物联网安全现实——比你想象的还要糟糕

By Allan Tan

Juniper Research预测,到2023年,物联网安全支出将达到60亿美元,不断增长的商业风险和监管最低标准将成为主要支出驱动因素。

物联网安全现实——比你想象的还要糟糕

受Armis委托,Forrester报告《北美企业物联网安全状况》显示,74%的受访者认为,他们的安全控制和实践对跨IT、云、物联网设备、医疗设备(IoMT)、操作技术(OT)、工业控制系统(ICS)和5G的托管和非托管资产不足。

Armis的OT安全和运营总监Keith Walsh表示,许多机构内部安装设备的问题在于,每个部门倾向于单独进行管理和风险控制。

Walsh列举了可能拥有管理OT/ICS设施的部门的示例,例如:空调、卫生、电信和其他职能部门。各种形状和大小的服务器机房和计算机可能由单独的IT部门管理。

在典型的办公室之外,石油和天然气、石化和化工行业的加工厂,或发电厂(核能、其他可再生能源或化石燃料),将有不同的现场运营和维护经理管理各种安全和其他控制器。这些领域所需要的专业知识往往各不相同,因此很难将所有这些可管理的资产集中到一个部门或系统中。

“对于非托管的设备,可能包括OT和物联网,这可能是组织的另一个障碍,因为它们可能从未被定义为安全隐患,直到最近5G/LTE和宽带渗透到组织的各个方面。”
——Keith walsh
Walsh补充道:“因此,可以肯定地说,典型的组织可能没有针对所有托管和非托管设备的完整安全配置文件。资产可见性是开发安全框架的第一步。我们无法保护看不到的东西。”

随着越来越多的家庭设备连接到互联网,安全和隐私方面的担忧上升到了新的水平。PaloAltoNetworks的《互联企业:2021物联网安全报告》发现,随着在家办公的兴起,问题变得更加严重。81%的将物联网设备连接到其组织网络的人强调,向远程工作的过渡导致了不安全的物联网设备更容易受到攻击。

Palo Alto Networks的亚太地区和日本业务工业4.0战略首席技术官Alex Nehmy解释道:“最重要的是,虽然企业正在采用最佳实践并实施措施限制网络访问,但数字化转型不仅正在颠覆我们的工作方式,也在颠覆我们保护工作方式的方式。”

Nehmy认为,保护非托管设备和物联网设备仍然是一个持续的挑战。由于大多数网络攻击在被发现前数月就进入了企业网络,因此持续监控和物联网设备安全应成为企业物联网安全战略的重点关注领域。

现实和当前的危险

我们现在记得的黑客事件包括Colonial Pipeline勒索软件攻击、肉类包装商JBS和针对沙特石化厂的Triton恶意软件攻击,这些事件都表明,只要有收益,组织就会继续成为攻击目标。

Nehmy警告,当今的大多数物联网安全解决方案通过使用手动更新的已知设备数据库来提供有限的可见性,需要单一用途的传感器,缺乏一致的预防,并且无助于创建政策。

其补充道:“他们只能通过整合来提供执法,让网络安全团队承担繁重的工作,对未知设备视而不见,阻碍了其扩大运营规模、优先工作或最小化风险的努力。”

Walsh进一步警告,随着工业4.0的普及,从IT中诞生的成熟安全流程现在正与OT发生冲突。物联网设备也趋于简单化,缺乏复杂的补丁和防火墙功能。

其继续补充道:“展望未来,工业5.0只会增加人和机器之间的交互,以至于需要超越当前OT和IT安全措施的现实世界人类安全协议。”

IT-OT的融合——谁是老大?

Nehmy认为,物联网安全的责任落在运营技术(OT)和信息技术(IT)团队的肩上,二者需要协同工作,以确保物联网安全。

拥有一个物联网安全系统,提供单一的管理平台,使这些团队在IT和OT环境中具有一致的可见性、监控和执行水平,也有助于将这些文化多元化的团队聚集在一起,无论其保护的系统如何。

当组织对IoT和OT设备的可见性有限时,就会阻碍其开始保护这些设备的能力。

“我们无法保护看不见的东西。集成IT和OT安全的最佳实践之一包括进行持续监控和分析。”
——Alex  Nehmy

Nehmy解释道:“重点应该是实现实时监控解决方案,持续分析整个网络的行为。”

此外,IT和OT团队应共同努力,通过强制分割IoT设备、OT设备和关键业务IT系统,确保物联网攻击面得到管理。

保障物联网安全的战略

当被问及保护IoT的一种策略时,Walsh建议理解和识别攻击表面。

Walsh补充道:“一旦我们做到了这一点,就可以正确地修补、划分和监控这些设备的事务和相互依赖关系。降低风险首先要了解和识别关键资产的攻击面。”

IDC警告,物联网很容易成为任何组织攻击的薄弱环节或入口,这就是为什么物联网解决方案需要在设计上是安全的。将零信任框架扩展到物联网部署,可以增强安全性并降低风险。但这是一种企业级战略,需要全面了解网络上的所有物联网系统。

Nehmy同意并补充道,为物联网环境实现零信任是IT和OT人员设计物联网安全策略的最佳方法,该策略实施了最低特权访问控制的策略。

物联网安全现实——比你想象的还要糟糕

构建物联网安全的商业案例

物联网和OT设备通常占企业网络设备的30%以上,其中57%也容易受到网络攻击,因为它们在构建时没有考虑到安全问题,包含现有的漏洞。

Walsh警告道:“物联网设备的攻击面渗透到企业的所有环境中。虽然组织可能尚未在管理所有连接资产的安全上投入更多,但需要从整体上解决不断增加的攻击面。”

针对Colonial Pipeline和JBS的攻击可能发生在美国,但Deloitte认为,亚太地区的关键基础设施运营商正越来越多地成为网络间谍活动和复杂攻击的目标,并有可能对能源和供水等基本服务造成严重破坏。

Nehmy认为,随着物联网的使用对关键基础设施的日常运营变得越来越重要,充分保护物联网和OT设备成为一个引人注目的商业案例。

其建议,一个全面的物联网业务案例应该包括所有物联网和OT设备的可见性、持续监控以检测安全漏洞、设备风险分析,以及保护和分割这些设备的能力。理想情况下,这应该在单一安全平台中提供,以实现最低的总拥有成本。

同时也认为,基于物联网的网络攻击对金钱、声誉和物理安全的影响,使得组织必须投资于先进的安全解决方案。

最后,Nehmy总结道:“就像疫苗让我们免受COVID-19的影响一样,对积极预防措施的投资将使组织处于更好的位置,以对抗物联网网络犯罪大流行。