編者按：工業(yè)組織在2021年面臨重大挑戰(zhàn)。對(duì)佛羅里達(dá)州Oldsmar供水設(shè)施、Colonial管道和JBS的網(wǎng)絡(luò)攻擊，以及SolarWinds供應(yīng)鏈攻擊，將工業(yè)網(wǎng)絡(luò)安全推向了國(guó)家和全球舞臺(tái)。當(dāng)關(guān)鍵基礎(chǔ)設(shè)施遭到破壞時(shí)，會(huì)產(chǎn)生驚人的金融和社會(huì)影響。除此之外，企業(yè)領(lǐng)導(dǎo)者繼續(xù)應(yīng)對(duì)新冠疫情的影響，同時(shí)確定如何高效、安全地運(yùn)營(yíng)。正是在這種背景下，盡管存在前所未有和不可預(yù)測(cè)的問(wèn)題，組織必須努力保持彈性。

　　為了了解工業(yè)組織如何在這些未知領(lǐng)域前行，Claroty委托Pollfish對(duì)全球1,100名擁有、運(yùn)營(yíng)或以其他方式支持關(guān)鍵基礎(chǔ)設(shè)施組件的企業(yè)全職IT和OT安全專業(yè)人員進(jìn)行了獨(dú)立調(diào)查。調(diào)查主要關(guān)注：工業(yè)企業(yè)面臨的勒索軟件攻擊、數(shù)字化轉(zhuǎn)型和遠(yuǎn)程工作三大問(wèn)題;治理、最佳實(shí)踐和投資方面的關(guān)鍵彈性因素;今后發(fā)展的政策和優(yōu)先事項(xiàng)。

　　工業(yè)網(wǎng)絡(luò)安全公司Claroty委托Pollfish對(duì)全球1,100名擁有、運(yùn)營(yíng)或以其他方式支持關(guān)鍵基礎(chǔ)設(shè)施組件的企業(yè)全職IT和OT安全專業(yè)人員進(jìn)行了獨(dú)立調(diào)查。只有在IT安全、OT/ICS安全方面從事全職工作或作為OT/ICS工程師或操作員工作的個(gè)人參與了調(diào)查，探討了他們?nèi)绾螒?yīng)對(duì)2021年的重大挑戰(zhàn)、彈性水平、以及今后的優(yōu)先事項(xiàng)。

　　共有1,100名受訪者完成了調(diào)查，包括美國(guó)500人、歐洲300人和亞太地區(qū)300人。略多于一半(55%)的組織的收入至少為十億美元。代表了十多個(gè)行業(yè)包括IT硬件、石油和天然氣(包括管道)、消費(fèi)品、電能、制藥/生命科學(xué)/醫(yī)療設(shè)備、運(yùn)輸、農(nóng)業(yè)/食品和飲料、重工業(yè)、水和廢物以及汽車。該調(diào)查于2021年9月完成。主要發(fā)現(xiàn)包括：

　　勒索軟件猖獗，支付也很盛行。令人震驚的是，80%的受訪者遭受了攻擊，其中47%的受訪者表示其OT/ICS環(huán)境受到了影響。超過(guò)60%的人支付了贖金，超過(guò)一半(52%)的人支付了50萬(wàn)美元或更多。超過(guò)90%的人向股東和/或當(dāng)局披露了該事件，69%的人認(rèn)為及時(shí)報(bào)告應(yīng)該是強(qiáng)制性的。

　　數(shù)字化轉(zhuǎn)型、遠(yuǎn)程工作和人員短缺持續(xù)存在。自新冠疫情以來(lái)，數(shù)字化轉(zhuǎn)型繼續(xù)加速，73%的組織將繼續(xù)進(jìn)行遠(yuǎn)程/混合工作。近90%的人正在尋求招聘，但54%的人表示很難找到足夠合格的OT安全人選。

　　治理和監(jiān)督顯示出強(qiáng)大的領(lǐng)導(dǎo)力。超過(guò)一半的受訪者表示，其組織最高管理層和董事會(huì)經(jīng)常參與網(wǎng)絡(luò)安全決策和監(jiān)督。超過(guò)60%的企業(yè)將OT和IT治理集中在CISO之下，這是推薦的最佳實(shí)踐。流程和技術(shù)方面的差距仍然存在，超過(guò)65%的受訪者認(rèn)為其組織的漏洞管理策略為中度至高度主動(dòng)，但勒索軟件攻擊非常成功。近30%的人共享密碼，57%的人使用用戶名和密碼，44%的人使用VPN，這些都是可以增強(qiáng)彈性。

　　投資預(yù)算增加。超過(guò)80%的受訪者表示其IT和OT/ICS安全預(yù)算都有所增加。實(shí)施新技術(shù)解決方案是網(wǎng)絡(luò)安全的重中之重，石油與天然氣和IT硬件行業(yè)處于領(lǐng)先地位。

　　一、主要發(fā)現(xiàn)

　　1、勒索軟件處于領(lǐng)先地位

　　針對(duì)工業(yè)組織的勒索軟件攻擊浪潮上升到了新的高度，任何組織都無(wú)法幸免。在全球范圍內(nèi)，有80%的受訪者經(jīng)歷過(guò)攻擊，47%的受訪者表示它影響了OT/ICS環(huán)境。超過(guò)90%的受到攻擊的組織向股東和/或當(dāng)局披露了該事件，并在近一半(49%)的案件中影響是重大的。

　　更仔細(xì)地研究攻擊的分布情況，在IT硬件、石油和天然氣、水和廢物以及汽車等行業(yè)中，90%受到勒索軟件影響，重工業(yè)和電力行業(yè)87%受到勒索軟件影響。毫不奇怪，組織越大，攻擊的可能性就越大，因?yàn)殄X就在那里;報(bào)告受到勒索軟件影響的中小型企業(yè)要少的多，只有63%。年收入小于5億美元為中小型企業(yè)。

　　對(duì)于經(jīng)歷過(guò)勒索軟件攻擊的組織來(lái)說(shuō)，財(cái)務(wù)影響是巨大的。在全球范圍內(nèi)，超過(guò)60%的組織支付了贖金，其中超過(guò)一半(52%)支付了50萬(wàn)美元或更多。美國(guó)領(lǐng)先，76%支付了贖金，57%支付了50萬(wàn)美元或更多，而亞太地區(qū)和歐洲分別為51%和49%。這些地區(qū)的支出也呈下降趨勢(shì)，集中在10萬(wàn)美元至50萬(wàn)美元之間。

　　是什么促使企業(yè)做出支付贖金的決定?正如諺語(yǔ)所說(shuō)，時(shí)間就是金錢。無(wú)論在哪個(gè)地區(qū)，大多數(shù)受訪者估計(jì)其運(yùn)營(yíng)停機(jī)每小時(shí)的收入損失等于或大于支出。因此考慮到這個(gè)等式以及所面臨的風(fēng)險(xiǎn)，財(cái)務(wù)模型似乎更傾向于支付贖金。這也可能是為什么在全球范圍內(nèi)69%的受訪者認(rèn)為支付贖金應(yīng)該是合法的。要改變金融計(jì)算，需要一個(gè)激勵(lì)和抑制系統(tǒng)，有利于預(yù)先更好的控制和風(fēng)險(xiǎn)治理。

　　2、數(shù)字化轉(zhuǎn)型和遠(yuǎn)程工作仍在繼續(xù)

　　受訪者強(qiáng)烈表示，自新冠疫情開始以來(lái)，數(shù)字化轉(zhuǎn)型加速，在可預(yù)見的未來(lái)，在全球范圍內(nèi)，73%的組織將繼續(xù)進(jìn)行一定程度的遠(yuǎn)程工作。數(shù)字化轉(zhuǎn)型、IT和OT網(wǎng)絡(luò)之間固有的連接性增加、以及員工的遠(yuǎn)程訪問(wèn)，釋放了巨大的商業(yè)價(jià)值。但是這些對(duì)OT/ICS環(huán)境的更改也會(huì)為攻擊者創(chuàng)造額外的載體，從而帶來(lái)風(fēng)險(xiǎn)。這些結(jié)果在頭條新聞中得到了體現(xiàn)，并促使政府再次警告將工業(yè)網(wǎng)絡(luò)連接到IT網(wǎng)絡(luò)的風(fēng)險(xiǎn)，以及提高意識(shí)和控制狀態(tài)的必要性。

　　3、彈性從治理開始

　　該調(diào)查表明，各組織已經(jīng)將從備受矚目的網(wǎng)絡(luò)攻擊中吸取的教訓(xùn)內(nèi)化，并通過(guò)增加投資和實(shí)施新的或更新的流程和控制措施，來(lái)優(yōu)先考慮網(wǎng)絡(luò)安全。例如，在全球范圍內(nèi)，超過(guò)一半的受訪者表示，他們組織的最高管理層和董事會(huì)經(jīng)常參與網(wǎng)絡(luò)安全決策和監(jiān)督，這對(duì)于持續(xù)投資和優(yōu)先排序來(lái)說(shuō)是個(gè)好兆頭。按照推薦的最佳實(shí)踐，在全球范圍內(nèi)，超過(guò)60%的企業(yè)將OT和IT治理集中在CISO之下。此外，大多數(shù)(62%)與政府的方向一致，即強(qiáng)制、及時(shí)報(bào)告影響IT和OT/ICS系統(tǒng)的網(wǎng)絡(luò)安全事件。

　　在全球范圍內(nèi)，對(duì)IT安全專業(yè)人員管理OT/ICS環(huán)境的網(wǎng)絡(luò)安全能力的信心持續(xù)增長(zhǎng)，從去年調(diào)查的61%增加到今年的65%。但是對(duì)安全專業(yè)人員的需求不斷增加。近90%的人正在尋求招聘，40%的人表示需求緊迫，54%的人表示很難找到足夠多的候選人，這些候選人具備正確管理OT網(wǎng)絡(luò)的網(wǎng)絡(luò)安全所需的技能和經(jīng)驗(yàn)。

　　4、流程和技術(shù)

　　大多數(shù)受訪者將其組織的網(wǎng)絡(luò)安全成熟度劃分為第4級(jí)，即管理級(jí)，歐洲成熟度在第3級(jí)。在全球范圍內(nèi)，超過(guò)65%的受訪者將其漏洞管理策略評(píng)為中度至高度主動(dòng)，歐洲為55%。然而勒索軟件攻擊仍然非常成功。

　　需要改進(jìn)網(wǎng)絡(luò)培訓(xùn)來(lái)幫助阻止勒索軟件攻擊。在全球范圍內(nèi)，三分之一(33%)的受訪者表示，與預(yù)防和管理未來(lái)網(wǎng)絡(luò)攻擊相關(guān)的培訓(xùn)不足或沒(méi)有提供。在2020年的調(diào)查中，83%的受訪者表示提供了與遠(yuǎn)程工作相關(guān)的培訓(xùn)。然而，似乎缺乏技能開發(fā)來(lái)減輕利用這種新的分布式環(huán)境所引發(fā)的漏洞的攻擊所帶來(lái)的風(fēng)險(xiǎn)。OT遠(yuǎn)程訪問(wèn)需要改進(jìn)。近30%的人共享密碼，亞太地區(qū)和歐洲的這一數(shù)字接近20%，57%的人使用用戶名和密碼，44%的人使用VPN?；镜木W(wǎng)絡(luò)衛(wèi)生、更強(qiáng)的密碼和安全的遠(yuǎn)程訪問(wèn)解決方案有助于增強(qiáng)抵御攻擊的能力。

　　5、投資和優(yōu)先事項(xiàng)

　　超過(guò)80%的受訪者表示，自新冠疫情開始以來(lái)，他們的IT和OT/ICS安全預(yù)算都有所增加。在IT硬件、石油和天然氣、電能等行業(yè)，這一數(shù)字接近90%。這種廣泛的投資增長(zhǎng)可能是高管和董事會(huì)級(jí)別優(yōu)先考慮網(wǎng)絡(luò)安全的直接結(jié)果，由于勒索軟件的肆虐擾亂了大多數(shù)接受調(diào)查的工業(yè)組織的運(yùn)營(yíng)，以及讓IT公司受到關(guān)注的備受矚目的SolarWinds供應(yīng)鏈攻擊事件，他們可能會(huì)成為這種特別陰險(xiǎn)的攻擊類型的發(fā)射臺(tái)。

　　二、緩解建議

　　與此前的調(diào)查結(jié)果一致，各地區(qū)的受訪者一致且絕大多數(shù)都將實(shí)施新技術(shù)解決方案列為頭等大事，石油和天然氣和IT硬件的受訪者分別為57%和49%。歐洲將培訓(xùn)列為緊隨其后的第二位，而中小企業(yè)同樣將培訓(xùn)和技術(shù)放在首位。

　　正如本次調(diào)查顯示的那樣，工業(yè)組織正走在正確的道路。大多數(shù)組織已經(jīng)擴(kuò)展了現(xiàn)有的IT風(fēng)險(xiǎn)管理和治理流程，由CISO負(fù)責(zé)的OT網(wǎng)絡(luò)包括在內(nèi)，并增加了IT和OT/ICS安全預(yù)算。然而，勒索軟件攻擊對(duì)大多數(shù)這些組織取得了成功，以及數(shù)字化轉(zhuǎn)型和遠(yuǎn)程工作的繼續(xù)，是不可否認(rèn)的。組織必須保持警惕并繼續(xù)建立彈性。

　　工業(yè)網(wǎng)絡(luò)安全行業(yè)在創(chuàng)建有助于消除盲點(diǎn)和縮小安全差距以建立彈性的技術(shù)解決方案方面取得了巨大進(jìn)步。此外，考慮到幾乎每個(gè)組織都面臨的招聘挑戰(zhàn)，在不給現(xiàn)有基礎(chǔ)設(shè)施和人員帶來(lái)不必要的流量、硬件、復(fù)雜配置、冗長(zhǎng)的部署或陡峭的學(xué)習(xí)曲線的情況下實(shí)施的解決方案至關(guān)重要。

　　以下五種推薦的技術(shù)和流程可以幫助安全領(lǐng)導(dǎo)者及其團(tuán)隊(duì)更好地保護(hù)OT環(huán)境，并在當(dāng)今超連接的世界中實(shí)現(xiàn)業(yè)務(wù)。

　　1、將風(fēng)險(xiǎn)治理擴(kuò)展到網(wǎng)絡(luò)物理資產(chǎn)。未考慮安全設(shè)計(jì)的設(shè)備在連接到IT和OT網(wǎng)絡(luò)時(shí)會(huì)帶來(lái)風(fēng)險(xiǎn)。這包括所有工業(yè)物聯(lián)網(wǎng)、ICS和企業(yè)物聯(lián)網(wǎng)組件。對(duì)于許多組織來(lái)說(shuō)，將治理擴(kuò)展到包括這些資產(chǎn)是一個(gè)具有挑戰(zhàn)性的步驟，因?yàn)樽R(shí)別它們也不是一件容易的事。這是一個(gè)可能需要迭代的過(guò)程。值得慶幸的是，在過(guò)去幾年中，該行業(yè)在技術(shù)方面取得了巨大進(jìn)步，這使得發(fā)現(xiàn)此類資產(chǎn)并分析其風(fēng)險(xiǎn)、風(fēng)險(xiǎn)和漏洞變得更加容易。

　　2、保持適當(dāng)?shù)姆侄?。有許多業(yè)務(wù)流程和應(yīng)用程序需要跨IT/OT邊界進(jìn)行通信，因此組織需要確保以安全的方式進(jìn)行通信。確保組織的OT網(wǎng)絡(luò)和資產(chǎn)以符合分段最佳實(shí)踐的方式與IT隔離，是阻止勒索軟件和其他惡意軟件從IT橫向傳播到OT的非常有效的方法。除了IT和OT網(wǎng)絡(luò)之間的分段之外，還可以將虛擬分段部署到OT環(huán)境中的區(qū)域。這將有助于檢測(cè)OT網(wǎng)絡(luò)內(nèi)的橫向移動(dòng)。當(dāng)遠(yuǎn)程操作需要直接訪問(wèn)OT網(wǎng)絡(luò)時(shí)，確保通過(guò)對(duì)用戶、設(shè)備和會(huì)話進(jìn)行嚴(yán)格控制的安全遠(yuǎn)程訪問(wèn)連接來(lái)完成。這些解決方案可以在不增加OT環(huán)境負(fù)擔(dān)的情況下進(jìn)行部署。

　　3、養(yǎng)成良好的網(wǎng)絡(luò)衛(wèi)生習(xí)慣。確保網(wǎng)絡(luò)衛(wèi)生擴(kuò)展到OT和IoT設(shè)備。這包括使用強(qiáng)密碼(而不是在不同用戶之間共享密碼)、密碼庫(kù)和多因素身份驗(yàn)證。修補(bǔ)遺留系統(tǒng)可能更具挑戰(zhàn)性或不可能。如果是這種情況，請(qǐng)確定并實(shí)施補(bǔ)償控制，例如防火墻規(guī)則和訪問(wèn)控制列表。可以利用免費(fèi)的掃描、評(píng)估和測(cè)試工具來(lái)幫助減少受到威脅的風(fēng)險(xiǎn)。

　　4、實(shí)施穩(wěn)健的系統(tǒng)監(jiān)控計(jì)劃。能夠監(jiān)控IT和OT網(wǎng)絡(luò)中的威脅，以及跨越該邊界的任何事物，對(duì)于有效和高效的檢測(cè)和響應(yīng)至關(guān)重要。專為跨OT網(wǎng)絡(luò)進(jìn)行持續(xù)威脅監(jiān)控而構(gòu)建的無(wú)代理解決方案，可以快速實(shí)施，與OT和IT系統(tǒng)和工作流程同樣出色地集成，并允許IT和OT團(tuán)隊(duì)一起查看OT環(huán)境。這些團(tuán)隊(duì)利用相同的信息集，采取特定步驟來(lái)管理和降低來(lái)自已知和未知新威脅的風(fēng)險(xiǎn)。

　　5、評(píng)估和建立準(zhǔn)備。實(shí)施上述功能并增強(qiáng)彈性可以讓安全領(lǐng)導(dǎo)者和團(tuán)隊(duì)安心。進(jìn)行勒索軟件攻擊的桌面練習(xí)可以更深入地了解組織和技術(shù)準(zhǔn)備情況。這為組織提供了創(chuàng)建改進(jìn)的事件響應(yīng)計(jì)劃的機(jī)會(huì)，該計(jì)劃將建立對(duì)準(zhǔn)備和即時(shí)決策以及對(duì)此類攻擊的彈性的信心。當(dāng)事件響應(yīng)和取證公司與內(nèi)部利益相關(guān)者和團(tuán)隊(duì)建立了工作關(guān)系，了解現(xiàn)有的IT和OT基礎(chǔ)設(shè)施和控制，并了解業(yè)務(wù)和風(fēng)險(xiǎn)狀況時(shí)，他們能夠在面對(duì)攻擊時(shí)更快地提供更好的建議。

　　三、結(jié)論

　　隨著數(shù)字化轉(zhuǎn)型和遠(yuǎn)程工作在2021年的持續(xù)進(jìn)行，針對(duì)IT和OT/ICS網(wǎng)絡(luò)的勒索軟件攻擊猖獗，支出巨大。只要金融模式繼續(xù)支持支付贖金，這些威脅就會(huì)繼續(xù)存在。降低風(fēng)險(xiǎn)的唯一方法是了解如何使超連接更加安全。必須解決流程和技術(shù)方面的差距，其中一些已經(jīng)存在多年。幸運(yùn)的是，全球組織擁有強(qiáng)大的執(zhí)行領(lǐng)導(dǎo)力和值得信賴的網(wǎng)絡(luò)安全專家掌舵，他們一起走在正確的道路上。將治理擴(kuò)展到包括OT網(wǎng)絡(luò)、分配額外資源、并優(yōu)先考慮最佳實(shí)踐和控制，他們正在建立在中斷中的彈性。