网络防御状态 ： 制造网络弹性

2024 年网络防御状态： 制造网络弹性 目录 主要发现 … … … … … … … … … … … … … … … … … … … … … … … …… … … … … … … … … … … … … … … … … … … … … … … … … … … …… … … … … … … … … … … … … … … … … … … … … … … … … … … …… … … … … … … … …03自我报告的到期日04真实世界的安全能力 … … … … … … … … … … … … … … … … … … … …… … … … … … … … … … … … … … … … … … … … … … … … … … … …… … … … … … … … … … … … … … … … … … … … … … … … …05期限分割 … … … … … … … … … … … … … … … … … … … … … … … …… … … … … … … … … … … … … … … … … … … … … … … … … … … …… … … … … … … … … … … … … … … … … … … … … … … … … … … …… … … … … … … … … … … … … … … …06安全优先事项07制造业面临的威胁 … … … … … … … … … … … … … … … …08勒索软件仍然是一个主要问题 … … … … … … … … … … … … … … … … …… … …09从进攻性安全看 … … … … … … … … … … … … … … … … … … … …10数据泄露 … … … … … … … … … … … … … … … … … … … … … … … …… … … … … … …11小团队、小生态系统 … … … … … … … … … … … … … … … … … … … ……13依靠网络专家 … … … … … … … … … … … … … … … … … … … … … … …… … … … … … … … … … … … … … … … … … … … … … … … … … … …… … … … … … … … … … … … … … … … … … … … … …14Kroll 能力 … … … … … … … … … … … … … … … … … … … … … … … …… … … … … … … … … … … … … … … … … … … … … … … … … … … …… … … … … … … … … … … … … … … … … … … …15 关键发现: 这份报告提供了有关制造业领域特定安全挑战的新见解和分析。基于Kroll在每年处理超过3,000起事件方面的前线数据经验，本研究概述了制造业当前面临的网络安全威胁 landscape。 我们之前的报告,2023 年网络防御状态 ： 检测和响应成熟度模型调研了1,000名全球安全决策者，并揭示了困扰网络安全团队的最大不一致性。它展示了组织对自己网络安全状况的信任水平与实现真正网络韧性之间明显的差距。 通过将检测与响应成熟度模型研究与Kroll数据相结合，本报告展示了制造业部门在面临高度威胁方面是一个明显的异常值。不幸的是，制造业是遭受勒索软件攻击最频繁的行业之一。 然而，根据我们的研究，该行业的实际能力远超其他大多数行业。制造商有效地外包了他们的IT安全需求，并且维持了一个可管理的IT工具生态系统。结果是，制造业是检测和防止数据泄露表现最好的行业之一。 勒索软件的担忧是必要的 -到目前为止 ， 勒索软件是制造业组织中最令人担忧的威胁 - 它是由34%我们的受访者中，根据本报告中的Kroll数据，制造业是遭受勒索软件攻击第二频繁的行业。 电子邮件是最大的风险 -尽管存在勒索软件的担忧 ， 但电子邮件泄露是最常见的威胁类型 ， 占近一半(49%)Kroll事件在制造业中的初始访问方法中最常见的是通过链接进行钓鱼攻击，占比34%克罗尔观察到的病例。 技术开拓者 -制造业拥有最为成熟的安全威胁检测与响应能力。根据克罗尔公司的分类，11%的制造企业属于开拓者类别（相比之下，这一比例要低得多）。4%所有组织) 。 工作仍然需要完成 -尽管制造业比其他行业表现更好 ，25%制造业受访者仍仅采用最基本的安全能力，如网络安全监控。 小团队和小生态系统 -制造业组织平均而言会雇佣规模较小的IT安全团队并部署较少的IT安全平台，这可能是因为它们依赖外包服务。 外包优先模型 -88%of manufacturing organizations outsources at least some of their IT security services. Only12%制造业受访者在内部处理所有事情 (与23%在所有受访者中) 。 自我报告的成熟度 正如我们在2023 年网络防御状态报告中经常存在一种令人担忧的脱节现象：成熟组织认为自己已经达到的成熟程度与他们实际达到的成熟程度之间存在差距。在制造业领域，这种差距仍然存在，但相对于其他行业而言要小一些。 Twenty-eight percent的制造业受访者将其整体网络安全计划评价为“非常成熟”。尽管制造业似乎比其他行业更加自我意识强，但我们将在后面证明，制造业自我报告的网络安全成熟度显著高于Kroll根据组织的实际威胁检测和响应能力排名所显示的水平。 真实世界的安全能力 我们的现实世界成熟度评分基于受访者的技术能力，这些能力影响他们实际检测和应对网络安全事件的能力。 庆幸的是，制造业比平均水平更有可能拥有更为成熟的威胁检测和响应能力。在接受调查的制造业公司中，有8%的公司采用了最成熟的能力，而所有公司的这一比例仅为5%。 虽然这是一个令人鼓舞的趋势，但也值得注意的是，有25%的制造业受访者仅采用了最基本的security能力，如网络安全监控。 到期拆分 我们的上一份报告分析了全球受访者，并根据其检测与响应成熟度旅程的当前阶段将其归类为三种类型之一——新手、探索者或先行者，从而形成了检测和响应成熟度模型. 我们的检测与响应成熟度模型数据为制造业部门带来了好消息和坏消息。坏消息是，自我报告的成熟度得分并未与基于实际技术能力的实证数据相匹配。 只有11%的制造业企业具备高级网络安全成熟度能力并属于开拓者类别，这一比例远低于自报具有高度成熟网络安全的制造业受访者中的28%。 制造业的情况较好，相比其他行业表现更为出色。在接受调查的所有企业中，只有4%的企业已经采用了先进的威胁检测和响应能力——尽管有33%的企业认为自己具有较高的网络安全成熟度。制造业在网络安全成熟度方面的感知差距要小得多。 安全优先事项 以下是制造业行业安全优先级的图表。它显示了勒索软件是行业最为关注的问题，其次是数据泄露和钓鱼攻击。对于所有这些问题，制造业比平均水平更加关注。 在过去五年中，勒索软件威胁的规模巨大，因此看到制造业受访者最担心的是勒索软件威胁也毫不令人惊讶。制造业被认为是勒索软件运营商最大的目标之一。 制造业面临的威胁 如上一节所述，制造业似乎最担心勒索软件。然而，事实上，勒索软件并非该行业中最常见的威胁类型。根据科尔罗（Kroll）的网络威胁情报（CTI）团队的数据，电子邮件欺诈是最常见的威胁类型，占科尔罗在制造业中观察到的事件近一半的比例。业务电子邮件欺诈的困难在于它可以针对多个部门——从人力资源到财务部门，并且对庞大网络的控制和可见性具有挑战性，尤其是在公司需要依赖员工作为第一道防线时。 最常见的初始访问方法是网络钓鱼 ， 这与业界的明显担忧是一致的。 勒索软件仍然是一个主要问题 尽管电子邮件 compromising 成为最常见的威胁类型，制造业仍然面临大量的勒索软件攻击。根据 Kroll的 CTI 团队的数据，制造业是遭受勒索软件攻击最严重的行业之一。 当进一步分析勒索软件数据时，外部远程服务——如VPN和CVE/零日漏洞利用——是最常见的初始访问方法在制造行业中。 进攻性安全的观点 与 “如果它的工作原理 ， 不要碰它 ” 的问题 ：整体来看，该行业可以被描述为一个“简约”的领域，并且将安全网络视为帮助他们生产最终产品的另一台机械设备。因此，如果机器的一个部件正在正常运行，他们为何要对其进行改动呢？然而，这种思维方式的危险在于，它往往会导致遗留的IT设备继续留在网络中。虽然这些设备可能看似正常运行，但实际上它们容易受到各种威胁的攻击。 攻击面是巨大的 ：尽管许多行业可能拥有 sprawling 或 siloed 网络，现代制造业的规模极为庞大。今天的制造商可以运营数以百万计的相互关联的系统和服务，而这些依赖于特别易受网络攻击影响的IT基础设施。 外包可以是一种祝福和诅咒 ：它令人感兴趣的是，在一个利用最成熟威胁检测与响应能力的行业中（11%的制造业公司属于Kroll的Trailblazer类别，而所有组织中只有4%），外包程度也最高。仅有12%的制造业受访者自行处理所有IT安全服务。这反映了外包的一些好处，即可以相对容易地获得和管理最佳的安全保护。然而，缺点在于虽然一家公司可以外包提供安全的能力，但它无法外包对这些能力有效性的责任。制造商应密切关注其安全供应商，以避免失去对网络安全弹性的控制和可见性的情况。 停机根本不是一个选择 ：如果勒索软件攻击能够使多个工厂的生产停摆数天甚至更长时间，这将对企业的盈利能力产生严重影响。支付赎金以恢复系统通常被认为是较小的恶。 供应链是一个弱点 ：制造业，像今天大多数行业一样，高度依赖第三方供应商。然而，供应链风险正成为一个显著的威胁。行业的广泛性和其众多的第三方供应商意味着保持一定程度的控制变得极具挑战性，需要信任第三方供应商已采取适当的安全措施。这使得潜在的攻击面更加庞大，并使行业容易受到供应链中最低安全标准的影响。 测试, 测试, 1, 2, 3...:制造业企业必须反复测试其网络。众所周知，汽车和食品制造商遭受了多起显著的网络攻击事件，这表明没有哪家企业能够免受此类威胁。唯有通过定期测试和评估网络，才能了解自身的抵御能力，并确信已采取了适当的安全措施。 数据泄露 看到制造业较高的网络安全成熟度反映在其积极的数据泄露数据上，令人鼓舞。 我们要求所有受访者报告他们在过去一年中遇到的数据泄露的安全事件数量。令人惊讶的是，12%的制造业企业表示没有经历任何安全事件，这一数字是所有行业中平均值4%的三倍。 总体来看，制造业在过去一年中经历的数据泄露事件导致数据或财务影响的情况似乎少于所有行业的平均水平。 Kroll 的最后两个数据泄露 Outlook报告显示 ， 制造业成功的数据泄露事件有所减少。 在2023年，制造业是遭受数据泄露第八可能的行业，仅次于金融、医疗、专业服务、零售、工业服务、技术和教育行业。 小型团队 ， 小型生态系统 作为制造组织更倾向于外包其网络安全，这使它们能够管理一个规模较小的安全平台生态系统，并且只需要一支受信任的信息技术安全专业团队。 在所有行业中 ， 平均安全团队规模为 25 人 ， 而在制造业中 ， 仅为 19 人。 安全团队规模与使用的安全工具数量之间存在逻辑关联。较大的团队可以部署和管理更多的平台。在制造业中，使用的安全平台数量为4-5个。在所有行业中，最常见的回答是10-12个。 需要注意的是，安全工具的数量与安全有效性之间往往存在虚假的等同关系。增加更多的工具并不意味着公司更加安全。相反，这样做甚至可能导致安全性下降，因为管理和监控多个平台会变得更加复杂，警报也可能被忽略。 依靠网络专家 在除开行业技术能力之外，还有其他若干可能的因素解释为什么制造业可能会报告比其他行业更为积极的安全成果。 数据表明，制造业企业正在充分利用外包网络安全服务。88%的制造商已经将至少部分