随着 OT 组织不断在其业务环境中集成各种数字工具和技术,它们面临的安全挑战也日益变得愈加复杂和多样化。正如 NIST 指出, “虽然安全解决方案旨在解决典型 IT系统中的一些问题,但将这些相同的解决方案引入不同的 OT 环境时,必须采取特殊的预防措施。在某些情况下,需针对 OT 环境量身定制新的安全解决方案。”
报告显示,在过去 12 个月间,组织在 OT 安全态势以及对基本工具和能力的投资方面取得了显著的进展。然而,在后 IT/OT 融合环境中,要有效管理日益频发的威胁攻击,组织的网络安全防护能力仍存在巨大提升空间。
三大趋势
- 在过去的一年间,威胁入侵频次及其对组织的负面影响均有所提升。
- OT 网络安全的管理责任正逐渐提升至执行管理层。
- 关键领域的 OT 安全态势正趋于成熟,但仍是一项亟待组织进一步关注并投入努力的工作。
关键要点
1.网络安全事件
近三分之一(31%)的受访者表示曾遭受六次以上威胁入侵,而去年这一占比仅11%。值得关注的是,那些已具备高级成熟度的组织,期间报告称遭受的入侵频次更高。与上一年相比,虽然各类入侵事件数量均呈现出增长趋势,但恶意软件攻击数量却呈现出下降趋势。网络钓鱼和商业电子邮件攻击是目前最常见的两大入侵类型,而移动安全漏洞和网络入侵则是不法分子最常用的两大攻击技术。
2.入侵影响
在所有受攻击影响的类别中,OT(运营技术)入侵所带来的不良后果正逐渐加剧,给相关系统和设施带来了日益严重的挑战。超半数受访者(52%)表示品牌知名度的下滑趋势正急剧上升,高于 2023 年的的 34%。
3.OT 如何影响网络安全
受访者中,声称其中央网络安全运营中心对 OT 活动具备 100% 可见性的组织比例显著下降(从 2022 年的 13% 到 2023 年的10%,再到今年的 5%)。这可能是因为在组织的 OT 安全态势趋向成熟的过程中,逐渐意识到其安全可见性中仍存在一定的盲区或不足。
4.人员安全
成熟度提高的另一个明显迹象是受访者中,由 CISO(首席信息安全官)推动 OT 安全发展的组织数量稳步增长,从 2022 年的 10% 到 2023 年的 17%,再到今年的 27%。与此同时,我们还看到去年的趋势发生了逆转,那些不打算在未来 12 个月内将 OT 安全管理权移交至 CISO 的组织,从 2022 年的 11% 下降至去年的 4%,但在今年又回升至 12%。
正文
对 OT 系统的威胁可能源于多种来源,包括敌对政府、恐怖组织、心怀不满的员工、恶意入侵者、错综复杂的事务、自然灾害、内部人员的恶意行为以及人为错误或未能遵守既定政策和程序等无意行为。
OT 系统在设计初期并未预见当今瞬息万变的数字世界所带来的安全挑战。它们在建造时可能适用于某一时间和地点,进而在孤立的环境中实现安全运营。随着周围世界的快速变化,采用革命性的数字工具虽为企业带来了诸多新的便利和创新功能,但同样随着网络连接性的增加,各类网络安全风险也随之而来。
OT环境特有风险
今年的问卷调查受访者所提供的数据与先前的媒体报道相吻合,进一步证实了OT攻击正呈逐年上升趋势。据Fortinet最新发布的《全球威胁态势研究报告》显示,去年下半年,针对工业控制系统(ICS)和OT的攻击数量已呈逐步上升趋势,半数受访组织均表示曾遭受漏洞利用攻击(能源和公用事业部门沦为首要攻击目标)。
组织切记OT系统对于攻击者而言极具吸引力。有效的安全防护措施要求组织必须时刻保持高度警惕,并合理调配和分配相关资源,以确保安全策略的有效实施。入侵数量的激增及其负面影响的持续恶化为各成熟度等级的组织提供了一个明确的信号,即他们的OT系统在其中央网络安全运营中并不具备全面可见性。
在制造业等关键行业中,当遭遇网络安全威胁时,部分组织可能因业务连续性和运营的紧迫性而倾向于直接支付不法分子索要的赎金,这类赎金金额往往相对较高。在制造企业中,25% 的入侵事件索要的赎金高达 100 万美元甚至更高。鉴于制造商的停机成本非常高昂,因此只能被迫向攻击者支付赎金以求快速恢复正常运营。
OT 安全关键洞察
关键洞察 #1:组织已观察到更多的威胁入侵数量及其负面影响
今年的调查结果中,最重要见解是越来越多的组织正遭受数量庞大的攻击。近三分之一(34%)的受访者曾遭遇六次或更多次威胁入侵,高于 2023 年的 11%。同样值得关注的是,除恶意软件外,所有攻击类型的入侵比例均有所提升。
入侵的后续影响对组织的影响也变得更糟。更多的受访者表示,由于攻击事件导致品牌知名度下滑。目前,美国证券交易委员会《网络安全事件披露规定》等许多法规均要求企业组织及时公开发布入侵事件。7调查结果还显示,由于泄露事件直接导致的负面结果,越来越多的组织泄露了关键业务数据并导致生产力降低。
关键见解 #2:OT 安全职责正逐步移交至高级管理层
OT 网络安全的管理职责正从网络安全 OT 总监转移至网络工程/运营副总裁/总监和首席信息安全官。随着管理职责向执行管理层的转移, OT 安全已成为董事会层面更为关注的事项。我们还发现,影响网络安全决策的高层内部管理者发生了有趣的转变,OT 网络安全的管理职责已从首席信息官转向首席信息官/首席安全官、首席技术官和网络工程运营副总裁/总监。
关键洞察 #3:OT 网络安全态势正趋于成熟
在实施有效的网络安全防护措施后,IT 基础设施在 OT 系统上取得了巨大的领先优势。但 OT 安全态势在成熟技术的两端均取得了显著进展。在等级 1 中,20% 的组织表示已建立网络分段并拥有适当的可见性,而去年同比仅为 13%。最高等级安全态势成熟度(已具备编排和自动化功能)的比例也显示出同比增长,从 13% 增长至 23%。
受访者中,声称其中央网络安全运营中心对 OT 活动具备 100% 可见性的组织比例显著下降(从 10% 下降至 5%),而那些称拥有约 75% 可见性的受访者占比有所增加。这种经过调整后的可见性置信度的变化,可能反映出 OT 安全成熟度正逐步提升。这意味着组织现在能够更加清晰地洞察和把握自身的安全态势,即便去年许多组织安全事件数量激增,他们仍可能面临某些未知的安全盲点或不足。这种认知的进步和清晰的洞察力,为组织在未来进一步完善和强化其安全策略提供了有力的支撑。
OT 专业人员持续扩展其使用的网络安全功能和协议范围。今年,内部网络分段和安全意识培训和教育以及基于角色的访问控制是增长最显著的领域。尽管这些投资显示了组织在安全防护意识方面的显著增强,但今年攻击者成功入侵的数量却急剧上升,这凸显了组织在应对针对 OT 系统数量激增的定向攻击时,仍需持续加大努力,以更有效地抵御日益复杂的网络威胁。
一个更令人担忧的成熟度趋势表明,在更广泛的风险评估框架中,OT 系统的影响地位正逐渐显露出一种倒退的趋势。受访者表示,他们的 OT 安全态势在确定其组织的整体风险评分方面的影响力越来越小。最值得关注的是,称 OT 并非风险评分“影响因素”的受访者同比显著增加,从 2023 年的 1% 增加至 2024 年的 7%。
全球影响
如何衡量您组织的 OT 网络安全防护是否成功?(排名前五项)
组织选择以多种方式衡量其OT网络安全防护是否成功,但“对安全事件的响应时间/恢复服务时间”已跃升为组织首要关注焦点,近半数(46%)受访者将其列为前三大成功因素。值得强调的是,组织正基于恢复运营情况来衡量安全防护是否成功。
无论这是否表明组织不愿意通过支付赎金来支持系统恢复作为首选策略,还是他们选择迅速支付赎金以期望攻击者能迅速允许他们恢复运营,对于组织而言,做好从安全事件中恢复的准备都是一个值得关注的见解。许多企业逐渐认识到,网络弹性已成为他们实现成功防护更为切实可行的目标。这种弹性体现在确保系统能在最短时间内恢复运行,并最大限度地减少中断时间,从而使企业能够迅速应对那些不可避免的威胁攻击。
您目前拥有哪些网络安全技术和安全功能?
为了增强对潜在网络入侵的防御能力,OT 专业人员正积极扩大其网络安全策略和技术工具的应用范围。根据今年的调查反馈,几乎所有类别的安全解决方案都呈现出持续的投资增长趋势,这表明了组织对于提升网络安全水平的坚定决心。此外,内部网络分段解决方案、基于角色的访问控制(RBAC)以及支持内部安全意识培训和教育的计划也受到了广泛关注。
随着 IT-OT 网络的持续融合,组织需有效防范各类常见威胁非法访问物理隔离环境下敏感的 OT 系统。实现这一目标,组织需具备全面的可见性、网络分段和保护网络边界的能力,以及针对 OT 系统基于用户定义角色的访问监控和控制能力。将这些功能全面组合,便能够建立零信任网络安全架构,有效阻断威胁入侵。
随着网络犯罪活动的日益猖獗,管理层对于 OT 安全的关注度日益增长,对于该领域的支出也随之不断攀升。虽然增加投资无疑是一个积极的趋势,但针对 OT 环境入侵的规模、复杂性和后续影响持续扩大,这一趋势表明组织亟需部署更多的资源以从容应对攻击数量激增的现状,从而有效保护 OT 系统。
最佳实践
部署网络分段
为有效减少威胁入侵,建立一个强化的 OT 环境,并在所有接入点上实施强大的网络安全控制策略至关重要。这种可防御的 OT 架构从创建网络区域或分段开始。ISA/IEC 62443 等标准特别要求实施网络分段以强制执行 OT 和 IT 网络之间的安全控制。11在选择解决方案时,安全团队还应评估管理解决方案的整体复杂性,建议考虑具备集中管理能力的集成式或基于平台的方法。
例如实施安全组网策略。从资产清单和网络分段等基本步骤开始部署。然后考虑更高级别的控制措施,例如 OT 威胁防护和智能网络微分段。
建立 OT 资产的可见性和补偿式控制措施
组织需能够全面查看和了解其 OT 网络上的所有内容。一旦建立了全面可见性,组织应立即保护任何易受攻击的设备。这需要专门为敏感的 OT 设备构建保护性补偿式控制。协议感知网络策略、系统到系统交互分析和终端监控等功能可有效检测和防范易受攻击的资产泄露。
将 OT 安全纳入安全运营(SecOps)和事件响应计划
组织应朝着 IT-OT 安全运营的方向发展。为实现组织的安全防护目标,我们必须明确认识到 OT 安全在整体安全策略中的重要性,并将其纳入安全运营和事件响应计划的具体考量因素之中。这主要是因为 OT 与 IT 环境之间存在着根本性的差异,这些差异不仅体现在设备类型的独特性上,更在于 OT 漏洞利用攻击对关键运营所可能产生的深远和广泛的影响。
朝着这个方向迈出的首要关键步骤是拥有针对组织 OT 环境威胁防护的 Playbook。这种先进的准备工作将促进 IT 团队、OT 和生产团队之间更好的协作,以充分评估网络和生产风险,还可确保 CISO 具备适当的感知能力、明确的优先级设定能力、合理的预算分配权力以及灵活的人员调配能力,以确保其在信息安全领域更有效地履行职责。
建议采用平台方法构建整体安全架构
为了应对快速演变的 OT 威胁和不断扩大的攻击面,许多组织已从不同的供应商处叠加部署了各种安全解决方案。这种传统方法不仅导致网络架构过于复杂,抑制了可见性,同时还为资源有限的安全团队带来额外的工作负担。
基于平台的安全方法可帮助组织全面整合供应商并简化其架构。一款强大的安全平台,具备针对IT网络和OT环境的特定功能,可提供解决方案集成以提高安全效率,同时实现集中管理以提高工作效率。通过集成各种安全工具、系统和流程,组织能够实现自动化的威胁检测、分析和响应,以加速阻断各种安全威胁,降低潜在风险。
例如具备上下文感知生成式 AI 功能的安全平台可帮助组织进一步优化安全态势,并通过对设备漏洞进行故障排除和威胁狩猎分析等自动化工具提高运营效
采用特定于 OT 领域的威胁情报和安全服务
OT 安全取决于对迫在眉睫的风险的及时感知和精准分析。基于平台的安全架构还应采用前沿威胁情报,实时防范最新威胁、攻击变体,避免威胁暴露风险。为了确保 OT 环境安全,组织需确保其威胁情报和内容来源中已包含专门针对 OT 领域的可靠情报源和服务。
例如威胁情报和安全服务应包括专门的入侵防御系统签名,以有效检测和阻断针对 OT 应用程序和设备的恶意流量。
总结
OT 对于全球各地的企业和政府而言至关重要,因为它囊括了关键基础设施、医疗保健系统和制造运营系统。OT 和 ICS 系统不可或缺的性质恰恰使它们面临更高的安全风险。据 NIST 称,OT 安全目标通常优先考虑完整性和可用性,其次是机密性,但随着 OT 网络环境的急剧恶化,组织也应将 OT 安全视为首要任务。
正如《2024 年运营技术与网络安全态势研究报告》显示,有积极迹象表明,OT安全在许多组织中正趋于成熟。然而,与此同时,相比前一年所观察到的一些进展情况,本次问卷调查的结果显示呈下滑趋势,组织遭遇更多次的威胁入侵,OT在确定风险评分方面变得不那么重要。为了扭转这些颓势,必须重新宣传保护敏感的OT系统,并为有效的、专门构建的安全架构合理分配资源。
参考来源:https://www.fortinet.com/content/dam/fortinet/assets/reports/report-state-ot-cybersecurity.pdf