ForeScout的研究發現，物聯網（IoT）、運營技術（OT）以及物理控制訪問系統中的IT設備和系統對組織構成了最重大的風險。這些部署下增加的物聯網風險是因為啟用物聯網的設備可能針對授權進入公司網絡或通過HVAC篡改繞過物理授權機制。一個例子是，一家賭場被黑客侵入了魚缸里的溫度計。同樣，在奧地利，人們被鎖在酒店房間外，直到支付贖金。這項研究分析了部署在全球506個地點的800萬臺設備。ForeScout分析了不同行業的風險成分，如金融服務、醫療保健、政府、制造業和零售業。醫療垂直領域的物聯網設備，如氣動管道系統，是風險最高的類別。

物聯網對跨部署的組件構成風險

在各個行業中，物聯網風險更高，因為物聯網設備在這些組織中更為常見，并且在監控方面更具挑戰性。物聯網設備可以作為惡意軟件攻擊的切入點和最終目標。它們也無處不在，從而縮小了物理訪問與虛擬訪問之間的距離。

物聯網設備檢查了研究人員調查的幾乎所有風險組件。研究人員分析了各個行業的安全漏洞、安全事件、服務、連接性、供應商以及潛在的影響。

在潛在影響下，更高的物聯網風險與大多數物聯網和OT設備不受大多數可用的安全解決方案管理的事實相關。由于IoT設備直接與其他設備通信的能力，因此連接風險組件增加了潛在的IoT風險。

關于服務，由于此類設備上可用的各種接口，因此存在物聯網風險。例如，大多數物聯網設備具有Wi-Fi和藍牙接口，可增加攻擊面。

嵌入式固件還由于供應商供應鏈缺乏統一性以及大多數IoT設備固件不成熟而增加了IoT風險。嵌入式固件還與物聯網風險增加有關，因為它是惡意供應商、黑客和政府實體引入的大多數后門的罪魁禍首。

更新物聯網嵌入式固件也是有問題的，因為它需要針對常見協議漏洞的供應商特定補丁。因此，嵌入式固件是應用程序安全的噩夢，使保護設備安全變得更具挑戰性。

大多數嵌入式設備還具有已知漏洞的實時操作系統（RTOS）。一個示例是WindRiverVxWorks，它具有11個漏洞，允許遠程執行代碼。許多智能醫療設備都依賴此OS，從而使它們容易受到潛在攻擊。

其他安全問題

與其他設備相比，醫療設備和網絡設備的風險更高。如果受到損害，這些設備將產生最重大的影響。此外，它們具有許多開放的界面，可增加攻擊范圍。

對于網絡設備，各行業存在供應商同質性。但是，該類別每年負責大約37個漏洞。受到威脅時，網絡設備可能會允許黑客控制網絡上的所有設備，因為它們充當互聯網安全網守。

Windows環境仍然是一個重大挑戰

在制造業（30％）和醫療保健（35％）中，超過30％的設備仍在不受支持的Windows操作系統版本上運行。保持過時的窗口運行不僅帶來安全問題，還帶來財務挑戰。例如，德國政府將花費80萬英鎊來保持33，000個過時的工作站的運行。

跨行業的設備均打開默認端口

研究還發現，政府部門中有10％的設備具有默認的telnet端口23和FTP端口20和21打開。政府、醫療保健和金融行業中有五分之一（20％）的設備已打開SMB端口445，而12％的RDP端口3389已打開。

由于消費者更多地采用支持物聯網的設備，物聯網安全風險在大多數組織中普遍存在。大多數連接的設備都包括帶有開放端口和接口的某種形式的IoT組件。使用任何免費工具和互聯網連接，任何人都可以輕松找到這些開放的端口和接口。

為了應對組織面臨的各種風險，企業領導者必須花費更多的資源來保護IoT和計算設備的安全，以最大程度地減少與影子IT相關的網絡風險。適當的風險管理還應包括擁有專門的事件響應團隊，能夠實時處理突發的安全事件。