卡巴斯基实验室进行的一项调查显示,过去一年,每两家ICS(工业控制系统)公司中,就有一家经历过1到5次安全事故。平均来看,无效的网络安全给工业机构平均造成每年497,000美元的损失。尽管大多数工业机构认为自己已经准备好应对网络安全事故,但他们的这种自信似乎并不充分。
新兴的工业4.0趋势使网络安全成为全球工业组织的首要任务,为应对ICS带来了新的挑战。挑战包括IT和运营技术(OT)的融合,以及向外部供应商提供工业控制网络。为了更深入地了解ICS组织目前所面临的问题和机遇,卡巴斯基实验室和Business Advantage于2017年2月至4月进行了一项涉及359名工业网络安全从业人员参加的全球调查。调查的主要发现结果之一是人们对ICS事故的现实与感知之间存在差距。例如,尽管83%的受调查者认为自己已经准备好应对OT/ICS网络威胁事故,但是参与调查的企业中,有一半在过去12个月内经历过1倒5次IT安全事故,还有4%遭遇过超过6次安全事故。这就引出一个重要的问题——这些机构的IT安全策略和保护手段应该怎样修改才能够更有效地保护这些关键企业数据和技术流程的安全?
安全事故经验:生产场所的网络威胁
ICS企业意识到自己所面临的风险:74%的受调查企业认为自己的基础设施可能会遭遇网络攻击。尽管企业对最新威胁如针对性攻击和勒索软件的认知度有所提高,但ICS机构面临的最大痛点仍然是传统恶意软件。有56%的受调查企业认为这种威胁仍然是造成安全事故的主要因素。在这种情况下,感知符合现实:过去一年中,每两家企业中,就有一家不得不处理传统恶意软件感染造成的后果。
但是,在员工错误和无意的行为之间也存在不匹配——这对于ICS机构的威胁更大,超过来自供应链和合作伙伴的威胁以及外部攻击造成的破坏和物理损害。但是,ICS机构最担心的前三位威胁中包含外部攻击。
同时,位居前三位的IT安全事故后果包括对产品和服务质量造成损害,造成专利或机密信息丢失,造成生产减产或损失。
安全策略:从网闸到网络异常检测
86%的受调查企业都具有通过批准和归档的ICS网络安全策略,目的是保护企业免受潜在的IT安全事故侵害。但是,事故经验表明,仅有网络安全策略是不够的。由于缺乏内部和外部的IT安全专业知识,工业组织承认缺乏专业知识是他们在ICS安全中最担忧的问题。这一情况非常令人担忧,因为它表明,工业机构并没有做好准备应对攻击,而且经常处在被攻击的边缘。有时候,攻击者还是自己的员工。“内部威胁危险程度更高。我们受到良好的外部威胁保护,但是内部威胁会直接给我们造成影响,没有防范内部威胁的防火墙。无法防范来自员工的威胁,”一家来自德国制造商的ICS从业人员承认说。
积极的一面是,ICS从业人员采取的安全策略看起来相当稳固。 大多数公司已经放弃使用网闸作为安全措施,而采用综合的网络安全解决方案。在未来12个月,参与调查的企业计划部署工业异常检测工具(42%)和员工安全意识培训。工业异常威胁检测特别相关,因为有一半的受访ICS公司承认,外部提供商可以访问其组织中的工业控制网络,扩大了威胁边界。
IT和OT系统日益增长的互联性带来了新的安全挑战,需要董事会成员、工程师和IT安全团队充分准备进行应对。他们需要对威胁环境有深刻的了解,仔细考虑保护手段,同时要确保提高员工的安全意识,”卡巴斯基实验室关键基础设施保护负责人Andrey Suvorov说:“网络威胁已经深入工业控制系统的车间,所以最好做好准备进行应对。对于那些充分利于考虑到ICS需求的定制安全解决方案的企业来说,消除安全事故隐患将变得更为简单。”
本文转自d1net(转载)