OT 安全状况 ： 趋势、风险和网络弹性综合指南

执行摘要 工业运营正日益受到威胁。OT攻击是常见的，广泛的，并且非常频繁。这些攻击主要是IT攻击，特别是勒索软件在过去几年对工业环境产生了破坏性影响。业务影响是直接和重大的，迫使运营关闭，收入损失和重大补救成本。这种状况将网络安全推到了工业运营商议程的首位。 TABLEOFCONTENTS OT网络安全支出预计将在未来两年内增长，但实施正确的解决方案绝非易事。工业运营商需要克服许多障碍，尤其是OT和IT团队的孤立运营以及他们在网络安全决策和合作方面的错位。然而，两者的融合正在进展，尽管进展缓慢，大多数工业运营商希望网络安全决策能够集中于IT和OT。 一个不断变化的时代工业运营商3 OT和IT：孤立但走向收敛9 除此之外，工业运营商将需要解决该领域即将出台的法规和标准日益增长的合规性要求，以及采用新技术和流程所带来的风险，包括人工智能、远程访问、云、5G和机器人技术。所有这些都构成了自己独特的挑战。尽管如此，它们还提供了为OT环境实施网络安全技术的新方法。 作为一个驱动安全部队11 最终，工业运营商意识到需要使网络安全适应当今的新需求，这将推动他们朝着零信任实施的方向发展。成功部署的关键将是选择合适的提供商，尤其是在OT和IT环境中都具有专业知识的提供商，能够为两个世界提供最佳的安全性。 AI：双刃OT 13剑 新兴技术可以增强OT安全性，但挑战持续16 吸取的五大教训工业运营商23 工业经营者的变革时代 运营技术（OT）团队曾经感到抵御工业运营中的网络攻击，因为他们的空中系统，遗留资产，专有技术，分散的终端市场等。但是，在过去的几年中，叙述发生了很大变化；考虑到许多新闻头条报道了对工业公司的各种OT攻击。以2020年本田受到的EKANS勒索软件攻击为例，迫使全球多个工厂停工。或者看看2022年卫星攻击破坏了德国5800台风力涡轮机的运行。其他成功的攻击包括对乌克兰能源公司使用的变电站的Idstroyer2恶意软件攻击，以及2021年臭名昭著的殖民地管道关闭。最近的袭击告诉我们什么。 是网络威胁的有增无减的扩张已经找到了侵入现代组织的每个角落的方法，工业运营也不例外。 为了说明这一点，四分之三的组织表示他们在OT环境中经历了网络攻击，其中大多数经历了免费攻击。考虑到工业部门数字化转型的加速，这一趋势是有道理的。尽管恶意行为者有广泛的动机来针对工业公司的OT操作，但对这些公司的成功攻击具有巨大的财务或政治潜力。制造工厂不能关闭几天甚至几周；这将是一场商业灾难。同样，如果铁路关闭或电网变暗，现代社会将无法运转。工业运营的高风险性质意味着保护OT环境不仅对业务连续性至关重要，而且对国家安全也至关重要。 4个组织中有3个经历过网络攻击他们的OT环境。 值得注意的是，10个工业OT攻击中有7个来自信息技术（IT）环境，这表明OT和IT部门和技术迫切需要开始更紧密地合作。OT - IT融合将结束现有的孤岛，并使组织能够购买同时解决两个部门的网络安全工具。随着工业公司采用对网络环境构成新风险的新技术，两者之间的紧密合作将非常重要。人工智能（AI），机器人，5G，云和远程访问将加速整体网络保护方法可以缓解的挑战。 了解威胁情况是第一步。这是由政治冲突中的对手驱动的，还是有组织犯罪的机会越来越多，而以前没有这样的机会？答案不是非黑即白。威胁行为者参与了各种各样的活动，其中许多可能会重叠：针对关键基础设施的财务机会之所以出现，是因为它们的联系越来越紧密，或者是因为政府对曾经禁止进入的目标视而不见。原因是无穷无尽和复杂的。 了解目标以及威胁格局对建立有效的防御大有帮助。 为了更好地了解当今OT环境的危险和风险，Palo Alto Networs委托对16个不同终端市场的1, 979名受访者进行了一项全球调查，目的是调查OT安全状况，并为大型工业组织的高级管理人员和从业人员提供动力。调查问题涉及主要主题，包括工业运营的风险和保护和发病率响应的组织方法，以及适用解决方案方面的趋势，偏好和要求。 OT是一个高配置文件和今天网络威胁参与者的有利可图的目标。 这项调查全面揭示了一些有趣的发现，但最大、最响亮的信息是，OT是当今网络威胁参与者的一个高调和幸运的目标，工业运营商在适当保护他们的OT环境方面仍然有很多障碍需要克服。 关键发现• 网络攻击可以关闭OT操作。近70％的工业组织在过去经历过网络攻击一年，四分之一的人因此经历了运营关闭。•网络罪犯是最可怕的，比国家赞助的团体或黑客主义者更重要。恶意软件，勒索软件和内部攻击是工业运营商的三大威胁。•它是主要的载体，72%的攻击是针对OT的。•对OT的监管压力越来越大；74%的高管认为这将在未来两年内增加。•5G安全将变得至关重要。70%的受访者认为5G设备是OT威胁载体。•迁移到云将加强OT安全性，根据80％的受访者。•AI是一把双刃剑。74％的人表示，针对OT的AI攻击是当今的关键问题，但十分之八的人也同意AI将是关键停止OT攻击。•OT和IT之间的摩擦是一个挑战。40%的人说他们的OT和IT团队有摩擦，只有12%的人说他们是一致的。•IT/OT平台化的重要性：十分之七的受访者明确表示他们打算整合来自同一网络安全供应商的IT和OT解决方案。•增加远程访问是一个主要问题：3 / 4同意员工和第三方的远程访问都在增加。•零信任是北极星：87％的行业受访者认为零信任是确保安全的正确方法OT环境。 OT攻击常见，广泛传播，而且非常频繁！ 最令人震惊的发现之一在早期揭示了 调查是超过76%的受访者表示，他们的组织在OT中经历过网络攻击环境。 这完全消除了工业运营对网络威胁免疫的幻想。今天，它们是一个真实而共同的目标，最近几年媒体报道的高调攻击证明了这一点。这些攻击只是冰山一角。显然，绝大多数工业运营商已经感受到了以OT为目标的攻击的热度。 最担心的针对OT的三大攻击是恶意软件，勒索软件和内部攻击。从Stxet到Locbit，威胁格局已经从针对特定对手的定制OT恶意软件演变为IT承载的，在工业组织中不加区别地利用的高度流行的勒索软件。勒索和有组织犯罪已取代国家赞助的战争游戏，成为对工业运营商的最大威胁。 勒索软件在今天尤为突出，DarkSide、BlackCat和Ryuk等集团已经成功突破了IT - OT差距，以瞄准OT环境，在公用事业和能源部门。由于支付了高额费用（Colonial Pipeline的费用为440万美元），勒索软件攻击是网络犯罪的一个有利可图的机会。 结果，OT环境中的网络攻击已成为一个反复出现的问题。压倒性的75％的受访者报告了频繁的攻击，通常是每月一次，也是每周一次和每天一次。这揭示了一个动态的网络犯罪生态系统的存在，该生态系统显然很好地针对OT环境。 供应链攻击是一个越来越成问题的威胁，成功地用于针对更多的组织。随着工业运营商在他们的OT中使用更多的商业现成解决方案，爆炸半径可能是巨大的和高度破坏性的。 工业运营商的见解“评估和验证供应链供应商。” 这是最受欢迎的攻击入口点 勒索软件的成功反映在调查答复中，这表明这些攻击的主要起源是IT。媒体对勒索软件的高调报道以及它起源于IT环境的事实证实了这一点。显然，勒索软件攻击已经克服了与OT环境的感知隔离有关的障碍。 不幸的是，这一成功意味着可以现实地利用普通的网络威胁工具和攻击来瞄准OT，并为各种恶意机会主义者打开大门，他们热衷于利用表面上脆弱的OT环境。 商业影响是明确的、立即的和主要的 毫无疑问，高成功率将转化为OT环境对威胁行为者，特别是对有组织犯罪的势头增加和更大的吸引力。 不幸的是，这些攻击产生了重大而直接的业务影响，至少有四分之一的受访者表示，由于成功的攻击，他们不得不在去年关闭工业运营，无论是作为先发制人的措施还是由于实际中断。关闭意味着失去收入机会，以及损害控制和事件补救成本，这可能包括额外的安全技术和服务，与客户和供应商的沟通，执法和公共关系。长期成本可以包括声誉损害、监管罚款、更高的保险费、以及由于延迟或未交付而导致的供应商和客户成本等。 工业运营商的见解“通过定期演习和模拟提高事件响应技能。”“定期测试和更新事件响应手册。 ” 网络安全投资是一个重要的优先事项 这种危险的状态促使工业运营商越来越关注其OT环境的安全性。对于近三分之二的受访者来说，保护他们的OT环境是一个高度优先事项，而且不太可能被忽视。投资OT网络安全在财务上是可行的，因为连接资产（OT /物联网（IoT））的单个漏洞修复的估计平均成本在10, 000美元至50, 000美元之间。 毫无疑问，网络安全计划是最大程度地减少威胁参与者带来的网络风险的关键，而实现积极的保护机制需要将这些计划作为优先事项。这包括OT安全评估；运营商准备得越好，他们对事件进行补救的速度就越快，并且影响的总成本就越低。 OT网络安全支出将继续是优先事项。预计未来两年会有所增长,根据超过一半的受访者的说法。很少-实际上不到5％-预期支出会减少。 当前的威胁格局与工业运营商应对网络安全策略和投资的优先次序之间存在明显的相关性。当前威胁格局集中并定期参与针对OT资产的攻击。但是，这些策略的成功取决于全面和协调的内部部署，这绝非易事。 OT和IT：沉默但向收敛性移动 工业运营商已经清楚地认识到网络安全是OT环境的要求。由于大量攻击源于IT，因此OT和IT团队必须共同努力应对威胁。然而，调查显示，在两者之间实现协调响应存在障碍，特别是在安全投资方面。 OT和IT之间的错误决策 当被问及OT网络安全购买决策的责任时，受访者的答案千差万别。 只有40％的受访者表示这些决定在两个团队之间共享。 在大多数情况下，这个决定只是一个团队的特权，但尽管这些都是孤立的，但几乎一半的人表示他们在这个过程中产生了影响。 这种差异是由于这两个团队的历史角色造成的：IT传统上负责整个公司的安全，而OT直到最近才呼吁关注这一点，而是关注工业运营。 今天-谁为您的公司做出OT网络安全的购买决策，您是否希望在未来2年内做出决策？ 当被问及他们预计将如何在两年内做出决定时，几乎三分之二的人表示他们可能会集中，而另外三分之一的人则希望在本地化和替代集中之间平均分配。这表明，尽管显然可以预期融合，但这不会是一个快速的过程，而且该过程仍处于起步阶段。 在安全性方面协调决策过程需要两个团队之间的沟通：AP上的IT -制定应对威胁的解决方案，并根据OT资产的特定限制和约束进行OT。 IT和OT协作需要更好 在很大程度上，这种缓慢的融合是由于两个团队在建立有效的对话以实现成功的合作方面存在困难。当被问及在网络安全工作中描述OT和IT之间的关系时，57%的人表示，这要么是完全孤立的，要么是摩擦的。换句话说，他们表示这两个群体很少联系，当他们联系时，他们的观点并不一致，难以做出决定。 最终，这种协调困难是阻碍成功部署和行动的重大障碍 OT网络安全。零敲碎打的网络安全方法对IT和OT都没有帮助，无论投资的解决方案的口径如何，都会导致脆弱的OT资产持续暴露。虽然内部合作是建立协调一致的安全应对措施的关键，但从监管和新兴技术的角度来看，有外部驱动力将支持这种最终融合，推动内部对话。 以下哪一项最好地描述了OT和IT在网络安全方面的当前关系？ 工业运营商的见解 “促进OT和IT部门之间的合作。”“通过联合培训，事件响应练习和分担责任来弥合知识差距。” 作为驱动安全力量的监管 监管可以成为推动安全投资的强大催化剂。它迫使组织进行风险评估，开发网络安全战略，并提高对与无视或不遵守这些立法授权相关的潜在风险的认识。保护关键基础设施是任何国家的基本特权，这延伸到其OT环境。越来越多的监管工具已经生效，以保护关键基础设施中的OT。但是，针对OT的攻击的新激增正在推动政府重新关注监管重点，超出关键基础设施。 OT安全的监管压力上升 77%的受访者确定的一个重要驱动因素是未来两年监管压力的预期增加保护OT环境，特别是在关