2024年運(yùn)營(yíng)技術(shù)與網(wǎng)絡(luò)安全態(tài)勢(shì)研究報(bào)告:遭遇多次網(wǎng)絡(luò)威脅的比例暴增
隨著 OT 組織不斷在其業(yè)務(wù)環(huán)境中集成各種數(shù)字工具和技術(shù),它們面臨的安全挑戰(zhàn)也日益變得愈加復(fù)雜和多樣化。正如 NIST 指出, “雖然安全解決方案旨在解決典型 IT系統(tǒng)中的一些問題,但將這些相同的解決方案引入不同的 OT 環(huán)境時(shí),必須采取特殊的預(yù)防措施。在某些情況下,需針對(duì) OT 環(huán)境量身定制新的安全解決方案。”
報(bào)告顯示,在過去 12 個(gè)月間,組織在 OT 安全態(tài)勢(shì)以及對(duì)基本工具和能力的投資方面取得了顯著的進(jìn)展。然而,在后 IT/OT 融合環(huán)境中,要有效管理日益頻發(fā)的威脅攻擊,組織的網(wǎng)絡(luò)安全防護(hù)能力仍存在巨大提升空間。
三大趨勢(shì)
- 在過去的一年間,威脅入侵頻次及其對(duì)組織的負(fù)面影響均有所提升。
- OT 網(wǎng)絡(luò)安全的管理責(zé)任正逐漸提升至執(zhí)行管理層。
- 關(guān)鍵領(lǐng)域的 OT 安全態(tài)勢(shì)正趨于成熟,但仍是一項(xiàng)亟待組織進(jìn)一步關(guān)注并投入努力的工作。
關(guān)鍵要點(diǎn)
1.網(wǎng)絡(luò)安全事件
近三分之一(31%)的受訪者表示曾遭受六次以上威脅入侵,而去年這一占比僅11%。值得關(guān)注的是,那些已具備高級(jí)成熟度的組織,期間報(bào)告稱遭受的入侵頻次更高。與上一年相比,雖然各類入侵事件數(shù)量均呈現(xiàn)出增長(zhǎng)趨勢(shì),但惡意軟件攻擊數(shù)量卻呈現(xiàn)出下降趨勢(shì)。網(wǎng)絡(luò)釣魚和商業(yè)電子郵件攻擊是目前最常見的兩大入侵類型,而移動(dòng)安全漏洞和網(wǎng)絡(luò)入侵則是不法分子最常用的兩大攻擊技術(shù)。
2.入侵影響
在所有受攻擊影響的類別中,OT(運(yùn)營(yíng)技術(shù))入侵所帶來的不良后果正逐漸加劇,給相關(guān)系統(tǒng)和設(shè)施帶來了日益嚴(yán)重的挑戰(zhàn)。超半數(shù)受訪者(52%)表示品牌知名度的下滑趨勢(shì)正急劇上升,高于 2023 年的的 34%。
3.OT 如何影響網(wǎng)絡(luò)安全
受訪者中,聲稱其中央網(wǎng)絡(luò)安全運(yùn)營(yíng)中心對(duì) OT 活動(dòng)具備 100% 可見性的組織比例顯著下降(從 2022 年的 13% 到 2023 年的10%,再到今年的 5%)。這可能是因?yàn)樵诮M織的 OT 安全態(tài)勢(shì)趨向成熟的過程中,逐漸意識(shí)到其安全可見性中仍存在一定的盲區(qū)或不足。
4.人員安全
成熟度提高的另一個(gè)明顯跡象是受訪者中,由 CISO(首席信息安全官)推動(dòng) OT 安全發(fā)展的組織數(shù)量穩(wěn)步增長(zhǎng),從 2022 年的 10% 到 2023 年的 17%,再到今年的 27%。與此同時(shí),我們還看到去年的趨勢(shì)發(fā)生了逆轉(zhuǎn),那些不打算在未來 12 個(gè)月內(nèi)將 OT 安全管理權(quán)移交至 CISO 的組織,從 2022 年的 11% 下降至去年的 4%,但在今年又回升至 12%。
正文
對(duì) OT 系統(tǒng)的威脅可能源于多種來源,包括敵對(duì)政府、恐怖組織、心懷不滿的員工、惡意入侵者、錯(cuò)綜復(fù)雜的事務(wù)、自然災(zāi)害、內(nèi)部人員的惡意行為以及人為錯(cuò)誤或未能遵守既定政策和程序等無意行為。
OT 系統(tǒng)在設(shè)計(jì)初期并未預(yù)見當(dāng)今瞬息萬變的數(shù)字世界所帶來的安全挑戰(zhàn)。它們?cè)诮ㄔ鞎r(shí)可能適用于某一時(shí)間和地點(diǎn),進(jìn)而在孤立的環(huán)境中實(shí)現(xiàn)安全運(yùn)營(yíng)。隨著周圍世界的快速變化,采用革命性的數(shù)字工具雖為企業(yè)帶來了諸多新的便利和創(chuàng)新功能,但同樣隨著網(wǎng)絡(luò)連接性的增加,各類網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也隨之而來。
OT環(huán)境特有風(fēng)險(xiǎn)
今年的問卷調(diào)查受訪者所提供的數(shù)據(jù)與先前的媒體報(bào)道相吻合,進(jìn)一步證實(shí)了OT攻擊正呈逐年上升趨勢(shì)。據(jù)Fortinet最新發(fā)布的《全球威脅態(tài)勢(shì)研究報(bào)告》顯示,去年下半年,針對(duì)工業(yè)控制系統(tǒng)(ICS)和OT的攻擊數(shù)量已呈逐步上升趨勢(shì),半數(shù)受訪組織均表示曾遭受漏洞利用攻擊(能源和公用事業(yè)部門淪為首要攻擊目標(biāo))。
組織切記OT系統(tǒng)對(duì)于攻擊者而言極具吸引力。有效的安全防護(hù)措施要求組織必須時(shí)刻保持高度警惕,并合理調(diào)配和分配相關(guān)資源,以確保安全策略的有效實(shí)施。入侵?jǐn)?shù)量的激增及其負(fù)面影響的持續(xù)惡化為各成熟度等級(jí)的組織提供了一個(gè)明確的信號(hào),即他們的OT系統(tǒng)在其中央網(wǎng)絡(luò)安全運(yùn)營(yíng)中并不具備全面可見性。
在制造業(yè)等關(guān)鍵行業(yè)中,當(dāng)遭遇網(wǎng)絡(luò)安全威脅時(shí),部分組織可能因業(yè)務(wù)連續(xù)性和運(yùn)營(yíng)的緊迫性而傾向于直接支付不法分子索要的贖金,這類贖金金額往往相對(duì)較高。在制造企業(yè)中,25% 的入侵事件索要的贖金高達(dá) 100 萬美元甚至更高。鑒于制造商的停機(jī)成本非常高昂,因此只能被迫向攻擊者支付贖金以求快速恢復(fù)正常運(yùn)營(yíng)。
OT 安全關(guān)鍵洞察
關(guān)鍵洞察 #1:組織已觀察到更多的威脅入侵?jǐn)?shù)量及其負(fù)面影響
今年的調(diào)查結(jié)果中,最重要見解是越來越多的組織正遭受數(shù)量龐大的攻擊。近三分之一(34%)的受訪者曾遭遇六次或更多次威脅入侵,高于 2023 年的 11%。同樣值得關(guān)注的是,除惡意軟件外,所有攻擊類型的入侵比例均有所提升。
入侵的后續(xù)影響對(duì)組織的影響也變得更糟。更多的受訪者表示,由于攻擊事件導(dǎo)致品牌知名度下滑。目前,美國(guó)證券交易委員會(huì)《網(wǎng)絡(luò)安全事件披露規(guī)定》等許多法規(guī)均要求企業(yè)組織及時(shí)公開發(fā)布入侵事件。7調(diào)查結(jié)果還顯示,由于泄露事件直接導(dǎo)致的負(fù)面結(jié)果,越來越多的組織泄露了關(guān)鍵業(yè)務(wù)數(shù)據(jù)并導(dǎo)致生產(chǎn)力降低。
關(guān)鍵見解 #2:OT 安全職責(zé)正逐步移交至高級(jí)管理層
OT 網(wǎng)絡(luò)安全的管理職責(zé)正從網(wǎng)絡(luò)安全 OT 總監(jiān)轉(zhuǎn)移至網(wǎng)絡(luò)工程/運(yùn)營(yíng)副總裁/總監(jiān)和首席信息安全官。隨著管理職責(zé)向執(zhí)行管理層的轉(zhuǎn)移, OT 安全已成為董事會(huì)層面更為關(guān)注的事項(xiàng)。我們還發(fā)現(xiàn),影響網(wǎng)絡(luò)安全決策的高層內(nèi)部管理者發(fā)生了有趣的轉(zhuǎn)變,OT 網(wǎng)絡(luò)安全的管理職責(zé)已從首席信息官轉(zhuǎn)向首席信息官/首席安全官、首席技術(shù)官和網(wǎng)絡(luò)工程運(yùn)營(yíng)副總裁/總監(jiān)。
關(guān)鍵洞察 #3:OT 網(wǎng)絡(luò)安全態(tài)勢(shì)正趨于成熟
在實(shí)施有效的網(wǎng)絡(luò)安全防護(hù)措施后,IT 基礎(chǔ)設(shè)施在 OT 系統(tǒng)上取得了巨大的領(lǐng)先優(yōu)勢(shì)。但 OT 安全態(tài)勢(shì)在成熟技術(shù)的兩端均取得了顯著進(jìn)展。在等級(jí) 1 中,20% 的組織表示已建立網(wǎng)絡(luò)分段并擁有適當(dāng)?shù)目梢娦裕ツ晖葍H為 13%。最高等級(jí)安全態(tài)勢(shì)成熟度(已具備編排和自動(dòng)化功能)的比例也顯示出同比增長(zhǎng),從 13% 增長(zhǎng)至 23%。
受訪者中,聲稱其中央網(wǎng)絡(luò)安全運(yùn)營(yíng)中心對(duì) OT 活動(dòng)具備 100% 可見性的組織比例顯著下降(從 10% 下降至 5%),而那些稱擁有約 75% 可見性的受訪者占比有所增加。這種經(jīng)過調(diào)整后的可見性置信度的變化,可能反映出 OT 安全成熟度正逐步提升。這意味著組織現(xiàn)在能夠更加清晰地洞察和把握自身的安全態(tài)勢(shì),即便去年許多組織安全事件數(shù)量激增,他們?nèi)钥赡苊媾R某些未知的安全盲點(diǎn)或不足。這種認(rèn)知的進(jìn)步和清晰的洞察力,為組織在未來進(jìn)一步完善和強(qiáng)化其安全策略提供了有力的支撐。
OT 專業(yè)人員持續(xù)擴(kuò)展其使用的網(wǎng)絡(luò)安全功能和協(xié)議范圍。今年,內(nèi)部網(wǎng)絡(luò)分段和安全意識(shí)培訓(xùn)和教育以及基于角色的訪問控制是增長(zhǎng)最顯著的領(lǐng)域。盡管這些投資顯示了組織在安全防護(hù)意識(shí)方面的顯著增強(qiáng),但今年攻擊者成功入侵的數(shù)量卻急劇上升,這凸顯了組織在應(yīng)對(duì)針對(duì) OT 系統(tǒng)數(shù)量激增的定向攻擊時(shí),仍需持續(xù)加大努力,以更有效地抵御日益復(fù)雜的網(wǎng)絡(luò)威脅。
一個(gè)更令人擔(dān)憂的成熟度趨勢(shì)表明,在更廣泛的風(fēng)險(xiǎn)評(píng)估框架中,OT 系統(tǒng)的影響地位正逐漸顯露出一種倒退的趨勢(shì)。受訪者表示,他們的 OT 安全態(tài)勢(shì)在確定其組織的整體風(fēng)險(xiǎn)評(píng)分方面的影響力越來越小。最值得關(guān)注的是,稱 OT 并非風(fēng)險(xiǎn)評(píng)分“影響因素”的受訪者同比顯著增加,從 2023 年的 1% 增加至 2024 年的 7%。
全球影響
如何衡量您組織的 OT 網(wǎng)絡(luò)安全防護(hù)是否成功?(排名前五項(xiàng))
組織選擇以多種方式衡量其OT網(wǎng)絡(luò)安全防護(hù)是否成功,但“對(duì)安全事件的響應(yīng)時(shí)間/恢復(fù)服務(wù)時(shí)間”已躍升為組織首要關(guān)注焦點(diǎn),近半數(shù)(46%)受訪者將其列為前三大成功因素。值得強(qiáng)調(diào)的是,組織正基于恢復(fù)運(yùn)營(yíng)情況來衡量安全防護(hù)是否成功。
無論這是否表明組織不愿意通過支付贖金來支持系統(tǒng)恢復(fù)作為首選策略,還是他們選擇迅速支付贖金以期望攻擊者能迅速允許他們恢復(fù)運(yùn)營(yíng),對(duì)于組織而言,做好從安全事件中恢復(fù)的準(zhǔn)備都是一個(gè)值得關(guān)注的見解。許多企業(yè)逐漸認(rèn)識(shí)到,網(wǎng)絡(luò)彈性已成為他們實(shí)現(xiàn)成功防護(hù)更為切實(shí)可行的目標(biāo)。這種彈性體現(xiàn)在確保系統(tǒng)能在最短時(shí)間內(nèi)恢復(fù)運(yùn)行,并最大限度地減少中斷時(shí)間,從而使企業(yè)能夠迅速應(yīng)對(duì)那些不可避免的威脅攻擊。
您目前擁有哪些網(wǎng)絡(luò)安全技術(shù)和安全功能?
為了增強(qiáng)對(duì)潛在網(wǎng)絡(luò)入侵的防御能力,OT 專業(yè)人員正積極擴(kuò)大其網(wǎng)絡(luò)安全策略和技術(shù)工具的應(yīng)用范圍。根據(jù)今年的調(diào)查反饋,幾乎所有類別的安全解決方案都呈現(xiàn)出持續(xù)的投資增長(zhǎng)趨勢(shì),這表明了組織對(duì)于提升網(wǎng)絡(luò)安全水平的堅(jiān)定決心。此外,內(nèi)部網(wǎng)絡(luò)分段解決方案、基于角色的訪問控制(RBAC)以及支持內(nèi)部安全意識(shí)培訓(xùn)和教育的計(jì)劃也受到了廣泛關(guān)注。
隨著 IT-OT 網(wǎng)絡(luò)的持續(xù)融合,組織需有效防范各類常見威脅非法訪問物理隔離環(huán)境下敏感的 OT 系統(tǒng)。實(shí)現(xiàn)這一目標(biāo),組織需具備全面的可見性、網(wǎng)絡(luò)分段和保護(hù)網(wǎng)絡(luò)邊界的能力,以及針對(duì) OT 系統(tǒng)基于用戶定義角色的訪問監(jiān)控和控制能力。將這些功能全面組合,便能夠建立零信任網(wǎng)絡(luò)安全架構(gòu),有效阻斷威脅入侵。
隨著網(wǎng)絡(luò)犯罪活動(dòng)的日益猖獗,管理層對(duì)于 OT 安全的關(guān)注度日益增長(zhǎng),對(duì)于該領(lǐng)域的支出也隨之不斷攀升。雖然增加投資無疑是一個(gè)積極的趨勢(shì),但針對(duì) OT 環(huán)境入侵的規(guī)模、復(fù)雜性和后續(xù)影響持續(xù)擴(kuò)大,這一趨勢(shì)表明組織亟需部署更多的資源以從容應(yīng)對(duì)攻擊數(shù)量激增的現(xiàn)狀,從而有效保護(hù) OT 系統(tǒng)。
最佳實(shí)踐
部署網(wǎng)絡(luò)分段
為有效減少威脅入侵,建立一個(gè)強(qiáng)化的 OT 環(huán)境,并在所有接入點(diǎn)上實(shí)施強(qiáng)大的網(wǎng)絡(luò)安全控制策略至關(guān)重要。這種可防御的 OT 架構(gòu)從創(chuàng)建網(wǎng)絡(luò)區(qū)域或分段開始。ISA/IEC 62443 等標(biāo)準(zhǔn)特別要求實(shí)施網(wǎng)絡(luò)分段以強(qiáng)制執(zhí)行 OT 和 IT 網(wǎng)絡(luò)之間的安全控制。11在選擇解決方案時(shí),安全團(tuán)隊(duì)還應(yīng)評(píng)估管理解決方案的整體復(fù)雜性,建議考慮具備集中管理能力的集成式或基于平臺(tái)的方法。
例如實(shí)施安全組網(wǎng)策略。從資產(chǎn)清單和網(wǎng)絡(luò)分段等基本步驟開始部署。然后考慮更高級(jí)別的控制措施,例如 OT 威脅防護(hù)和智能網(wǎng)絡(luò)微分段。
建立 OT 資產(chǎn)的可見性和補(bǔ)償式控制措施
組織需能夠全面查看和了解其 OT 網(wǎng)絡(luò)上的所有內(nèi)容。一旦建立了全面可見性,組織應(yīng)立即保護(hù)任何易受攻擊的設(shè)備。這需要專門為敏感的 OT 設(shè)備構(gòu)建保護(hù)性補(bǔ)償式控制。協(xié)議感知網(wǎng)絡(luò)策略、系統(tǒng)到系統(tǒng)交互分析和終端監(jiān)控等功能可有效檢測(cè)和防范易受攻擊的資產(chǎn)泄露。
將 OT 安全納入安全運(yùn)營(yíng)(SecOps)和事件響應(yīng)計(jì)劃
組織應(yīng)朝著 IT-OT 安全運(yùn)營(yíng)的方向發(fā)展。為實(shí)現(xiàn)組織的安全防護(hù)目標(biāo),我們必須明確認(rèn)識(shí)到 OT 安全在整體安全策略中的重要性,并將其納入安全運(yùn)營(yíng)和事件響應(yīng)計(jì)劃的具體考量因素之中。這主要是因?yàn)?OT 與 IT 環(huán)境之間存在著根本性的差異,這些差異不僅體現(xiàn)在設(shè)備類型的獨(dú)特性上,更在于 OT 漏洞利用攻擊對(duì)關(guān)鍵運(yùn)營(yíng)所可能產(chǎn)生的深遠(yuǎn)和廣泛的影響。
朝著這個(gè)方向邁出的首要關(guān)鍵步驟是擁有針對(duì)組織 OT 環(huán)境威脅防護(hù)的 Playbook。這種先進(jìn)的準(zhǔn)備工作將促進(jìn) IT 團(tuán)隊(duì)、OT 和生產(chǎn)團(tuán)隊(duì)之間更好的協(xié)作,以充分評(píng)估網(wǎng)絡(luò)和生產(chǎn)風(fēng)險(xiǎn),還可確保 CISO 具備適當(dāng)?shù)母兄芰Α⒚鞔_的優(yōu)先級(jí)設(shè)定能力、合理的預(yù)算分配權(quán)力以及靈活的人員調(diào)配能力,以確保其在信息安全領(lǐng)域更有效地履行職責(zé)。
建議采用平臺(tái)方法構(gòu)建整體安全架構(gòu)
為了應(yīng)對(duì)快速演變的 OT 威脅和不斷擴(kuò)大的攻擊面,許多組織已從不同的供應(yīng)商處疊加部署了各種安全解決方案。這種傳統(tǒng)方法不僅導(dǎo)致網(wǎng)絡(luò)架構(gòu)過于復(fù)雜,抑制了可見性,同時(shí)還為資源有限的安全團(tuán)隊(duì)帶來額外的工作負(fù)擔(dān)。
基于平臺(tái)的安全方法可幫助組織全面整合供應(yīng)商并簡(jiǎn)化其架構(gòu)。一款強(qiáng)大的安全平臺(tái),具備針對(duì)IT網(wǎng)絡(luò)和OT環(huán)境的特定功能,可提供解決方案集成以提高安全效率,同時(shí)實(shí)現(xiàn)集中管理以提高工作效率。通過集成各種安全工具、系統(tǒng)和流程,組織能夠?qū)崿F(xiàn)自動(dòng)化的威脅檢測(cè)、分析和響應(yīng),以加速阻斷各種安全威脅,降低潛在風(fēng)險(xiǎn)。
例如具備上下文感知生成式 AI 功能的安全平臺(tái)可幫助組織進(jìn)一步優(yōu)化安全態(tài)勢(shì),并通過對(duì)設(shè)備漏洞進(jìn)行故障排除和威脅狩獵分析等自動(dòng)化工具提高運(yùn)營(yíng)效
采用特定于 OT 領(lǐng)域的威脅情報(bào)和安全服務(wù)
OT 安全取決于對(duì)迫在眉睫的風(fēng)險(xiǎn)的及時(shí)感知和精準(zhǔn)分析。基于平臺(tái)的安全架構(gòu)還應(yīng)采用前沿威脅情報(bào),實(shí)時(shí)防范最新威脅、攻擊變體,避免威脅暴露風(fēng)險(xiǎn)。為了確保 OT 環(huán)境安全,組織需確保其威脅情報(bào)和內(nèi)容來源中已包含專門針對(duì) OT 領(lǐng)域的可靠情報(bào)源和服務(wù)。
例如威脅情報(bào)和安全服務(wù)應(yīng)包括專門的入侵防御系統(tǒng)簽名,以有效檢測(cè)和阻斷針對(duì) OT 應(yīng)用程序和設(shè)備的惡意流量。
總結(jié)
OT 對(duì)于全球各地的企業(yè)和政府而言至關(guān)重要,因?yàn)樗依岁P(guān)鍵基礎(chǔ)設(shè)施、醫(yī)療保健系統(tǒng)和制造運(yùn)營(yíng)系統(tǒng)。OT 和 ICS 系統(tǒng)不可或缺的性質(zhì)恰恰使它們面臨更高的安全風(fēng)險(xiǎn)。據(jù) NIST 稱,OT 安全目標(biāo)通常優(yōu)先考慮完整性和可用性,其次是機(jī)密性,但隨著 OT 網(wǎng)絡(luò)環(huán)境的急劇惡化,組織也應(yīng)將 OT 安全視為首要任務(wù)。
正如《2024 年運(yùn)營(yíng)技術(shù)與網(wǎng)絡(luò)安全態(tài)勢(shì)研究報(bào)告》顯示,有積極跡象表明,OT安全在許多組織中正趨于成熟。然而,與此同時(shí),相比前一年所觀察到的一些進(jìn)展情況,本次問卷調(diào)查的結(jié)果顯示呈下滑趨勢(shì),組織遭遇更多次的威脅入侵,OT在確定風(fēng)險(xiǎn)評(píng)分方面變得不那么重要。為了扭轉(zhuǎn)這些頹勢(shì),必須重新宣傳保護(hù)敏感的OT系統(tǒng),并為有效的、專門構(gòu)建的安全架構(gòu)合理分配資源。
參考來源:https://www.fortinet.com/content/dam/fortinet/assets/reports/report-state-ot-cybersecurity.pdf
