在2021年發生了多起針對網絡設備、監控系統、管道和水處理設施的知名網絡攻擊事件，使得大幅改進IoT/OT網絡安全的需求變得更加明顯。為了更好地了解組織面臨的挑戰，Microsoft委托Ponemon Institute進行了一項調查研究，以更好的從客戶角度了解IoT/OT安全狀態。該報告提供了關于物聯網采用的業務關鍵性和組織面臨的挑戰，以及組織正在尋找的解決方案類型的寶貴見解。

該研究旨在確定組織如何有效地保護其物聯網(IoT)設備，包括企業物聯網(EIoT)和工業物聯網(IIoT)設備，以及運營技術(OT)和工業控制系統(ICS)。Ponemon Institute調查了美國615名了解其組織網絡安全狀況的IT和IT安全從業者。

研究顯示，組織越來越依賴這些設備來優化運營，IoT和OT端點的數量也在急劇增長。行業分析人士估計，CISO將很快應對比幾年前大三倍的攻擊面。此外，這些設備通常不受管理，不支持使安全態勢未知且通常不安全的代理，例如安全基線未實施、未打補丁和未監控。最后，這些設備通常對IT安全團隊不可見，因為他們通常缺乏發現和清點此類IoT和OT設備的工具。

IoT/OT的采用對于持續的業務成功至關重要。即使擔心安全問題，推進IoT/OT項目也是重中之重。68%的受訪者表示，高級管理層認為IoT/OT對于支持業務創新和其他戰略目標至關重要。65%的受訪者表示，高級管理層已將IT和IT安全從業人員計劃、開發或部署物聯網項目以提高業務利益作為優先事項。由于高級管理層推動部署，很少有IT安全從業者出于安全考慮而愿意放慢、限制或停止IoT/OT項目的采用，僅占受訪者的31%。

一、主要發現

鑒于當前安全實踐的無效性、IoT/OT設備的脆弱性、IoT/OT設備的風險暴露以及威脅形勢，組織愿意為物聯網設備和解決方案支付更多費用，以提高IoT/OT安全性。

(1) IoT/OT設備易受攻擊。這些設備的設計并沒有像PC和移動設備那樣考慮安全性。

• 60%的受訪者表示，IoT/OT設備是其組織的IT/OT基礎設施中最不安全的部分之一;
• 55%的受訪者不認為IoT/OT設備的設計考慮到了安全性，11%的受訪者不知道。

(2) IoT/OT設備的風險暴露。攻擊者可以從互聯網訪問典型網絡上最不安全的設備。

• 88%的受訪者表示，他們組織的企業物聯網設備已連接到互聯網，例如用于云打印服務;
• 56%的受訪者表示，他們組織的OT設備連接到互聯網，目的是實現遠程訪問;
• 51%的受訪者表示，OT網絡連接到企業IT(業務)網絡，例如用于SAP、遠程訪問等。

(3) 缺乏可見性是IoT/OT環境中的一個關鍵安全挑戰。組織很難了解其網絡上存在哪些設備，以及這些設備是否受到保護和監控。47%的受訪者表示，他們的組織主要使用手動流程來識別受感染的IoT/OT設備，并將其與攻擊相關聯。

• 29%的受訪者表示，他們的組織擁有完整的IoT/OT設備清單。根據這些受訪者的說法，組織平均擁有9,685臺設備;
• 確保物聯網設備安全的障礙是缺乏資產和漏洞的可見性。61%的受訪者對識別IoT設備是否受到威脅的能力的信心很低或處于平均水平;
• 42%的受訪者缺乏對漏洞的可見性。70%的受訪者對其組織的物聯網設備的安全性的信心較低或一般，64%的受訪者對物聯網設備已打補丁并保持最新狀態的信心較低或一般;
• 積極的方面是，67%的受訪者表示，高級管理層認為，在未來12到24個月內，提高IoT/OT安全性是重中之重。

(4) 威脅形勢已經確定。針對IoT/OT設備的攻擊量正在增加。

• 35%的受訪者表示，在過去兩年中，他們的組織經歷了網絡事件，其中攻擊者使用物聯網設備進行更廣泛的攻擊;
• 39%的受訪者在過去兩年中經歷過網絡事件，其中物聯網設備本身就是攻擊的目標;
• 50%的受訪者表示，針對IoT/OT設備的攻擊數量顯著增加(26%)或增加(24%);
• 63%的受訪者表示，攻擊量將顯著增加(36%)或增加(27%)。

組織愿意在物聯網設備和解決方案上投入更多資金，以提高IoT/OT環境的安全性。設備被設計得更加安全。根據一項特別分析顯示，如果這些設備的安全性得到改善，受訪者愿意花更多錢，尤其是工業物聯網設備(平均增加37%)和工業物聯網解決方案(平均增加41%)。

二、IoT/OT設備存在安全風險

(1) 高級管理層和IT安全從業人員一致認為，IoT/OT設備的不安全性正在給組織帶來風險。60%的受訪者表示，IoT/OT是IT/OT基礎設施中最不安全的方面之一。IoT/OT設備對組織未來的重要性已經確立，67%的受訪者表示，高級管理層在未來的12至24個月內將提高IoT/OT安全性作為首要安全優先事項。

而生產力和安全風險之間的差距繼續擴大。研究表明，高層管理人員認識到需要更強大的IoT/OT基礎設施。

(2) 針對IoT/OT設備的攻擊量將會增加。50%的受訪者表示，針對IoT/OT設備的攻擊數量顯著增加(26%)或增加(24%)。在未來(2021年及以后)，63%的受訪者表示攻擊量將顯著增加(36%)和增加(27%)。

IoT/OT基礎設施中安全風險增加的主要后果是針對性攻擊的大幅增加。其中許多攻擊依賴于領先的自動化方法，例如機器學習、編排和人工智能。

(3) 許多網絡事件涉及IoT/OT設備。44%的受訪者表示，他們的組織在過去兩年中經歷了涉及IoT/OT設備的網絡事件。對邊緣設備的日益依賴導致安全風險。這些設備可以采用靠近最終用戶的具有計算能力的任何小型設備的形式。大多數物聯網設備沒有太多的處理能力和安全功能，在邊緣留下了大量易受攻擊的網絡入口點。

35%的受訪者表示，他們的組織在過去兩年中經歷過網絡事件，其中攻擊者使用物聯網設備進行更廣泛的攻擊，39%的受訪者在過去兩年中經歷過網絡事件，其中物聯網設備本身就是攻擊的目標。

物聯網設備(例如監控視頻、照明系統或本地打印機)的占用空間小，對設備級別的內置安全性提出了固有的限制。

(4) 很少有組織在其安全解決方案中擁有準確的物聯網設備資產清單。只有37%的受訪者相信他們的組織在其安全解決方案中擁有準確的物聯網設備資產清單。只有29%的受訪者表示他們的組織擁有完整的IoT/OT設備清單，組織平均擁有9,685臺設備。

研究表明，需要IoT/OT管理程序，例如完成列出所有設備(包括未連接到互聯網的設備)的物理位置的清單過程。

(5) 組織容易受到攻擊，因為IT網絡和OT網絡上的物聯網設備連接到互聯網。88%的受訪者表示，他們的物聯網設備已連接到互聯網，其中包括智能電視、會議系統和連接到云打印服務的打印機等設備。

這些設備旨在提高訪問和連接的便利性，而不是安全性。建議在發現漏洞后立即修補IoT設備。此外，監控設備交互以及之間的流量移動將更容易檢測異常。

56%的受訪者表示，OT網絡和OT網絡上的設備已連接到互聯網。51%的受訪者表示，其組織的OT網絡已連接到企業IT網絡，以實現SAP、遠程訪問等。

結果表明，許多組織的重大漏洞來源是在IT網絡中運行的物聯網設備的連接。

(6) 組織依靠制造商來保護IoT/OT設備。55%的受訪者表示，他們不認為IoT/OT設備的設計考慮了安全性，11%的受訪者表示他們不知道。

然而，幾乎一半(47%)的受訪者依靠制造商來保護這些設備安全，其次是將責任分配CISO和安全團隊(42%)、運營團隊(34%)、IT部門(33%)、托管安全服務提供商(28%)、和系統集成商(21%)，甚至19%的受訪者沒有部門負責IoT/OT設備安全。

沒有明確規定的領導者全權負責確保整個組織中使用的IoT/OT設備的安全。此職能的所有權對于建立強有力的IoT/OT治理和/或工業控制流程至關重要。

(7) IoT/OT設備的重要性與對這些設備安全性的信心之間存在顯著差距。受訪者被要求對其組織的IoT/OT設備的信心水平進行評分，評分范圍為1=沒有信心到10=高信心。

在七分以上的高分回應中，只有30%的受訪者對其物聯網設備的安全性有很高信心，39%的受訪者認為其設備能夠識別設備是否受到威脅，36%的受訪者認為物聯網設備已打補丁并更新到最新，32%的受訪者信任供應鏈可以確保IoT/OT設備安全。

鑒于許多組織缺乏強有力的治理和工業控制流程，因此對IoT/OT設備的安全性缺乏信心也就不足為奇了。

三、保護IoT/OT設備的障礙和挑戰

(1) 雖然保護這些設備存在障礙和挑戰，但預計IoT/OT安全態勢將得到改善。高級管理層認識到IoT/OT設備的漏洞，并致力于將IoT/OT安全作為優先事項。由于這一承諾，受訪者對IoT/OT設備的安全狀況將在未來五年內改善持樂觀態度。

受訪者被要求對其組織的傳統IoT/OT設備的安全態勢進行評分，評價范圍從1=不安全到10=高度安全。對于當前的IoT/OT設備的安全狀況，只有37%的受訪者給出了7分以上的高分評價，然而有69%的受訪者對其傳統IoT/OT設備五年后的安全狀況給出了7分以上的高分評價。該數據描繪了未來五年IoT/OT安全態勢的非常積極的圖景。

(2) 缺乏可見性是確保IoT/OT設備安全的主要障礙。57%的受訪者表示，他們組織的資產缺乏可見性正在影響IoT/OT設備的安全性。由于沒有威脅可見性(50%)和漏洞可見性(42%)，組織也在黑暗中運作。其他障礙包括缺乏具有足夠知識和專業知識的人員(36%)、網絡安全解決方案之間的互操作性問題(25%)、以及孤島問題(23%)。研究表明，IoT/OT基礎設施的可見性對于改進組織內的治理和控制流程非常重要。

圖1 確保IoT和IIoT設備安全的主要障礙

(3) 組織在防止針對IoT/OT設備的網絡攻擊方面效率低下。受訪者要求對其組織在預防網絡事件方面的有效性進行評分，評價范圍為1=無效到10=高效。

在7分以上的高分回答中，只有33%的受訪者認為在攻擊者使用IoT設備進行更廣泛攻擊的網絡事件時進行了有效預防，31%的受訪者認為有效組織了外部攻擊者篡改IoT和OT設備，僅有26%的受訪者認為有效防止了涉及物聯網設備持續或橫向移動的網絡事件。

這突顯了在防止網絡事件、物聯網設備篡改、阻止外部攻擊者方面缺乏有效性。

(4) 組織認為他們能夠有效的遵守法規。受訪者被要求對滿足其IoT/OT安全計劃的各種功能的有效性進行評分，評價范圍從1=無效到10=高效。在7分以上的高分回答中，受訪者認為組織在遵守法規和標準(62%)、第三方風險管理(58%)、以及意識和培訓(53%)方面最為有效。組織在滿足IoT/OT基礎設施合規性要求方面普遍持積極態度。

(5) 組織無法有效地創建有效的IoT/OT安全計劃。受訪者被要求對實現物聯網安全計劃功能的有效性進行評分，評價范圍為1=無效到10=高效。在7分以上的高分回答中，大多數受訪者對有效滿足IoT/OT安全計劃功能沒有信心。高效物聯網安全計劃的主要特征包括安全、威脅評估和其他業務優先事項。

圖2 創建有效IoT安全計劃的相關功能

(6) 網絡檢測和響應(NDR)解決方案被證明可以有效保護IoT/OT設備，但只有39%的受訪者表示其組織部署了這些設備。52%的受訪者表示其組織使用漏洞掃描程序，51%的受訪者依賴防火墻，49%的受訪者使用防病毒技術。其中許多解決方案不適用于保護設備，這表明組織在理解如何實現更好的安全性方面并不成熟。研究表明，組織正在使用傳統的IT安全工具，而不是OT特定的工具和應用程序來保護IoT設備和OT基礎設施。

圖3 有效保護IoT/OT設備的安全工具

四、費用開銷

在IoT/OT環境中提高組織安全態勢的解決方案有多大價值?對此研究人員進行了第二項調查，以確定如果確保在IoT/OT環境中實現更高的安全性，組織會支付多少費用。

研究人員在四種不同場景中對個人進行了調查，以確定組織為增強其安全態勢而支付的平均溢價百分比。四種情況如下：

• 您愿意為與移動設備一樣安全的企業物聯網設備支付多少錢?
• 您愿意為企業物聯網安全解決方案支付多少費用，該解決方案提供的保護、檢測和響應能力與傳統端點的效力水平相同?
• 您愿意為與移動設備一樣安全的工業物聯網(OT/ICS)設備支付多少費用?
• 您愿意為工業物聯網(OT/ICS)安全解決方案支付多少費用，該解決方案提供的保護、檢測和響應能力與傳統端點的效力水平相同?

在表1中，結果以四分位數表示。每個四分位數代表受訪者愿意支付的平均溢價百分比。研究分為企業物聯網和工業物聯網。結果顯示，受訪者為工業支付的平均溢價高于企業：企業為23%和32%，而工業為37%和41%。

表1 受訪者愿意支付的費用

五、行業差異

研究人員調查了以下行業的受訪者：92名金融服務行業受訪者、55名石油與天然氣行業受訪者、74名工業與制造業受訪者、以及80名健康與醫藥行業受訪者。

(1) 所有行業都認為IoT/OT部署對其組織的業務目標至關重要。72%的健康與制藥業受訪者和71%的金融服務業受訪者表示，他們的組織致力于部署IoT/OT設備。數據顯示，IoT/OT環境中的行業差異只是名義上的，沒有顯著差異。

健康與制藥業(38%)和工業與制造業(37%)在過去兩年中發生網絡事件的可能性略高，物聯網設備被用于進行更廣泛的攻擊。

(2) 資產、威脅和漏洞的可見性對于確保物聯網設備的安全性至關重要。64%石油和天然氣行業受訪者表示，其物聯網資產缺乏可見性是確保物聯網設備安全的障礙，其次是金融服務行業(58%)。43%的健康與制藥業受訪者和45%的金融服務行業受訪者認為缺乏漏洞可見性不是一個障礙。

圖4 確保IoT設備安全的三大障礙

金融服務(54%)和健康與制藥(53%)最有可能使用自動化流程來識別受影響的IoT設備，并將其與其他安全解決方案(例如SIEM和EDR)引發的事件和警報相關聯。工業和制造業(54%)和石油天然氣(51%)組織最有可能依賴手動流程。

(3) 幾乎每個行業的IT網絡上都有IoT設備連接到互聯網。這些連接很難用傳統技術來保護。此外，龐大的端點數量是攻擊者的潛在入口。連接的設備越多，發生安全事件的可能性就越大。

圖5 連接到互聯網的IoT/OT設備