【編者按】每位安全人員都將與公司系統(tǒng)的遠程連接視為潛在威脅。對于工業(yè)企業(yè)，尤其是關鍵基礎設施的網絡安全專家來說，這種威脅是真實存在的。對于工業(yè)企業(yè)來說，停機意味著數(shù)百萬美元的損失，是各類網絡犯罪分子的誘人目標。勒索軟件運營商一直在尋找可用于感染工業(yè)系統(tǒng)的開放RDP連接。擁有公開電子郵件地址的員工經常會收到帶有木馬鏈接的網絡釣魚電子郵件，這些木馬程序可為攻擊者提供遠程訪問。網絡犯罪分子還密切關注暖通空調操作員，他們有時會遠程連接到工業(yè)環(huán)境中運行的供暖、通風和空調系統(tǒng)。

　　2020年由于COVID-19全球大流行，導致實施自我隔離措施及全球轉向遠程工作，網絡安全部門重新調整了工作。因此，卡巴斯基決定進一步了解最新情況如何影響工業(yè)企業(yè)的網絡安全，咨詢組織ARC代表卡巴斯基進行了一次有關工業(yè)網絡安全狀況以及工業(yè)組織當前的優(yōu)先事項和方法的調查，調查了全球330多家工業(yè)公司的網絡安全決策者和政策影響者，并對10位行業(yè)代表進行了采訪。

　　調查發(fā)現(xiàn)：超過一半（53％）的受訪者承認，COVID-19大流行已導致多數(shù)工作人員轉移到居家辦公，這成為對網絡安全服務的一種壓力測試。由于外部連接數(shù)量眾多，現(xiàn)在絕大多數(shù)公司都在對OT網絡的安全級別進行定期評估（只有5%接受調查的公司沒有此類計劃）。許多公司不得不重新考慮他們在邊界保護方面的一般做法，隔離和工作站保護已不再足夠。只有7％的受訪者表示，他們的網絡安全策略在大流行期間相當有效。

　　對此研究結果，卡巴斯基聯(lián)合ARC發(fā)布了2020年工業(yè)網絡安全調研報告《數(shù)字化時代的工業(yè)網絡安全狀況》。該報告探討了調查結果，并分析了工業(yè)網絡安全的全球現(xiàn)狀和未來發(fā)展，還研究了由于COVID-19大流行而導致工業(yè)公司如何更改其網絡安全優(yōu)先級。該報告除了解釋大流行如何影響工業(yè)安全官員的工作外，還洞悉了誰會影響安全決策，如何影響，創(chuàng)新的推動者以及網絡安全部門在2020年面臨的問題。

　　今年是特殊的一年。隨著冠狀病毒大流行以及隨之而來的行業(yè)封鎖，工業(yè)網絡安全方法面臨新的挑戰(zhàn)。借助調查結果，卡巴斯基研究人員確定了這一大流行對現(xiàn)有網絡安全方法的影響。一個重要的趨勢是行業(yè)的持續(xù)數(shù)字化。對于許多工業(yè)公司而言，關鍵問題是：“網絡安全成熟度模型必須如何調整以在數(shù)字時代提供有效的保護？”另一個主要話題是：大流行期間的“ICS網絡安全驅動因素與威脅挑戰(zhàn)”。

　　與傳統(tǒng)IT網絡的IT安全方法相比，工業(yè)控制系統(tǒng)（ICS）及其自動化組件在過去從未被視為潛在的安全風險。然而這種態(tài)度近年來發(fā)生了變化。過去，ICS中異常的原因通常是由于用戶錯誤或軟硬件缺陷。

　　然而現(xiàn)如今，對ICS環(huán)境的網絡攻擊不再是虛構的，而是現(xiàn)實的。根據(jù)Gartner的數(shù)據(jù)，到2020年，100%的大型企業(yè)計劃每年向董事會報告網絡安全風險（2019年為40%）。

　　在數(shù)字化時代，ICS與越來越多的組件相連，而這些組件又依次直接連接到互聯(lián)網。這樣就使得通過互聯(lián)網與自動化系統(tǒng)進行通信成為可能，例如在智能建筑、管道或自動駕駛中。

　　與管理數(shù)據(jù)的公司網絡不同，ICS管理物理過程。網絡攻擊可能會操縱甚至破壞物理資產。犯罪組織現(xiàn)在正在利用這些可能性作為一種商業(yè)模型。用戶必須使用新興現(xiàn)代安全方法來保護自己，以檢測攻擊并采取對策。

　　本報告探討了調查的結果，并且是先前ARC和卡巴斯基關于ICS網絡安全性調查的后續(xù)報告。對全球各地330多家工業(yè)公司和組織進行了在線調查，并在全球的交易會和ARC論壇上采訪了10位行業(yè)代表。大部分受訪的公司來自歐洲、北美、拉丁美洲、亞洲和中東。

　　一、主要發(fā)現(xiàn)

　　COVID-19大流行對網絡安全的影響

　　許多公司因新冠病毒大流行而改變了運營方式，53%的受訪者表示他們一直在使用遠程員工。這成為網絡安全流程的壓力測試。因此，14%的組織表示他們修改了網絡安全概念，只有7%的組織表示他們的網絡安全策略在大流行期間是足夠的。在新冠病毒大流行期間，遠程工作者數(shù)量的增加導致OT網絡掃描嘗試的次數(shù)增加。結果是，公司認識到在特殊情況下需要補充網絡安全程序。

　　數(shù)字化時代的網絡安全成熟度模型

　　許多公司期望數(shù)字化會帶來某些好處，例如提高效率。這當然是可行的，但是互連的數(shù)字設備會影響OT的拓撲結構，因此著名的ICS網絡安全成熟度模型必須升級。55%的受訪者表示他們的OT網絡每年至少檢查一次或多次安全問題。這表明，基本網絡安全保護的重要原則已經到位。此外，44%的受訪者表示，他們每天都在致力于數(shù)字化轉型的網絡安全計劃。

　　ICS網絡安全關鍵驅動因素

　　如今在許多公司中，網絡安全預算的部署是由跨學科團隊決定的，因為ICS的復雜性。找到合適的保護措施的最好方法是咨詢不同領域的專家。其中包括來自IT、ICS、安全和生產的專家。67%的受訪者表示，這樣的團隊對網絡安全決策的影響力越來越大。

　　網絡安全實施的間隔

　　在數(shù)字化時代，OT網絡內部的通信經常發(fā)生變化。因此，建議定期檢查OT網絡中的安全漏洞。特別是，如果發(fā)現(xiàn)了安全漏洞，為什么要第一時間修復漏洞？最常被提及的漏洞無法迅速修復的原因是不希望停產（34%）、審批時間過長（31%）和涉及太多決策者（23%）。公司應指定一名負責人，確保及時修復已披露的安全漏洞。這些漏洞代表著巨大的風險，使得攻擊者很容易操縱。

　　2020年ICS網絡威脅的典型挑戰(zhàn)

　　與每年的情況一樣，由有害物質引起的事故和死亡（占32％）被全球公認為ICS網絡安全的最大挑戰(zhàn)。例如，如果網絡攻擊者操縱或關閉安全系統(tǒng)，則可能在公司內發(fā)生致命事故。當然，必須不惜一切代價避免這些?！胺召|量損害”和“機密信息丟失”以及“緩解成本”也被視為主要挑戰(zhàn)。這與去年的調查不同，去年的“緩解成本”起著次要作用。這可以解釋為，緩解事件現(xiàn)在需要特殊的，有時是外部的昂貴資源。與此同時，隨著公司遭受攻擊的頻率、網絡攻擊的代價以及由此產生的負面新聞的影響變得越來越清楚，管理層對更新的網絡安全性的要求也越來越高。

　　二、調查結果

　　COVID-19的影響：居家辦公增加了外部網絡掃描的數(shù)量

　　由于新冠病毒大流行，許多工作被轉移到了居家辦公。事實上，53%的受訪者證實新冠病毒大流行已經導致工作人員轉移到在家工作。掃描ICS網絡是否存在異常的管理員發(fā)現(xiàn)，居家辦公的員工使用個人設備通過VPN連接到生產網絡，從而產生了新一類的有害網絡掃描。這些異?，F(xiàn)象的原因可能是一些雇主沒有為遠程工作提供足夠快的公司設備。此外，對于某些員工而言，使用自己的臺式計算機（連接了鍵盤，顯示器和打印機）可以更方便地在家工作。該端點（居家辦公計算機）通常具有比公司網絡低的安全標準，并且公司已經觀察到這些計算機已被用于執(zhí)行生產網絡的有害掃描嘗試。全世界都有這一趨勢。

　　另一個有趣的結果是，只有24%的受訪者表示在大流行期間需要修改內部安全流程。同樣，只有15%的人建議員工在大流行期間接受在家工作的特殊安全培訓。這表明，大多數(shù)受訪者認為沒有必要改變安全流程，也沒有必要在流感大流行期間提供額外的員工培訓。

　　建議：公司應為停工期間工作條件的變化做好準備。應該使用公司的設備來訪問公司網絡，以便連接設備由組織的安全團隊管理。如果員工使用自己的電腦，使用虛擬機可以改善安全態(tài)勢。虛擬桌面基礎設施（VDI）維護受控環(huán)境，并通過專用設備限制對公司網絡的漏洞。為了及早發(fā)現(xiàn)未經授權的OT網絡訪問，還可以使用雙重身份驗證等方法。

　　COVID-19的影響：它將如何改變安全態(tài)勢

　　當前的新冠病毒大流行影響了許多網絡安全項目。只有32％的受訪者表示，他們公司的安全流程沒有受到很大影響或根本沒有受到影響。

　　在居家辦公室和員工使用自己的設備連接到ICS網絡的情況下影響最大。員工應經常接受培訓，并且必須部署PC技術，以滿足極端情況下所需的安全標準。網絡罪犯利用對冠狀病毒的恐懼，通過網絡釣魚攻擊、惡意軟件和針對遠程維護基礎設施的網絡攻擊進行網絡攻擊。根據(jù)卡巴斯基研究，自3月份以來，與冠狀病毒相關的網絡釣魚和網絡攻擊數(shù)量有所上升。

　　僅靠網絡隔離和端點保護已不足

　　在2019年的調查中，有24％的參與者表示他們不會對OT網絡進行安全評估。今年，只有5％的受訪者表示他們不會對其OT網絡進行安全評估。更頻繁地進行安全評估可以在早期階段發(fā)現(xiàn)安全漏洞。

　　目前大約有100億個IoT設備連接到互聯(lián)網，即使不是所有這些設備都在工業(yè)中使用，仍需要采取保護措施。但是，不太可能為每個物聯(lián)網設備配備端點保護。在OT網絡中，需要其他有效的安全方法來預先檢測攻擊或異常。重點是檢測通信行為的變化以防止損壞。

　　建議：當公司制定物聯(lián)網戰(zhàn)略時，必須從一開始就考慮安全方面的問題。由于新的通信信道數(shù)量眾多，不可能對每個設備進行監(jiān)控。相反，監(jiān)控異常行為是更好的解決方案。

　　當前的安全工作量將使你忙個不停

　　在全球范圍內，超過44％的受訪者正在為其公司做好數(shù)字化的準備。在2019年的調查中，有31％的受訪者表示，他們的主要任務是為數(shù)字化轉型和相關的網絡安全要求做準備。這種趨勢在全球范圍內都在強勁增長，但從地區(qū)數(shù)據(jù)來看存在差異。在歐洲，23％的受訪者正在致力于遵守當?shù)胤ㄒ?guī)，而在拉丁美洲，有29％的受訪者正在努力彌補OT網絡中的安全漏洞。這些不同的優(yōu)先事項可能是區(qū)域趨勢和政策導致的。如果需要在一個區(qū)域遵守政策，那就是優(yōu)先事項。如果存在許多OT漏洞，則該相應區(qū)域的優(yōu)先級是不同的。

　　真正的安全預算決策者

　　從法律角度來看，董事會或董事總經理決定如何分配預算。實際上，安全團隊對必要的安全措施和首選供應商做出跨學科決策變得越來越重要。在本文中“團隊”一詞指來自OT通信和ICS領域的經驗豐富的代表，他們通過跨學科合作和決策共同評估風險狀況并確定適當?shù)木W絡安全措施。在歐洲，團隊預算決策的趨勢最為普遍，歐洲有50％的受訪者選擇團隊決策。

　　在去年的調查中，有26％的受訪者表示“通用IT部門/管理層”參與了安全預算審批。在今年的調查結果中，有23％的受訪者表示IT部門負責全球OT/ICS預算。這表明IT安全經驗在OT安全領域也很受歡迎。顯然，人們不想在這里做重復的工作，而是希望基于IT經驗的基礎上再接再厲。

　　2020年ICS網絡威脅的典型挑戰(zhàn)

　　與每年的情況一樣，受訪者面臨的工業(yè)網絡安全最重要挑戰(zhàn)是保護員工免受傷害或死亡。接下來排名第二、第三和第四的挑戰(zhàn)比例大致相等，分別為產品/服務質量損壞（28％）、專有或機密信息丟失（28％）以及事件響應和緩解成本（27％），合起來占總數(shù)的83％。

　　今年，疫情后的影響和由此產生的成本尤為重要。在2019年，情況有所不同。在該調查中，事件響應和失去客戶信心的成本被認為是不重要的（僅為5％）。顯然，一種新的觀念正在出現(xiàn)。由于網絡攻擊對行業(yè)資產的復雜性日益提高，其影響更為顯著。此外，業(yè)務部門現(xiàn)在定期報告董事會，以便可以更好地分析網絡事件后的影響。

　　哪些部門在推動ICS中的網絡安全項目？

　　維護ICS完整性需要透徹了解所有ICS組件之間使用的通信標準，以保持安全高效的運行。在此網絡物理層中，可能很難發(fā)現(xiàn)通信錯誤、網絡安全威脅和網絡健康問題。有些現(xiàn)象很明顯：人機界面（HMI）更新緩慢、無法解釋的停機、以及ICS組件的不穩(wěn)定故障。一個強大而健康的OT網絡對于防止這些故障至關重要。總而言之，網絡安全計劃是一項復雜的任務。沒有跨學科知識通常很難管理。運營部門是提高OT安全級別的驅動力。

　　當進一步闡述并詢問哪個團隊最擅開發(fā)OT網絡安全解決方案時，有67％的答案是IT安全。盡管如此，所需的跨學科知識仍然很明顯，因為25％的受訪者表示還使用了外部顧問。

　　數(shù)字化舉措導致新的網絡安全威脅

　　受訪者希望哪些數(shù)字技術影響其傳統(tǒng)自動化技術？不足為奇，有55％的被調查者提到了云計算和邊緣計算以及OT組件連接到互聯(lián)網的方法。云計算和邊緣計算經常被提及的原因可能是心理上的。盡管云計算已經在其他許多應用領域證明了其可靠性，但該行業(yè)目前仍對使用云數(shù)據(jù)或應用程序存在安全性方面的擔憂。

　　對物聯(lián)網技術安全使用的新網絡安全方法的評估也反映在定性調查響應中。許多人表示，他們的公司安裝了基本的網絡安全保護，可以保護經典的確定性自動化。在未來，網絡安全技術確保了每一項數(shù)字技術的完整性。每種網絡安全技術都有一組相關的人員、流程和技術，這些都是實現(xiàn)其目標所必需的。有趣的是，新的5G通信網絡的重要性不如IoT組件大，這可能是因為在此新的連接標準中已經實現(xiàn)了高水平的嵌入式安全性。

　　實施網絡安全措施的時間間隔

　　組織風險和網絡安全漏洞在現(xiàn)代企業(yè)中始終存在。專家們一致認為，確定并采取措施解決可預防的漏洞是加強公司防御的真正機會。此問題旨在澄清在OT網絡中檢測到漏洞后，延遲緩解該漏洞的原因。

　　近年來，修復這些網絡安全漏洞已成為高層關注的問題，引起了決策者的更多關注。全球有三分之一的參與者將較長的批準期限（31％）和無法停止生產過程（34％）列為造成這些時間間隔的原因。只有16％的受訪者表示，公司中幾乎沒有阻礙安全措施實施的障礙。

　　但是在本地，可能還有其他原因導致引入ICS措施可能被推遲。在亞洲，大多數(shù)受訪者經常將參與ICS實施的大量決策者視為拖延的原因。

　　全球運營的公司必須找到解決這些延遲的解決方案。檢測到的安全漏洞可能會給零日漏洞利用帶來類似的風險。必須盡快安裝必要的安全措施。在國際上，有效的ISO或IEC準則可以幫助標準化方法并提高執(zhí)行速度。

　　網絡安全團隊的環(huán)境和針對性別的情況

　　在技術工作中，性別平等并不總是既定的。這也適用于當前的調查結果。57％的受訪者表示，女性在其公司的網絡安全團隊中任職人數(shù)不足。

　　埃森哲的一份《推動經濟增長：吸引更多的年輕女性參與科學和技術》報告探討了這些障礙和挑戰(zhàn)。該報告指出：“在推動數(shù)字化的基于科學和技術的職業(yè)中，女性所占的比例極低”。歐盟的統(tǒng)計數(shù)字也反映了這一點，只有7％的技術職位由女性擔任。

　　根據(jù)埃森哲（Accenture）的研究，令人遺憾的是，女性對技術的負面刻板印象仍然持續(xù)存在。女性仍然認為，技術教育是針對“男性”職業(yè)的，這是為什么青年人比年輕女性更可能選擇這一道路的最大原因。只有15％的接受調查的參與者表示，他們預計未來網絡安全團隊中的女性人數(shù)將會增加。

　　當被問及公司是否設立了與環(huán)境相關的角色（如首席可持續(xù)發(fā)展官CSO）時，44%的人表示確實如此。對CSO需求的增加反映了企業(yè)可持續(xù)性的重大變化?？偟膩碚f，這不再是“環(huán)?！钡膯栴}，而是要成為一個好的企業(yè)公民?？沙掷m(xù)性現(xiàn)在已被納入公司的核心使命，聯(lián)合國負責任投資原則的簽署國占世界機構資產的一半以上。

　　企業(yè)表示，在CSO的控制下，他們重新設計了處理客戶和員工數(shù)據(jù)以及業(yè)務伙伴信息的流程。顯然，CSO管理個人數(shù)據(jù)保護，但對于公司來說，保護其他與業(yè)務相關的信息，以防止損害其在市場上的競爭地位、品牌和聲譽，仍然至關重要。網絡安全是數(shù)據(jù)保護的重要組成部分，在CSO的幫助下，網絡安全的重要性將在企業(yè)中得到提升。

　　三、結論及建議

　　今年以來，各種影響對工業(yè)網絡安全措施的壓力加大。一個值得注意的影響是COVID-19大流行，它影響了公司的工作方式。影響工業(yè)網絡安全的一個長期和持續(xù)的過程是使用數(shù)字方法提高公司效率。這兩種影響，特別是對網絡安全措施的影響，已經在本報告的許多章節(jié)中進行了解釋。但是，如何進一步制定工業(yè)網絡安全措施，以便在未來實現(xiàn)保護目標和保障措施？

　　網絡安全成熟度模型

　　ARC開發(fā)了一個支持未來工業(yè)網絡安全標準整體發(fā)展的模型。該模型為戰(zhàn)略性地開發(fā)網絡安全技術在工業(yè)過程中降低風險的好處提供了一個框架?；A網絡安全結構表明需要協(xié)調人員、流程和技術，以確保達到所需的安全級別。

　　近年來，工業(yè)網絡安全發(fā)生了重大變化。復雜的攻擊增加了對影響控制系統(tǒng)的網絡風險的更好可見性的需求。IT和OT網絡安全計劃的整合突出了遠程支持團隊增加系統(tǒng)訪問的必要性。數(shù)字化改造項目需要新的方法來確保各種新的、潛在的不安全設備在工廠邊界內的安全部署。工業(yè)網絡安全成熟度模型為管理者在新的現(xiàn)實中管理工業(yè)網絡安全戰(zhàn)略提供了額外的信息。

　　這種用于不斷發(fā)展的技術和體系結構的網絡安全模型超越了標準和指南的建議，它采用了新的OT技術，如邊緣網關、PKI等新實踐和新策略，包括IT和OT網絡安全計劃的集成。盡管缺乏行業(yè)指導方針，但效率的提高正在推動企業(yè)采用這些發(fā)展。研究人員已將這些發(fā)展納入模型，以幫助網絡安全團隊更好地評估和準備這些發(fā)展。ARC的網絡安全分析師定期更新這個工業(yè)OT網絡安全成熟度模型，在工業(yè)網絡安全中采用了新的技術和實踐。總之，這個ARC模型為規(guī)劃網絡安全投資提供了一個實用的工具。

　　該模型幫助公司評估技術解決方案，并幫助供應商評估他們在模型中涵蓋的焦點的程度。有關工業(yè)網絡安全狀況的常規(guī)ARC信息用于確定工業(yè)公司需要彌補的關鍵資源和技術差距。在該模型的當前版本中，最終用戶可以使用工業(yè)OT網絡安全成熟度模型來評估其網絡安全計劃，并證明向最高管理層進行必要投資的合理性。

　　該模型強調需要平衡技術投資和人力資源之間的差異，網絡專業(yè)人士也經常利用該模型討論管理人員批準技術投資后的虛假安全感。所有技術投資都需要積極管理，以維持所需的網絡安全保護水平。

　　異常檢測作為應對ICS威脅的關鍵實用措施之一

　　當今的生產網絡的拓撲結構可與傳統(tǒng)的IT網絡相媲美，并越來越多地使用IT協(xié)議。這些協(xié)議不僅被稱為智能控制單元，傳感器和執(zhí)行器也越來越多地使用它們進行通信。這些組件的數(shù)量導致這些網絡變得更加復雜。工業(yè)網絡元素通過交換機連接；防火墻和其他監(jiān)控解決方案用于保護段接口和網絡連接。在這種情況下，監(jiān)控是對網絡中發(fā)生的數(shù)據(jù)和數(shù)據(jù)流進行原型化和分析，主要用于檢測影響自動化過程的異常情況。

　　異常是對正常規(guī)則的意外偏離，即偏離“正常運行條件”。這些通常發(fā)生在錯誤的情況下。但是，它們也可能是生產網絡中的攻擊或操縱的跡象。當事件第一次發(fā)生，進程行為不同，或者設備之間沒有進行過通信時，尤其如此。這意味著以前未知的攻擊模式也可以通過評估異常情況來檢測。因此，異常檢測是生成網絡警告的合適方法，并且在必要時能夠進行更有效的取證。異常檢測是檢測網絡攻擊的基本方法之一。