信息化觀察網(wǎng)

圖片來源：https://pixabay.com/images/id-4085382/

組織越來越多地將新的物聯(lián)網(wǎng)設備引入其環(huán)境。根據(jù)Statista的數(shù)據(jù)，全球組織部署的物聯(lián)網(wǎng)設備總數(shù)從2019年的77.4億臺增加到一年后的約87.4億臺。該市場和消費者數(shù)據(jù)公司報告稱，未來幾年內，所有類型的物聯(lián)網(wǎng)設備都將實現(xiàn)增長，包括工業(yè)物聯(lián)網(wǎng)（IIoT）設備（如智能顯示器）。報告寫道，連網(wǎng)設備預計將從2021年的100.7億臺增長到2030年的254.4億臺。

這種增長提出了一個重要問題：安全專業(yè)人士對預計涌入的物聯(lián)網(wǎng)設備有何看法？他們是否能夠保護這些設備？

為了回答這個問題，Tripwire與Dimensional Research合作，在2021年3月3日至3月10日期間對直接負責公司物聯(lián)網(wǎng)安全的個人進行了調查。他們的回答有助于闡明安全專業(yè)人員在其企業(yè)環(huán)境和工業(yè)基礎設施中針對連網(wǎng)設備挑戰(zhàn)的方法和觀點。

保護設備的挑戰(zhàn)

在參與調查的312位安全專業(yè)人員中，99%的人告訴Tripwire，他們在保護組織的物聯(lián)網(wǎng)設備的過程中遇到了挑戰(zhàn)。這些受訪者中有三分之二的人表示，他們在嘗試發(fā)現(xiàn)和補救漏洞方面遇到了困難。緊隨其后的是那些在跟蹤其物聯(lián)網(wǎng)設備清單（60％）、驗證是否符合安全策略（58％）、建立安全配置（56％）以及檢測這些設備上的更改（55％）方面遇到問題的人員。超過三分之一（37％）的安全專業(yè)人員還透露，在檢測到事件后，他們很難收集取證數(shù)據(jù)。

在認識到這些挑戰(zhàn)的同時，有53%的調查參與者說他們有點擔心與這些設備相關的風險。另有42％的受訪者表示，他們非常擔心這些安全風險。

Tripwire要求那些安全專業(yè)人士進一步分析這些風險。在此過程中，超過四分之三的受訪者表示他們擔心組織的連網(wǎng)設備不符合其現(xiàn)有的安全方法，其中88％的人擔心他們將需要額外的資源來充分滿足組織的物聯(lián)網(wǎng)設備的需要。

這些擔憂在具有工業(yè)背景的調查參與者中加深了。事實上，53%的受訪者表示，他們缺乏全面監(jiān)控新連接系統(tǒng)的能力。

Tripwire產(chǎn)品管理和策略副總裁Tim Erlin解釋說，這一發(fā)現(xiàn)突出表明，工業(yè)網(wǎng)絡安全專業(yè)人員需要更好地了解其環(huán)境中發(fā)生的事情：“在確保融合的IT-OT環(huán)境方面，工業(yè)部門面臨著一系列新的挑戰(zhàn)。過去，網(wǎng)絡安全專注于服務器和工作站等IT資產(chǎn)，但是系統(tǒng)連接性的提高要求工業(yè)安全專業(yè)人員擴大對環(huán)境的了解。您無法保護自己不知道的東西。”

確保工業(yè)供應鏈的安全

事實上，有61％的工業(yè)網(wǎng)絡安全專業(yè)人員表示他們不了解安全供應商在其供應鏈中可能正在經(jīng)歷的變化類型。大多數(shù)(97%)的調查參與者表示，他們因此擔心供應鏈的安全性。

Erlin得知這一點并不感到驚訝：“考慮到我們今年所看到的攻擊程度，管理供應鏈風險是工業(yè)安全團隊的頭等大事，這是可以理解的。”

似乎有些公司正在聽取Erlin的建議。超過一半（59％）的受訪者解釋說，過去一年中，本組織用于管理供應鏈安全的預算有所增加。這項開支可以為88％的安全專業(yè)人員提供支持，他們已經(jīng)在使用PCI、NIST以及其他標準和框架來保護其供應鏈。（編譯iothome）