大多數首席信息官和首席信息安全官低估了運營技術違規的風險
根據網絡安全管理及安全分析服務商Skybox Security公司的一項研究,83%的企業在過去36個月內受到了運營技術(OT)網絡安全漏洞的影響。研究還發現,很多企業低估了網絡攻擊的風險,73%的首席信息官和首席信息安全官都認為他們所在的公司在未來一年不會遭受運營技術攻擊。
Skybox Security公司首席執行官Gidi Cohen說:“不僅企業依賴運營技術,人們也依賴這項技術獲得包括能源和水資源在內的重要服務。不幸的是,網絡犯罪分子非常清楚關鍵基礎設施的安全性通常很薄弱。因此,網絡威脅行為者認為,對運營技術的勒索軟件攻擊極有可能獲得回報。勒索軟件攻擊將繼續利用運營技術漏洞進行破壞。”
這項研究揭示了運營技術安全面臨的艱難挑戰——包括網絡復雜性、功能孤島、供應鏈風險和有限的漏洞修復選項。網絡攻擊者利用這些運營技術弱點的方式不僅危及企業的運營,而且威脅公共健康、安全和經濟等行業領域。
以下是一些關鍵要點:
很多企業低估了網絡攻擊的風險
56%的受訪者確認他們的公司在未來一年不會遇到運營技術違規的風險。然而,83%的受訪者還表示,他們在過去36個月內至少發生過一次運營技術安全漏洞事件。盡管這些設施非常重要,但現有的安全措施通常很薄弱或根本不存在。
首席信息安全官的感知與現實脫節
73%的首席信息官和首席信息安全官對他們的運營技術安全系統不會在未來一年遭到破壞非常有信心。相比之下,只有27%的受訪者對網絡攻擊的影響有更多的了解。雖然有些人并不相信他們的運營技術系統容易受到攻擊,但其他受訪者表示下一次安全漏洞事件將會出現。
合規性不等于安全
迄今為止,合規性標準已被證明不足以防止安全事件。保持對法規和要求的遵守是所有受訪者最普遍關心的首要問題。鑒于最近對關鍵基礎設施的網絡攻擊,合規性監管要求將繼續增加。
復雜性增加安全風險
78%的受訪者表示,多個供應商技術帶來的復雜性是保護運營技術環境的一個挑戰。此外,39%的受訪者表示,改進安全計劃的最大障礙是決策是在沒有更多監督的單個業務部門做出的。
有些人認為具有網絡責任保險已經足夠
34%的受訪者表示,網絡責任保險被認為是一種充分的解決方案。然而,網絡責任保險不包括由于勒索軟件攻擊而導致的代價高昂的“業務損失”,這是調查受訪者最擔心的三大問題之一。
暴露和路徑分析是網絡安全的首要任務
45%的首席信息安全官和首席信息官表示,無法在整個環境中進行路徑分析以了解實際暴露情況是他們的三大安全問題之一。此外,首席信息安全官和首席信息官表示,跨運營技術和IT環境的脫節架構(48%)以及IT技術的融合(40%)是三個主要安全風險中的兩個。
功能孤島導致流程差距和技術復雜性
首席信息官、首席信息安全官、架構師、工程師和工廠經理都將功能孤島列為他們保護運營技術基礎設施的首要挑戰。管理運營技術安全是一項團隊行動。如果團隊成員使用不同的策略和措施,將難以取得成功。
供應鏈和第三方風險是主要威脅
40%的受訪者表示,供應鏈/第三方訪問網絡是三個主要安全風險之一。然而,只有46%的受訪者表示他們的公司采用運營技術的第三方訪問策略。
Navista公司信息安全經理Robert Lynch說:“一些首席信息安全官可能盲目自信,因為即使他們已經遭受網絡攻擊,他們還沒有發現這一點。黑客可能長期存在,所以這種自信是危險的。”
Skybox Security公司研究實驗室威脅情報負責人Sivan Nir說:“我們的威脅情報調查表明,與2020年上半年相比,今年運營技術中的新漏洞增加了46%。盡管漏洞和最近的網絡攻擊事件有所增加,但許多安全團隊并未將運營技術安全納入企業優先事項。令人驚訝的發現之一是,一些安全團隊否認他們易受攻擊。他們相信當前的基礎設施是安全的,但這將導致采取的運營技術的安全措施不足。”
