編者按:工業組織在2021年面臨重大挑戰。對佛羅里達州Oldsmar供水設施、Colonial管道和JBS的網絡攻擊,以及SolarWinds供應鏈攻擊,將工業網絡安全推向了國家和全球舞臺。當關鍵基礎設施遭到破壞時,會產生驚人的金融和社會影響。除此之外,企業領導者繼續應對新冠疫情的影響,同時確定如何高效、安全地運營。正是在這種背景下,盡管存在前所未有和不可預測的問題,組織必須努力保持彈性。
為了了解工業組織如何在這些未知領域前行,Claroty委托Pollfish對全球1,100名擁有、運營或以其他方式支持關鍵基礎設施組件的企業全職IT和OT安全專業人員進行了獨立調查。調查主要關注:工業企業面臨的勒索軟件攻擊、數字化轉型和遠程工作三大問題;治理、最佳實踐和投資方面的關鍵彈性因素;今后發展的政策和優先事項。
工業網絡安全公司Claroty委托Pollfish對全球1,100名擁有、運營或以其他方式支持關鍵基礎設施組件的企業全職IT和OT安全專業人員進行了獨立調查。只有在IT安全、OT/ICS安全方面從事全職工作或作為OT/ICS工程師或操作員工作的個人參與了調查,探討了他們如何應對2021年的重大挑戰、彈性水平、以及今后的優先事項。
共有1,100名受訪者完成了調查,包括美國500人、歐洲300人和亞太地區300人。略多于一半(55%)的組織的收入至少為十億美元。代表了十多個行業包括IT硬件、石油和天然氣(包括管道)、消費品、電能、制藥/生命科學/醫療設備、運輸、農業/食品和飲料、重工業、水和廢物以及汽車。該調查于2021年9月完成。主要發現包括:
勒索軟件猖獗,支付也很盛行。令人震驚的是,80%的受訪者遭受了攻擊,其中47%的受訪者表示其OT/ICS環境受到了影響。超過60%的人支付了贖金,超過一半(52%)的人支付了50萬美元或更多。超過90%的人向股東和/或當局披露了該事件,69%的人認為及時報告應該是強制性的。
數字化轉型、遠程工作和人員短缺持續存在。自新冠疫情以來,數字化轉型繼續加速,73%的組織將繼續進行遠程/混合工作。近90%的人正在尋求招聘,但54%的人表示很難找到足夠合格的OT安全人選。
治理和監督顯示出強大的領導力。超過一半的受訪者表示,其組織最高管理層和董事會經常參與網絡安全決策和監督。超過60%的企業將OT和IT治理集中在CISO之下,這是推薦的最佳實踐。流程和技術方面的差距仍然存在,超過65%的受訪者認為其組織的漏洞管理策略為中度至高度主動,但勒索軟件攻擊非常成功。近30%的人共享密碼,57%的人使用用戶名和密碼,44%的人使用VPN,這些都是可以增強彈性。
投資預算增加。超過80%的受訪者表示其IT和OT/ICS安全預算都有所增加。實施新技術解決方案是網絡安全的重中之重,石油與天然氣和IT硬件行業處于領先地位。
一、主要發現
1、勒索軟件處于領先地位
針對工業組織的勒索軟件攻擊浪潮上升到了新的高度,任何組織都無法幸免。在全球范圍內,有80%的受訪者經歷過攻擊,47%的受訪者表示它影響了OT/ICS環境。超過90%的受到攻擊的組織向股東和/或當局披露了該事件,并在近一半(49%)的案件中影響是重大的。
更仔細地研究攻擊的分布情況,在IT硬件、石油和天然氣、水和廢物以及汽車等行業中,90%受到勒索軟件影響,重工業和電力行業87%受到勒索軟件影響。毫不奇怪,組織越大,攻擊的可能性就越大,因為錢就在那里;報告受到勒索軟件影響的中小型企業要少的多,只有63%。年收入小于5億美元為中小型企業。
對于經歷過勒索軟件攻擊的組織來說,財務影響是巨大的。在全球范圍內,超過60%的組織支付了贖金,其中超過一半(52%)支付了50萬美元或更多。美國領先,76%支付了贖金,57%支付了50萬美元或更多,而亞太地區和歐洲分別為51%和49%。這些地區的支出也呈下降趨勢,集中在10萬美元至50萬美元之間。
是什么促使企業做出支付贖金的決定?正如諺語所說,時間就是金錢。無論在哪個地區,大多數受訪者估計其運營停機每小時的收入損失等于或大于支出。因此考慮到這個等式以及所面臨的風險,財務模型似乎更傾向于支付贖金。這也可能是為什么在全球范圍內69%的受訪者認為支付贖金應該是合法的。要改變金融計算,需要一個激勵和抑制系統,有利于預先更好的控制和風險治理。
2、數字化轉型和遠程工作仍在繼續
受訪者強烈表示,自新冠疫情開始以來,數字化轉型加速,在可預見的未來,在全球范圍內,73%的組織將繼續進行一定程度的遠程工作。數字化轉型、IT和OT網絡之間固有的連接性增加、以及員工的遠程訪問,釋放了巨大的商業價值。但是這些對OT/ICS環境的更改也會為攻擊者創造額外的載體,從而帶來風險。這些結果在頭條新聞中得到了體現,并促使政府再次警告將工業網絡連接到IT網絡的風險,以及提高意識和控制狀態的必要性。
3、彈性從治理開始
該調查表明,各組織已經將從備受矚目的網絡攻擊中吸取的教訓內化,并通過增加投資和實施新的或更新的流程和控制措施,來優先考慮網絡安全。例如,在全球范圍內,超過一半的受訪者表示,他們組織的最高管理層和董事會經常參與網絡安全決策和監督,這對于持續投資和優先排序來說是個好兆頭。按照推薦的最佳實踐,在全球范圍內,超過60%的企業將OT和IT治理集中在CISO之下。此外,大多數(62%)與政府的方向一致,即強制、及時報告影響IT和OT/ICS系統的網絡安全事件。
在全球范圍內,對IT安全專業人員管理OT/ICS環境的網絡安全能力的信心持續增長,從去年調查的61%增加到今年的65%。但是對安全專業人員的需求不斷增加。近90%的人正在尋求招聘,40%的人表示需求緊迫,54%的人表示很難找到足夠多的候選人,這些候選人具備正確管理OT網絡的網絡安全所需的技能和經驗。
4、流程和技術
大多數受訪者將其組織的網絡安全成熟度劃分為第4級,即管理級,歐洲成熟度在第3級。在全球范圍內,超過65%的受訪者將其漏洞管理策略評為中度至高度主動,歐洲為55%。然而勒索軟件攻擊仍然非常成功。
需要改進網絡培訓來幫助阻止勒索軟件攻擊。在全球范圍內,三分之一(33%)的受訪者表示,與預防和管理未來網絡攻擊相關的培訓不足或沒有提供。在2020年的調查中,83%的受訪者表示提供了與遠程工作相關的培訓。然而,似乎缺乏技能開發來減輕利用這種新的分布式環境所引發的漏洞的攻擊所帶來的風險。OT遠程訪問需要改進。近30%的人共享密碼,亞太地區和歐洲的這一數字接近20%,57%的人使用用戶名和密碼,44%的人使用VPN。基本的網絡衛生、更強的密碼和安全的遠程訪問解決方案有助于增強抵御攻擊的能力。
5、投資和優先事項
超過80%的受訪者表示,自新冠疫情開始以來,他們的IT和OT/ICS安全預算都有所增加。在IT硬件、石油和天然氣、電能等行業,這一數字接近90%。這種廣泛的投資增長可能是高管和董事會級別優先考慮網絡安全的直接結果,由于勒索軟件的肆虐擾亂了大多數接受調查的工業組織的運營,以及讓IT公司受到關注的備受矚目的SolarWinds供應鏈攻擊事件,他們可能會成為這種特別陰險的攻擊類型的發射臺。
二、緩解建議
與此前的調查結果一致,各地區的受訪者一致且絕大多數都將實施新技術解決方案列為頭等大事,石油和天然氣和IT硬件的受訪者分別為57%和49%。歐洲將培訓列為緊隨其后的第二位,而中小企業同樣將培訓和技術放在首位。
正如本次調查顯示的那樣,工業組織正走在正確的道路。大多數組織已經擴展了現有的IT風險管理和治理流程,由CISO負責的OT網絡包括在內,并增加了IT和OT/ICS安全預算。然而,勒索軟件攻擊對大多數這些組織取得了成功,以及數字化轉型和遠程工作的繼續,是不可否認的。組織必須保持警惕并繼續建立彈性。
工業網絡安全行業在創建有助于消除盲點和縮小安全差距以建立彈性的技術解決方案方面取得了巨大進步。此外,考慮到幾乎每個組織都面臨的招聘挑戰,在不給現有基礎設施和人員帶來不必要的流量、硬件、復雜配置、冗長的部署或陡峭的學習曲線的情況下實施的解決方案至關重要。
以下五種推薦的技術和流程可以幫助安全領導者及其團隊更好地保護OT環境,并在當今超連接的世界中實現業務。
1、將風險治理擴展到網絡物理資產。未考慮安全設計的設備在連接到IT和OT網絡時會帶來風險。這包括所有工業物聯網、ICS和企業物聯網組件。對于許多組織來說,將治理擴展到包括這些資產是一個具有挑戰性的步驟,因為識別它們也不是一件容易的事。這是一個可能需要迭代的過程。值得慶幸的是,在過去幾年中,該行業在技術方面取得了巨大進步,這使得發現此類資產并分析其風險、風險和漏洞變得更加容易。
2、保持適當的分段。有許多業務流程和應用程序需要跨IT/OT邊界進行通信,因此組織需要確保以安全的方式進行通信。確保組織的OT網絡和資產以符合分段最佳實踐的方式與IT隔離,是阻止勒索軟件和其他惡意軟件從IT橫向傳播到OT的非常有效的方法。除了IT和OT網絡之間的分段之外,還可以將虛擬分段部署到OT環境中的區域。這將有助于檢測OT網絡內的橫向移動。當遠程操作需要直接訪問OT網絡時,確保通過對用戶、設備和會話進行嚴格控制的安全遠程訪問連接來完成。這些解決方案可以在不增加OT環境負擔的情況下進行部署。
3、養成良好的網絡衛生習慣。確保網絡衛生擴展到OT和IoT設備。這包括使用強密碼(而不是在不同用戶之間共享密碼)、密碼庫和多因素身份驗證。修補遺留系統可能更具挑戰性或不可能。如果是這種情況,請確定并實施補償控制,例如防火墻規則和訪問控制列表。可以利用免費的掃描、評估和測試工具來幫助減少受到威脅的風險。
4、實施穩健的系統監控計劃。能夠監控IT和OT網絡中的威脅,以及跨越該邊界的任何事物,對于有效和高效的檢測和響應至關重要。專為跨OT網絡進行持續威脅監控而構建的無代理解決方案,可以快速實施,與OT和IT系統和工作流程同樣出色地集成,并允許IT和OT團隊一起查看OT環境。這些團隊利用相同的信息集,采取特定步驟來管理和降低來自已知和未知新威脅的風險。
5、評估和建立準備。實施上述功能并增強彈性可以讓安全領導者和團隊安心。進行勒索軟件攻擊的桌面練習可以更深入地了解組織和技術準備情況。這為組織提供了創建改進的事件響應計劃的機會,該計劃將建立對準備和即時決策以及對此類攻擊的彈性的信心。當事件響應和取證公司與內部利益相關者和團隊建立了工作關系,了解現有的IT和OT基礎設施和控制,并了解業務和風險狀況時,他們能夠在面對攻擊時更快地提供更好的建議。
三、結論
隨著數字化轉型和遠程工作在2021年的持續進行,針對IT和OT/ICS網絡的勒索軟件攻擊猖獗,支出巨大。只要金融模式繼續支持支付贖金,這些威脅就會繼續存在。降低風險的唯一方法是了解如何使超連接更加安全。必須解決流程和技術方面的差距,其中一些已經存在多年。幸運的是,全球組織擁有強大的執行領導力和值得信賴的網絡安全專家掌舵,他們一起走在正確的道路上。將治理擴展到包括OT網絡、分配額外資源、并優先考慮最佳實踐和控制,他們正在建立在中斷中的彈性。
