界面新聞?dòng)浾?| 肖芳

界面新聞編輯 | 宋佳楠

越來(lái)越多的企業(yè)通過(guò)使用智能打印機(jī)、智能攝像頭、智能照明等IoT（物聯(lián)網(wǎng)）設(shè)備獲得工作便利，卻忽視了背后所存在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

近日，派拓網(wǎng)絡(luò)發(fā)布的物聯(lián)網(wǎng)威脅報(bào)告顯示，IoT、醫(yī)療物聯(lián)網(wǎng)（IoMT）和OT（自動(dòng)化控制）設(shè)備占企業(yè)網(wǎng)絡(luò)設(shè)備的30%以上。僅2024年，IoT和OT領(lǐng)域的安全漏洞比2023年增加了15%。

由于內(nèi)置安全性較弱、存在漏洞且不受傳統(tǒng)IT/安全解決方案管理，這些互聯(lián)設(shè)備成為網(wǎng)絡(luò)攻擊的主要目標(biāo)，嚴(yán)重威脅著企業(yè)的網(wǎng)絡(luò)安全。

派拓網(wǎng)絡(luò)大中華區(qū)總裁陳文俊向界面新聞透露，目前有70%的企業(yè)組織都經(jīng)歷過(guò)通過(guò)IoT設(shè)備進(jìn)行的黑客攻擊。企業(yè)傳統(tǒng)的網(wǎng)絡(luò)安全未能跟上智能時(shí)代步伐，再加上很多IoT設(shè)備本身的網(wǎng)絡(luò)安全等級(jí)也不高，這兩方面因素導(dǎo)致IoT設(shè)備成為當(dāng)下企業(yè)安全最薄弱的環(huán)節(jié)。

智能攝像頭制造商使用的協(xié)議不安全、智能電視制造商配備不安全的Windows/Android操作系統(tǒng)等問(wèn)題，在黑客中已經(jīng)不是秘密，常常被當(dāng)作C2（命令和控制服務(wù)器）攻擊的目標(biāo)。

國(guó)家質(zhì)檢總局的檢測(cè)報(bào)告顯示，在已檢測(cè)的40批次智能攝像頭中，32批次樣品存在質(zhì)量安全隱患。這些不合格的智能攝像頭極易導(dǎo)致用戶監(jiān)控視頻被泄露，或智能攝像頭被惡意控制等危害。

在醫(yī)療、制造業(yè)等行業(yè)，智能設(shè)備帶來(lái)的安全隱患更大。

界面新聞從一位安全行業(yè)從業(yè)者處了解到，現(xiàn)在醫(yī)療行業(yè)使用的很多監(jiān)測(cè)設(shè)備都是聯(lián)網(wǎng)的，患者可以帶回家，監(jiān)測(cè)數(shù)據(jù)可以實(shí)時(shí)上傳給醫(yī)院。但這些設(shè)備幾乎沒(méi)有安全保障，黑客想獲得相關(guān)數(shù)據(jù)也非常容易。“近一兩年，醫(yī)療行業(yè)發(fā)生過(guò)患者的個(gè)人監(jiān)測(cè)數(shù)據(jù)被竊取，在暗網(wǎng)中被售賣的情況。”

而在制造業(yè)，除了IoT設(shè)備帶來(lái)的安全風(fēng)險(xiǎn)之外，OT風(fēng)險(xiǎn)影響更大。陳文俊表示，最近幾年，每年都有70%以上的制造業(yè)企業(yè)的OT設(shè)備被攻擊過(guò)，這些企業(yè)中有25%出現(xiàn)過(guò)生產(chǎn)完全中斷。

具體來(lái)說(shuō)，國(guó)內(nèi)企業(yè)遭受的IoT/OT攻擊包括惡意軟件攻擊、設(shè)備劫持與DDoS攻擊、數(shù)據(jù)泄露風(fēng)險(xiǎn)、設(shè)備安全漏洞以及供應(yīng)鏈攻擊等。

這些問(wèn)題的發(fā)生并不是企業(yè)的網(wǎng)絡(luò)安全意識(shí)不夠，而是無(wú)法有效識(shí)別。一方面，傳統(tǒng)的網(wǎng)絡(luò)安全體系沒(méi)有完全覆蓋IoT/OT風(fēng)險(xiǎn)，往往是出現(xiàn)漏洞后通過(guò)打補(bǔ)丁的方式來(lái)封鎖，存在一定滯后性。如果操作系統(tǒng)升級(jí)不及時(shí)，企業(yè)面臨的風(fēng)險(xiǎn)就會(huì)更大。

另一方面，網(wǎng)絡(luò)攻擊越來(lái)越快且越來(lái)越智能，企業(yè)甚至發(fā)現(xiàn)正在遭受攻擊時(shí)，都無(wú)法防范。在傳統(tǒng)的安全架構(gòu)中，很多設(shè)備的動(dòng)態(tài)需要通過(guò)人工來(lái)登記，缺乏整體的可視性。同時(shí)，由于整個(gè)安全網(wǎng)絡(luò)是平的，發(fā)現(xiàn)遭受攻擊時(shí)，也沒(méi)有辦法分段和隔離。

這些都指向一個(gè)企業(yè)管理問(wèn)題：隨著企業(yè)應(yīng)用IoT/OT設(shè)備越來(lái)越多，其所帶來(lái)的安全問(wèn)題應(yīng)該由誰(shuí)來(lái)負(fù)責(zé)？很多企業(yè)OT與IT團(tuán)隊(duì)在網(wǎng)絡(luò)安全采購(gòu)決策上不統(tǒng)一，權(quán)責(zé)也沒(méi)有分清楚，從而導(dǎo)致了很多IoT/OT風(fēng)險(xiǎn)的發(fā)生。

從境外企業(yè)的實(shí)踐來(lái)看，越來(lái)越多的企業(yè)開(kāi)始把OT與IT整合管理。

美國(guó)調(diào)研公司ABI Research在去年12月對(duì)近2000家企業(yè)的調(diào)查顯示，超70%的受訪者打算整合IT和OT安全解決方案，原來(lái)企業(yè)IT和OT部門(mén)在采購(gòu)安全解決方案時(shí)需要分別決策。但79%的受訪者認(rèn)為，長(zhǎng)期來(lái)看，兩者安全將無(wú)縫集成管理，挑戰(zhàn)在于團(tuán)隊(duì)合作困難和安全解決方案復(fù)雜性等方面。

面對(duì)日益復(fù)雜多變的IoT/OT風(fēng)險(xiǎn)，把OT與IT整合管理也將是國(guó)內(nèi)企業(yè)的趨勢(shì)。一方面，企業(yè)的安全架構(gòu)要適應(yīng)OT網(wǎng)絡(luò)、5G連接等新的環(huán)境，提升OT環(huán)境可見(jiàn)性，簡(jiǎn)化OT與IT的安全和運(yùn)營(yíng)，以便有效評(píng)估和預(yù)防OT/ICS威脅。

同時(shí)，企業(yè)也需要注重身份識(shí)別、認(rèn)證和訪問(wèn)控制機(jī)制，加強(qiáng)OT資產(chǎn)和庫(kù)存管理，并制定事件響應(yīng)、備份和恢復(fù)程序，以便在面對(duì)安全事件時(shí)能快速反應(yīng)。