物聯網安全現實——比你想象的還要糟糕

​受Armis委託，Forrester報告《北美企業物聯網安全狀況》顯示，74%的受訪者認為，他們的安全控制和實踐對跨IT、雲、物聯網裝置、醫療裝置(IoMT)、操作技術(OT)、工業控制系統(ICS)和5G的託管和非託管資產不足。

Armis的OT安全和運營總監Keith Walsh表示，許多機構內部安裝裝置的問題在於，每個部門傾向於單獨進行管理和風險控制。

Walsh列舉了可能擁有管理OT/ICS設施的部門的示例，例如:空調、衛生、電信和其他職能部門。各種形狀和大小的伺服器機房和計算機可能由單獨的IT部門管理。

在典型的辦公室之外，石油和天然氣、石化和化工行業的加工廠，或發電廠(核能、其他可再生能源或化石燃料)，將有不同的現場運營和維護經理管理各種安全和其他控制器。這些領域所需要的專業知識往往各不相同，因此很難將所有這些可管理的資產集中到一個部門或系統中。

“對於非託管的裝置，可能包括OT和物聯網，這可能是組織的另一個障礙，因為它們可能從未被定義為安全隱患，直到最近5G/LTE和寬頻滲透到組織的各個方面。”
——Keith walsh

Walsh補充道:“因此，可以肯定地說，典型的組織可能沒有針對所有託管和非託管裝置的完整安全配置檔案。資產可見性是開發安全框架的第一步。我們無法保護看不到的東西。”

隨著越來越多的家庭裝置連線到網際網路，安全和隱私方面的擔憂上升到了新的水平。PaloAltoNetworks的《互聯企業:2021物聯網安全報告》發現，隨著在家辦公的興起，問題變得更加嚴重。81%的將物聯網裝置連線到其組織網路的人強調，向遠端工作的過渡導致了不安全的物聯網裝置更容易受到攻擊。

Palo Alto Networks的亞太地區和日本業務工業4.0戰略首席技術官Alex Nehmy解釋道:“最重要的是，雖然企業正在採用最佳實踐並實施措施限制網路訪問，但數字化轉型不僅正在顛覆我們的工作方式，也在顛覆我們保護工作方式的方式。”

Nehmy認為，保護非託管裝置和物聯網裝置仍然是一個持續的挑戰。由於大多數網路攻擊在被發現前數月就進入了企業網路，因此持續監控和物聯網裝置安全應成為企業物聯網安全戰略的重點關注領域。

現實和當前的危險

我們現在記得的黑客事件包括Colonial Pipeline勒索軟體攻擊、肉類包裝商JBS和針對沙特石化廠的Triton惡意軟體攻擊，這些事件都表明，只要有收益，組織就會繼續成為攻擊目標。

Nehmy警告，當今的大多數物聯網安全解決方案通過使用手動更新的已知裝置資料庫來提供有限的可見性，需要單一用途的感測器，缺乏一致的預防，並且無助於建立政策。

其補充道:“他們只能通過整合來提供執法，讓網路安全團隊承擔繁重的工作，對未知裝置視而不見，阻礙了其擴大運營規模、優先工作或最小化風險的努力。”

Walsh進一步警告，隨著工業4.0的普及，從IT中誕生的成熟安全流程現在正與OT發生衝突。物聯網裝置也趨於簡單化，缺乏複雜的補丁和防火牆功能。

其繼續補充道:“展望未來，工業5.0只會增加人和機器之間的互動，以至於需要超越當前OT和IT安全措施的現實世界人類安全協議。”

IT-OT的融合——誰是老大?

Nehmy認為，物聯網安全的責任落在運營技術(OT)和資訊科技(IT)團隊的肩上，二者需要協同工作，以確保物聯網安全。

擁有一個物聯網安全系統，提供單一的管理平臺，使這些團隊在IT和OT環境中具有一致的可見性、監控和執行水平，也有助於將這些文化多元化的團隊聚集在一起，無論其保護的系統如何。

當組織對IoT和OT裝置的可見性有限時，就會阻礙其開始保護這些裝置的能力。

“我們無法保護看不見的東西。整合IT和OT安全的最佳實踐之一包括進行持續監控和分析。”
——Alex  Nehmy

Nehmy解釋道：“重點應該是實現實時監控解決方案，持續分析整個網路的行為。”

此外，IT和OT團隊應共同努力，通過強制分割IoT裝置、OT裝置和關鍵業務IT系統，確保物聯網攻擊面得到管理。

保障物聯網安全的戰略

當被問及保護IoT的一種策略時，Walsh建議理解和識別攻擊表面。

Walsh補充道：“一旦我們做到了這一點，就可以正確地修補、劃分和監控這些裝置的事務和相互依賴關係。降低風險首先要了解和識別關鍵資產的攻擊面。”

IDC警告，物聯網很容易成為任何組織攻擊的薄弱環節或入口，這就是為什麼物聯網解決方案需要在設計上是安全的。將零信任框架擴充套件到物聯網部署，可以增強安全性並降低風險。但這是一種企業級戰略，需要全面瞭解網路上的所有物聯網系統。

Nehmy同意並補充道，為物聯網環境實現零信任是IT和OT人員設計物聯網安全策略的最佳方法，該策略實施了最低特權訪問控制的策略。

構建物聯網安全的商業案例

物聯網和OT裝置通常佔企業網路裝置的30%以上，其中57%也容易受到網路攻擊，因為它們在構建時沒有考慮到安全問題，包含現有的漏洞。

Walsh警告道：“物聯網裝置的攻擊面滲透到企業的所有環境中。雖然組織可能尚未在管理所有連線資產的安全上投入更多，但需要從整體上解決不斷增加的攻擊面。”

針對Colonial Pipeline和JBS的攻擊可能發生在美國，但Deloitte認為，亞太地區的關鍵基礎設施運營商正越來越多地成為網路間諜活動和複雜攻擊的目標，並有可能對能源和供水等基本服務造成嚴重破壞。

Nehmy認為，隨著物聯網的使用對關鍵基礎設施的日常運營變得越來越重要，充分保護物聯網和OT裝置成為一個引人注目的商業案例。

其建議，一個全面的物聯網業務案例應該包括所有物聯網和OT裝置的可見性、持續監控以檢測安全漏洞、裝置風險分析，以及保護和分割這些裝置的能力。理想情況下，這應該在單一安全平臺中提供，以實現最低的總擁有成本。

同時也認為，基於物聯網的網路攻擊對金錢、聲譽和物理安全的影響，使得組織必須投資於先進的安全解決方案。

最後，Nehmy總結道:“就像疫苗讓我們免受COVID-19的影響一樣，對積極預防措施的投資將使組織處於更好的位置，以對抗物聯網網路犯罪大流行。​