2024 年 OT 安全现状报告

OT安全状况报告： 趋势、风险及网络弹性综合指南 MichaelM.Amiri，高级分析师MichelaMenting，高级研究总监 目录 执行摘要2 工业运营商的 变革时代3 OT和IT：各自为政， 但正朝着融合的方向发展9 监管是 安全性的推动力11 AI：对OT而言 是一把双刃剑13 新兴技术可以增强OT 的安全性， 但挑战依然存在16 推动OT安全性19 工业运营商的 五大经验教训23 方法23 执行摘要 工业运营正受到日益严峻的威胁。OT（运营技术）攻击屡见不鲜，极为频繁。这些攻击主要来自IT环境，尤其是勒索软件，在过去几年中对工业环境造成了破坏性影响。这种攻击对业务运营的影响往往是直接且重大的，可能迫使运营停止，造成 收入损失并带来巨大的修复成本。这种状况将网络安全推到了工业运营商的首要议程上。 预计在未来两年内，用于OT网络安全的支出将会增长，但实施正确的解决方案绝非易事。工业运营商需要克服许多障碍，其中最重要的是，OT和IT团队各自为政，导致他们在网络安全决策和合作方面不协调。 不过，二者的融合正在取得进展，尽管十分缓慢，但大多数工业运营商预计IT和OT部门的网络安全决策可以实现协调统一。 除此之外，工业运营商还需要满足该领域即将出台的法规和标准所提出的日趋严格的合规要求，同时解决采用人工智能、远程访问、云、5G和机器人等新技术和流程所带来的风险。这些将为工业运营商带来一系列独特的挑战。尽管如此，它们也为在OT环境中实施网络安全技术提供了新方法。 最终，工业运营商意识到需要调整网络安全以适应当今的新需求，这促使他们朝着实施“零信任”的方向发展。成功部署的关键在于选择合适的提供商——尤其是在OT和IT环境方面都具有专长的提供商，从而为两个世界提供最佳的安全性。 工业运营商的变革时代 OT团队曾一度认为，他们在工业运营中可以抵御网络攻击，因为他们拥有物理隔离系统、传统资产、专有技术、分散的终端市场等。然而，考虑到许多新闻头条都报道了工业企业遭受的各种OT攻击，这种说法在过去几年中发生了很大变化。以2020年本田遭遇的EKANS勒索 软件攻击为例，该攻击导致全球多家工厂停工。或者再看看2022年卫星引发的攻击，该攻击中断了德国5800台风力涡轮机的运行。其他成功攻击的例子还包括针对乌克兰能源公司使用的变电站的Industroyer2恶意软件攻击，以及2021年臭名昭著的针对ColonialPipeline的网络攻击事件。最近的这些攻击告诉我们网络威胁的扩张有增无减，已经侵入了现代组织的每一个角落，工业运营也不例外。 四分之三的组织OT环境经历过网络攻击。 举例说明，每4个组织中就有3个表示其OT环境遭受过网络攻击，其中大多数组织经常遭受攻击。鉴于工业领域的数字化转型正在加速进行，出现这一趋势不无道理。虽然恶意攻击者以工业企业的OT运营为攻击目标的动机多种多样，但对这些公司的成功攻击蕴含着巨大的经济或政治潜力。制造工厂不能承受停止运营数天甚至数周，这将是一场商业灾难。同样，如果铁路停运或电网停电，现代社会也无法运转。工业运营的高风险性意味着，保护OT环境不仅对业务连续性至关重要，而且对国家安全也至关重要。 值得注意的是，每10次工业OT攻击中就有7次源于信息技术(IT)环境，这表明OT和IT部门和技术迫切需要开始更紧密地合作。OT-IT融合将结束现有的各自为政的状态，使组织能够购买同时针对两个部门的网络安全工具。由于工业企业采用的新技术会给网络环境带来新的风险，因此两部门之间的紧密合作将非常重要。人工智能(AI)、机器人技术、5G、云和远程访问将加速网络保护整体方案所能缓解的挑战。 了解威胁状况是第一步。这是由政治冲突中的对手推动的，还是因为以前没有机会实现的有组织犯罪的机会现在越来越多？答案并非非黑即白。威胁行为者参与攻击的原因多种多样，其中许多原因可能相互重叠：由于关键基础设施的联系日益紧密，或者由于政府对曾经是禁区的目标视而不见，因此针对关键基础设施的攻击出现了牟利机会。原因无穷无尽、复杂多样。 第二步是找到适当的解决方案，以应对威胁并最大限度地降低对OT的风险。工业环境可能差别很大，呈现出一个高度分散的生态系统，具有不同的风险承受能力。了解目标和威胁环境对建立有效的防御大有裨益。 如今，对于网络威胁行为者来说，OT是一个引人注目且有利可图的目标。 为了更好地了解当今OT环境所面临的危险和风险，PaloAltoNetworks委托对16个不同终端市场的1,979名受访者进行了一项全球调查，目的是调查OT安全状况，并了解大型工业组织C级高管级别的管理人员和从业人员的动向。该调查的问题涉及一系列主要议题，包括工业运营面临的风险、保护和事件响应的组织方法，以及在适用解决方案方面的趋势、偏好和需求。 该调查全面揭示了一些有趣的发现，但其中最重要、最受关注的信息是：如今，对于网络威胁行为者来说，OT是一个引人注目且有利可图的目标，工业运营商在适当保护其OT环境安全性方面仍有许多障碍需要克服。 主要调查结果 •网络攻击会导致OT运行瘫痪。近70%的工业组织在过去一年中遭受过网络攻击，而其中有四分之一的工业组织因此而停止运营。 •网络犯罪分子最令人担忧，比国家支持的团体或黑客活动分子更令人担忧。工业运营商表示，恶意软件、勒索软件和内部攻击是前三大威胁。 •IT环境是主要途径，72%的针对OT的攻击都源自IT环境。 •OT面临的监管压力正在增加；74%的高管都认为未来两年对OT的监管压力将会增加。 •5G安全将变得至关重要，因为70%的受访者认为5G设备是一种OT威胁媒介。 •80%的受访者认为，向云端的迁移将加强OT安全性。 •人工智能是一把双刃剑。74%的受访者认为借助人工智能对OT的攻击是当今的一个关键问题，但80%的受访者也赞同人工智能将是阻止OT攻击的关键。 •OT与IT之间的摩擦是一项挑战。40%的受访者表示他们的OT团队和IT团队之间存在摩擦，只有12%的受访者表示他们的团队是协调一致的。 •IT/OT平台化的重要性：每10个受访者中就有7个明确表示要整合来自同一网络安全供应商的IT和OT解决方案。 •不断增加的远程访问是一项主要担忧：四分之三的受访者认为，员工和第三方的远程访问都在增加。 •零信任是正确的方向：87%的工业受访者认为，零信任是确保OT环境安全的正确方法。 OT攻击十分常见、普遍，而且极为频繁！ 调查初期揭示的最令人震惊的发现之一是，超过76%的受访者表示，他们的组织曾在其OT环境中遭受过网络攻击。 贵组织的OT环境是否遭受过网络攻击？ 这彻底打消了工业运营不受网络威胁影响的幻想。如今，工业运营已成为一个真实而普遍的目标，过去几年媒体报道的引人注目的攻击事件就证明了这一点。这些攻击只是冰山一角。显然，绝大多数工业运 营商已经感受到了以OT为目标的攻击的热度。是 最令人担忧的3种针对OT的攻击分别是恶意软件、勒索软件和内部攻击。从Stuxnet到Lockbit，威胁环境已经从针对特定对手的定制OT恶意软件，发展到以IT为载体、无差别地攻击工业组织的高流行性勒索软件。勒索和有组织犯罪已取代国家发起的军事演习，成为对工业运营商的最大威胁。 如今，勒索软件的问题尤为突出，DarkSide、BlackCat和Ryuk等集团已成功突破IT与OT之间的鸿沟，将攻击目标锁定在OT环境上，在公用事业和能源领域的攻击成功率很高。勒索软件攻击可以赚取高额赎金（ColonialPipeline公司支付了440万美元的赎金），因此，勒索软件攻击对网络犯罪分子而言是一个有利可图的机会。 您最担心哪种类型的OT网络攻击？ 23%否 76% DoSAPT攻击网络钓鱼 内部攻击 勒索软件 因此，OT环境中的网络攻击已成为一个反复出现的问题。绝大多数 （75%）受访者表示经常受到攻击，通常是每月都受到攻击，但也有每周和每天都受到攻击的情况。这揭示了的确存在一个十分活跃的网络犯罪生态系统，而这个生态系统显然是以OT环境为攻击目标。 恶意软件 05001000150020002500 您在自己的OT环境中通常多久遭遇一次攻击（或事件）？ 供应链攻击是一个日益棘手的威胁，被成功地用来攻击大量组织。随着工业运营商在其OT环境中使用更多现成的商用解决方案，这些攻击的爆炸半径可能会很大，破坏性很强。 工业运营商的见解 每月 每天 39% 19% 8% 4% 2% 每小时 不断地（每隔几分钟） 每天多次 每隔几天 每周 每季度 “评估和验证供应链供应商。” 它是最受欢迎的攻击入口点 调查反馈反映了勒索软件的成功，揭示了这些攻击的主要源自IT环境。知名媒体对勒索软件的报道以及攻击源自于IT环境这一事实证实了这一点。很明显，勒索软件攻击已经克服了与OT环境的预期隔离有关的障碍。 不幸的是，这种成功意味着普通的网络威胁工具和攻击实际上可以被用来攻击OT，并为各种恶意的机会主义者敞开大门，他们热衷于利用表面上脆弱的OT环境。 攻击源自哪里？ 28%OT 72% IT 对业务的影响明确、直接且重大 毫无疑问，高成功率将转化为更大的动力，并使OT环境对威胁行为者，尤其是有组织的犯罪集团更具吸引力。 不幸的是，这些攻击对业务产生了重大而直接的影响，至少有四分之一的受访者表示，在过去一年中，无论是作为一种先发制人的措施，还是由于实际中断，他们因为攻击得逞而不得不停止工业运营。停止运营意味着会丧失收入机会，以及增加损害控制和事件补救成本，其中可能包括额外的安全技术和服务以及与客户和供应商、执法部门和公共关系部门的沟通等。长期成本可能包括声誉受损、监管处罚、保险费增加，以及因延迟交货或不交货而产生的供应商和客户成本等。 24%是 76% 在过去一年中，您是否因遭受成功的网络攻击而不得不停止OT运营？ 否 工业运营商的见解 “通过定期演习和模拟，提高事件响应技能。”“定期测试和更新事件响应指南。” 网络安全投资是重中之重 这种危险的状况促使工业运营商越来越关注其OT环境的安全性。 近三分之二的受访者认为保护他们的OT环境是重中之重，这一点不容忽视。投资于OT网络安全在经济上可行，因为据估计，修复一次联网资产（OT/物联网(IoT)）漏洞的平均成本在10,000美元到50,000美元之间。 毫无疑问，网络安全举措是最大限度降低威胁行为者所带来的网络风险的关键，而要实现积极的保护机制，就必须将这些举措作为优先事项。这包括OT安全评估；运营商准备得越充分，就能越快地对事件进行补救，并降低后果的总成本。 OT网络安全支出将继续成为优先事项。一半以上的受访者表示，预计这一数字未来两年还会增长。极少数受访者——事实上不到5%——预计支出会缩减。 1% 6% 29% 39% 25% 保护您的OT环境的网络安全举措在多大程度上是优先事项？ 并非优先事项：不是今年的重点机会主义：这是一项重要的举措，但得到的资源往往少于其他举措 平均水平的重要性：争夺资源的多项重要举措之一重要：这是一项重要的举措，通常优先于其他举措 重中之重：我们今年最重要的举措之一，配置有适当的资源 0%10%20%30%40%50% 当前的威胁形势集中在对OT资产的定期攻击上，这与工业运营商为应对这些威胁而制定的网络安全战略和进行的投资的优先级之间存在着明显的关联。然而，这些战略的成功取决于全面协调的内部部署，而这并非易事。 您预计未来两年贵公司在OT网络安全方面的支出会有怎样的变化？ 40% 37% 17% 5% 1% 45% 40% 35% 30% 25% 20% 15% 10% 5% 0% 适度缩减（降幅在20%以上） 适度缩减（降幅在20%以下） 无变化 适度增加（增加，但增幅在20%以下） 大幅增加（增幅在20%以上） OT和IT：各自为政，但正朝着融合的方向发展 工业运营商已经清楚地认识到，网络安全是