4月2日訊 波耐蒙研究所（Ponemon Institute）近日發(fā)布的《物聯(lián)網(wǎng)：第三方風(fēng)險的新時代》調(diào)查報告顯示，眾多調(diào)查對象認(rèn)為所在的組織機構(gòu)未來兩年會遭受災(zāi)難性物聯(lián)網(wǎng)（IoT） 攻擊，大部分企業(yè)未正確評估第三方 IoT 風(fēng)險，且沒有準(zhǔn)確的 IoT 設(shè)備清單。

報告強調(diào)，第三方 IoT 風(fēng)險管理實踐存在重大脫節(jié)的現(xiàn)象，企業(yè)在 IoT 分配責(zé)任和庫存管理等基本問題上的表現(xiàn)落后。

這份報告解決了誰負(fù)責(zé)管理和緩解第三方風(fēng)險的不確定性問題，并揭示了企業(yè)過度依賴針對 IoT 風(fēng)險管理的第三方合同和政策。企業(yè)目前關(guān)注的重點是內(nèi)部工作場所的 IoT 風(fēng)險，而非第三方構(gòu)成的 IoT 風(fēng)險。

報告發(fā)現(xiàn)

報告預(yù)計企業(yè)工作場所的 IoT 設(shè)備平均數(shù)量將從2017年的15,874臺增加至24,762臺。波耐蒙研究所對605名參與企業(yè)管理和風(fēng)險監(jiān)督活動的對象進行調(diào)查后發(fā)現(xiàn)：隨著 IoT 的采用率逐漸提高，管理者的 IoT 風(fēng)險意識也在提高。

97%的調(diào)查對象表示，因 IoT 設(shè)備不安全引發(fā)的安全事件可能會給組織機構(gòu)帶來災(zāi)難性后果，60%的調(diào)查對象擔(dān)心 IoT 生態(tài)系統(tǒng)易遭受勒索軟件攻擊。

81％的調(diào)查對象表示，不安全的 IoT 設(shè)備可能會在未來2年內(nèi)引發(fā)不安全的數(shù)據(jù)泄露事件。

只有28%的調(diào)查對象表示，已將 IoT 風(fēng)險納入第三方盡職調(diào)查之列。

IoT 風(fēng)險管理策略有待改進

45%的調(diào)查對象表示，有辦法清點 IoT 設(shè)備，而其中只有19%的調(diào)查對象對一半以上的 IoT 設(shè)備做了盤點。

88%的調(diào)查對象認(rèn)為，缺乏集中控制是難以完成和持續(xù)盤點的主要原因。

15％的調(diào)查對象清點了大多數(shù) IoT 應(yīng)用程序。

85％的調(diào)查對象認(rèn)為，缺乏集中控制是難以完全盤點的主要原因。

46％的調(diào)查對象表示，他們制定了政策禁用具有風(fēng)險的IoT設(shè)備。

60％的調(diào)查對象表示，所在企業(yè)制定了第三方風(fēng)險管理計劃。

53％的調(diào)查對象依賴合同協(xié)議來緩解第三方 IoT 風(fēng)險。

只有26％的調(diào)查對象稱，所在企業(yè)通過盡職調(diào)查流程積極評估了第三方的 IoT 風(fēng)險。

企業(yè)內(nèi)部和第三方IoT監(jiān)控之間存在差距

71%的調(diào)查對象表示，所在企業(yè)認(rèn)為第三方風(fēng)險會嚴(yán)重威脅高價值資產(chǎn)；

60%的調(diào)查對象表示，所在企業(yè)制定了第三方風(fēng)險管理計劃。

26%的調(diào)查對象承認(rèn)，他們不確定所在企業(yè)過去是否受到網(wǎng)絡(luò)攻擊（涉及IoT設(shè)備）影響；

35%的調(diào)查對象表示，不知道是否有可能發(fā)現(xiàn)第三方的數(shù)據(jù)泄露事件。

近一半的調(diào)查對象表示，所在企業(yè)正在積極監(jiān)控工作場所內(nèi)的 IoT 設(shè)備風(fēng)險，但只有29%的企業(yè)在主動監(jiān)控第三方IoT設(shè)備風(fēng)險。

只有9%的調(diào)查對象表示，完全了解所有聯(lián)網(wǎng)的設(shè)備。

共享評估計劃（Shared Assessments Program）的高級副總裁查理·米勒表示， IoT 設(shè)備和應(yīng)用普及的步伐并未放緩，組織機構(gòu)有必要清晰認(rèn)識內(nèi)部和外部網(wǎng)絡(luò)中的 IoT 設(shè)備風(fēng)險。隨著大規(guī)模數(shù)據(jù)泄露事件、勒索攻擊和 DDoS 攻擊事件頻發(fā)，企業(yè)高管引咎辭職。分配責(zé)任和監(jiān)督管理 IoT 相關(guān)風(fēng)險對企業(yè)而言至關(guān)重要，企業(yè)有必要確保 IoT 安全受到足夠的重視。

責(zé)任不明確

報告顯示，在審查第三方風(fēng)險管理政策和計劃時，責(zé)任尚不明確：

38％的調(diào)查對象表示缺乏相關(guān)人員來審查第三方風(fēng)險管理政策和計劃；

41％的調(diào)查對象表示具有定期審查計劃。

調(diào)查對象表示，企業(yè)高層并不完全了解第三方供應(yīng)商使用的 IoT 設(shè)備風(fēng)險，只有17％的調(diào)查對象表示，所在企業(yè)的董事會高度參與其中，并了解廠商或第三方的網(wǎng)絡(luò)風(fēng)險。

波耐蒙研究所主席兼創(chuàng)始人拉里·波耐蒙表示，好消息是，某些企業(yè)逐漸意識到第三方的網(wǎng)絡(luò)風(fēng)險，實際上也在身體力行貫徹第三方風(fēng)險管理計劃。

但壞消息是，許多企業(yè)仍在努力應(yīng)對 IoT 構(gòu)成的安全風(fēng)險，并不準(zhǔn)備應(yīng)對網(wǎng)絡(luò)攻擊造成的災(zāi)難性后果。為了更有效地解決 IoT 風(fēng)險，改進第三方風(fēng)險管理計劃，企業(yè)應(yīng)采取積極的措施識別和替換存在風(fēng)險的 IoT 設(shè)備，通過責(zé)任分配來監(jiān)控 IoT 設(shè)備的使用和部署情況，并與有關(guān)方合作探索成功的技術(shù)，以此管理和緩解第三方 IoT 設(shè)備和應(yīng)用風(fēng)險。