安全IIoT和OT项目失败的普遍性

重点要点

• 93%的被调查组织在安全IIoT和OT项目中失败。
• 只有18%的企业对OT网络的远程访问实施了多因素认证。
• 能源等关键行业容许外部用户在未使用MFA的情况下完全远程访问。
• 制造和医疗行业在安全项目实施方面相对滞后。

超过93%的800名受访者在BarracudaNetworks的调查中表示，他们在安全的工业物联网（IIoT）和操作技术（OT）项目上遭遇了失败。虽然对那些完成IIoT/OT安全项目的少数组织来说，75%没有受到重大事件影响，但这一报告也透露了令人担忧的讯息：94%的组织在过去一年经历过安全事件。而仅有18%的公司对OT网络的远程访问实施了访问权限限制和多因素身份验证。

关键数据 | 结果
—|—
受访组织 | 800
失败项目百分比 | 93%
无重大影响的成功项目 | 75%
经验安全事件的组织 | 94%
实施MFA的公司 | 18%

在主要行业中，例如能源，47%的组织允许外部用户在没有多因素认证的情况下完全远程访问。调查显示，只有不到一半（49%）的组织能够独立进行安全更新。整体来看，制造业和医疗保健领域在实施安全项目方面落后。

尽管93%的IoT/OT安全项目失败的数字令人震惊，但Viakoo的首席执行官BudBroomhead表示，仍有积极的一面，多数组织正在学习并尝试改善IoT/OT安全。他指出，许多组织面临实施挑战，包括基本的网络安全卫生，即使是失败的项目也能指明组织在IoT/OT安全上的障碍。

“IT安全与IIoT/OT安全之间存在较大差距，需要通过实践学习和新技术的部署来弥合这一差距，”Broomhead强调说。“鉴于IT安全和IIoT/OT安全之间存在显著差异，组织必须借鉴这些努力，以更成熟的方式应对IoT/OT安全。”

Delinea的首席安全科学家和顾问CISO JosephCarson表示，这些行业使用的OT系统在管理重工业设备时往往与传统IT系统有着截然不同的操作方式。他提到，这些系统的设计寿命通常是数十年，与现代IT网络的快速变化不相适应。

“实现对如此复杂环境的集中可视化和管理可能极具挑战性，”Carson补充道。“这种有限的视图会造成潜在的安全缺口，使威胁行为者能够渗透网络并在系统间自由移动而不被发现。”

BluBracket的产品负责人PanKamal提到，随着基础设施与应用之间的界限变得模糊，软件即代码已成为复杂攻击者的主要目标。Kamal指出，基于此类基础设施构建的OT系统往往容易受到代码攻击。

“攻击者成功地发现和利用代码中的机密——未加密的密码在代码模块、API令牌和凭据之间传递，”Kamal表示。“不把应用安全测试和代码风险纳入网络安全体系的组织，将面临基于被盗凭证的入侵、意外进入公共存储库的代码以及对代码库的未授权访问，容易导致代码篡改和恶意代码注入。”

在这样的背景下，企业必须重视并采取有效措施加强其IoT/OT安全，以防范日益复杂的网络威胁。