隨著 OT 組織不斷在其業(yè)務環(huán)境中集成各種數(shù)字工具和技術，它們面臨的安全挑戰(zhàn)也日益變得愈加復雜和多樣化。正如 NIST 指出， “雖然安全解決方案旨在解決典型 IT系統(tǒng)中的一些問題，但將這些相同的解決方案引入不同的 OT 環(huán)境時，必須采取特殊的預防措施。在某些情況下，需針對 OT 環(huán)境量身定制新的安全解決方案?！?/p>

報告顯示，在過去 12 個月間，組織在 OT 安全態(tài)勢以及對基本工具和能力的投資方面取得了顯著的進展。然而，在后 IT/OT 融合環(huán)境中，要有效管理日益頻發(fā)的威脅攻擊，組織的網(wǎng)絡安全防護能力仍存在巨大提升空間。

三大趨勢

• 在過去的一年間，威脅入侵頻次及其對組織的負面影響均有所提升。
• OT 網(wǎng)絡安全的管理責任正逐漸提升至執(zhí)行管理層。
• 關鍵領域的 OT 安全態(tài)勢正趨于成熟，但仍是一項亟待組織進一步關注并投入努力的工作。

關鍵要點

1.網(wǎng)絡安全事件

近三分之一（31%）的受訪者表示曾遭受六次以上威脅入侵，而去年這一占比僅11%。值得關注的是，那些已具備高級成熟度的組織，期間報告稱遭受的入侵頻次更高。與上一年相比，雖然各類入侵事件數(shù)量均呈現(xiàn)出增長趨勢，但惡意軟件攻擊數(shù)量卻呈現(xiàn)出下降趨勢。網(wǎng)絡釣魚和商業(yè)電子郵件攻擊是目前最常見的兩大入侵類型，而移動安全漏洞和網(wǎng)絡入侵則是不法分子最常用的兩大攻擊技術。

2.入侵影響

在所有受攻擊影響的類別中，OT（運營技術）入侵所帶來的不良后果正逐漸加劇，給相關系統(tǒng)和設施帶來了日益嚴重的挑戰(zhàn)。超半數(shù)受訪者（52%）表示品牌知名度的下滑趨勢正急劇上升，高于 2023 年的的 34%。

3.OT 如何影響網(wǎng)絡安全

受訪者中，聲稱其中央網(wǎng)絡安全運營中心對 OT 活動具備 100% 可見性的組織比例顯著下降（從 2022 年的 13% 到 2023 年的10%，再到今年的 5%）。這可能是因為在組織的 OT 安全態(tài)勢趨向成熟的過程中，逐漸意識到其安全可見性中仍存在一定的盲區(qū)或不足。

4.人員安全

成熟度提高的另一個明顯跡象是受訪者中，由 CISO（首席信息安全官）推動 OT 安全發(fā)展的組織數(shù)量穩(wěn)步增長，從 2022 年的 10% 到 2023 年的 17%，再到今年的 27%。與此同時，我們還看到去年的趨勢發(fā)生了逆轉，那些不打算在未來 12 個月內(nèi)將 OT 安全管理權移交至 CISO 的組織，從 2022 年的 11% 下降至去年的 4%，但在今年又回升至 12%。

正文

對 OT 系統(tǒng)的威脅可能源于多種來源，包括敵對政府、恐怖組織、心懷不滿的員工、惡意入侵者、錯綜復雜的事務、自然災害、內(nèi)部人員的惡意行為以及人為錯誤或未能遵守既定政策和程序等無意行為。

OT 系統(tǒng)在設計初期并未預見當今瞬息萬變的數(shù)字世界所帶來的安全挑戰(zhàn)。它們在建造時可能適用于某一時間和地點，進而在孤立的環(huán)境中實現(xiàn)安全運營。隨著周圍世界的快速變化，采用革命性的數(shù)字工具雖為企業(yè)帶來了諸多新的便利和創(chuàng)新功能，但同樣隨著網(wǎng)絡連接性的增加，各類網(wǎng)絡安全風險也隨之而來。

OT環(huán)境特有風險

今年的問卷調(diào)查受訪者所提供的數(shù)據(jù)與先前的媒體報道相吻合，進一步證實了OT攻擊正呈逐年上升趨勢。據(jù)Fortinet最新發(fā)布的《全球威脅態(tài)勢研究報告》顯示，去年下半年，針對工業(yè)控制系統(tǒng)（ICS）和OT的攻擊數(shù)量已呈逐步上升趨勢，半數(shù)受訪組織均表示曾遭受漏洞利用攻擊（能源和公用事業(yè)部門淪為首要攻擊目標）。

組織切記OT系統(tǒng)對于攻擊者而言極具吸引力。有效的安全防護措施要求組織必須時刻保持高度警惕，并合理調(diào)配和分配相關資源，以確保安全策略的有效實施。入侵數(shù)量的激增及其負面影響的持續(xù)惡化為各成熟度等級的組織提供了一個明確的信號，即他們的OT系統(tǒng)在其中央網(wǎng)絡安全運營中并不具備全面可見性。

在制造業(yè)等關鍵行業(yè)中，當遭遇網(wǎng)絡安全威脅時，部分組織可能因業(yè)務連續(xù)性和運營的緊迫性而傾向于直接支付不法分子索要的贖金，這類贖金金額往往相對較高。在制造企業(yè)中，25% 的入侵事件索要的贖金高達 100 萬美元甚至更高。鑒于制造商的停機成本非常高昂，因此只能被迫向攻擊者支付贖金以求快速恢復正常運營。

OT 安全關鍵洞察

關鍵洞察 #1：組織已觀察到更多的威脅入侵數(shù)量及其負面影響

今年的調(diào)查結果中，最重要見解是越來越多的組織正遭受數(shù)量龐大的攻擊。近三分之一（34%）的受訪者曾遭遇六次或更多次威脅入侵，高于 2023 年的 11%。同樣值得關注的是，除惡意軟件外，所有攻擊類型的入侵比例均有所提升。

入侵的后續(xù)影響對組織的影響也變得更糟。更多的受訪者表示，由于攻擊事件導致品牌知名度下滑。目前，美國證券交易委員會《網(wǎng)絡安全事件披露規(guī)定》等許多法規(guī)均要求企業(yè)組織及時公開發(fā)布入侵事件。7調(diào)查結果還顯示，由于泄露事件直接導致的負面結果，越來越多的組織泄露了關鍵業(yè)務數(shù)據(jù)并導致生產(chǎn)力降低。

關鍵見解 #2：OT 安全職責正逐步移交至高級管理層

OT 網(wǎng)絡安全的管理職責正從網(wǎng)絡安全 OT 總監(jiān)轉移至網(wǎng)絡工程/運營副總裁/總監(jiān)和首席信息安全官。隨著管理職責向執(zhí)行管理層的轉移， OT 安全已成為董事會層面更為關注的事項。我們還發(fā)現(xiàn)，影響網(wǎng)絡安全決策的高層內(nèi)部管理者發(fā)生了有趣的轉變，OT 網(wǎng)絡安全的管理職責已從首席信息官轉向首席信息官/首席安全官、首席技術官和網(wǎng)絡工程運營副總裁/總監(jiān)。

關鍵洞察 #3：OT 網(wǎng)絡安全態(tài)勢正趨于成熟

在實施有效的網(wǎng)絡安全防護措施后，IT 基礎設施在 OT 系統(tǒng)上取得了巨大的領先優(yōu)勢。但 OT 安全態(tài)勢在成熟技術的兩端均取得了顯著進展。在等級 1 中，20% 的組織表示已建立網(wǎng)絡分段并擁有適當?shù)目梢娦裕ツ晖葍H為 13%。最高等級安全態(tài)勢成熟度（已具備編排和自動化功能）的比例也顯示出同比增長，從 13% 增長至 23%。

受訪者中，聲稱其中央網(wǎng)絡安全運營中心對 OT 活動具備 100% 可見性的組織比例顯著下降（從 10% 下降至 5%），而那些稱擁有約 75% 可見性的受訪者占比有所增加。這種經(jīng)過調(diào)整后的可見性置信度的變化，可能反映出 OT 安全成熟度正逐步提升。這意味著組織現(xiàn)在能夠更加清晰地洞察和把握自身的安全態(tài)勢，即便去年許多組織安全事件數(shù)量激增，他們?nèi)钥赡苊媾R某些未知的安全盲點或不足。這種認知的進步和清晰的洞察力，為組織在未來進一步完善和強化其安全策略提供了有力的支撐。

OT 專業(yè)人員持續(xù)擴展其使用的網(wǎng)絡安全功能和協(xié)議范圍。今年，內(nèi)部網(wǎng)絡分段和安全意識培訓和教育以及基于角色的訪問控制是增長最顯著的領域。盡管這些投資顯示了組織在安全防護意識方面的顯著增強，但今年攻擊者成功入侵的數(shù)量卻急劇上升，這凸顯了組織在應對針對 OT 系統(tǒng)數(shù)量激增的定向攻擊時，仍需持續(xù)加大努力，以更有效地抵御日益復雜的網(wǎng)絡威脅。

一個更令人擔憂的成熟度趨勢表明，在更廣泛的風險評估框架中，OT 系統(tǒng)的影響地位正逐漸顯露出一種倒退的趨勢。受訪者表示，他們的 OT 安全態(tài)勢在確定其組織的整體風險評分方面的影響力越來越小。最值得關注的是，稱 OT 并非風險評分“影響因素”的受訪者同比顯著增加，從 2023 年的 1% 增加至 2024 年的 7%。

全球影響

如何衡量您組織的 OT 網(wǎng)絡安全防護是否成功？（排名前五項）

組織選擇以多種方式衡量其OT網(wǎng)絡安全防護是否成功，但“對安全事件的響應時間/恢復服務時間”已躍升為組織首要關注焦點，近半數(shù)（46%）受訪者將其列為前三大成功因素。值得強調(diào)的是，組織正基于恢復運營情況來衡量安全防護是否成功。

無論這是否表明組織不愿意通過支付贖金來支持系統(tǒng)恢復作為首選策略，還是他們選擇迅速支付贖金以期望攻擊者能迅速允許他們恢復運營，對于組織而言，做好從安全事件中恢復的準備都是一個值得關注的見解。許多企業(yè)逐漸認識到，網(wǎng)絡彈性已成為他們實現(xiàn)成功防護更為切實可行的目標。這種彈性體現(xiàn)在確保系統(tǒng)能在最短時間內(nèi)恢復運行，并最大限度地減少中斷時間，從而使企業(yè)能夠迅速應對那些不可避免的威脅攻擊。

您目前擁有哪些網(wǎng)絡安全技術和安全功能？

為了增強對潛在網(wǎng)絡入侵的防御能力，OT 專業(yè)人員正積極擴大其網(wǎng)絡安全策略和技術工具的應用范圍。根據(jù)今年的調(diào)查反饋，幾乎所有類別的安全解決方案都呈現(xiàn)出持續(xù)的投資增長趨勢，這表明了組織對于提升網(wǎng)絡安全水平的堅定決心。此外，內(nèi)部網(wǎng)絡分段解決方案、基于角色的訪問控制（RBAC）以及支持內(nèi)部安全意識培訓和教育的計劃也受到了廣泛關注。

隨著 IT-OT 網(wǎng)絡的持續(xù)融合，組織需有效防范各類常見威脅非法訪問物理隔離環(huán)境下敏感的 OT 系統(tǒng)。實現(xiàn)這一目標，組織需具備全面的可見性、網(wǎng)絡分段和保護網(wǎng)絡邊界的能力，以及針對 OT 系統(tǒng)基于用戶定義角色的訪問監(jiān)控和控制能力。將這些功能全面組合，便能夠建立零信任網(wǎng)絡安全架構，有效阻斷威脅入侵。

隨著網(wǎng)絡犯罪活動的日益猖獗，管理層對于 OT 安全的關注度日益增長，對于該領域的支出也隨之不斷攀升。雖然增加投資無疑是一個積極的趨勢，但針對 OT 環(huán)境入侵的規(guī)模、復雜性和后續(xù)影響持續(xù)擴大，這一趨勢表明組織亟需部署更多的資源以從容應對攻擊數(shù)量激增的現(xiàn)狀，從而有效保護 OT 系統(tǒng)。

最佳實踐

部署網(wǎng)絡分段

為有效減少威脅入侵，建立一個強化的 OT 環(huán)境，并在所有接入點上實施強大的網(wǎng)絡安全控制策略至關重要。這種可防御的 OT 架構從創(chuàng)建網(wǎng)絡區(qū)域或分段開始。ISA/IEC 62443 等標準特別要求實施網(wǎng)絡分段以強制執(zhí)行 OT 和 IT 網(wǎng)絡之間的安全控制。11在選擇解決方案時，安全團隊還應評估管理解決方案的整體復雜性，建議考慮具備集中管理能力的集成式或基于平臺的方法。

例如實施安全組網(wǎng)策略。從資產(chǎn)清單和網(wǎng)絡分段等基本步驟開始部署。然后考慮更高級別的控制措施，例如 OT 威脅防護和智能網(wǎng)絡微分段。

建立 OT 資產(chǎn)的可見性和補償式控制措施

組織需能夠全面查看和了解其 OT 網(wǎng)絡上的所有內(nèi)容。一旦建立了全面可見性，組織應立即保護任何易受攻擊的設備。這需要專門為敏感的 OT 設備構建保護性補償式控制。協(xié)議感知網(wǎng)絡策略、系統(tǒng)到系統(tǒng)交互分析和終端監(jiān)控等功能可有效檢測和防范易受攻擊的資產(chǎn)泄露。

將 OT 安全納入安全運營（SecOps）和事件響應計劃

組織應朝著 IT-OT 安全運營的方向發(fā)展。為實現(xiàn)組織的安全防護目標，我們必須明確認識到 OT 安全在整體安全策略中的重要性，并將其納入安全運營和事件響應計劃的具體考量因素之中。這主要是因為 OT 與 IT 環(huán)境之間存在著根本性的差異，這些差異不僅體現(xiàn)在設備類型的獨特性上，更在于 OT 漏洞利用攻擊對關鍵運營所可能產(chǎn)生的深遠和廣泛的影響。

朝著這個方向邁出的首要關鍵步驟是擁有針對組織 OT 環(huán)境威脅防護的 Playbook。這種先進的準備工作將促進 IT 團隊、OT 和生產(chǎn)團隊之間更好的協(xié)作，以充分評估網(wǎng)絡和生產(chǎn)風險，還可確保 CISO 具備適當?shù)母兄芰?、明確的優(yōu)先級設定能力、合理的預算分配權力以及靈活的人員調(diào)配能力，以確保其在信息安全領域更有效地履行職責。

建議采用平臺方法構建整體安全架構

為了應對快速演變的 OT 威脅和不斷擴大的攻擊面，許多組織已從不同的供應商處疊加部署了各種安全解決方案。這種傳統(tǒng)方法不僅導致網(wǎng)絡架構過于復雜，抑制了可見性，同時還為資源有限的安全團隊帶來額外的工作負擔。

基于平臺的安全方法可幫助組織全面整合供應商并簡化其架構。一款強大的安全平臺，具備針對IT網(wǎng)絡和OT環(huán)境的特定功能，可提供解決方案集成以提高安全效率，同時實現(xiàn)集中管理以提高工作效率。通過集成各種安全工具、系統(tǒng)和流程，組織能夠實現(xiàn)自動化的威脅檢測、分析和響應，以加速阻斷各種安全威脅，降低潛在風險。

例如具備上下文感知生成式 AI 功能的安全平臺可幫助組織進一步優(yōu)化安全態(tài)勢，并通過對設備漏洞進行故障排除和威脅狩獵分析等自動化工具提高運營效

采用特定于 OT 領域的威脅情報和安全服務

OT 安全取決于對迫在眉睫的風險的及時感知和精準分析?；谄脚_的安全架構還應采用前沿威脅情報，實時防范最新威脅、攻擊變體，避免威脅暴露風險。為了確保 OT 環(huán)境安全，組織需確保其威脅情報和內(nèi)容來源中已包含專門針對 OT 領域的可靠情報源和服務。

例如威脅情報和安全服務應包括專門的入侵防御系統(tǒng)簽名，以有效檢測和阻斷針對 OT 應用程序和設備的惡意流量。

總結

OT 對于全球各地的企業(yè)和政府而言至關重要，因為它囊括了關鍵基礎設施、醫(yī)療保健系統(tǒng)和制造運營系統(tǒng)。OT 和 ICS 系統(tǒng)不可或缺的性質恰恰使它們面臨更高的安全風險。據(jù) NIST 稱，OT 安全目標通常優(yōu)先考慮完整性和可用性，其次是機密性，但隨著 OT 網(wǎng)絡環(huán)境的急劇惡化，組織也應將 OT 安全視為首要任務。

正如《2024 年運營技術與網(wǎng)絡安全態(tài)勢研究報告》顯示，有積極跡象表明，OT安全在許多組織中正趨于成熟。然而，與此同時，相比前一年所觀察到的一些進展情況，本次問卷調(diào)查的結果顯示呈下滑趨勢，組織遭遇更多次的威脅入侵，OT在確定風險評分方面變得不那么重要。為了扭轉這些頹勢，必須重新宣傳保護敏感的OT系統(tǒng)，并為有效的、專門構建的安全架構合理分配資源。

參考來源：https://www.fortinet.com/content/dam/fortinet/assets/reports/report-state-ot-cybersecurity.pdf