罗克韦尔自动化：2022关键基础设施行业网络安全就绪度报告避免大停摆（23页）.pdf

1、在用数据加密|1关键基础设施网络安全 就绪度：避免“大停摆”2022 年调查结果22022 年研究报告：关键基础设施行业网络安全就绪度目录引言 3执行摘要 4识别风险和防范缺口 5保护关键资产 7提前检测威胁 10快速响应事件 13按计划恢复 14为未来做好准备 15附录：全部调查结果 1632022 年研究报告：关键基础设施行业网络安全就绪度引言 关键基础设施领域正面临一场网络安全“完美风暴”。与日俱增的安全漏洞、新增和现有网络安全缺口、不断扩大的攻击面以及日益加剧的全球威胁令运营技术(OT)组织倍感压力。资源充足、手段老练的威胁主体（如勒索软件团伙和民族国家黑客）都将关键基础设施组织列为目

2、标。2021 年，受访的关键 基础设施组织中有 83%表示他们经历过网络安全攻击1。随着攻击不断升级，关键基础设施的弱点仍未得到缓解，“大停摆”（一场牵连甚广的大规模灾难）越来越可能成为现实。关键基础设施组织不能再坐以待毙。为了解关键基础设施网络安全的现状，以及剖析各组织的就绪度和最佳实践，罗克韦尔自动化委托 ISMG 调查了多个关键基础设施行业的 IT 和网络安全领导者。报告中载列了我们的调查结果以及经验教训和建议。根据 NIST 网络安全框架结构（识别、保护、检测、响应和恢复），我们将报告分为五个核心主题。罗克韦尔自动化还将该框架用作评估和加强关键基础设施网络安全的基本路线图。1Skybo

3、x Security（通过雅虎财经）：2021 网络安全研究显示，83%的关键基础设施组织遭受过攻击，2021 年 11 月 11 日42022 年研究报告：关键基础设施行业网络安全就绪度执行摘要意图造成严重破坏或获得快速投资回报的威胁主体发现关键基础设施组织是一个极具吸引力的目标。比如，勒索团伙就经常将公用事业、能源、石油和天然气公司作为攻击目标。他们在所有领域中最有可能支付赎金2，因为承担不起任何停摆风险。IT 和 OT 环境的复杂性也使这些组织更难恢复，停摆的危害可能非常大，包括设备停机、财务损失以及对公共安全和福祉造成的威胁。ISMG 调查显示，关键基础设施组织正朝着正确的方向发展。他

4、们正在采取措施来改善网络安全就绪度和弹性。但调查也显示，面对紧迫的网络安全挑战，他们的进展过于缓慢。许多组织都在努力克服各种障碍，如预算和人才短缺、管理缺乏优先级排序，以及在关于如何改善防御体系方面缺乏真知灼见。大多数组织尚未实施资产清单评估、网络分段和威胁监测等基本步骤，或者在这些方面明显落后。因此，关键基础设施中仍普遍存在漏洞。调查统计数据调查于 2022 年 1 月开展，共收到 122 份回复。ISMG 向高级工业安全负责人（其职务从 CISO 和安全负责人到工厂工程师和业务经理不等）征求了答案。CISO 和安全总监或负责人是最大的两个群体，占比分别达到近 25%和 19%。受访组织所代

5、表的行业涵盖近 20 个 OT 垂直行业，其中 57%代表包括石油和天然气、能源、化工、供水/废水处理垂直领域在内的关键基础设施组织。单一垂直领域的制造业组织的回复数量最多，达到 18%。2 Sophos，“2021 年勒索软件现状”，2021 年 4 月1.关键基础设施组织仍然极易受到网络攻击。调查发现，在资产清单监控、远程访问管理、补丁管理、端点安全、网络分段、事件响应与恢复规划、供应链安全评估以及员工安全意识等高优先级领域存在重大防范缺口。例如，在受访组织中，资产清单审计频率的达标率不到 20%。只有 1/3 的组织实施有效的 OT 补丁管理实践。而且，持续威胁检测方面尚属空白，60%的

6、组织缺乏实时威胁检测措施。机械制造行业尤其突出，只有 37%的受访组织表示在所有问题上都采取了应对措施。令人震惊的是，剩下 63%的组织毫无准备，灾难性后果的到来只是时间问题。2.弥合防范缺口必须成为当务之急。最近公开的攻击事件表明，网络攻击会造成高昂的停机成本，并且不仅会导致运营瘫痪，还会扰乱日常生活。水、食品、石油和天然气、医疗和运输等具有公共安全影响风险的行业的 OT（运营技术）ICS（工业控制系统）网络所面临的攻击数量和强度不断增加，而关键基础设施组织的行动速度不够快，无法降低这些风险。例如，目前只有 56%的受访组织能够分析、控制和缓解即将到来的威胁。3.预算不足也会增加风险并阻碍进