根據(jù) SANS 研究所進(jìn)行并由 Nozomi Networks 贊助的研究，在今年全球接受調(diào)查的公司中，35% 的運(yùn)營(yíng)技術(shù) (OT) 和工業(yè)控制系統(tǒng)漏洞是工程工作站入侵的初始攻擊媒介，比去年同期翻了一番。

雖然表示在過(guò)去 12 個(gè)月內(nèi)他們的 OT/ICS 系統(tǒng)遭到破壞的受訪者數(shù)量下降至 10.5%（低于 2021 年的 15%），但三分之一的受訪者表示他們不知道他們的系統(tǒng)是否是否被違反。

對(duì)于 2022 年 SANS ICS/OT 調(diào)查，收到了 332 份回復(fù)，代表來(lái)自能源、化學(xué)、關(guān)鍵制造、核能、水管理和其他行業(yè)的垂直行業(yè)。

控制系統(tǒng)安全面臨的挑戰(zhàn)

在保護(hù) ICS/OT 技術(shù)和流程方面面臨的一些最大挑戰(zhàn)包括 將傳統(tǒng)和老化的 OT 與現(xiàn)代 IT 系統(tǒng)集成；不是為控制系統(tǒng)設(shè)計(jì)的傳統(tǒng) IT 安全技術(shù)，會(huì)導(dǎo)致 OT 環(huán)境中斷；不了解 OT 運(yùn)營(yíng)要求的 IT 人員；調(diào)查顯示，勞動(dòng)力資源不足以實(shí)施現(xiàn)有的安全計(jì)劃。

0 seconds of 28 seconds音量 0%

商業(yè)服務(wù)、醫(yī)療保健和公共衛(wèi)生以及商業(yè)設(shè)施等行業(yè)是受訪者認(rèn)為最有可能成功實(shí)現(xiàn) ICS 妥協(xié)的三大行業(yè)，這將影響今年的安全可靠運(yùn)營(yíng)。 

當(dāng)被問(wèn)及哪些 ICS 組件被認(rèn)為對(duì)業(yè)務(wù)影響最大時(shí)，大多數(shù)受訪者 (51%) 指定了工程工作站、儀器筆記本電腦和校準(zhǔn)/測(cè)試設(shè)備。大多數(shù)受訪者 (54%) 還表示，工程工作站、筆記本電腦和測(cè)試設(shè)備是最容易受到威脅的系統(tǒng)組件。

該研究指出，工程工作站，包括用于設(shè)施設(shè)備維護(hù)的移動(dòng)筆記本電腦，具有用于編程或更改邏輯控制器和其他現(xiàn)場(chǎng)設(shè)備設(shè)置或配置的控制系統(tǒng)軟件。與傳統(tǒng) IT 不同，ICS/OT 系統(tǒng)監(jiān)控和管理通過(guò)物理輸入和受控物理動(dòng)作在現(xiàn)實(shí)世界中進(jìn)行實(shí)時(shí)更改的數(shù)據(jù)。

IT 系統(tǒng)是 OT/ICS 的主要攻擊媒介

盡管對(duì)工程工作站的攻擊在過(guò)去一年中翻了一番，但就作為 OT/ICS 系統(tǒng)的初始攻擊媒介而言，它們僅排在第三位。OT/ICS 系統(tǒng)的主要攻擊媒介涉及 IT，41% 的公司報(bào)告稱(chēng)，IT 漏洞是導(dǎo)致其 OT/ICS 系統(tǒng)最終受損的原因。

第二大攻擊媒介是可移動(dòng)媒體，例如 USB 和外部硬盤(pán)驅(qū)動(dòng)器。為了避免這種威脅，83% 的受訪者制定了管理臨時(shí)設(shè)備的正式政策，76% 的受訪者采用了威脅檢測(cè)技術(shù)來(lái)管理這些設(shè)備。此外，70% 使用商業(yè)威脅檢測(cè)工具，49% 使用自制解決方案，23% 已部署臨時(shí)威脅檢測(cè)來(lái)管理此風(fēng)險(xiǎn)。 

“工程系統(tǒng)雖然沒(méi)有配備傳統(tǒng)的反惡意軟件代理，但可以通過(guò)基于網(wǎng)絡(luò)的 ICS 感知檢測(cè)系統(tǒng)和基于工業(yè)的網(wǎng)絡(luò)架構(gòu)實(shí)踐得到保護(hù)，”報(bào)告稱(chēng)。“此外，作為現(xiàn)場(chǎng)設(shè)備持續(xù)工程維護(hù)任務(wù)的一部分，日志捕獲或日志轉(zhuǎn)發(fā)以及定期控制器配置驗(yàn)證是開(kāi)始保護(hù)這些資產(chǎn)的可行方法?！?/p>

該報(bào)告表明，ICS 安全性正在成熟?！癐CS 威脅情報(bào)市場(chǎng)在 12 個(gè)月內(nèi)取得了長(zhǎng)足的進(jìn)步。越來(lái)越多的設(shè)施正在使用供應(yīng)商提供的威脅情報(bào)來(lái)采取更直接和可操作的防御措施。與 2021 年的大多數(shù)受訪者不同，2022 年的受訪者不再僅僅依賴于公開(kāi)可用的威脅英特爾，”根據(jù)迪恩·帕森斯 (Dean Parsons) 撰寫(xiě)的報(bào)告?！斑@標(biāo)志著對(duì) ICS 供應(yīng)商特定威脅情報(bào)的價(jià)值的成熟度和意識(shí)的提高，以及用于改進(jìn)該領(lǐng)域主動(dòng)防御的預(yù)算分配。”

工業(yè)系統(tǒng)有自己的安全預(yù)算

報(bào)告稱(chēng)，越來(lái)越多的組織正在獲得特定于 ICS 的安全預(yù)算，到 2022 年，只有 8% 的設(shè)施沒(méi)有安全預(yù)算。27% 的組織的預(yù)算分配在 100,000 美元到 499,999 美元之間，25% 的組織的預(yù)算在 500,000 美元到 999,999 美元之間。 

在接下來(lái)的 18 個(gè)月中，組織將這些預(yù)算分配給各種計(jì)劃；計(jì)劃提高對(duì)網(wǎng)絡(luò)資產(chǎn)及其配置的可見(jiàn)性（42%）以及基于網(wǎng)絡(luò)的異常和入侵檢測(cè)工具的實(shí)施（34%）?？刂葡到y(tǒng)網(wǎng)絡(luò)上基于網(wǎng)絡(luò)的入侵防御工具也受到關(guān)注（26%）。 

近 80% 的受訪者表示，他們現(xiàn)在擁有強(qiáng)調(diào) ICS 運(yùn)營(yíng)的角色，而 2021 年只有約 50% 擁有此類(lèi)特定角色。然而，這些組織表示，即使這些領(lǐng)域在安全事件期間具有不同的任務(wù)、所需的技能和影響，但責(zé)任仍然趨同。

近 60% 的調(diào)查受訪者使用被動(dòng)監(jiān)控，網(wǎng)絡(luò)嗅探器是檢測(cè)硬件和軟件漏洞的主要方法。第二種最常見(jiàn)的方法是持續(xù)主動(dòng)漏洞掃描。 

第三種最常用的方法是將配置和控制邏輯程序與已知良好的邏輯版本進(jìn)行比較。