上都有IoT设备连接到互联网。这些连接很难用传统技术来保护。此外,庞大的端点数量是攻击者的潜在入口。连接的设备越多,发生安全事件的可能性就越大。

图5 连接到互联网的IoT/OT设备

参考资源:

【1】Ponemon Institute, Microsoft, The State of IoT/OT Cybersecurity in the Enterprise, November 2021

【2】https://www.securityweek.com/volume-attacks-iotot-devices-increasing-microsoft-study

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。