1、(CS)2AI-KPMG控制系统网络安全年度报告20242主席致辞0404年度报告冠名赞助商前言0505执行摘要0606(CS)2项目0808(CS)2项目成熟度纵向分析0909客户(CS)2项目成熟度地区1010(CS)2关键绩效指标(KPI)高成熟度vs低成熟度1111使用的安全成熟度框架终端用户vs供应商1212组织计划终端用户13(CS)2 服务终端用户14(CS)2技术终端用户15减少(CS)2攻击面的障碍16(CS)2障碍高成熟度vs低成熟度17(CS)2障碍组织层面18(CS)2障碍终端用户vs供应商19(CS)2障碍区域分析20(CS)2支出和预算21(CS)2高投资回报率领域
2、组织级别2222(CS)2高投资回报率领域高成熟度vs低成熟度2323支出优先级组织层面2424供应商对客户预算的指导供应商2525目录(CS)2高支出高成熟度vs低成熟度vs全部 2626(CS)2高支出终端用户2727(CS)2预算变化纵向分析2828(CS)2投资计划高成熟度vs低成熟度2929(CS)2投资计划地区3030(CS)2预算情况高成熟度vs低成熟度3131(CS)2评估3232(CS)2 评估频率高成熟度vs低成熟度3333(CS)2评估频率终端用户vs供应商34(CS)2评估内容高成熟度vs低成熟度35(CS)2 评估内容终端用户vs供应商36(CS)2 评估响应高成熟度
3、vs低成熟度37获取前的(CS)2风险评估高成熟度vs低成熟度38安全培训39(CS)2意识培训整合终端用户4040(CS)2意识训练整合高成熟度vs低成熟度4141(CS)2培训内容高成熟度vs低成熟度4242(CS)2网络43控制系统组件的可访问性4444(CS)2管理服务现状高成熟度vs低成熟度4747(CS)2AI-KPMG2024控制系统网络安全年度报告3目录(CS)2管理服务的使用纵向分析48附录A:受访者组成61(CS)2技术现状高成熟度vs低成熟度49受访者职位终端用户和供应商62(CS)2网络监控纵向分析50受访者区域分布63(CS)2可见性终端用户51受访者年龄分布64(C
4、S)2事件52按受访者组织级别的年龄分布65(CS)2攻击响应终端用户53受访者教育水平66(CS)2事件近况纵向分析54受访者所在公司类别66客户(CS)2事件攻击媒介区域55受访者所在行业(仅限终端用户)67(CS)2事件影响纵向分析56受访者组织规模68近期(CS)2攻击媒介纵向分析57受访者决策角色68(CS)2威胁行为者纵向分析58受访者决策角色仅限终端用户68供应商指引59受访者的职务和组织级别69客户KPI关注指引供应商60附录B:年度报告指导委员会及撰稿人71附录C:关于(CS)2AI73附录D:报告发起人74(CS)2AI-KPMG2024控制系统网络安全年度报告4主席致辞尊
5、敬的业界同仁:我很自豪地发布第三版(CS)2AI-KPMG控制系统网络安全年度报告,这份报告不仅凝结着我们分析师和研究人员的心血,也离不开所有报告指导委员和同仁的辛勤付出。今年的报告基于630多名行业成员的调查结果和(CS)2AI全球会员的代表性样本(目前约有3,4000名社区成员)而形成,其中包括关于控制系统安全事件、攻击模式和应对方面的经验,以及将资源集中于保护关键系统和资产所面临的问题。调查报告中的受访者增加了招聘合格人员的难度,报告强调各组织需要投资发展现有员工的网络安全技能并对其进行培训。每年都有越来越多的参与者为我们的年度报告付出努力。我们必须向报告发起人毕马威国际表示最大的感谢,
6、感谢他们几年前使我们能够启动这个项目,并感谢他们在项目制作方面继续支持和合作。我们的共同目标是,本报告能够为业界同事提供基于经验的有价值见解,成为辅助日常做出许多艰难决定的工具。重要的是,要利用本报告的结论做出明智的决策,并优先考虑能为控制系统安全支出提供最佳投资回报率的领域。我们将一如既往地支持我们的社区,努力确保系统安全,使现代生活方式成为可能。德里克哈普(CS)2AI创始人兼董事长2024年的报告阐明了控制系统安全行业的几个关键趋势和挑战。虽然网络攻击的增加令人担忧,但各组织在网络安全预算方面也更加充裕,专注于预防,并认识到供应链攻击的威胁。报告中强调的一个重要问题是网络安全领域的技术工
7、人短缺。随着网络威胁的兴起,对网络安全专业人员的需求从未如此之高。Waterfall安全解决方案和Fortinet自我们的第一版报告以来一直与我们合作,并提供资源和专业知识。我们还要感谢所有其他合作伙伴,他们的支持和指导每年都有助于使这成为一个宝贵的决策支持工具(见附录D)。当然,我们也不能忽略那些主动加入年度报告指导委员会的所有成员(见附录B)。在新年到来之际,回顾我们在控制系统安全领域取得的进展以及我们继续面临的挑战至关重要。即使作为一个百分之百的乐观主义者,在去年数以百次与他人交谈中仍然可以感受到,想要取得真正的进展还有很长的路要走。有一点始终没改变的,就是我们面前还有大量的工作要做,来
8、确保能够实现现代生活方式的安全系统。(CS)2AI-KPMG2024控制系统网络安全年度报告5年度报告冠名赞助商前言瓦尔特里西毕马威国际全球OT网络安全负责人,毕马威阿根廷咨询业务主管合伙人巴勃罗阿尔马达毕马威国际全球OT网络安全副主管,毕马威阿根廷OT网络安全主管合伙人虽然运营技术(OT)网络安全已经在大多数行业首席信息安全官(CISO)的议程上占据了一席之地,但在许多情况下,它仍然是更广泛的网络安全领域中一个孤立的问题。尽管近年来许多公司取得了重大进展,但该领域仍在不断走向成熟和整合。今年(CS)2AI和毕马威国际合作的结果揭示了我们取得的进展和面临的持续挑战。关于成熟度,近一半(49%)
9、的受访组织运营仍处于较低的成熟度(第1级或第2级),即只拥有解决问题和基本管理的能力。虽然建立OT网络安全项目的必要性不再是一个新颖的概念,尽管市场上已有成熟的技术解决方案,但调查结果发现成熟度仍没有大幅提升。可能阻碍进步的一个显著因素是技术资源的稀缺,这也是该领域多年来一直在努力应对的一个众所周知的挑战。尽管存在这些挑战和相对渐进的发展步伐,但我们与行业高管的讨论表明,我们对OT网络安全相关风险的认识有所提高。尽管在过去几年里,这可能是一次艰难的推销,但与高层管理人员的网络安全对话越来越多地围绕着OT网络安全作为焦点。这意味着对学科的关键重要性有了更高层次的理解和认识。正如所料,高管们也更愿
10、意参与以OT网络安全为中心的危机模拟和桌面演习。我们相信,毕马威国际和(CS)2AI之间的年度合作在提高高管层的意识方面发挥着关键作用。通过对全球从业者和领导者所提供的真实案例进行分析,我们的调查为该领域的全球演变提供了一个公正的视角。它有助于做出明智的投资决策,并突出了人们对这一领域日益增长的兴趣。我们相信,我们的联合报告为OT网络安全从业人员和领导者以及更广泛的执行社区提供了宝贵的资源。在第三版报告中,我们重申,我们将致力于对该领域全球领导人所认为的围绕OT网络安全的主要挑战提供公正的展望。我们诚邀读者深入了解本年度报告的见解,希望我们的年度工作能让您在这一领域做出更明智的决策和投资,无论
11、您是领导者、执行者还是实践者。我们认为,OT 网络安全是一个持续的旅程,没有真正的终点。本调查与网络安全本身一样,是这一永恒旅程中不可或缺的一部分,致力于年复一年地为这一关键领域提供更好的见解。(CS)2AI-KPMG2024控制系统网络安全年度报告6执行摘要主要调查结果几乎一半的响应组织(49%)仍然没有ICS/OT网络安全计划,或者只有基本的网络安全计划,缺乏既定的计划、程序或能力改进过程。不同组织级别的受访者在分配额外酌处权资金方面的优先事项大相径庭,这就提出了他们的动机是否一致以及他们的目标为何不同的问题。对控制系统网络活动的全面监控正在增加,在过去一年中增加了80%。我们评估了来自企
12、业网络、互联网、云以及集成商/供应商的许多控制系统组件(PLC、IED、RTU、HMI、服务器、工作站和Historian)的可访问性。在这一领域,拥有高成熟度项目的组织和拥有低成熟度项目的组织之间通常没有什么区别。事实上,高成熟度组织中的组件通常比低成熟度组织中的组件更容易访问。有关高成熟度和低成熟度的定义,请参见第8页。本报告是一系列年度出版物中的最新一份,这些出版物来自国际控制系统网络安全协会(又称(CS)2AI),其拥有近3,4000名成员的社区和数十个战略联盟伙伴的研究。在(CS)2AI创始人兼董事长Derek Harp和联合创始人兼总裁Bengt Gregory-Brown领导的数
13、十年网络安全调查开发、研究和分析的基础上,(CS)2AI团队邀请我们的全球成员和我们扩展社区中的数千名其他人参加。通过询问关键问题,了解他们在运营、保护和维护运营技术(OT)系统和资产的第一线的经验,这些系统和资产耗资数百万至数十亿美元的资本支出,对持续收入产生同等或更多的影响,并影响全世界个人的日常生活和企业的业务运营。其中超过630人对我们的初步调查做出了回应,更多人参与了我们通过正在进行的(CS)2教育计划开展的额外数据收集工作。该数据池以匿名方式提交,以确保排除可能影响参与者反应的考虑因素,从而深入了解负责控制系统运营和资产的个人和组织的真实经验,超出本报告的预设范围。我们希望我们选择
14、的细节能为读者提供所需的决策支持工具。(CS)2AI-KPMG控制系统网络安全年度报告20247调查目标与方法本报告使用总体术语“控制系统”(CS)和“运营技术”(OT)来指代管理、监控和/或控制物理设备和过程的任何/所有系统。因此,CS、(CS)和OT应理解为包括工业控制系统(ICS)、数据采集与监视控制系统(SCADA)、过程控制系统(PCS)、过程控制域(PCD)、建筑/设施控制、自动化和管理系统(BACS/BAMS/FRCS)、联网医疗设备等。同样,“(CS)2”是泛指控制系统网络安全领域、专业、项目和人员。(CS)2AI-KPMG控制系统网络安全年度报告系列于2019年推出,旨在为世
15、界各地参与控制系统资产和运营安全工作的各方(无论是终端用户还是供应商、高管、经理还是运营团队)提供信息丰富的决策工具。本报告由以下实体共同完成:(CS)2AI:作为项目发起人,(CS)2AI在项目规划、领导和实施中发挥着主要作用,包括数据收集、分析和编写本报告。毕马威国际:作为产权报告发起人,毕马威提供了主要资金和组织资源支持,以增强(CS)2AI自身的能力。其他赞助商:非冠名赞助商Fortinet、WaterfallSecuritySolutions和Opscura提供了额外的资金和其他资源。(见附录D:报告发起人。)根据上述目标,(CS)2AI和我们的赞助商向在该领域工作的CS/OT网络安
16、全社区成员分发了在线调查,收集了CS事件、活动和技术的关键数据,以及组织如何应对不断变化的威胁的详细信息1。(CS)2AI邀请其相关成员、已知的OT安全捍卫者和研究人员参与,通过直接邀请和各种广播媒体渠道分发调查,并在为CS网络安全工作人员服务的网站上进行推广,目的是收集尽可能广泛的样本。受访者通过确认他们目前或最近参与(CS)2领域而自我选择。他们包括所有组织层面的专业人员:网络安全专家和事务专家(SME),以及其工作包括但不仅限于安全和保护控制系统的人员。能够将我们的参与者解析为不同的群体,并比较他们在这些群体关联中的投入,这是从这个年度研究项目中获得见解的关键。虽然我们认为调查参与者(C
17、S)2AI计划的成熟度是最重要的维度,但我们也考虑了他们的组织级别、地区以及他们与(CS)2资产(供应商、用户、所有者或运营商)的关系。当然,我们也进行了纵向分析,当我们发现有趣的趋势时,我们也分享这些趋势。1.威胁范围:对CS/OT行动和资产的所有可能威胁的总和。威胁是动态的,随着漏洞的发现和针对漏洞利用的保护措施的制定而不断变化。(CS)2AI-KPMG控制系统网络安全年度报告20248(CS)2项目衡量受访组织的(CS)2计划成熟度是我们年度分析的关键,它为评估受访组织提供的许多其他数据提供了衡量标准。与其他组织相比,拥有更加成熟计划2的组织在哪些方面做得更不同或更频繁?如果我们发现这些
18、组织的回答之间存在明显差异,我们会提请读者注意。我们要求每位参与者从以下描述中选择最适合其组织情况的一项。控制系统网络安全计划成熟度第1级第2级第3级第4级第5级网络安全流程通过现有流程的反馈不断改进,并适应更好地满足组织需求。执行流程的人员具有足够的技能和知识。优化、自动化、集成、可预测。主动防御、威胁情报、事件管理。2.高成熟度组包括所有自评为第4级或第5级的受访者;低成熟度组指被识别为第1级或第2级的受访者。网络安全计划利用数据收集和分析来改善其结果。活动以文件化的组织指令为指导,政策包括特定标准和/或指南的合规要求。负责控制系统安全职责的人员受过培训并具备经验。计划是管理的,主动的,跟
19、踪指标,部分自动化。主动防御、安全信息和事件管理(SIEM)、异常和漏洞检测。网络安全根据文件化的流程和程序进行生产和工作。确定并参与关键利益相关者。提供足够的资源来支持这一过程(人员、资金和工具)。已经确定了指导实施的标准和/或指导方针。被动防御。在网络安全实施中遵循基本的项目管理实践;成功仍然需要关键人物,但知识体系正在发展。执行最佳实践,但可能是临时的。被动防御。救火状态。网络安全程序是无组织和无记录的,不是在“程序”中组织的。成功取决于个人的努力;是不可重复或可扩展的,因为没有充分定义和记录流程。被动防御。(CS)2AI-KPMG控制系统网络安全年度报告20249更成熟14%30%33
20、%17%6%16%28%32%16%9%16%33%28%17%6%0%5%10%15%20%25%30%35%202020222023以下哪一项最能描述您的控制系统网络安全程序?每个排名的参与者数量都有所变化(值得注意的是,第2级组织的数量在今年有所增加),但我们发现,多年来高成熟度和低成熟度组织的规模变化不大。参与者继续对他们自己的(CS)2项目进行评分。我们的团队认为这有利于自我评价有效性。我们在分析高成熟度(第4级和第5级)和低成熟度(第1级和第2级)组之间的对比和相似性时广泛使用了这一点,并以此作为划分建议的基础。(CS)2项目成熟度纵向分析第1级第2级第3级第4级第5级(CS)2A
21、I-KPMG控制系统网络安全年度报告20241016%34%29%15%5%20%34%28%14%5%20%43%16%16%4%10%48%31%7%3%16%12%56%12%4%0%10%20%30%40%50%60%GlobalRegion 1Region 2Region 4Region 5世界各地的顾问(供应商、服务提供商、集成商)对其客户(CS)2项目的成熟度看法不一。不同地区对成熟度有不同的看法。区域2的自评得分较低,63%在第1级和第2级,区域4的有近一半(48%)处于第2级,而区域5有超过一半的组织(56%)处于第3级。区域3、6和7缺乏足够的参与,无法纳入本分析(见脚注3
22、)。客户(CS)2项目成熟度 地区33.(CS)2AI将组织划分成七个区域。1)北美;2)欧洲(中部、西部、北部和南部);3)欧亚大陆;4)印度太平洋;5)中东-北非;6)南部非洲;7)拉丁美洲-加勒比以下哪一项最能描述您的控制系统网络安全程序?第1级第2级第3级第4级第5级全球的区域1区域2区域4区域5(CS)2AI-KPMG控制系统网络安全年度报告20241134%41%47%44%34%31%38%44%56%38%31%50%59%28%41%38%3%28%21%35%24%34%31%28%31%38%24%21%31%22%18%9%16%15%0%10%20%30%40%50%
23、60%70%Typical(CS)KPIs monitored by organizations(CS)2关键绩效指标(KPI)高成熟度vs低成熟度尽管更多成熟项目对某些关键绩效指标(KPI)的跟踪力度更大并不令人惊讶(例如,作为任何项目随时间推移不断改进的核心活动,效率提升或改进所带来的安全活动成本增加至近五倍的差距:低成熟度的 8%对高成熟度的40%,这是符合预期的),我们认为如此多的项目对于绩效的跟踪力度之低是令人担忧的。今年,我们的低成熟度受访者大约是高成熟度受访者的两倍,尽管85.3%的受访者跟踪了一些KPI,但大多数人只跟踪了少数KPI。我们强烈建议这些组织扩大其衡量标准,以更好地
24、了解其安全计划工作的有效性。组织监控的典型(CS)KPI重复点击恶意链接的人数安全事件误报次数到达终端用户的恶意代码和/或垃圾邮件的百分比安全事件的财务成本点击不良链接的人数共享帐户使用数量解决安全事件的时间应用程序和配置过期的系统数量安全事件的数量受感染(恶意软件)系统的数量未盘点设备的数量缺少补丁的系统数量安全事件造成的运营中断(停机时间)数量效率提升或改进所带来的安全活动成本组织不跟踪KPI实施了组织的安全要求和原则并持续遵循的场站和系统的数量从非核心网络区域流入关键控制网络的信息流数量(CS)2AI-KPMG控制系统网络安全年度报告2024低成熟度 高成熟度1219%34%31%25%
25、34%9%44%53%28%53%25%25%9%28%10%36%27%26%NISTNERC CIPTop 20 Critical Security ControlsANSSI ICSISOCOBITISA/IEC 62443Cybersecurity Capability Maturity Model(C2M2)Industry Regulations0%10%20%30%40%50%60%End UsersVendorsFrameworks used by control system security teams使用的安全成熟度框架终端用户 vs 供应商比较不同群体的观点有其不利之处
26、,但我们认为,将这两个群体的观点并列看待是有用的,因为他们都对控制系统的安全负有责任。我们在这里看到,虽然C2M2和NIST是最突出的,但前者适用于供应商,后者适用于终端用户。报告的使用情况终端用户的C2M2与去年的总体数据(2022年-C2M2 26.3%)有效匹配,但该报告没有区分终端用户和供应商。在我们的最新一轮调查中,供应商分别做出回应,并报告使用C2M2的频率几乎是原来的两倍(终端用户C2M2 26.6%vs供应商C2M2 53.1%)。NIST的使用率似乎变化不大,去年所有参与者的反馈结果为45.7%(2022年),本次调研两个群体的平均值也基本落在这个范围内。控制系统安全团队使用
27、的框架美国国家标准与技术研究院(NIST)NERC CIPTop20关键安全控制ANSSI ICS国际标准化组织(ISO)COBITISA/IEC 62443标准网络安全能力成熟度模型(C2M2)行业法规终端用户供应商(CS)2AI-KPMG控制系统网络安全年度报告2024Current state of organizational plans22%24%23%28%28%22%35%24%25%28%27%20%22%20%37%29%29%20%34%33%26%13%20%15%22%16%17%11%0%5%10%15%20%25%30%35%40%PlannedDocumented
28、ImplementedTested13组织计划 终端用户我们团队认为,每个有控制系统安全(CS)责任的组织都应全面管理其风险,制定文档化的实施和测试计划及程序,以减少事故发生,并最大限度降低对公司、员工和客户的影响。随着全面实施计划和测试成为黄金标准,大量受访公司仅拥有文档化的计划和记录,但在程序上并未做好这些计划所针对的事件发生后的应对准备。组织计划的当前状态控制系统风险管理计划控制系统网络安全事件响应计划控制系统网络安全业务连续性计划控制系统网络安全灾难恢复计划控制系统网络安全漏洞管理计划控制系统网络安全访问管理计划供应链风险管理计划计划记录在案已实施已测试(CS)2AI-KPMG控制系统
29、网络安全年度报告20241456%43%38%42%36%36%40%36%Internal IT security resourcesInternal OT security resourcesInternal Hybrid IT/OT team(s)Internal Engineering team(s)Internal security teams under CISO/CSO/CTOSecurity teams under CISO/CSO/CTO with both internal and externalresourcesContracted resources(consulta
30、nts)Outsourced resources(service company)0%10%20%30%40%50%60%Sources of control system security services used by organizationsSecurity teams under CISO/CSO/CTO with both internal and external resources(CS)2服务 终端用户组织应该到哪里去寻求保护其控制系统安全(CS)资产、人员和运营所需的帮助?根据我们的受访者反馈,他们会从各个渠 道 获 取 帮 助。内 部 IT 安 全 资 源(56.2%)
31、作为多数反馈表明,大多数组织的OT网络安全由IT部门推动,并且可能IT安全方法和技术正在这些环境中应用。许多首席信息安全官(CISO)对运营技术(OT)安全项目感到畏惧,因为对工厂网络安全的治愈比疾病本身还要糟糕。我曾经是CISO,所以我理解这种情况。OT需要生产优先,而IT则优先考虑安全性而不是停机时间。我们在与恶意行为者的斗争中节节败退,很大程度上是因为无所作为。使用传统的IT工具来保护运营技术(OT)十分昂贵,不仅因为咨询、规划和设备的成本,更重要的是因为大量的停机时间。运营者必须做出痛苦的决定,重新配置他们的网络,替换仍在使用但已过寿命的资产,并部署安全团队所有这些都需要关闭他们的工厂
32、数天甚至数周。我们正在迫使他们做出不推进其运营产线和设施网络安全的艰难决定。在许多情况下,停机损失比整个安全项目本身成本还要昂贵。让我们合作,使得保护和维护我们的工厂和设施的时间成本更低,更加经济,最重要的是,减少甚至消除停机时间。通过合作,我们可以消除传统IT的障碍,共同保障全球的基础设施安全。BrianBrammeierOpscura首席执行官各组织使用的控制系统安全服务的来源内部IT安全资源内部OT安全资源内部融合的IT/OT团队内部工程师团队CISO/CSO/CTO领导的内部安全团队合同资源(顾问)外包资源(服务公司)CISO/CSO/CTO领导下的安全团队,包括内外部资源(CS)2A
33、I-KPMG控制系统网络安全年度报告20241565%58%58%52%34%29%(CS)2技术 终端用户并不是所有技术都适合所有环境的需求和要求。尽管如此,我们认为那些拥有和/或运营工业控制系统(ICS)/运营技术(OT)资产的组织表示他们拥有被动网络异常检测(58%入侵检测系统(IDS)的情况下,通过实施主动入侵防御系统(IPS)将会大有裨益。NextGen防火墙同样具有广泛的适用性,应该保护更多ICS环境免受来自企业或其他外部网络的威胁。单向网关/数据二极管由于主要在最高安全环境(如核电站)中使用而被认为复杂且昂贵,但我们最近看到这些因素有所减弱,预计未来会有更多部署。组织用于保护控制
34、系统资产免受网络威胁的安全技术防火墙NextGen防火墙被动网络异常检测(IDS)主动入侵防护系统(IPS)沙箱单向网关/数据二极管(CS)2AI-KPMG控制系统网络安全年度报告2024减少(CS)2攻击面的障碍1713%28%25%22%47%16%28%16%22%19%53%22%26%15%13%32%26%24%38%25%16%16%51%24%Technology(e.g.PLC designs)that cannot support encryptionRegulatory compliance requirements preventing application of i
35、nnovation/new technologysolutionsOverly complex control system networkOrganizational complexity/constraintsOperational requirements(e.g.mandatory uptime)Insufficient technologies/toolsInsufficient personnelInsufficient leadership supportInsufficient financial resourcesInsufficient cyber threat intel
36、ligenceInsufficient control system cyber security expertiseInsecure ICS/OT protocols0%10%20%30%40%50%60%What are the greatest obstacles to reducing the(CS)2attack surface?(CS)2障碍 高成熟度vs低成熟度我们每年都会比较不同群体之间的情况和观点,在这里,我们通过受访组织的控制系统网络安全项目的相对成熟度(高成熟度 vs 低成熟度)来分析他们认为的最大障碍,以确定哪些方法有效,哪些无效,以及随着组织在提高安全性方面的进展,情
37、况会如何变化。如右图,我们看到一些障碍被广泛认同,例如:控制系统网络安全专业知识不足(低成熟度51.5%,高成熟度 53.1%)和不安全的ICS/运营技术(OT)协 议(低 成 熟 度 23.5%vs 高 成 熟 度21.9%),而其他障碍则存在较大差异,例如:无法支持加密的技术(低成熟度26.5%vs 高成熟度12.5%)和领导支持不足(低成熟度25.0%vs 高成熟度15.6%)。这些表明,更成熟的项目已经克服了一些较不成熟的项目仍在努力应对的障碍。减少(CS)2攻击面的最大障碍是什么?无法支持加密的技术(例如PLC设计)控制系统网络过于复杂组织复杂性/制约因素运营要求(如强制性正常运行时
38、间)技术/工具不足人员不足领导支持不足财政资源不足网络威胁情报不足控制系统网络安全专业知识不足不安全的ICS/OT协议法规遵从性要求阻止创新/新技术解决方案的应用(CS)2AI-KPMG控制系统网络安全年度报告2024低成熟度高成熟度1829%21%26%29%50%11%39%11%24%13%39%13%24%12%27%33%39%9%27%21%12%3%58%30%26%17%15%37%23%25%40%23%21%16%37%31%0%10%20%30%40%50%60%70%(CS)2障碍组织层面4任何一个人都不太可能全面了解和掌握现代控制系统环境的所有细节,个人观点的差异不可
39、避免地会导致对需要完成的工作的看法不同。在这里,我们看到高管一致认为 运营要求(50.0%)、人员不足(39.5%)和控制系统安全专业知识不足(39.5%)是最大的障碍,这与运营者部分一致(该群体认为最大的障碍是人员不足39.5%和控制系统安全专业知识不足37.0%),但运营者(Ops)认为运营要求不是主要障碍(在操作人员列表中排第六,23.5%)。管理层经常与一方或双方意见不一致,这突显了当我们支持他们解决问题时,了解终端用户在其组织中的角色的重要性。4.在我们的调查中,回答每个问题的参与者人数各不相同。有时,这会导致参与者的特定子集不足以进行有效的统计分析。在根据其组织不同级别的参与对我们
40、的数据进行细分的情况下,我们收到的领导层受访者太少,无法将他们包括在一些图表中。减少(CS)2攻击面的最大障碍是什么?无法支持加密的技术(例如PLC设计)控制系统网络过于复杂组织复杂性/制约因素运营要求(如强制性正常运行时间)技术/工具不足人员不足领导支持不足财政资源不足网络威胁情报不足控制系统网络安全专业知识不足不安全的ICS/OT协议法规遵从性要求阻止创新/新技术解决方案的应用(CS)2AI-KPMG控制系统网络安全年度报告2024运营者管理者高管1938%14%54%35%41%38%24%19%16%38%24%27%34%37%43%14%20%35%17%21%19%16%26%2
41、6%0.0%10.0%20.0%30.0%40.0%50.0%60.0%End UsersVendors(CS)2障碍终端用户vs供应商我们的团队发现,终端用户和供应商受访者在观点上的许多差异都很有趣。这些是否源于其控制系统的所有权/操作与OT(运营技术)资产的生产/监控、可供其使用的不同资源、不同的财政责任或某些因素的组合?值得注意的是,供应商将法规遵从性要求、过于复杂的控制系统网络和网络威胁情报不足确定为最大障碍,其比例是终端用户的两到三倍。终端用户反馈中唯一与之比例相似的是他们对人员不足的看法(终端用户36.8%,供应商13.5%)。我们建议供应商注意终端用户客户确定的最大障碍,以便最好
42、地帮助他们克服这些障碍。减少(CS)2攻击面的最大障碍是什么?运营要求(如强制性正常运行时间)人员不足控制系统网络安全专业知识不足网络威胁情报不足控制系统网络过于复杂组织复杂性/制约因素技术/工具不足领导支持不足财政资源不足无法支持加密的技术(例如PLC设计)不安全的ICS/OT协议法规遵从性要求阻止创新/新技术解决方案的应用终端用户供应商(CS)2AI-KPMG控制系统网络安全年度报告20242026%16%20%35%34%17%37%21%19%14%43%26%27%13%16%37%34%16%40%24%18%12%44%24%26%23%29%32%35%16%32%13%16%
43、19%39%32%27%23%36%41%27%18%27%18%18%9%59%23%0%10%20%30%40%50%60%70%Technology(e.g.PLC designs)that cannot support encryptionRegulatory compliance requirements preventing application of innovation/newtechnology solutionsOverly complex control system networkOrganizational complexity/constraintsOperati
44、onal requirements(e.g.mandatory uptime)Insufficient technologies/toolsInsufficient personnelInsufficient leadership supportInsufficient financial resourcesInsufficient cyber threat intelligenceInsufficient control system cyber security expertiseInsecure ICS/OT protocolsRegulatory compliance requirem
45、ents preventing application of innovation/new technology solutions Insufficient control system cybersecurity expertise(CS)2障碍 区域分析5 6最后,对于安全障碍的分析,我们对来自全球不同区域的受访者之间的差异进行了研究。由于全球控制系统主要建立在通用技术之上,我们预计无论地理位置如何,对这个问题的回答会有一定程度的一致性。事实上,这张图表显示的差异比本报告中的许多其他图表要少。一个显著的区别是,区域4(亚太区域)将控制系统网络安全专业知识不足(59.1%)作为主要问题,其
46、比例比区域2、区域1或全球高出15个百分点。区域2(欧洲、中部、西部和北部)和区域4(亚太区域)的受访者也比世界其他区域更关心过于复杂的控制系统网络(区域2 29.0%,区域4 36.4%,全球20.1%)。5.正如我们对参与者组织层面的反应进行的分析一样,一些地区缺乏足够的代表样例来进行有效的分析。下表仅显示了有足够参与的区域,以及全球(所有答复者)以供比较。6.(CS)2AI将组织划分成七个区域。1)北美;2)欧洲(中部、西部、北部和南部);3)欧亚大陆;4)印度太平洋;5)中东-北非;6)南部非洲;7)拉丁美洲-加勒比减少(CS)2攻击面的最大障碍是什么?无法支持加密的技术(例如PLC设
47、计)控制系统网络过于复杂组织复杂性/制约因素运营要求(如强制性正常运行时间)技术/工具不足人员不足领导支持不足财政资源不足网络威胁情报不足控制系统网络安全专业知识不足不安全的ICS/OT协议法规遵从性要求阻止创新/新技术解决方案的应用(CS)2AI-KPMG控制系统网络安全年度报告2024区域4区域2区域1 全球(CS)2支出和预算2222%57%25%64%17%0%43%15%25%0%10%40%47%35%75%0%60%11%44%13%21%50%24%38%13%24%41%52%26%0%Improving communications/collaboration with I
48、T/corporateteamsNetwork segmentation/micro-segmentationSecure remote access to control system networksControl system cyber security monitoringTraining for security defendersIncreased control system cyber security staffingSecurity Awareness TrainingControl system cyber security technology solutions(h
49、ardware,software)Patch and Vulnerability managementBackups0%20%40%60%80%OperationsManagementExecutivesControl system cybersecurity technology solutions(hardware,software)Improving communications/collaboration with IT/corporate teamsTop ROI area for(CS)2investments Increased control system cybersecur
50、ity staffingControl system cybersecurity monitoringSecure remote access to control system networksNetwork segmentation/micro-segmentationPatch and Vulnerability management(CS)2高投资回报率领域组织级别7(CS)2AI“团队和我们的许多演讲者都熟悉如何获得高管对安全需求支持的问题,尤其是需要进行影响分析的细分项目;在某些情况下,甚至还需要进行大量的网络架构重建工作,当然我们很高兴地看到,大多数参与的高管(57.1%)认识到