2024年控制系统网络安全年度报告

年度报告 控制(C系S)统2A网I-络KP安M全G 2024 主席致辞 04 年度报告冠名赞助商前言 05 执行摘要 06 (CS)2项目 08 目录 (CS)2项目成熟度——纵向分析09 客户(CS)2项目成熟度——地区10 (CS)2关键绩效指标（KPI）——高成熟度vs低成熟度11 使用的安全成熟度框架——终端用户vs供应商12 组织计划——终端用户13 (CS)2服务——终端用户14 (CS)2技术——终端用户15 减少(CS)2攻击面的障碍16 (CS)2障碍——高成熟度vs低成熟度17 (CS)2障碍——组织层面18 (CS)2障碍——终端用户vs供应商19 (CS)2障碍——区域分析20 (CS)2支出和预算21 (CS)2高投资回报率领域——组织级别22 (CS)2高投资回报率领域——高成熟度vs低成熟度23 支出优先级——组织层面24 供应商对客户预算的指导——供应商25 (CS)2高支出——高成熟度vs低成熟度vs全部26 (CS)2高支出——终端用户27 (CS)2预算变化——纵向分析28 (CS)2投资计划——高成熟度vs低成熟度29 (CS)2投资计划——地区30 (CS)2预算情况——高成熟度vs低成熟度31 (CS)2评估32 (CS)2评估频率——高成熟度vs低成熟度33 (CS)2评估频率——终端用户vs供应商34 (CS)2评估内容——高成熟度vs低成熟度35 (CS)2评估内容——终端用户vs供应商36 (CS)2评估响应——高成熟度vs低成熟度37 获取前的(CS)2风险评估——高成熟度vs低成熟度38 (CS)2AI-KPMG控制系统网络安全年度报告2024 安全培训39 (CS)2意识培训整合——终端用户40 (CS)2意识训练整合——高成熟度vs低成熟度41 (CS)2培训内容——高成熟度vs低成熟度42 (CS)2网络43 控制系统组件的可访问性44 (CS)2管理服务现状——高成熟度vs低成熟度47 2 目录 (CS)2管理服务的使用——纵向分析48附录A：受访者组成61 (CS)2技术现状——高成熟度vs低成熟度49受访者职位——终端用户和供应商62 (CS)2网络监控——纵向分析50受访者区域分布63 (CS)2可见性——终端用户51受访者年龄分布64 (CS)2事件52按受访者组织级别的年龄分布65 (CS)2攻击响应——终端用户53受访者教育水平66 (CS)2事件近况——纵向分析54受访者所在公司类别66 客户(CS)2事件攻击媒介——区域55受访者所在行业（仅限终端用户）67 (CS)2事件影响——纵向分析56受访者组织规模68 近期(CS)2攻击媒介——纵向分析57受访者决策角色68 (CS)2威胁行为者——纵向分析58受访者决策角色——仅限终端用户68 附录B：年度报告指导委员会及撰稿人71附录C：关于(CS)2AI73附录D：报告发起人74 供应商指引59受访者的职务和组织级别69 (CS)2AI-KPMG控制系统网络安全年度报告2024 客户KPI关注指引——供应商60 3 主席致辞 尊敬的业界同仁： 在新年到来之际，回顾我们在控制系统安全领域取得的进展以及我们继续面临的挑战至关重要。 即使作为一个百分之百的乐观主义者，在去年数以百次与他人交谈中仍然可以感受 到，想要取得真正的进展还有很长的路要走。有一点始终没改变的，就是我们面前还有大量的工作要做，来确保能够实现现代生活方式的安全系统。 我很自豪地发布第三版(CS)2AI-KPMG控制系统网络安全年度报告，这份报告不仅凝结着我们分析师和研究人员的心血，也离不开所有报告指导委员和同仁的辛勤付出。 2 今年的报告基于630多名行业成员的调查结果和(CS)AI全球会员的代表性样本（目前约有3,4000名社区成员）而形成，其中 包括关于控制系统安全事件、攻击模式和应对方面的经验，以及将资源集中于保护关键系统和资产所面临的问题。 2024年的报告阐明了控制系统安全行业的几个关键趋势和挑战。虽然网络攻击的增加令人担忧，但各组织在网络安全预算方 面也更加充裕，专注于预防，并认识到供应链攻击的威胁。报告中强调的一个重要问题是网络安全领域的技术工人短缺。 (CS)2AI-KPMG控制系统网络安全年度报告2024 随着网络威胁的兴起，对网络安全专业人员的需求从未如此之高。 调查报告中的受访者增加了招聘合格人员的难度，报告强调各组织需要投资发展现有员工的网络安全技能并对其进行培训。 每年都有越来越多的参与者为我们的年度报告付出努力。我们必须向报告发起人毕 马威国际表示最大的感谢，感谢他们几年前使我们能够启动这个项目，并感谢他们在项目制作方面继续支持和合作。 Waterfall安全解决方案和Fortinet自我们的第一版报告以来一直与我们合作，并提供资源和专业知识。我们还要感谢所有其 他合作伙伴，他们的支持和指导每年都有助于使这成为一个宝贵的决策支持工具 （见附录D）。当然，我们也不能忽略那些主动加入年度报告指导委员会的所有成员 （见附录B）。 我们的共同目标是，本报告能够为业界同事提供基于经验的有价值见解，成为辅助日常做出许多艰难决定的工具。重要的是， 要利用本报告的结论做出明智的决策，并优先考虑能为控制系统安全支出提供最佳 投资回报率的领域。我们将一如既往地支持我们的社区，努力确保系统安全，使现代生活方式成为可能。 德里克·哈普 (CS)2AI创始人兼董事长 4 年赞度助报商告前言冠名 瓦尔特·里西 毕马威国阿际根全廷球咨O询T业网务络主安管全合负伙责人人， 巴勃罗·阿尔马达 毕马威阿国根际廷全球OTO网T网络络安安全全主副管主合管伙，人 虽然运营技术（OT）网络安全已经在大多数行业首席信息安全官（CISO）的议程上占据了一席之地，但在许多情况下，它仍然是更 2 广泛的网络安全领域中一个孤立的问题。尽管近年来许多公司取得了重大进展，但该领 域仍在不断走向成熟和整合。今年(CS)AI和毕马威国际合作的结果揭示了我们取得的进展和面临的持续挑战。 关于成熟度，近一半（49%）的受访组织运营仍处于较低的成熟度（第1级或第2级），即只拥有解决问题和基本管理的能力。虽然 建立OT网络安全项目的必要性不再是一个新颖的概念，尽管市场上已有成熟的技术解决 方案，但调查结果发现成熟度仍没有大幅提升。可能阻碍进步的一个显著因素是技术资源的稀缺，这也是该领域多年来一直在努力应对的一个众所周知的挑战。 尽管存在这些挑战和相对渐进的发展步伐，但我们与行业高管的讨论表明，我们对OT网 络安全相关风险的认识有所提高。尽管在过去几年里，这可能是一次艰难的推销，但与 高层管理人员的网络安全对话越来越多地围绕着OT网络安全作为焦点。这意味着对学科 的关键重要性有了更高层次的理解和认识。正如所料，高管们也更愿意参与以OT网络安全为中心的危机模拟和桌面演习。 我们相信，毕马威国际和(CS)2AI之间的年度合作在提高高管层的意识方面发挥着关键作用。通过对全球从业者和领导者所提供的真 实案例进行分析，我们的调查为该领域的全球演变提供了一个公正的视角。它有助于做 出明智的投资决策，并突出了人们对这一领域日益增长的兴趣。我们相信，我们的联合 报告为OT网络安全从业人员和领导者以及更广泛的执行社区提供了宝贵的资源。在第三 版报告中，我们重申，我们将致力于对该领域全球领导人所认为的围绕OT网络安全的主要挑战提供公正的展望。 我们诚邀读者深入了解本年度报告的见解，希望我们的年度工作能让您在这一领域做出更明智的决策和投资，无论您是领导者、执 行者还是实践者。我们认为，OT网络安全是一个持续的旅程，没有真正的终点。本调查 (CS)2AI-KPMG控制系统网络安全年度报告2024 与网络安全本身一样，是这一永恒旅程中不可或缺的一部分，致力于年复一年地为这一关键领域提供更好的见解。 5 执行摘要 主要调查结果 •几乎一半的响应组织（49%）仍然没有ICS/OT网络安全计划，或者只有基本的网络安全计划，缺乏既定的计划、程序或能力改进过程。 •不同组织级别的受访者在分配额外酌处权资金方面的优先事项大相径庭，这就提出了他们的动机是否一致以及他们的目标为何不同的问题。 •对控制系统网络活动的全面监控正在增加，在过去一年中增加了80%。 •我们评估了来自企业网络、互联网、 云以及集成商/供应商的许多控制系统组件（PLC、IED、RTU、 HMI、服务器、工作站和Historian）的可访问性。在这一领域，拥有高 成熟度项目的组织和拥有低成熟度项目的组织之间通常没有什么区别。 事实上，高成熟度组织中的组件通常比低成熟度组织中的组件更容易访问。 •有关高成熟度和低成熟度的定义，请参见第8页。 本报告是一系列年度出版物中的最新一份，这些出版物来自国际控制系统网络安全协会（又称(CS)AI），其拥有近3,4000名成 2 2 员的社区和数十个战略联盟伙伴的研究。在(CS)AI创始人兼董事长DerekHarp和联 2 合创始人兼总裁BengtGregory-Brown领导的数十年网络安全调查开发、研究和分 析的基础上，(CS)AI团队邀请我们的全球成员和我们扩展社区中的数千名其他人参加。 通过询问关键问题，了解他们在运营、保 护和维护运营技术（OT）系统和资产的第一线的经验，这些系统和资产耗资数百万 至数十亿美元的资本支出，对持续收入产生同等或更多的影响，并影响全世界个人 2 的日常生活和企业的业务运营。其中超过630人对我们的初步调查做出了回应，更 多人参与了我们通过正在进行的(CS)教育计划开展的额外数据收集工作。 (CS)2AI-KPMG控制系统网络安全年度报告2024 该数据池以匿名方式提交，以确保排除可能影响参与者反应的考虑因素，从而深入 了解负责控制系统运营和资产的个人和组织的真实经验，超出本报告的预设范围。 我们希望我们选择的细节能为读者提供所需的决策支持工具。 6 调查目标与方法 本报告使用总体术语“控制系统”(CS)和“运营技术” （OT）来指代管理、监控和/或控制物理设备和过程的任何 /所有系统。因此，CS、(CS)和OT应理解为包括工业控制系 统（ICS）、数据采集与监视控制系统（SCADA）、过程控制系统（PCS）、过程控制域（PCD）、建筑/设施控制、 自动化和管理系统（BACS/BAMS/FRCS…）、联网医疗设备等。 同样，“(CS)2”是泛指控制系统网络安全领域、专业、项目和人员。 (CS)2AI-KPMG控制系统网络安全年度报告系列于2019年推出，旨在为世界各地参与控制系统资产和运营安全工作的各方（无论是终端用户还是供应商、高管、经理还是运营团队）提供信息丰富的决策工具。 本报告由以下实体共同完成： •(CS)2AI：作为项目发起人，(CS)2AI在项目规划、领导和实施中发挥着主要作用，包括数据收集、分析和编写本报告。 2 •毕马威国际：作为产权报告发起人，毕马威提供了主要资金和组织资源支持，以增强(CS)AI自身的能力。 •其他赞助商：非冠名赞助商Fortinet、 WaterfallSecuritySolutions和Opscura提供了额外的资金和其他资源。 （见附录D：报告发起人。） 1 根据上述目标，(CS)2AI和我们的赞助商向在该领域工作的CS/OT网络安全社区成员分发了在线调查，收集了CS事件、活动和技术的关键数据，以及组织如何应对不断变化的威胁的详细信息。 (CS)2AI邀请其相关成员、已知的OT安全捍卫者和研究人员参与，通过直接邀请和各种广播媒体渠道分发调查，并在为CS网络 2 安全工作人员服务的网站上进行推广，目的是收集尽可能广泛的样本。受访者通过 确认他们目前或最近参与(CS)领域而自我选择。他们包括所有组织层面的专业人员： 网络安全专家和事务专家（SME），以