“不仅企业依赖OT,公众在能源和供水等重要服务方面也依赖于该技术。不过可怕的是,攻击者都太清楚关键基础设施的安全通常是薄弱的。因此,攻击者认为对OT的勒索软件攻击很可能会得到回报,”Skybox Security的CEO科恩表示。“正如邪恶在冷漠中茁壮成长,只要不采取行动,勒索软件攻击就会继续利用OT的漏洞。”
该研究揭示了OT安全面临的挑战——包括网络复杂性、供应链风险和有限的漏洞补救选项。攻击者利用这些OT弱点的方式不仅危及个别公司,而且威胁公共健康、安全和经济。
组织低估了网络攻击的风险
56%的受访者“高度相信”他们的组织在明年不会遭遇与OT相关的威胁或攻击。然而,83%的人也表示,在过去的36个月里,他们至少遇到过一次OT漏洞。尽管这些设施至关重要,但现有的安全措施往往很薄弱甚至根本不存在。
CISO感知与现实脱节:73%的CIO和CISO高度相信他们的OT安全系统在明年不会被攻破。相比之下,只有37%的受访者表示对袭击的后果有更直接的经验。虽然有些人拒绝相信他们的OT系统是脆弱的,但其余的人都认为下一个漏洞即将到来。
遵从不等于安全:迄今为止,合规标准在防止安全事件方面已被证明是不够的。保持对法规和要求的遵从是所有受访者最关心的首要问题。鉴于最近对关键基础设施的攻击,法规遵从性需求将继续增加。
复杂性增加了安全风险
78%的受访者表示,多厂商技术的混合应用带来的复杂性对OT环境的安全构成了挑战。此外,39%的受访者表示,提高安全的最大障碍是,决策是在没有监督的单个业务部门做出的。
34%的受访者认为网络安全保险是充分的解决方案。然而,网络安全保险并不包括由勒索软件攻击导致的昂贵的“业务损失”,这是受访者最担心的三大问题之一。
45%的CIO和CISO表示,无法在整个环境中进行路径分析,以了解实际暴露情况,是他们最大的三大安全担忧之一。另外两个则是跨OT和IT环境的脱节架构(48%)和IT技术的融合(40%)。
40% 的受访者表示,供应链/第三方访问网络是三大最高安全风险之一。然而,只有 46% 的人表示他们的组织部署的是适用于 OT 的第三方访问策略。
Skybox安全研究实验室威胁情报主管Sivan 尼尔表示:“我们的威胁情报显示,OT的新漏洞比2020年上半年增加了46%。尽管漏洞和最近的攻击有所增加,但许多安全团队并不把OT安全作为公司的优先事项。为什么?令人惊讶的发现之一是,一些安全团队人员否认他们易受攻击,但却承认被入侵,即便这样他们仍然认为他们的基础设施是安全的,这是导致OT安全措施不足的主要原因之一。”
京公网安备 11010802033237号
