界面新闻记者 | 肖芳

界面新闻编辑 | 宋佳楠

越来越多的企业通过使用智能打印机、智能摄像头、智能照明等IoT（物联网）设备获得工作便利，却忽视了背后所存在的网络安全风险。

近日，派拓网络发布的物联网威胁报告显示，IoT、医疗物联网（IoMT）和OT（自动化控制）设备占企业网络设备的30%以上。仅2024年，IoT和OT领域的安全漏洞比2023年增加了15%。

由于内置安全性较弱、存在漏洞且不受传统IT/安全解决方案管理，这些互联设备成为网络攻击的主要目标，严重威胁着企业的网络安全。

派拓网络大中华区总裁陈文俊向界面新闻透露，目前有70%的企业组织都经历过通过IoT设备进行的黑客攻击。企业传统的网络安全未能跟上智能时代步伐，再加上很多IoT设备本身的网络安全等级也不高，这两方面因素导致IoT设备成为当下企业安全最薄弱的环节。

智能摄像头制造商使用的协议不安全、智能电视制造商配备不安全的Windows/Android操作系统等问题，在黑客中已经不是秘密，常常被当作C2（命令和控制服务器）攻击的目标。

国家质检总局的检测报告显示，在已检测的40批次智能摄像头中，32批次样品存在质量安全隐患。这些不合格的智能摄像头极易导致用户监控视频被泄露，或智能摄像头被恶意控制等危害。

在医疗、制造业等行业，智能设备带来的安全隐患更大。

界面新闻从一位安全行业从业者处了解到，现在医疗行业使用的很多监测设备都是联网的，患者可以带回家，监测数据可以实时上传给医院。但这些设备几乎没有安全保障，黑客想获得相关数据也非常容易。“近一两年，医疗行业发生过患者的个人监测数据被窃取，在暗网中被售卖的情况。”

而在制造业，除了IoT设备带来的安全风险之外，OT风险影响更大。陈文俊表示，最近几年，每年都有70%以上的制造业企业的OT设备被攻击过，这些企业中有25%出现过生产完全中断。

具体来说，国内企业遭受的IoT/OT攻击包括恶意软件攻击、设备劫持与DDoS攻击、数据泄露风险、设备安全漏洞以及供应链攻击等。

这些问题的发生并不是企业的网络安全意识不够，而是无法有效识别。一方面，传统的网络安全体系没有完全覆盖IoT/OT风险，往往是出现漏洞后通过打补丁的方式来封锁，存在一定滞后性。如果操作系统升级不及时，企业面临的风险就会更大。

另一方面，网络攻击越来越快且越来越智能，企业甚至发现正在遭受攻击时，都无法防范。在传统的安全架构中，很多设备的动态需要通过人工来登记，缺乏整体的可视性。同时，由于整个安全网络是平的，发现遭受攻击时，也没有办法分段和隔离。

这些都指向一个企业管理问题：随着企业应用IoT/OT设备越来越多，其所带来的安全问题应该由谁来负责？很多企业OT与IT团队在网络安全采购决策上不统一，权责也没有分清楚，从而导致了很多IoT/OT风险的发生。

从境外企业的实践来看，越来越多的企业开始把OT与IT整合管理。

美国调研公司ABI Research在去年12月对近2000家企业的调查显示，超70%的受访者打算整合IT和OT安全解决方案，原来企业IT和OT部门在采购安全解决方案时需要分别决策。但79%的受访者认为，长期来看，两者安全将无缝集成管理，挑战在于团队合作困难和安全解决方案复杂性等方面。

面对日益复杂多变的IoT/OT风险，把OT与IT整合管理也将是国内企业的趋势。一方面，企业的安全架构要适应OT网络、5G连接等新的环境，提升OT环境可见性，简化OT与IT的安全和运营，以便有效评估和预防OT/ICS威胁。

同时，企业也需要注重身份识别、认证和访问控制机制，加强OT资产和库存管理，并制定事件响应、备份和恢复程序，以便在面对安全事件时能快速反应。