OT安全状态: 趋势、风险和网络安全的综合指南 MichaelM.Amiri,高级分析师MichelaMenting,Senior研究总监 执行摘要 TABLEOFCONTENTS 一个不断变化的时代工业运营商3 OT和IT:孤立但走向收敛9 作为一个 驱动安全部队11 AI:双刃OT13剑 新兴技术可以增强OT安全性, 但挑战持续16 吸取的五大教训工业运营商23 工业运营正日益受到威胁。OT攻击是常见的,广泛的,并且非常频繁。这些攻击主要是IT攻击,特别是勒索软件在过去几年对工业环境产生了破坏性影响。业务影响是直接和重大的,迫使运营关闭,收入损失和重大补救成本。这种状况将网络安全推到了工业运营商议程的首位。 OT网络安全支出预计将在未来两年内增长,但实施正确的解决方案绝非易事。工业运营商需要克服许多障碍,尤其是OT和IT团队的孤立运营以及他们在网络安全决策和合作方面的错位。 然而,两者的融合正在进展,尽管进展缓慢,大多数工业运营商希望网络安全决策能够集中于IT和OT。 除此之外,工业运营商将需要解决该领域即将出台的法规和标准日益增长的合规性要求,以及采用新技术和流程所带来的风险,包括人工智能、远程访问、云、5G和机器人技术。所有这些都构成了自己独特的挑战。尽管如此,它们还提供了为OT环境实施网络安全技术的新方法。 最终,工业运营商意识到需要使网络安全适应当今的新需求,这将推动他们朝着零信任实施的方向发展。成功部署的关键将是选择合适的提供商,尤其是在OT和IT环境中都具有专业知识的提供商,能够为两个世界提供最佳的安全性。 工业经营者的变革时代 运营技术(OT)团队曾经感到抵御工业运营中的网络攻击,因为他们的空中系统,遗留资产,专有技术,分散的终端市场等。但是,在过去的几年中,叙述发生了很大变化;考虑到许多新闻头条报道了对工业公司的各种OT攻击。以2020年本田受到的EKANS勒索软件攻击为例,迫使全球多个工厂停工。或者看看2022年卫星攻击破坏了德国5800台风力涡轮机的运行。其他成功的攻击包括对乌克兰能源公司使用的变电站的Idstroyer2恶意软件攻击,以及2021年臭名昭著的殖民地管道关闭。最近的袭击告诉我们什么。 是网络威胁的有增无减的扩张已经找到了侵入现代组织的每个角落的方法,工业运营也不例外。 4个组织中有3个经历过网络攻击他们的OT环境。 为了说明这一点,四分之三的组织表示他们在OT环境中经历了网络攻击,其中大多数经历了免费攻击。考虑到工业部门数字化转型的加速,这一趋势是有道理的 。尽管恶意行为者有广泛的动机来针对工业公司的OT操作,但对这些公司的成功攻击具有巨大的财务或政治潜力。制造工厂不能关闭几天甚至几周;这将是一场商业灾难。同样,如果铁路关闭或电网变暗,现代社会将无法运转。工业运营的高风险性质意味着保护OT环境不仅对业务连续性至关重要,而且对国家安全也至关重要。 值得注意的是,10个工业OT攻击中有7个来自信息技术(IT)环境,这表明OT和IT部门和技术迫切需要开始更紧密地合作。OT-IT融合将结束现有的孤岛 ,并使组织能够购买同时解决两个部门的网络安全工具。随着工业公司采用对网络环境构成新风险的新技术,两者之间的紧密合作将非常重要。人工智能(AI) ,机器人,5G,云和远程访问将加速整体网络保护方法可以缓解的挑战。 了解威胁情况是第一步。这是由政治冲突中的对手驱动的,还是有组织犯罪的机会越来越多,而以前没有这样的机会?答案不是非黑即白。威胁行为者参与了各种各样的活动,其中许多可能会重叠:针对关键基础设施的财务机会之所以出现,是因为它们的联系越来越紧密,或者是因为政府对曾经禁止进入的目标视而不见。原因是无穷无尽和复杂的。 了解目标以及威胁格局对建立有效的防御大有帮助。 OT是一个高配置文件和今天网络威胁参与者的有利可图的目标 。 为了更好地了解当今OT环境的危险和风险,PaloAltoNetwors委托对16个不同终端市场的1,979名受访者进行了一项全球调查,目的是调查OT安全状况,并为大型工业组织的高级管理人员和从业人员提供动力。调查问题涉及主要主题,包括工业运营的风险和保护和发病率响应的组织方法,以及适用解决方案方面的趋势,偏好和要求。 这项调查全面揭示了一些有趣的发现,但最大、最响亮的信息是,OT是当今网络威胁参与者的一个高调和幸运的目标,工业运营商在适当保护他们的OT环境方面仍然有很多障碍需要克服。 关键发现 •网络攻击可以关闭OT操作。近70%的工业组织在过去经历过网络攻击 一年,四分之一的人因此经历了运营关闭。 •网络罪犯是最可怕的,比国家赞助的团体或黑客主义者更重要。恶意软件,勒索软件和内部攻击是工业运营商的三大威胁。 •它是主要的载体,72%的攻击是针对OT的。 •对OT的监管压力越来越大;74%的高管认为这将在未来两年内增加。 •5G安全将变得至关重要。70%的受访者认为5G设备是OT威胁载体。 •迁移到云将加强OT安全性,根据80%的受访者。 •AI是一把双刃剑。74%的人表示,针对OT的AI攻击是当今的关键问题,但十分之八的人也同意AI将是关键停止OT攻击。 •OT和IT之间的摩擦是一个挑战。40%的人说他们的OT和IT团队有摩擦,只有12%的人说他们是一致的。 •IT/OT平台化的重要性:十分之七的受访者明确表示他们打算整合来自同一网络安全供应商的IT和OT解决方案。 •增加远程访问是一个主要问题:3/4同意员工和第三方的远程访问都在增加。 •零信任是北极星:87%的行业受访者认为零信任是确保安全的正确方法 OT环境。 您的组织在您的OT环境中经历过网络攻击吗? 23%NO YES76% OT攻击常见,广泛传播,而且非常频繁 ! 最令人震惊的发现之一在早期揭示了 调查是超过76%的受访者表示,他们的组织在OT中经历过网络攻击环境。 这完全消除了工业运营对网络威胁免疫的幻想。今天,它们是一个真实而共同的目标,最近几年媒体报道的高调攻击证明了这一点。这些攻击只是冰山一角。显然,绝大多数工业运营商已经感受到了以OT为目标的攻击的热度。 最担心的针对OT的三大攻击是恶意软件,勒索软件和内部攻击。从Stxet到Locbit,威胁格局已经从针对特定对手的定制OT恶意软件演变为IT承载的,在工业组织中不加区别地利用的高度流行的勒索软件。勒索和有组织犯罪已取代国家赞助的战争游戏,成为对工业运营商的最大威胁。 你最害怕哪种类型的OT网络攻击? 勒索软件在今天尤为突出,DarkSide、BlackCat和Ryuk等集团已经成功突破了IT-OT差距,以瞄准OT环境,在 APT存在 DoS 公用事业和能源部门。由于支付了高额费用(ColonialPipeline的费用为440万美元),勒索软件攻击是网络犯罪的一个有利可图的机会。 网络钓鱼内部攻击勒索软 结果,OT环境中的网络攻击已成为一个反复出现的问题。压倒性的75%的受访者报告了频繁的攻击,通常是每月一次,也是每周一次和每天一次。这揭示了一个动态的网络犯罪生态系统的存在,该生态系统显然很好地针对OT环境。 件 恶意软件 05001000150020002500 供应链攻击是一个越来越成问题的威胁,成功地用于针对更多的组织。随着工业运营商在他们的OT中使用更多的商业现成解决方案,爆炸半径可能是巨大的和高度破坏性的。 您通常在OT环境中遇到攻击(或事件)的频率如何? 26% 39% 19% 8% 4% 2% 工业运营商的见解“评估和验证供应链供应商。” 这是最受欢迎的攻击入口点 勒索软件的成功反映在调查答复中,这表明这些攻击的主要起源是IT。媒体对勒索 软件的高调报道以及它起源于IT环境的事实证实了这一点。显然,勒索软件攻击已经克服了与OT环境的感知隔离有关的障碍。 不幸的是,这一成功意味着可以现实地利用普通的网络威胁工具和攻击来瞄准OT ,并为各种恶意机会主义者打开大门,他们热衷于利用表面上脆弱的OT环境。 攻击起源于哪里? 28%OT 72% IT 商业影响是明确的、立即的和主要的 毫无疑问,高成功率将转化为OT环境对威胁行为者,特别是对有组织犯罪的势头增加和更大的吸引力。 不幸的是,这些攻击产生了重大而直接的业务影响,至少有四分之一的受访者表示 ,由于成功的攻击,他们不得不在去年关闭工业运营,无论是作为先发制人的措施还是由于实际中断。关闭意味着失去收入机会,以及损害控制和事件补救成本,这可能包括额外的安全技术和服务,与客户和供应商的沟通,执法和公共关系。长期成本可以包括声誉损害、监管罚款、更高的保险费、以及由于延迟或未交付而导致的供应商和客户成本等。 在过去的一年中,由于成功的网络攻击,您是否不得不关闭OT操作? 24%是 NO 76% 工业运营商的见解 “通过定期演习和模拟提高事件响应技能。”“定期测试和更新事件响应手册。” 网络安全投资是一个重要的优先事项 这种危险的状态促使工业运营商越来越关注其OT环境的安全性。对于近三分之二的受访者来说,保护他们的OT环境是一个高度优先事项,而且 不太可能被忽视。投资OT网络安全在财务上是可行的,因为连接资产(OT/物联网(IoT))的单个漏洞修复的估计平均成本在10,000美元至50,000美元之间。 毫无疑问,网络安全计划是最大程度地减少威胁参与者带来的网络风险的关键,而实现积极的保护机制需要将这些计划作为优先事项。这包括 OT安全评估;运营商准备得越好,他们对事件进行补救的速度就越快,并且影响的总成本就越低。 OT网络安全支出将继续是优先事项。预计未来两年会有所增长, 根据超过一半的受访者的说法。很少-实际上不到5%-预期支出会减少。 保护您的OT环境的网络安全举措在多大程度上是优先事项? 不是优先事项:不是今年的重要重点1% 机会主义:一项重要举措,但通常比其他举措获得更少的资源 6% 平均重要性:争夺资源的许多重要活动之一重要:通常优先于其他活动的重要举措 首要任务:我们今年的主要举措之一是提供适当的资源 %10%20%30%40%50 在明显的相关性。当前威胁格局集中并定期参与针对OT资产的攻击。但是 0 29% 39% % 当前的威胁格局与工业运营商应对网络安全策略和投资的优先次序之间存这些策略的成功取决于全面和协调的内部部署,这绝非易事。 您预计公司在OT网络安全方面的支出在未来两年内将如何变化? 40% 37% 17% 5% 1% ) 20%) 45% 40% 35% 30% 25% 20% 15% 10% 5% 急剧收缩(下降超过20%)适度收缩(下降20%以下No变更适度增长(上升,但低于急剧增长(增长超过20%) 0% 25%, OT和IT:沉默但向收敛性移动 工业运营商已经清楚地认识到网络安全是OT环境的要求。由于大量攻击源于IT,因此OT和IT团队必须共同努力应对威胁。然而,调查显示,在 两者之间实现协调响应存在障碍,特别是在安全投资方面。 OT和IT之间的错误决策 当被问及OT网络安全购买决策的责任时,受访者的答案千差万别。 只有40%的受访者表示这些决定在两个团队之间共享。 在大多数情况下,这个决定只是一个团队的特权,但尽管这些都是孤立的,但几乎一半的人表示他们在这个过程中产生了影响。 这种差异是由于这两个团队的历史角色造成的:IT传统上负责整个公司的安全,而OT直到最近才呼吁关注这一点,而是关注工业运营。 今天-谁为您的公司做出OT网络安全的购买决策,您是否希望在未来2年内做出决策? 7% 28% 40% 18% 7% 然而,很明显,工业运营商理解需要分享一些安全决策过程投资。 1% 11% 29% 37% 22% 在两年内-今天关于OT安全购买的决策是如何做出的,您预计在未来两年内这一过程将如何变化? 在当地设施一级完全本地化 主要在当地国家的