“非商业”物联网设备在商业网络中的渗透率正在增加。智能灯泡、心脏监护仪、健身器材、咖啡机、游戏机和联网宠物喂食器等设备可能无法达到组织威胁模型中的水平,但这已经成为问题,因为消费者物联网设备中的安全控制措施很少或者没有。糟糕的物联网设备安全性源于制造商的低价策略,其中安全性被认为是不必要的开销。有限的可见性加上不断增加的远程工作导致了严重的网络安全事件。
Palo Alto IoT 安全报告“互联企业:2021 年物联网安全报告”提供了对非工业物联网设备的采用及其对业务网络的渗透的见解。Palo Alto Networks 委托技术研究公司 Vanson Bourne 对“亚洲、欧洲、中东和美洲 18 个国家/地区的组织中1,900 名 IT 决策者就他们的主要物联网安全问题进行了调查。”
Palo Alto 报告的主要发现是:
- 新冠肺炎疫情及其影响使保持物联网设备安全变得更加困难。
- 几乎所有将物联网设备连接到网络的受访者 (96%) 都表示他们的物联网安全方法需要改进。四分之一(25%)的受访者表示需要对物联网安全策略进行彻底调整。
- 约有一半(51%)的调查对象将物联网设备连接到自己的网络,他们表示物联网设备在一个独立的网络上,与他们用于主要业务设备和业务应用的网络不同。
- 技术主管们可能要睡不着了。安全摄像头是漏洞的一个很好例子。Palo Alto Networks 研究在 2021 年 3 月检查了 135,000 个安全摄像头,他们发现 54% 的摄像头至少存在一个安全漏洞。这使得摄像头有可能被劫持和武器化,通过设置这些设备可以作为启动攻击和访问更广泛公司网络的跳板。
该报告列出了遇到的攻击类型:
- 工业物联网 (IIoT) 攻击 55%
- 分布式拒绝服务(DDoS)50%
- 连网摄像头攻击46%
- 医疗物联网(IoMT) 攻击42%
- 家庭联网设备攻击37%
- 互联可穿戴设备攻击32%
Forrester Consulting 为 Armis 编写了一份单独的报告“北美企业物联网安全状况:失控和不安全”。 Forrester Consulting 的报告得出结论:
- 69%企业网络上的物联网设备多于计算机。
- 84%的安全专业人士认为物联网设备比计算机更容易受到攻击。
- 67%的企业经历过物联网安全事件。
- 16%的企业安全经理表示,他们对其环境中的物联网设备有足够的可见性。
- 93%的企业计划增加物联网设备的安全支出。
Palo Alto 报告建议:
- 更改默认加密。
- 确保知道连接了哪些设备,监控未授权的设备。
- 分段WFH网络。
- 实施双因素身份验证。
- 确保立即部署安全更新。
实施可以识别和保护物联网设备的安全解决方案、实践和控制措施的重要性不容低估。这两份报告提供的见解可用于关注这些设备上不适当和不充分的安全控制,这些不适当和不充分会导致企业及其客户面临更高的数据丢失、物理损坏和收入损失风险。组织应采取积极的网络安全态势,当没有部署安全保护时,企业更容易成为网络攻击的受害者。