2024年控制系统网络安全年度报告

主席致辞 执行摘要 这些出版物来自国际控制系统网络安全协会（又称(CS)AI），其拥有近3,4000名成员的社区和数十个战略联盟伙伴的研究。 在(CS)AI创始人兼董事长Derek Harp和联合创始人兼总裁Bengt Gregory-Brown领导的数十年网络安全调查开发、研究和分析的基础上，(CS)AI团队邀请我们的全球成员和我们扩展社区中的数千名其他人参加。 几乎一半的响应组织（49%）仍然没有ICS/OT网络安全计划，或者只有基本的网络安全计划，缺乏既定的计划、程序或能力改进过程。 通过询问关键问题，了解他们在运营、保护和维护运营技术（OT）系统和资产的第一线的经验，这些系统和资产耗资数百万至数十亿美元的资本支出，对持续收入产生同等或更多的影响，并影响全世界个人的日常生活和企业的业务运营。其中超过630人对我们的初步调查做出了回应，更多人参与了我们通过正在进行的(CS)教育计划开展的额外数据收集工作。 不同组织级别的受访者在分配额外酌处权资金方面的优先事项大相径庭，这就提出了他们的动机是否一致以及他们的目标为何不同的问题。 对控制系统网络活动的全面监控正在增加，在过去一年中增加了80%。 我们评估了来自企业网络、互联网、云以及集成商/供应商的许多控制系统组件 （PLC、IED、RTU、HMI、服务器、工作站和Historian）的可访问性。在这一领域，拥有高成熟度项目的组织和拥有低成熟度项目的组织之间通常没有什么区别。 该数据池以匿名方式提交，以确保排除可能影响参与者反应的考虑因素，从而深入了解负责控制系统运营和资产的个人和组织的真实经验，超出本报告的预设范围。 我们希望我们选择的细节能为读者提供所需的决策支持工具。 事实上，高成熟度组织中的组件通常比低成熟度组织中的组件更容易访问。 有关高成熟度和低成熟度的定义， 调查目标与方法 本报告使用总体术语“控制系统”(CS)和“运营技术”（OT）来指代管理、监控和/或控制物理设备和过程的任何/所有系统。因此，CS、(CS)和OT应理解为包括工业控制系统（ICS）、数据采集与监视控制系统（SCADA）、过程控制系统（PCS）、过程控制域（PCD）、建筑/设施控制、自动化和管理系统（BACS/BAMS/FRCS…）、联网医疗设备等。 其工作包括但不仅限于安全和保护控制系统的人员。 项目规划、领导和实施中发挥着主要作用，包括数据收集、分析和编写本报告。 能够将我们的参与者解析为不同的群体，并比较他们在这些群体关联中的投入，这是从这个年度研究项目中获得见解的关键。 毕马威国际：作为产权报告发起人，毕马威提供了主要资金和组织资源支持，以增强(CS)AI自身的能力。 虽然我们认为调查参与者(CS)AI计划的成熟度是最重要的维度，但我们也考虑了他们的组织级别、地区以及他们与(CS)资产（供应商、用户、所有者或运营商）的关系。当然，我们也进行了纵向分析，当我们发现有趣的趋势时，我们也分享这些趋势。 其他赞助商：非冠名赞助商Fortinet、WaterfallSecurity Solutions和Opscura提供了额外的资金和其他资源。 同样，“(CS)”是泛指控制系统网络安全领域、专业、项目和人员。 （见附录D：报告发起人。） 根据上述目标，(CS)AI和我们的赞助商向在该领域工作的CS/OT网络安全社区成员分发了在线调查，收集了CS事件、活动和技术的关键数据，以及组织如何应对不断变化的威胁的详细信息。 威胁范围：对CS/OT行动和资产的所有可能威胁的总和。威胁是动态的，随着漏洞的发现和针对漏洞利用的保护措施的制定而不断变化。 (CS)项目 客户(CS)项目成熟度 以下哪一项最能描述您的控制系统网络安全程序？ (CS)关键绩效指标（KPI）——高成熟度vs低成熟度 使用的安全成熟度框架——终端用户vs 供应商 Current state of organizational plans组织计划的当前状态 Sources of control system security services used by organizations各组织使用的控制系统安全服务的来源 许多首席信息安全官（CISO）对运营技术（OT）安全项目感到畏惧，因为对工厂网络安全的‘治愈’比‘疾病’本身还要糟糕。我曾经是CISO，所以我理解这种情况。OT需要生产优先，而IT则优先考虑安全性而不是停机时间。 Outsourced resources (service company) 组织应该到哪里去寻求保护其控制系统安全(CS)²资产、人员和运营所需的帮助？ Contracted resources (consultants) 我们在与恶意行为者的斗争中节节败退，很大程度上是因为无所作为。使用传统的IT工具来保护运营技术（OT）十分昂 根据我们的受访者反馈，他们会从各个渠道获取帮助 。 内部IT安全资源 Security teams under CISO/CSO/CTO with both internal and external Security teams under CISO/CSO/CTO with both internal and CISO/CSO/CTO领导下的安全团队，包括内外部资源 组织用于保护控制系统资产免受网络威胁的安全技术 并不是所有技术都适合所有环境的需求和要求。尽管如此，我们认为那些拥有和/或运营工业控制系统(ICS)/运营技术(OT)资产的组织表示他们拥有被动网络异常检测（58%入侵检测系统（IDS））的情况下，通过实施主动入侵防御系统（IPS）将会大有裨益。NextGen防火墙同样具有广泛的适用性，应该保护更多ICS环境免受来自企业或其他外部网络的威胁。单向网关/数据二极管由于主要在最高安全环境（如核电站）中使用而被认为复杂且昂贵，但我们最近看到这些因素有所减弱，预计未来会有更多部署。 NextGen防火墙被动网络异常检测主动入侵防护系统 减少(CS)攻击面的最大障碍是什么？ ——高成熟度vs低成熟度 分的情况下，我们收到的领导层受访者太少，无法将他们包括在一些图表中。 ——终端用户vs供应商 （中部、西部、北部和南部）；3） 欧亚大陆；4） 印度太平洋；5） 中东-北非；6） 南部非洲；7） 拉丁美洲-加勒比 (CS)高投资回报率领域——组织级别 (CS)高投资回报率领域 Top ROI area for (CS)investments Patch and Vulnerability management (CS)高投资回报率领域——高成熟度vs低成熟度 (CS)高投资回报率领域（高成熟度与低成熟度） 您会将额外的可自由支配资金用于您的组织吗？ 许多资产所有者或运营商依赖其信任的供应商提供的安全事务专家建议， ——高成熟度vs低成熟度vs全部 1 -Most 2 - 2ndMost 3 -3rdMost 1-最多2-第2位最多3至3 组织的控制系统安全预算近几年同比估算 ——高成熟度vs低成熟度 虽然对网络隔离的价值有强烈认同（请参 Highest OT cybersecurity investment areas for the year ahead ——高成熟度vs低成熟度 ——高成熟度vs低成熟度 Organizational policy prevents me (CS)评估频率——终端用户vs供应商 (CS)评估内容——高成熟度vs低成熟度 (CS)评估内容——终端用户和供应商 (CS)评估响应——高成熟度vs低成熟度 Activities carried out/planned in response to findings of (CS)assessments completed by organizations within the last 12 months 采用新的或优化的安全流程Adopt new or improved security processes 获取前的(CS)风险评估——高成熟度vs低成熟度 组织在获取控制系统产品或服务之前进行的风险评估（高成熟度与低成熟度） 对新设备和/或软件的风险评估与周期性安全评估不同，必须单 安全培训 (CS)意识培训整合——终端用户 这里明显的问题是，许多终端用户组织缺乏任何(CS)意识培训（16.1%空白）。无论是由IT部门或风险管理计划所驱动、或是完全由运营或其他设计部门负责，以实现并保持对(CS)威胁、攻击方法、漏洞和程序的高度认识，对于管理任何ICS/OT运营环境中的固有风险都至关重要。我们强烈建议每个负责资产/运营的组织实施此类计划。 与IT安全意识培训与物理安全培训整合独立于IT或物理整合 (CS)意识培训整合 ——高成熟度vs低成熟度 ——高成熟度vs低成熟度 控制系统组件的可访问性 控制系统组件的可访问性（续） 可从企业网络访问的组件 控制系统组件的可访问性（续） 供应商/集成商可远程访问的组件 (CS)管理服务现状 组织控制系统安全的管理服务现状（高成熟度与低成熟度） ——高成熟度vs低成熟度 (CS)管理服务的使用——纵向分析 组织控制系统安全的管理服务现状（纵向） 已实施管理服务处理控制系统网络安全 20202022 2023 用于保护组织控制系统资产免受网络威胁的安全技术 ——高成熟度vs低成熟度 组织控制系统网络活动监控的现状 All control system networks are monitored and we are planning to increase the degree of monitoring 所有控制系统网络都受到监控，并计划在未来18个月 (CS)可见性——终端用户 组织对网络上设备、用户和应用程序可见性的信心水平 我们的团队认为，我们最大的终端用户受访者群体（信心有限，有一些盲点43.7%）的信心水平相当现实。控制系统网络的可见性一直是一个问题，直到最近几年，具备这一重要能力的工具才得到普及。我们建议我们的读者，如果尚未实施的，利用这些工具来解决盲点，并为您的(CS)守卫者提供履行职责所需的基本知识。 离线网络建模是以非侵入方式提供全面网络可见性的最快、最有效的方法。它有助于准确了解我们致力于保护的网络环境，而不会中断运营。通过分析离线环境中的网络配置、拓扑和安全策略，我们可以深入了解关键的通信路径和覆盖缺口，否则这些路径和缺口可能会在实时网络分析会话中被隐藏。这种方法在快速识别和解决缺乏可见性的区域的同时，保持了网络的完整性和性能，从而增强网络对潜在网络威胁的防御。 Robin Berthier Network Perception 首席执行官兼联合创始人 没有信心，不知道信心有限，有 有点自信，定非常自信，几乎没100%自信，使期检查 有已知的漏洞用工具持续监控 我们的团队很高兴看到资产所有者或运营商（最终用户）对网络攻击事件响应流程的信心水平，58%的人至少有点自信，其中大多数人非常或100%自信。这比他们对网络的可见性的信心更足（参照上页图表） 非常自信，几乎没100%自信，使用有已知的漏洞工具持续监控 过去12个月内组织发生的控制系统网络安全事件估算数量 客户(CS)事件攻击媒介 客户反馈的过去12个月(CS)事件的攻击媒介 过去12个月内控制系统安全事件对组织造成的影响 在过去12个月内未发生控制系统网络安全事件 是否真的是由被蓄意攻击所混淆的计算机产生的错误或疏忽？ 近期(CS)攻击媒介——纵向分析 过去12个月内组织内发生的(CS)事件中被利用的攻击媒介 第三方网站（例如，水坑式攻击或其他） 近年(CS)入侵中的威胁行为者 供应商指引 0%5%10%15%20%25%30%35%40%45%5