波耐蒙研究所(Ponemon  Institute)近日发布的《物联网:第三方风险的新时代》调查报告显示,众多调查对象认为所在的组织机构未来两年会遭受灾难性物联网(IoT)攻击,大部分企业未正确评估第三方 IoT 风险,且没有准确的 IoT 设备清单。

报告强调,第三方  IoT 风险管理实践存在重大脱节的现象,企业在 IoT  分配责任和库存管理等基本问题上的表现落后。

这份报告解决了谁负责管理和缓解第三方风险的不确定性问题,并揭示了企业过度依赖针对 IoT  风险管理的第三方合同和政策。企业目前关注的重点是内部工作场所的 IoT 风险,而非第三方构成的 IoT 风险。

报告发现

报告预计企业工作场所的 IoT 设备平均数量将从2017年的15,874台增加至24,762台。波耐蒙研究所对605名参与企业管理和风险监督活动的对象进行调查后发现:随着 IoT 的采用率逐渐提高,管理者的 IoT 风险意识也在提高。

  • 97%的调查对象表示,因 IoT 设备不安全引发的安全事件可能会给组织机构带来灾难性后果,60%的调查对象担心 IoT 生态系统易遭受勒索软件攻击。

  • 81%的调查对象表示,不安全的 IoT 设备可能会在未来2年内引发不安全的数据泄露事件。

  • 只有28%的调查对象表示,已将 IoT 风险纳入第三方尽职调查之列。

IoT 风险管理策略有待改进

  • 45%的调查对象表示,有办法清点 IoT 设备,而其中只有19%的调查对象对一半以上的 IoT 设备做了盘点。

  • 88%的调查对象认为,缺乏集中控制是难以完成和持续盘点的主要原因。

  • 15%的调查对象清点了大多数 IoT 应用程序。

  • 85%的调查对象认为,缺乏集中控制是难以完全盘点的主要原因。

  • 46%的调查对象表示,他们制定了政策禁用具有风险的IoT设备。

  • 60%的调查对象表示,所在企业制定了第三方风险管理计划。

  • 53%的调查对象依赖合同协议来缓解第三方 IoT 风险。

  • 只有26%的调查对象称,所在企业通过尽职调查流程积极评估了第三方的 IoT 风险。

企业内部和第三方IoT监控之间存在差距

  • 71%的调查对象表示,所在企业认为第三方风险会严重威胁高价值资产;

  • 60%的调查对象表示,所在企业制定了第三方风险管理计划。

  • 26%的调查对象承认,他们不确定所在企业过去是否受到网络攻击(涉及IoT设备)影响;

  • 35%的调查对象表示,不知道是否有可能发现第三方的数据泄露事件。

  • 近一半的调查对象表示,所在企业正在积极监控工作场所内的 IoT 设备风险,但只有29%的企业在主动监控第三方IoT设备风险。

  • 只有9%的调查对象表示,完全了解所有联网的设备。

共享评估计划(Shared Assessments Program)的高级副总裁查理·米勒表示, IoT 设备和应用普及的步伐并未放缓,组织机构有必要清晰认识内部和外部网络中的 IoT  设备风险。随着大规模数据泄露事件、勒索攻击和 DDoS 攻击事件频发,企业高管引咎辞职。分配责任和监督管理 IoT  相关风险对企业而言至关重要,企业有必要确保 IoT 安全受到足够的重视。

责任不明确

报告显示,在审查第三方风险管理政策和计划时,责任尚不明确:

  • 38%的调查对象表示缺乏相关人员来审查第三方风险管理政策和计划;

  • 41%的调查对象表示具有定期审查计划。

调查对象表示,企业高层并不完全了解第三方供应商使用的 IoT 设备风险,只有17%的调查对象表示,所在企业的董事会高度参与其中,并了解厂商或第三方的网络风险。

波耐蒙研究所主席兼创始人拉里·波耐蒙表示,好消息是,某些企业逐渐意识到第三方的网络风险,实际上也在身体力行贯彻第三方风险管理计划。

但坏消息是,许多企业仍在努力应对 IoT 构成的安全风险,并不准备应对网络攻击造成的灾难性后果。为了更有效地解决 IoT 风险,改进第三方风险管理计划,企业应采取积极的措施识别和替换存在风险的 IoT 设备,通过责任分配来监控 IoT 设备的使用和部署情况,并与有关方合作探索成功的技术,以此管理和缓解第三方 IoT 设备和应用风险。

声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。