工業(yè)公司很擔(dān)心IoT安全問題。77%的工業(yè)公司認為自己的ICS網(wǎng)絡(luò)會遭到攻擊，成為網(wǎng)絡(luò)安全事件的受害者。但如果接受調(diào)查訪問的公司中近半數(shù)都承認并未部署任何ICS攻擊檢測措施，這種重視程度又能有多高呢?

[[234696]]

似乎誰都想在IoT上分一杯羹，不止制造業(yè)，電廠、水廠、污水治理中心等等都希望有IoT連接可用——雖然65%的受訪企業(yè)知道ICS安全風(fēng)險更可能來自于IoT。

公司企業(yè)想要應(yīng)用該新型IT提升其工業(yè)過程的效率。盡管77%的受訪者認為自家公司可能會淪為涉工控網(wǎng)絡(luò)安全事件的目標，但仍舊一邊投入大量資金加強IT網(wǎng)絡(luò)安全，一邊將運營技術(shù)(OT)接入外部網(wǎng)絡(luò)以促進自動化效率提升。

Pierre Audoin Consultants (PAC)咨詢公司受卡巴斯基實驗室委托，對23個國家的320位OT-ICS網(wǎng)絡(luò)安全決策人士做了調(diào)查訪問。下面便是卡巴斯基《2018工業(yè)網(wǎng)絡(luò)安全狀態(tài)》報告中列出的部分結(jié)論：

• 一多半(51%)的工業(yè)公司宣稱在過去一年中未遭到過數(shù)據(jù)泄露或網(wǎng)絡(luò)安全事件。聽起來像是好消息，但卡巴斯基實驗室想知道這些公司到底清不清楚自己有沒有遭到攻擊——畢竟48%的公司承認并未部署攻擊檢測或追蹤措施。
• 值得指出的是，8%的受訪者坦誠自己不知道去年發(fā)生了多少起與OT/ICS或控制系統(tǒng)網(wǎng)絡(luò)相關(guān)的網(wǎng)絡(luò)安全事件;10%不愿去衡量事件與泄露的數(shù)量。

OT對攻擊敞開門戶

雖然大多數(shù)公司企業(yè)正強化其IT安全，他們的OT卻依然門戶大開，像勒索軟件和惡意軟件之類基本威脅都可以長驅(qū)直入。

事實上，該調(diào)查揭示，公司企業(yè)意識到的風(fēng)險并不總是他們的實際痛點。

依賴ICS的公司真正恐懼的是什么呢?66%的受訪公司擔(dān)心針對性攻擊和APT，65%憂慮傳統(tǒng)惡意軟件，64%為勒索軟件攻擊犯愁，59%則憂心數(shù)據(jù)泄露和網(wǎng)絡(luò)間諜。

至于到底什么才是導(dǎo)致安全事件的元兇，卡巴斯基指出，近2/3(64%)的公司在過去一年中至少經(jīng)歷過一次傳統(tǒng)惡意軟件/病毒對其ICS的攻擊。30%的公司經(jīng)受了勒索軟件攻擊，27%的公司因員工操作失誤而致ICS被破壞。工業(yè)行業(yè)針對性攻擊占比在2018年僅為16%，比2017年的36%縮水了很多，意味著對針對性攻擊風(fēng)險的擔(dān)憂與攻擊現(xiàn)狀有些錯位，但依賴ICS的公司依然會淪為更為傳統(tǒng)的威脅的刀下菜，包括惡意軟件、勒索軟件和針對性攻擊。

躍然紙上的其他一些亮點包括：16%的公司選擇不報告去年遭遇到的任何數(shù)據(jù)泄露或事件，僅23%的公司遵從了行業(yè)強制規(guī)定或政府監(jiān)管/指導(dǎo)規(guī)則。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文