卡巴斯基最近的一份报告《突破极限:如何解决特定的网络安全需求并保护物联网》显示,在五分之二的企业 (43%) 中,其物联网基础设施的某些部分尚未得到任何保护。
同时,许多企业物联网项目实施的主要障碍是网络安全漏洞和数据泄露的风险。
根据 IoT Analytics 的数据,全球联网 IoT 设备的数量预计将增长 9%,到 2025 年将达到 270 亿个 IoT 连接。卡巴斯基表示,随着联网设备的急剧增长,对安全性的需求也随之增加。
事实上,Gartner 强调,在过去三年中,近 20% 的组织已经观察到其网络中的物联网设备受到网络攻击。
虽然全球有三分之二的组织 (64%) 使用物联网解决方案,但 43% 的组织并未完全保护它们。这意味着对于他们的一些物联网项目,从电动汽车充电站到连接的医疗设备,企业不使用任何保护工具。
卡巴斯基表示,这背后的原因可能是物联网设备和系统的多样性,它们并不总是与安全解决方案兼容。
几乎一半的企业担心网络安全产品会影响物联网的性能(46%)或者很难找到合适的解决方案(40%)。企业在实施网络安全工具时面临的其他常见问题是高成本 (40%)、无法证明向董事会投资的合理性 (36%) 以及缺乏员工或特定的物联网安全专业知识 (35%)。
此外,超过一半 (57%) 的组织认为网络安全风险是实施物联网的主要障碍。当公司在设计阶段努力解决网络风险,然后在实施前必须仔细权衡所有利弊时,就会发生这种情况。
工业物联网联盟首席技术官斯蒂芬梅勒说:“网络安全必须是物联网的前沿和中心。管理风险是一个主要问题,因为生命、肢体和环境都处于危险之中。IT 错误可能令人尴尬且代价高昂;物联网错误可能是致命的。但网络安全只是使系统值得信赖的一部分。
“我们还需要人身安全、隐私、弹性、可靠性和安全性。这些都需要调和:如果你不能快速离开,什么可以使建筑物安全(例如锁着的门)可能会使其不安全。”
全球工业物联网解决方案供应商研华的 WISE-Edge+ 总监 Eric Kao 评论说:“物联网项目本质上是非常分散、松散耦合、特定领域和高度集成的项目。相比之下,消息传递等 IT 项目/通信、分析、CRM 等,有大约 80% 的常见需求。
“然而,在物联网实施的情况下,我们必须处理各种遗留系统、物理约束、域协议、多供应商解决方案等,并在可用性、可扩展性和安全性上保持合理的平衡。追求更高可用性和可扩展性,必须利用某些云基础设施,系统必须在一定程度上开放,那么安全性就成为一个巨大的挑战。”
Adaptive Production Technology(Aprotech,卡巴斯基的子公司 IIoT 公司)首席执行官 Andrey Suvorov 补充道:“尽管存在所有这些挑战,但物联网不仅为企业,而且为我们所有人带来了绝佳的机遇,实现了舒适的生活、交通、更快的交付和通信。物联网广泛应用于智慧城市(62%)、零售(62%)和工业(60%)。
“其中包括能源和水资源管理、智能照明、报警系统、视频监控等项目。世界各地的专家都在致力于为此类项目提供有效保护,但设备制造商和设备制造商应在各个层面做出努力,软件开发人员到实施和使用这些解决方案的服务提供商和公司。”
为了帮助组织填补其物联网安全方面的空白,卡巴斯基建议采用以下方法:
- 在实施之前评估设备安全性的状态。应优先考虑具有网络安全证书的设备和更注重信息安全的制造商的产品。
- 使用严格的访问策略、网络分段和零信任模型。这将有助于最大程度地减少攻击的传播并保护基础设施中最敏感的部分。
- 采用漏洞管理程序,定期接收有关可编程逻辑控制器 (PLC)、设备和固件中漏洞的最相关数据,并对其进行修补或使用任何保护变通方法。
- 检查 IoT 安全成熟度模型——一种帮助公司评估他们需要通过的所有步骤和级别以实现足够级别的 IoT 保护的方法。
- 使用专用的物联网网关,确保数据从边缘传输到业务应用程序的内置安全性和可靠性。