ICS安全报告：行业安全态势有所改善 但仍有两大方面出现倒退

Nozomi Networks发布的2021年版SANS 2021 OT/ICS网络安全报告证实，工业运营面临的威胁在数量和严重程度上都在上升，但相应的是也能看到组织的安全能力也在扩大，以应对这些威胁。

然而，即使91%的企业现在在OT环境中使用某种云技术，也无法保证安全防护的能力能够全面的增长。48%的受访组织表示，他们无法确定自己没有被入侵，约25%的组织在过去一年中没有进行过安全审计。此外，约23%的企业表示，他们没有OT的安全预算。

ICS网络安全监控总体呈上升趋势

但威胁检测的鸿沟扩大

正如首字母缩写所暗示的那样，每两年发布一次的ICS网络安全报告提供了一个深入的视角，让我们了解到利用ICS和OT的组织是如何跟上现代威胁形势的。

今年的报告调查了多个行业的480家集成ICS系统的企业。与之前的ICS网络安全报告(2019年)中接受调查的企业相比增加了近50%，持有与这些系统相关安全认证的受访者增加了16%。

JBS和Colonial Pipeline事件清楚地表明，ICS安全需要成为这些组织优先关注的问题，但调查显示，在这些高级别的事件之前，ICS安全意识就已经提高了。与2019年相比，排名上升最多的担忧是需要确保工业设备和外部系统之间的连接，它的排名上升了6位。对于防止信息泄露、创建/管理安全策略和程序的关注也大幅增加。

然而，安全意识和安全态势的改善仍然不尽如人意，甚至出现倒退。调查发现，超过23%的组织没有工业系统的安全预算，高于2019年的9.9%。另外19.1%的受访者支出低于10万美元，也高于2019年ICS网络安全报告中的数据。

对一些组织来说，另一个显示出倒退的领域是互联网和工业控制之间的联系。41.5%的人报告称公共互联网与这些系统之间存在直接连接，高于2019年ICS网络安全报告中的11.5%。与互联网隔离的人要少得多，现在是8.2%，而两年前是27.9%。使用OT DMZ系统保护连接到企业网络的数量略有增加，但使用DMZ系统保护OT系统不受互联网影响的企业数量从43%下降到23%。当工业系统必须连接到互联网时，DMZ通常被安全专家推荐为最佳实践。

15%的受访者表示，在过去一年中，他们曾经历过OT系统被攻破的情况。在那些没有被渗透的企业中，只有12%的受访人完全相信他们在那段时间内没有被渗透(24%的人受限于企业规定要求原因选择不披露)。38.7%的受访人说他们不知道有黑客入侵，但也不能确定是否被攻破。约3%的人怀疑有，但没有证据，2.5%的人说他们没有相关技术来评估。

这份最新的ICS网络安全报告中提供的数据还表明，对工业系统造成运营中断的攻击被低估了。90%报告有漏洞的受访者表示对系统的运行过程产生了一定程度的影响。最常见的初始攻击载体是外部远程服务(36.7%)、面向公众的应用(32.7%)和网络连接的互联网可访问设备(28.6%)。

ICS网络安全面临的最大挑战和担忧

该调查还包含受访者在保护ICS和OT系统安全方面面临的最大挑战。59.4%的受访者表示，最主要的担忧是遗留和老化的OT技术难以与现代系统集成。56%的受访者表示存在有人力上的问题，52%的受访者则认为是IT员工对这些系统不够熟悉。39.6%的人认为他们的环境对于典型的IT安全技术来说太复杂了。

当发现违规或感染恶意程序时，组织主要依靠外部的供应商作出反应；48%的人会首先联系网络安全解决方案提供商，40%的人会联系IT顾问，32%的人会联系控制系统供应商。只有44%的人认为内部IT资源是第一道防线。

就令人担忧的领域而言，勒索软件排名第一，这一点并不出人意料。然而，越来越多的企业担心自己会成为有着国家背景的黑客组织的目标，他们也对连接到网络的物联网(IoT)智能设备表示了相对较高的担忧。

Nozomi Networks的技术专员克里斯•格罗夫对企业们积极的转向云服务表示惊讶，但也对许多公司普遍缺乏准备的表现更加惊讶。他建议通过对网络安全风险的系统评估、安全演练和降低不良后果的策略来解决勒索软件的主要问题。相比之下，他不认为处理事件响应的内部IT资源和安全从业者的相对缺乏是一个大问题。“我很高兴看到的一件事是，大多数ICS安全评估都是由最有资格做这些工作的专业人员完成的。四分之三的受访者要么使用他们内部的IT或OT团队，要么聘请了外部的专业安全顾问。报告中另一个很好的发现是，近90%的受访者在意向产品的采购过程中进行了网络安全评估。这将有助于提高市场中这些产品的安全性，因为如果供应商生产的产品存在网络安全问题，他们就会被拒之门外。”

报告作者马克•布里斯托(Mark Bristow)从数据中指出了一些特别的亮点。“我在报告结果中发现了三件引人注目的事情。一是云技术在运营方面的应用水平是惊人的。两年前，云计算的应用还没有被认真讨论过，但现在有49%的受访者表示正在使用；二是事件可见度和对安全建设的信心不高。48%的受访者无法证明他们没有发生过安全事故。此外，这些事件中有90%对运营有一定程度的影响；三是18%的事故涉及工程工作站。这是一件至关重要的设备，把它卷入这么多事故中是令人不安的。”

The End

// 推荐阅读