【编者按】工业组织在2021年面临重大挑战。对佛罗里达州Oldsmar供水设施、Colonial管道和JBS的网络攻击,以及SolarWinds供应链攻击,将工业网络安全推向了国家和全球舞台。当关键基础设施遭到破坏时,会产生惊人的金融和社会影响。除此之外,企业领导者继续应对新冠疫情的影响,同时确定如何高效、安全地运营。正是在这种背景下,尽管存在前所未有和不可预测的问题,组织必须努力保持弹性。
为了了解工业组织如何在这些未知领域前行,Claroty委托Pollfish对全球1,100名拥有、运营或以其他方式支持关键基础设施组件的企业全职IT和OT安全专业人员进行了独立调查。调查主要关注:工业企业面临的勒索软件攻击、数字化转型和远程工作三大问题;治理、最佳实践和投资方面的关键弹性因素;今后发展的政策和优先事项。
工业网络安全公司Claroty委托Pollfish对全球1,100名拥有、运营或以其他方式支持关键基础设施组件的企业全职IT和OT安全专业人员进行了独立调查。只有在IT安全、OT/ICS安全方面从事全职工作或作为OT/ICS工程师或操作员工作的个人参与了调查,探讨了他们如何应对2021年的重大挑战、弹性水平、以及今后的优先事项。
共有1,100名受访者完成了调查,包括美国500人、欧洲300人和亚太地区300人。略多于一半(55%)的组织的收入至少为十亿美元。代表了十多个行业包括IT硬件、石油和天然气(包括管道)、消费品、电能、制药/生命科学/医疗设备、运输、农业/食品和饮料、重工业、水和废物以及汽车。该调查于2021年9月完成。主要发现包括:
勒索软件猖獗,支付也很盛行。令人震惊的是,80%的受访者遭受了攻击,其中47%的受访者表示其OT/ICS环境受到了影响。超过60%的人支付了赎金,超过一半(52%)的人支付了50万美元或更多。超过90%的人向股东和/或当局披露了该事件,69%的人认为及时报告应该是强制性的。
数字化转型、远程工作和人员短缺持续存在。自新冠疫情以来,数字化转型继续加速,73%的组织将继续进行远程/混合工作。近90%的人正在寻求招聘,但54%的人表示很难找到足够合格的OT安全人选。
治理和监督显示出强大的领导力。超过一半的受访者表示,其组织最高管理层和董事会经常参与网络安全决策和监督。超过60%的企业将OT和IT治理集中在CISO之下,这是推荐的最佳实践。流程和技术方面的差距仍然存在,超过65%的受访者认为其组织的漏洞管理策略为中度至高度主动,但勒索软件攻击非常成功。近30%的人共享密码,57%的人使用用户名和密码,44%的人使用VPN,这些都是可以增强弹性。
投资预算增加。超过80%的受访者表示其IT和OT/ICS安全预算都有所增加。实施新技术解决方案是网络安全的重中之重,石油与天然气和IT硬件行业处于领先地位。
1、勒索软件处于领先地位
针对工业组织的勒索软件攻击浪潮上升到了新的高度,任何组织都无法幸免。在全球范围内,有80%的受访者经历过攻击,47%的受访者表示它影响了OT/ICS环境。超过90%的受到攻击的组织向股东和/或当局披露了该事件,并在近一半(49%)的案件中影响是重大的。
更仔细地研究攻击的分布情况,在IT硬件、石油和天然气、水和废物以及汽车等行业中,90%受到勒索软件影响,重工业和电力行业87%受到勒索软件影响。毫不奇怪,组织越大,攻击的可能性就越大,因为钱就在那里;报告受到勒索软件影响的中小型企业要少的多,只有63%。年收入小于5亿美元为中小型企业。
对于经历过勒索软件攻击的组织来说,财务影响是巨大的。在全球范围内,超过60%的组织支付了赎金,其中超过一半(52%)支付了50万美元或更多。美国领先,76%支付了赎金,57%支付了50万美元或更多,而亚太地区和欧洲分别为51%和49%。这些地区的支出也呈下降趋势,集中在10万美元至50万美元之间。
是什么促使企业做出支付赎金的决定?正如谚语所说,时间就是金钱。无论在哪个地区,大多数受访者估计其运营停机每小时的收入损失等于或大于支出。因此考虑到这个等式以及所面临的风险,财务模型似乎更倾向于支付赎金。这也可能是为什么在全球范围内69%的受访者认为支付赎金应该是合法的。要改变金融计算,需要一个激励和抑制系统,有利于预先更好的控制和风险治理。
2、数字化转型和远程工作仍在继续
受访者强烈表示,自新冠疫情开始以来,数字化转型加速,在可预见的未来,在全球范围内,73%的组织将继续进行一定程度的远程工作。数字化转型、IT和OT网络之间固有的连接性增加、以及员工的远程访问,释放了巨大的商业价值。但是这些对OT/ICS环境的更改也会为攻击者创造额外的载体,从而带来风险。这些结果在头条新闻中得到了体现,并促使政府再次警告将工业网络连接到IT网络的风险,以及提高意识和控制状态的必要性。
3、弹性从治理开始
该调查表明,各组织已经将从备受瞩目的网络攻击中吸取的教训内化,并通过增加投资和实施新的或更新的流程和控制措施,来优先考虑网络安全。例如,在全球范围内,超过一半的受访者表示,他们组织的最高管理层和董事会经常参与网络安全决策和监督,这对于持续投资和优先排序来说是个好兆头。按照推荐的最佳实践,在全球范围内,超过60%的企业将OT和IT治理集中在CISO之下。此外,大多数(62%)与政府的方向一致,即强制、及时报告影响IT和OT/ICS系统的网络安全事件。
在全球范围内,对IT安全专业人员管理OT/ICS环境的网络安全能力的信心持续增长,从去年调查的61%增加到今年的65%。但是对安全专业人员的需求不断增加。近90%的人正在寻求招聘,40%的人表示需求紧迫,54%的人表示很难找到足够多的候选人,这些候选人具备正确管理OT网络的网络安全所需的技能和经验。
4、流程和技术
大多数受访者将其组织的网络安全成熟度划分为第4级,即管理级,欧洲成熟度在第3级。在全球范围内,超过65%的受访者将其漏洞管理策略评为中度至高度主动,欧洲为55%。然而勒索软件攻击仍然非常成功。
需要改进网络培训来帮助阻止勒索软件攻击。在全球范围内,三分之一(33%)的受访者表示,与预防和管理未来网络攻击相关的培训不足或没有提供。在2020年的调查中,83%的受访者表示提供了与远程工作相关的培训。然而,似乎缺乏技能开发来减轻利用这种新的分布式环境所引发的漏洞的攻击所带来的风险。OT远程访问需要改进。近30%的人共享密码,亚太地区和欧洲的这一数字接近20%,57%的人使用用户名和密码,44%的人使用VPN。基本的网络卫生、更强的密码和安全的远程访问解决方案有助于增强抵御攻击的能力。
5、投资和优先事项
超过80%的受访者表示,自新冠疫情开始以来,他们的IT和OT/ICS安全预算都有所增加。在IT硬件、石油和天然气、电能等行业,这一数字接近90%。这种广泛的投资增长可能是高管和董事会级别优先考虑网络安全的直接结果,由于勒索软件的肆虐扰乱了大多数接受调查的工业组织的运营,以及让IT公司受到关注的备受瞩目的SolarWinds供应链攻击事件,他们可能会成为这种特别阴险的攻击类型的发射台。
与此前的调查结果一致,各地区的受访者一致且绝大多数都将实施新技术解决方案列为头等大事,石油和天然气和IT硬件的受访者分别为57%和49%。欧洲将培训列为紧随其后的第二位,而中小企业同样将培训和技术放在首位。
正如本次调查显示的那样,工业组织正走在正确的道路。大多数组织已经扩展了现有的IT风险管理和治理流程,由CISO负责的OT网络包括在内,并增加了IT和OT/ICS安全预算。然而,勒索软件攻击对大多数这些组织取得了成功,以及数字化转型和远程工作的继续,是不可否认的。组织必须保持警惕并继续建立弹性。
工业网络安全行业在创建有助于消除盲点和缩小安全差距以建立弹性的技术解决方案方面取得了巨大进步。此外,考虑到几乎每个组织都面临的招聘挑战,在不给现有基础设施和人员带来不必要的流量、硬件、复杂配置、冗长的部署或陡峭的学习曲线的情况下实施的解决方案至关重要。
以下五种推荐的技术和流程可以帮助安全领导者及其团队更好地保护OT环境,并在当今超连接的世界中实现业务。
1、将风险治理扩展到网络物理资产。未考虑安全设计的设备在连接到IT和OT网络时会带来风险。这包括所有工业物联网、ICS和企业物联网组件。对于许多组织来说,将治理扩展到包括这些资产是一个具有挑战性的步骤,因为识别它们也不是一件容易的事。这是一个可能需要迭代的过程。值得庆幸的是,在过去几年中,该行业在技术方面取得了巨大进步,这使得发现此类资产并分析其风险、风险和漏洞变得更加容易。
2、保持适当的分段。有许多业务流程和应用程序需要跨IT/OT边界进行通信,因此组织需要确保以安全的方式进行通信。确保组织的OT网络和资产以符合分段最佳实践的方式与IT隔离,是阻止勒索软件和其他恶意软件从IT横向传播到OT的非常有效的方法。除了IT和OT网络之间的分段之外,还可以将虚拟分段部署到OT环境中的区域。这将有助于检测OT网络内的横向移动。当远程操作需要直接访问OT网络时,确保通过对用户、设备和会话进行严格控制的安全远程访问连接来完成。这些解决方案可以在不增加OT环境负担的情况下进行部署。
3、养成良好的网络卫生习惯。确保网络卫生扩展到OT和IoT设备。这包括使用强密码(而不是在不同用户之间共享密码)、密码库和多因素身份验证。修补遗留系统可能更具挑战性或不可能。如果是这种情况,请确定并实施补偿控制,例如防火墙规则和访问控制列表。可以利用免费的扫描、评估和测试工具来帮助减少受到威胁的风险。
4、实施稳健的系统监控计划。能够监控IT和OT网络中的威胁,以及跨越该边界的任何事物,对于有效和高效的检测和响应至关重要。专为跨OT网络进行持续威胁监控而构建的无代理解决方案,可以快速实施,与OT和IT系统和工作流程同样出色地集成,并允许IT和OT团队一起查看OT环境。这些团队利用相同的信息集,采取特定步骤来管理和降低来自已知和未知新威胁的风险。
5、评估和建立准备。实施上述功能并增强弹性可以让安全领导者和团队安心。进行勒索软件攻击的桌面练习可以更深入地了解组织和技术准备情况。这为组织提供了创建改进的事件响应计划的机会,该计划将建立对准备和即时决策以及对此类攻击的弹性的信心。当事件响应和取证公司与内部利益相关者和团队建立了工作关系,了解现有的IT和OT基础设施和控制,并了解业务和风险状况时,他们能够在面对攻击时更快地提供更好的建议。
随着数字化转型和远程工作在2021年的持续进行,针对IT和OT/ICS网络的勒索软件攻击猖獗,支出巨大。只要金融模式继续支持支付赎金,这些威胁就会继续存在。降低风险的唯一方法是了解如何使超连接更加安全。必须解决流程和技术方面的差距,其中一些已经存在多年。幸运的是,全球组织拥有强大的执行领导力和值得信赖的网络安全专家掌舵,他们一起走在正确的道路上。将治理扩展到包括OT网络、分配额外资源、并优先考虑最佳实践和控制,他们正在建立在中断中的弹性。
参考资源:
【1】Claroty, The Global State of Industrial Cybersecurity 2021:Resilience Amid Disruption, February 2022