2025年ics/ot网络安全预算：支出趋势、挑战与未来

由 ... 编写迪恩·帕森斯2025年3月 执行摘要 对于依赖工业控制系统（ics）和运营技术（ot）环境的企业，ics/ot就是其业务。这些环境是关键基础设施部门的中坚力量，管理着能源生产、水处理和制造等基本流程。ics/ot的网络安全在确保安全、可靠性和运营连续性方面发挥着关键作用。与传统的it系统不同，ics/ot环境直接与物理世界交互，使其容易受到可能导致运营中断、环境破坏甚至生命损失的网络动力学威胁。 有效的ics/ot安全不仅能够防止潜在灾难性事件，还能维护公众信任、经济稳定和国家安全。因此，ics/ot团队在遵循的原则和约束与传统IT显著不同。这些差异必须被仔细理解和尊重，因为未经调整地应用传统IT安全流程、技术和实践可能会无意中扰乱工程业务并引入安全后果。 调查方法学 我们的受访者群体来自那些宣誓他们是专业人士，并在以下一个或多个（或相关）领域中工作或活跃的安全及其他专业人士： • IT • ICS • SCADA技术 • OT • 过程控制系统（PCS）• 集散控制系统（DCS） • 建筑/设施自动化/控制/管理系统（例如，BCS、FAS、BMS等） 这篇白皮书将深入探讨预算、高投资回报率（ROI）技术及网络安全策略的协同一致带来的可操作见解，以提升 ics/ot安全。它基于最近的sans调查数据，探讨了it和ot安全实践的交集，突出了关键漏洞，并提出了针对ics/ot网络安全的特定控制措施、预算和流程的建议。通过解决战略和运营两个方面，本文可以帮助您的组织就保护关键基础设施做出明智的决策。 人口统计特征表现为四项关键指标： • 组织的地理存在• 行业• 以员工数量衡量组织规模（包括员工和顾问）• 受访者角色 调查数据揭示了关于ics/ot网络安全的几个关键见解： • 初始攻击向量—百分之五十八的受访者将IT入侵视为ICS/OT事件的主要初始攻击向量，反映了IT和OT环境相互关联且具有风险的性质。此外，33%的人指出互联网可访问设备是一个攻击向量，而27%的人将临时设备识别为另一个需要关注的攻击向量。 这些项目作为独立变量，帮助SANS作者分析调查的研究问题，为预算、高投资回报率(ROI)技术和网络安全战略的协同提供可操作的见解，以增强ICS/OT安全。 • 事件频率—百分之二十七的组织报告在过去一年内经历过一个或多个涉及工业控制系统/运营技术的安全事件。 • 预算趋势—近年来，ICS/OT网络安全预算有所增加，55%的受访者表示过去两年预算有所增长。然而，只有9%的专业人士将全部时间投入ICS/OT安全工作，这表明在保护关键基础设施方面，专业资源投入可能存在潜在差距。 • 优先排序挑战—虽然65%的受访者将OT网络安全视为首要责任，但只有27%的预算决策由CISO或CSO主导。 • 预算控制和责任—大约37%的受访者报告IT和OT共享预算。相反，31%的人表示IT控制预算，而26%的人说ICS/OT负责。 基于来自全球多个关键基础设施行业的180多名专业人员的反馈，本调查的人口统计数据如图1所示。 信息技术风险安全 成熟的组织理解it安全控制不应直接应用于ics/ot环境。相反，与安全相一致、量身定制的ics/ot安全实践对于有效的风险管理至关重要。直接应用it控制会产生一种虚假 在安全性、破坏性误报以及关键基础设施防御欠佳方面的表现。参见图2。 因此，关注专业策略并优先考虑ics特定控制（如sans五个ics网络安全关键控制中概述的那些控制）至关重要。1该白皮书详细阐述了基于当前ics/ot网络安全风险，与ics/ot网络安全计划最相关的五个关键控制措施。这些控制措施具有工程指导性质，并可根据组织的特定风险模型进行调整，以提供有效的实施指导，确保针对ics/ot系统独特需求构建更强大的防御能力。 收敛的挑战与收益 在ics/ot网络空间安全中存在it专业人士，突显了it和运营技术技能集的融合，it角色扩展到包括ics/ot职责。尽管这可以增强安全策略，但如果没有最佳方法，可能会带来安全风险。 组织应促进信息技术安全团队和工程团队之间的结构化协作。信息技术专业人员可以跟踪观察工程师，以洞察ICS/OT动态，以优先考虑安全，并与工程主导的应急响应协议保持一致。 工程团队必须主导这项协作，因为ics/ot环境是他们的领域。it团队应扮演支持角色，协助并与工程需求保持一致。 这种合作模式培养尊重，保障关键基础设施，并增强组织韧性。 ICS/OT网络安全预算分配和趋势 关于谁在组织中主要负责建立安全预算的见解显示出合作的趋势，应谨慎对待。ICS/OT系统预算的控制因组织规模而异（见图3）。 决策者 这些决策中有部分是在企业高层做出的，预算权的27%归于CISO或CSO，26%归于CIO或CTO（见图4）。这种高层参与是有益的，因为它强调了这些组织对网络安全的战略重要性。在成熟的企业中，这些角色预计会受到安全和工程方面信息的指导。 预算变动 调查发现，34%的受访者对其组织整体安全预算分配不确定，突显了预算实践中潜在的差距，这些差距可能会影响关键基础设施安全。一小部分组织 报告的预算不足10,000美元，表明较小的实体或对网络低于5000美元威胁可能面临资金不足的挑战$5,001–$10,000网络安全措施。 另一方面，21% 的组织报告预算在 10,001 美元至 100,000 美元之间，37% 超过 100,000 美元——这些数据在规模较大、成熟的组织或高风险行业更常见。同时，也要认识到小型设施，即使不属于主要关键基础设施部门，仍然是潜在目标。对手可能会利用这些设施作为测试环境，在攻击更大、更关键的操作之前完善攻击方法。见图 5。 为解决这些差距并核实风险管理策略的预算，领导层可以重新评估预算，认识到ICS/OT环境是企业的支柱。 近期预算趋势 正面来看，过去两年的OT/控制系统预算变化数据显示出整体投资增加的趋势，其中有23%的受访者报告显著增加，31%的人注意到轻微增加。见图6。这表明对需要更多资源来保护我们世界所依赖的基础的普遍认识正在增强。与此同时，21%的人没有看到变化，这表明他们的资金稳定，可能是因为对现有措施感到满意或预算策略稳定。 另一方面，5%的人经历轻微下降。此外，5%的人表示在过去两年之前没有预算，这反映了可能的近期调整，或其财务承诺的增强。另外，15%的人不确定过去两年的预算变化，这表明财务监管可能存在潜在差距。 投资优先领域 ics/ot网络安全预算专注于基础安全，但引发了担忧，如表1所示。以下关键ics/ot控制措施可以提高关键基础设施保护的回报率： #1.排名第一，ICS/OT可防御网络架构根据调查受访者，%是关键，因为58%的攻击源于it入侵，入侵了ics/ot网络。 #2.排名第二，ICS特定事件响应强调在ICS网络中采用以工程为主导的恢复，确保响应计划涵盖标准ICS资产和专用工程设备。 #3.排名第三的是支持可见性的架构反映了对准备实时网络可见性和监控运营技术网络深层态势感知的重视。 #4.排名第四，可移动媒体和临时设备安全保护用于ICS维护的工程笔记本电脑和便携工具，以及ICS网络操作。这是至关重要的，因为27%的攻击被揭示源于此途径。14数据安全15专注ICS/OT基于风险漏洞管理 当前的ICS/OT网络安全预算与关键优先事项相一致，特别是ICS特定的事故响应和可防御的网络架构，强化了强大的工程恢复和安全措施。 然而，ics网络可见性和监控，对于检测威胁、安全识别漏洞以及协助工程网络故障排除至关重要，尽管其投资回报率高，但排名较低。令人鼓舞的是，支持可见性的架构（排名第三）的投资显示出对该需求的日益认可。 安全的远程访问，对于防止在日益远程的运营中发生未经授权的访问至关重要，尽管针对未受保护连接的攻击日益增多，但在资金投入方面仍显不足。需要采取更符合SANS五个工业控制系统网络安全关键控制措施（ICS威胁信息）的方法。2可以增强对现实世界威胁的保护。 基于地区的预算分配 该调查突出了ICS/OT网络安全预算分配上的显著区域差异。美国（40%）和欧洲（38%）将其网络安全预算的26-50%分配给ICS/OT，显示出对其重要性的高度认可。加拿大（30%）也落在此范围内，但其中30%的组织仅花费0-10%，表明优先级有所变化。非洲（26-50%占35%，11-25%占37%）显示出增长的投资，表明对ICS/OT安全需求的认识不断提高。亚洲、澳大利亚/新西兰以及欧洲（38%）也将26-50%的预算分配给ICS/OT，强化了对ICS/OT网络安全采取适度投资的方法。 拉丁美洲和中东地区的组织（29-30%）仅支出0-10%，其浓度较高，反映出ICS/OT网络安全投资增长较慢。预算分配较高（51-100%）仍然罕见，美国领先（12%），其次是非洲（17%）和澳大利亚/新西兰（17%），这表明尽管ICS/OT安全得到了认可，但一些组织和地区仍将其预算中的一部分用于这些防护。 总的来说，数据显示许多组织认识到ics/ot网络安全的重要性，但相对较少的组织将其预算的50%以上分配于此。调查结果突出了平衡ics/ot和it网络安全投资持续的挑战，并强调了需要持续的倡导、监管激励和意识努力，以推动对关键基础设施的保护加强。 预算分配随时间推移：控件 在过去的两年里，ics/ot网络安全投资主要集中在网络安全、安全远程访问和可见性。例如，美国（44.1%）、加拿大（55%）、欧洲（48%）和中东（54%）优先考虑防御性网络架构。事件响应资金在美国（36%）、非洲（36%）和中东（32%）有所增长，强调攻击缓解。安全远程访问是一个关键重点，在亚洲（52%）、澳大利亚/新西兰（42%）、欧洲（46%）、拉丁美洲（44%）和中东（47%）大幅增加，反映了各地区对加强远程访问控制的普遍推动。 日志收集、进程通信强制执行和端点访问控制预算保持稳定，而数据安全在非洲（12%）、亚洲（8%）和中东（8%）略有下降。美国（42%）和加拿大的ICS/OT可见性投资有所上升。 总体而言，网络安全和安全远程访问仍然是首要任务，而事件响应和可见性投资因地区而异。预算限制、法规以及不断变化的优先事项继续塑造全球ICS/OT网络安全趋势。 ics 技术实现驱动程序 数据显示了ICS/OT技术部署的几个驱动力。主要是组织优先事项、合规要求和应对不断演变的威胁的组合。理解这些驱动力为洞察塑造关键基础设施部门网络安全策略的因素提供了宝贵的见解。 当前实施控制的驱动因素 目前，ICS/OT安全控制实施的主要驱动力是组织要求（排名第一），因为公司根据内部政策、风险管理体系和高层决策来制定安全控制措施。不断变化的威胁态势（排名第二），包括勒索软件事件、针对ICS的恶意软件框架和地缘政治风险，对安全规划产生重大影响，推动组织主动加强防御。合规要求（排名第三）仍然具有强大的影响力，例如NERC CIP、IEC 62443、NIS2指令和NIST CSF。虽然供应商建议（排名第四）在指导与产品相关的决策（如补丁和技术解决方案）方面仍发挥作用，但与内部政策和监管压力相比，其权重较小。 未来12个月的计划优先事项 展望未来，排名第一，不断变化的威胁态势预计将成为安全控制实施的主要驱动因素。这标志着一次重大转变，组织比过去一年更优先考虑网络威胁缓解。排名第二，组织 应保持对安全措施与企业目标保持一致的持续关注，确保安全战略支持更广泛的企业目标。相比之下，监管合规性排名第三，预计将不再成为主要驱动因素，因为随着组织转向主动风险管理，而不是仅仅专注于满足合规性要求，监管合规性将变得不那么重要。对供应商驱动指导的依赖排名第四，预计在未来12个月内会减少；公司可能会更加重视自身的风险评估方法，而不是仅仅依赖供应商提供的安全措施。 在过去12个月内，您是否经历过一个或多个涉及您运营技术/控制系统（例如，未经授权