“非商業(yè)”物聯(lián)網(wǎng)設(shè)備在商業(yè)網(wǎng)絡(luò)中的滲透率正在增加。智能燈泡、心臟監(jiān)護儀、健身器材、咖啡機、游戲機和聯(lián)網(wǎng)寵物喂食器等設(shè)備可能無法達到組織威脅模型中的水平，但這已經(jīng)成為問題，因為消費者物聯(lián)網(wǎng)設(shè)備中的安全控制措施很少或者沒有。糟糕的物聯(lián)網(wǎng)設(shè)備安全性源于制造商的低價策略，其中安全性被認為是不必要的開銷。有限的可見性加上不斷增加的遠程工作導(dǎo)致了嚴重的網(wǎng)絡(luò)安全事件。

　　Palo Alto IoT 安全報告“互聯(lián)企業(yè)：2021 年物聯(lián)網(wǎng)安全報告”提供了對非工業(yè)物聯(lián)網(wǎng)設(shè)備的采用及其對業(yè)務(wù)網(wǎng)絡(luò)的滲透的見解。Palo Alto Networks 委托技術(shù)研究公司 Vanson Bourne 對“亞洲、歐洲、中東和美洲 18 個國家/地區(qū)的組織中1,900 名 IT 決策者就他們的主要物聯(lián)網(wǎng)安全問題進行了調(diào)查。”

　　Palo Alto 報告的主要發(fā)現(xiàn)是：

　　▲新冠肺炎疫情及其影響使保持物聯(lián)網(wǎng)設(shè)備安全變得更加困難。

　　▲幾乎所有將物聯(lián)網(wǎng)設(shè)備連接到網(wǎng)絡(luò)的受訪者 (96%) 都表示他們的物聯(lián)網(wǎng)安全方法需要改進。四分之一(25%)的受訪者表示需要對物聯(lián)網(wǎng)安全策略進行徹底調(diào)整。

　　▲約有一半(51%)的調(diào)查對象將物聯(lián)網(wǎng)設(shè)備連接到自己的網(wǎng)絡(luò)，他們表示物聯(lián)網(wǎng)設(shè)備在一個獨立的網(wǎng)絡(luò)上，與他們用于主要業(yè)務(wù)設(shè)備和業(yè)務(wù)應(yīng)用的網(wǎng)絡(luò)不同。

　　▲技術(shù)主管們可能要睡不著了。安全攝像頭是漏洞的一個很好例子。Palo Alto Networks 研究在 2021 年 3 月檢查了 135,000 個安全攝像頭，他們發(fā)現(xiàn) 54% 的攝像頭至少存在一個安全漏洞。這使得攝像頭有可能被劫持和武器化，通過設(shè)置這些設(shè)備可以作為啟動攻擊和訪問更廣泛公司網(wǎng)絡(luò)的跳板。

　　該報告列出了遇到的攻擊類型：

　　▲工業(yè)物聯(lián)網(wǎng) (IIoT) 攻擊 55%

　　▲分布式拒絕服務(wù)(DDoS)50%

　　▲連網(wǎng)攝像頭攻擊46%

　　▲醫(yī)療物聯(lián)網(wǎng)(IoMT) 攻擊42%

　　▲家庭聯(lián)網(wǎng)設(shè)備攻擊37%

　　▲互聯(lián)可穿戴設(shè)備攻擊32%

　　Forrester Consulting 為 Armis 編寫了一份單獨的報告“北美企業(yè)物聯(lián)網(wǎng)安全狀況：失控和不安全”。 Forrester Consulting 的報告得出結(jié)論：

　　▲69%企業(yè)網(wǎng)絡(luò)上的物聯(lián)網(wǎng)設(shè)備多于計算機。

　　▲84%的安全專業(yè)人士認為物聯(lián)網(wǎng)設(shè)備比計算機更容易受到攻擊。

　　▲67%的企業(yè)經(jīng)歷過物聯(lián)網(wǎng)安全事件。

　　▲16%的企業(yè)安全經(jīng)理表示，他們對其環(huán)境中的物聯(lián)網(wǎng)設(shè)備有足夠的可見性。

　　▲93%的企業(yè)計劃增加物聯(lián)網(wǎng)設(shè)備的安全支出。

　　Palo Alto 報告建議：

　　▲更改默認加密。

　　▲確保知道連接了哪些設(shè)備，監(jiān)控未授權(quán)的設(shè)備。

　　▲分段WFH網(wǎng)絡(luò)。

　　▲實施雙因素身份驗證。

　　▲確保立即部署安全更新。

　　實施可以識別和保護物聯(lián)網(wǎng)設(shè)備的安全解決方案、實踐和控制措施的重要性不容低估。這兩份報告提供的見解可用于關(guān)注這些設(shè)備上不適當和不充分的安全控制，這些不適當和不充分會導(dǎo)致企業(yè)及其客戶面臨更高的數(shù)據(jù)丟失、物理損壞和收入損失風(fēng)險。組織應(yīng)采取積極的網(wǎng)絡(luò)安全態(tài)勢，當沒有部署安全保護時，企業(yè)更容易成為網(wǎng)絡(luò)攻擊的受害者。