2021年发生了多起针对网络设备、监控系统、管道和水处理设施的著名网络攻击,显着提高IoT/OT网络安全的必要性变得更加明显。为了更好地了解组织面临的挑战,Microsoft委托PonemonInstitute进行了一项调查研究,以从客户的角度更好地了解IoT/OT安全状况。该报告就物联网采用的业务关键性和组织面临的挑战以及组织正在寻找的解决方案类型提供了宝贵的见解。该研究旨在确定组织如何有效保护其物联网(IoT)设备,包括企业物联网(EIoT)和工业物联网(IIoT)设备,以及运营技术(OT)和工业控制系统(ICS)。PonemonInstitute调查了美国的615名IT和IT安全从业者,了解他们组织的网络安全状况。研究表明,随着物联网和OT端点的数量急剧增长,组织越来越依赖这些设备来优化运营。行业分析师估计,CISO很快将应对比几年前大三倍的攻击面。此外,这些设备通常不受管理,并且不支持使安全状况未知且通常不安全的代理,例如未强制执行、未修补和未监控的安全基线。最后,这些设备通常对IT安全团队不可见,因为他们通常缺乏发现和清点此类IoT??和OT设备的工具。IoT/OT的采用对于持续的业务成功至关重要。即使存在安全问题,推进IoT/OT项目也是重中之重。68%的受访者表示,高级管理层认为IoT/OT对于支持业务创新和其他战略目标至关重要。65%的受访者表示,高级管理层已将IT和IT安全从业者优先考虑规划、开发或部署物联网项目以提高业务收益。由于高级管理层推动部署,很少有IT安全从业者(仅占受访者的31%)出于安全考虑而愿意放慢、限制或停止采用IoT/OT项目。1.主要发现鉴于当前安全实践的无效性、IoT/OT设备的脆弱性、IoT/OT设备的风险暴露以及威胁形势,组织愿意为IoT设备和解决方案支付更多费用以改善IoT/OT安全。(1)IoT/OT设备容易受到攻击。这些设备在设计时并未像PC和移动设备那样考虑安全性。60%的受访者表示物联网/OT设备是其组织IT/OT基础设施中最不安全的部分之一;55%的人不相信IoT/OT设备在设计时考虑了安全性,11%的受访者不知道。(2)IoT/OT设备的风险暴露。攻击者甚至可以从Internet访问典型网络上最不安全的设备。88%的受访者表示他们组织的企业物联网设备已连接到互联网,例如用于云打印服务;56%的受访者表示他们组织的OT设备为了远程访问的目的而连接到互联网;51%的受访者表示OT网络连接到企业IT(业务)网络,例如(3)缺乏可见性是IoT/OT环境中的一个关键安全挑战。组织可能很难了解其网络上有哪些设备以及它们是否受到保护和监控。47%的受访者表示,他们的组织主要使用手动流程来识别受感染的IoT/OT设备并将它们与攻击相关联。29%的受访者表示他们的组织拥有完整的IoT/OT设备清单。据这些受访者称,组织平均拥有9,685台设备;保护物联网设备的一个障碍是缺乏对资产和漏洞的可见性。61%的受访者对自己识别物联网设备是否受到威胁的能力信心低下或一般;42%缺乏对漏洞的可见性。70%的受访者对其组织的物联网设备的安全性有低或中度信心,64%的人对物联网设备打补丁和保持最新状态有低或中度信心;积极因素是的,67%的受访者表示高级管理层认为提高IoT/OT安全性是未来12到24个月的首要任务。(4)威胁态势已经确定。针对IoT/OT设备的攻击数量正在增加。35%的受访者表示他们的组织在过去两年中经历过一次网络事件,攻击者使用物联网设备进行更广泛的攻击;39%在过去两年经历过网络事件,其中物联网设备本身就是攻击目标;50%的受访者表示,针对IoT/OT设备的攻击数量显着增加(26%)或增加(24%);63%的受访者表示攻击次数会显着增加(36%)或增加(27%)。组织愿意在IoT设备和解决方案上投入更多资金,以提高IoT/OT环境的安全性。设备设计得更安全。根据专项分析,如果这些设备的安全性得到提高,受访者愿意花费更多,尤其是工业物联网设备(平均增长37%)和IIoT解决方案(平均增长41%)。2.IoT/OT设备存在安全风险(1)高级管??理层和IT安全从业人员一致认为,不安全的IoT/OT设备对组织构成风险。60%的受访者表示物联网/OT是IT/OT基础设施中最不安全的方面之一。物联网/OT设备对其组织未来的重要性已得到公认,67%的受访者表示,高级管理层将在未来12至24个月内将提高物联网/OT安全性作为首要安全优先事项。生产力和安全风险之间的差距继续扩大。研究表明,高层管理人员认识到需要更强大的IoT/OT基础设施。(2)针对IoT/OT设备的攻击量会增加。50%的受访者表示,针对IoT/OT设备的攻击数量显着增加(26%)或增加(24%)。在未来(2021年及以后),63%的受访者表示攻击量将显着增加(36%)和增加(27%)。IoT/OT基础设施中安全风险增加的一个主要后果是针对性攻击的显着增加。其中许多攻击依赖于前沿的自动化方法,例如机器学习、编排和人工智能。(3)许多网络事件涉及IoT/OT设备。44%的受访者表示,他们的组织在过去两年中经历过涉及IoT/OT设备的网络事件。越来越依赖边缘设备会导致安全风险。这些设备可以采用靠近最终用户且具有计算能力的任何小型设备的形式。大多数物联网设备没有太多的处理能力和安全功能,在边缘留下了大量易受攻击的网络入口点。35%的受访者表示他们的组织在过去两年中经历过攻击者使用物联网设备进行更广泛攻击的网络事件,39%的受访者在过去两年中经历过网络事件,其中,物联网设备本身就是攻击的目标。IoT设备(例如监控视频、照明系统或本地打印机)占用空间小,对设备级别的内置安全性存在固有限制。(4)很少有组织在其安全解决方案中拥有准确的物联网设备资产清单。只有37%的受访者相信他们的组织在其安全解决方案中拥有准确的物联网设备资产清单。只有29%的受访者表示他们的组织拥有完整的IoT/OT设备清单,组织平均拥有9,685台设备。研究表明需要IoT/OT管理程序,例如完成列出所有设备(包括未连接到Internet的设备)的物理位置的清单过程。(5)组织易受攻击,因为IT网络和OT网络上的物联网设备连接到互联网。88%的受访者表示,他们的物联网设备已连接到互联网,其中包括连接到云打印服务的智能电视、会议系统和打印机等设备。这些设备旨在提高访问和连接的便利性,而不是安全性。建议在发现漏洞后立即修补IoT设备。此外,监控设备交互和它们之间的流量移动将使检测异常更容易。56%的受访者表示OT网络和OT网络上的设备已连接到互联网。51%的受访者表示,他们组织的OT网络连接到企业IT网络以进行SAP、远程访问等。事实证明,许多组织的一个重要漏洞来源是在IT网络中运行的物联网设备的连接性。(6)组织依靠制造商来保护IoT/OT设备。55%的受访者表示他们认为IoT/OT设备在设计时并未考虑安全性,11%的受访者表示他们不知道。然而,几乎一半(47%)的受访者依靠制造商来保护这些设备,其次是将责任分配给CISO和安全团队(42%)、运营团队(34%)、IT部门(33%)、托管安全服务提供商(28%)、系统集成商(21%),甚至19%的受访者都没有负责IoT/OT设备安全的部门。没有明确定义的领导者单独负责保护整个组织中使用的IoT/OT设备。此功能的所有权对于建立强大的IoT/OT治理和/或工业控制流程至关重要。(7)IoT/OT设备的关键性与对这些设备安全性的信心之间存在显着差距。受访者被要求按照1=没有信心到10=高信心的等级对他们对其组织的IoT/OT设备的信心水平进行评分。在七分以上的高分回答中,只有30%的受访者对他们的物联网设备的安全性有很高的信心,39%的人认为他们的设备能够识别设备是否是受访者认为物联网设备已经打补丁和更新最新,32%的受访者信任供应链来确保IoT/OT设备的安全。鉴于许多组织缺乏强有力的治理和工业控制流程,因此人们对IoT/OT设备的安全性缺乏信心也就不足为奇了。三、保护IoT/OT设备的障碍和挑战(1)虽然在保护这些设备方面存在障碍和挑战,但IoT/OT安全态势有望得到改善。高级管理层认识到IoT/OT设备的脆弱性,并致力于将IoT/OT安全放在首位。由于这一承诺,受访者乐观地认为物联网/OT设备的安全状况将在未来五年内得到改善。受访者被要求按照从1=不安全到10=高度安全的等级对他们组织的传统IoT/OT设备的安全状况进行评分。对于目前IoT/OT设备的安全状态,只有37%的受访者给出了7分以上的高分,而69%的受访者给出了五年后传统IoT/OT设备的安全状态7分的高分或更多。这些数据描绘了未来五年IoT/OT安全前景的非常积极的图景。(2)缺乏可见性是保护IoT/OT设备的主要障碍。57%的受访者表示,他们的组织缺乏对资产的可见性正在影响IoT/OT设备的安全性。由于没有威胁可见性(50%)和漏洞可见性(42%),组织也在黑暗中运作。其他障碍包括缺乏具备足够知识和专业知识的人员(36%)、网络安全解决方案之间的互操作性问题(25%)以及孤岛(23%)。研究表明,物联网/OT基础设施的可见性对于改进组织内的治理和控制流程非常重要。图1保护IoT和IIoT设备的主要障碍(3)组织无法有效防止针对IoT/OT设备的网络攻击。受访者被要求按照1=无效到10=非常有效的等级对他们的组织在预防网络事件方面的有效性进行评分。在7分以上的高分答案中,只有33%的受访者认为当攻击者利用物联网设备对网络事件进行更广泛的攻击时,进行了有效的防范,31%的受访者认为外部攻击者是有效防止篡改物联网和OT设备,只有26%的受访者认为它能有效防止涉及物联网设备持续或横向移动的网络事件。这凸显了在防止网络事件、物联网设备篡改和阻止外部攻击者方面缺乏有效性。(4)组织认为他们能够有效地遵守法规。受访者被要求对各种功能在满足其IoT/OT安全计划方面的有效性进行评分,评分范围从1=无效到10=有效。在7+的高分回答中,受访者认为组织在遵守法规和标准(62%)、第三方风险管理(58%)以及意识和培训(53%)方面最有效。组织通常会主动满足IoT/OT基础设施合规性要求。(5)组织无法有效地创建有效的IoT/OT安全程序。要求受访者按照1=无效到10=非常有效的等级对实施IoT安全计划功能的有效性进行评分。在7分以上的高分回答中,大多数受访者对有效满足IoT/OT安全程序功能没有信心。有效的物联网安全计划的关键特征包括安全性、威胁评估和其他业务优先级。图2创建有效物联网安全计划的相关能力(6)网络检测和响应(NDR)解决方案已被证明可有效保护物联网/OT设备,但只有39%的受访者表示他们的组织已经部署了这些解决方案。52%的受访者表示他们的组织使用漏洞扫描器,51%依赖防火墙,49%使用防病毒技术。其中许多解决方案都不适合保护设备,这表明组织在理解如何实现更好的安全性方面还不成熟。研究表明,组织正在使用传统的IT安全工具,而不是OT特定的工具和应用程序来保护物联网设备和OT基础设施。图3有效保护IoT/OT设备的安全工具4.改善组织在IoT/OT环境中的安全状况的解决方案的成本有多大价值?研究人员进行了第二次调查以确定它在IoT/OT中的安全性组织将为OT环境中更高的安全性支付多少费用?研究人员在四种不同情况下对个人进行了调查,以确定组织为增强其安全状况而支付的平均溢价百分比。这四种情况如下:您愿意为像移动设备一样安全的企业物联网设备支付多少钱?您愿意为提供保护、检测和响应能力同等效力的企业物联网安全解决方案支付多少钱?您愿意为像您的移动设备一样安全的工业物联网(OT/ICS)设备支付多少钱?您愿意为提供保护、检测和响应功能的工业物联网(OT/ICS)安全解决方案支付多少费用,其效力与传统端点相同?在表1中,结果以四分位数表示。每个四分位数代表受访者愿意支付的平均保费百分比。研究分为企业物联网和工业物联网。结果显示,受访者为行业支付的平均溢价高于企业:企业为23%,工业为32%,而工业为37%和41%。表1.受访者愿意支付的费用五、行业差异研究人员调查了以下行业的受访者:92名受访者来自金融服务业,55名受访者来自石油和天然气行业,74名受访者来自工业和制造业受访者,以及80名健康和制药行业受访者。(1)所有行业都将IoT/OT部署视为对其组织的业务目标至关重要。72%的健康和制药业受访者以及71%的金融服务业受访者表示,他们的组织致力于部署IoT/OT设备。数据显示,IoT/OT环境中的行业差异是名义上的,并不显着。健康与制药(38%)和工业与制造(37%)在过去两年中发生网络事件的可能性略高,物联网设备被用于更广泛的攻击。(2)资产、威胁和漏洞的可见性对于确保物联网设备的安全至关重要。64%的石油和天然气行业受访者表示,缺乏对物联网资产的可见性是保护物联网设备安全的障碍,其次是金融服务(58%)。43%的健康和制药行业受访者以及45%的金融服务行业受访者表示缺乏漏洞可见性并不是障碍。图4保护IoT设备的三大障碍金融服务(54%)和健康与制药(53%)最有可能使用自动化流程来识别受影响的IoT设备并将它们与其他安全解决方案(如SIEM和EDR)事件和警报是相关联的。工业和制造(54%)以及石油和天然气(51%)组织最有可能依赖手动流程。(3)几乎每个行业的IT网络上都有物联网设备接入互联网。这些连接很难用传统技术保护。此外,绝对数量的端点是攻击者的潜在切入点。连接的设备越多,发生安全事件的可能性就越大。图5连接到互联网的IoT/OT设备
