2024年控制系统网络安全年度报告.pdf
《2024年控制系统网络安全年度报告.pdf》由会员分享,可在线阅读,更多相关《2024年控制系统网络安全年度报告.pdf(75页珍藏版)》请在咨信网上搜索。
1、(CS)2AI-KPMG控制系统网络安全年度报告20242主席致辞0404年度报告冠名赞助商前言0505执行摘要0606(CS)2项目0808(CS)2项目成熟度纵向分析0909客户(CS)2项目成熟度地区1010(CS)2关键绩效指标(KPI)高成熟度vs低成熟度1111使用的安全成熟度框架终端用户vs供应商1212组织计划终端用户13(CS)2 服务终端用户14(CS)2技术终端用户15减少(CS)2攻击面的障碍16(CS)2障碍高成熟度vs低成熟度17(CS)2障碍组织层面18(CS)2障碍终端用户vs供应商19(CS)2障碍区域分析20(CS)2支出和预算21(CS)2高投资回报率领域
2、组织级别2222(CS)2高投资回报率领域高成熟度vs低成熟度2323支出优先级组织层面2424供应商对客户预算的指导供应商2525目录(CS)2高支出高成熟度vs低成熟度vs全部 2626(CS)2高支出终端用户2727(CS)2预算变化纵向分析2828(CS)2投资计划高成熟度vs低成熟度2929(CS)2投资计划地区3030(CS)2预算情况高成熟度vs低成熟度3131(CS)2评估3232(CS)2 评估频率高成熟度vs低成熟度3333(CS)2评估频率终端用户vs供应商34(CS)2评估内容高成熟度vs低成熟度35(CS)2 评估内容终端用户vs供应商36(CS)2 评估响应高成熟度
3、vs低成熟度37获取前的(CS)2风险评估高成熟度vs低成熟度38安全培训39(CS)2意识培训整合终端用户4040(CS)2意识训练整合高成熟度vs低成熟度4141(CS)2培训内容高成熟度vs低成熟度4242(CS)2网络43控制系统组件的可访问性4444(CS)2管理服务现状高成熟度vs低成熟度4747(CS)2AI-KPMG2024控制系统网络安全年度报告3目录(CS)2管理服务的使用纵向分析48附录A:受访者组成61(CS)2技术现状高成熟度vs低成熟度49受访者职位终端用户和供应商62(CS)2网络监控纵向分析50受访者区域分布63(CS)2可见性终端用户51受访者年龄分布64(C
4、S)2事件52按受访者组织级别的年龄分布65(CS)2攻击响应终端用户53受访者教育水平66(CS)2事件近况纵向分析54受访者所在公司类别66客户(CS)2事件攻击媒介区域55受访者所在行业(仅限终端用户)67(CS)2事件影响纵向分析56受访者组织规模68近期(CS)2攻击媒介纵向分析57受访者决策角色68(CS)2威胁行为者纵向分析58受访者决策角色仅限终端用户68供应商指引59受访者的职务和组织级别69客户KPI关注指引供应商60附录B:年度报告指导委员会及撰稿人71附录C:关于(CS)2AI73附录D:报告发起人74(CS)2AI-KPMG2024控制系统网络安全年度报告4主席致辞尊
5、敬的业界同仁:我很自豪地发布第三版(CS)2AI-KPMG控制系统网络安全年度报告,这份报告不仅凝结着我们分析师和研究人员的心血,也离不开所有报告指导委员和同仁的辛勤付出。今年的报告基于630多名行业成员的调查结果和(CS)2AI全球会员的代表性样本(目前约有3,4000名社区成员)而形成,其中包括关于控制系统安全事件、攻击模式和应对方面的经验,以及将资源集中于保护关键系统和资产所面临的问题。调查报告中的受访者增加了招聘合格人员的难度,报告强调各组织需要投资发展现有员工的网络安全技能并对其进行培训。每年都有越来越多的参与者为我们的年度报告付出努力。我们必须向报告发起人毕马威国际表示最大的感谢,
6、感谢他们几年前使我们能够启动这个项目,并感谢他们在项目制作方面继续支持和合作。我们的共同目标是,本报告能够为业界同事提供基于经验的有价值见解,成为辅助日常做出许多艰难决定的工具。重要的是,要利用本报告的结论做出明智的决策,并优先考虑能为控制系统安全支出提供最佳投资回报率的领域。我们将一如既往地支持我们的社区,努力确保系统安全,使现代生活方式成为可能。德里克哈普(CS)2AI创始人兼董事长2024年的报告阐明了控制系统安全行业的几个关键趋势和挑战。虽然网络攻击的增加令人担忧,但各组织在网络安全预算方面也更加充裕,专注于预防,并认识到供应链攻击的威胁。报告中强调的一个重要问题是网络安全领域的技术工
7、人短缺。随着网络威胁的兴起,对网络安全专业人员的需求从未如此之高。Waterfall安全解决方案和Fortinet自我们的第一版报告以来一直与我们合作,并提供资源和专业知识。我们还要感谢所有其他合作伙伴,他们的支持和指导每年都有助于使这成为一个宝贵的决策支持工具(见附录D)。当然,我们也不能忽略那些主动加入年度报告指导委员会的所有成员(见附录B)。在新年到来之际,回顾我们在控制系统安全领域取得的进展以及我们继续面临的挑战至关重要。即使作为一个百分之百的乐观主义者,在去年数以百次与他人交谈中仍然可以感受到,想要取得真正的进展还有很长的路要走。有一点始终没改变的,就是我们面前还有大量的工作要做,来
8、确保能够实现现代生活方式的安全系统。(CS)2AI-KPMG2024控制系统网络安全年度报告5年度报告冠名赞助商前言瓦尔特里西毕马威国际全球OT网络安全负责人,毕马威阿根廷咨询业务主管合伙人巴勃罗阿尔马达毕马威国际全球OT网络安全副主管,毕马威阿根廷OT网络安全主管合伙人虽然运营技术(OT)网络安全已经在大多数行业首席信息安全官(CISO)的议程上占据了一席之地,但在许多情况下,它仍然是更广泛的网络安全领域中一个孤立的问题。尽管近年来许多公司取得了重大进展,但该领域仍在不断走向成熟和整合。今年(CS)2AI和毕马威国际合作的结果揭示了我们取得的进展和面临的持续挑战。关于成熟度,近一半(49%)
9、的受访组织运营仍处于较低的成熟度(第1级或第2级),即只拥有解决问题和基本管理的能力。虽然建立OT网络安全项目的必要性不再是一个新颖的概念,尽管市场上已有成熟的技术解决方案,但调查结果发现成熟度仍没有大幅提升。可能阻碍进步的一个显著因素是技术资源的稀缺,这也是该领域多年来一直在努力应对的一个众所周知的挑战。尽管存在这些挑战和相对渐进的发展步伐,但我们与行业高管的讨论表明,我们对OT网络安全相关风险的认识有所提高。尽管在过去几年里,这可能是一次艰难的推销,但与高层管理人员的网络安全对话越来越多地围绕着OT网络安全作为焦点。这意味着对学科的关键重要性有了更高层次的理解和认识。正如所料,高管们也更愿
10、意参与以OT网络安全为中心的危机模拟和桌面演习。我们相信,毕马威国际和(CS)2AI之间的年度合作在提高高管层的意识方面发挥着关键作用。通过对全球从业者和领导者所提供的真实案例进行分析,我们的调查为该领域的全球演变提供了一个公正的视角。它有助于做出明智的投资决策,并突出了人们对这一领域日益增长的兴趣。我们相信,我们的联合报告为OT网络安全从业人员和领导者以及更广泛的执行社区提供了宝贵的资源。在第三版报告中,我们重申,我们将致力于对该领域全球领导人所认为的围绕OT网络安全的主要挑战提供公正的展望。我们诚邀读者深入了解本年度报告的见解,希望我们的年度工作能让您在这一领域做出更明智的决策和投资,无论
11、您是领导者、执行者还是实践者。我们认为,OT 网络安全是一个持续的旅程,没有真正的终点。本调查与网络安全本身一样,是这一永恒旅程中不可或缺的一部分,致力于年复一年地为这一关键领域提供更好的见解。(CS)2AI-KPMG2024控制系统网络安全年度报告6执行摘要主要调查结果几乎一半的响应组织(49%)仍然没有ICS/OT网络安全计划,或者只有基本的网络安全计划,缺乏既定的计划、程序或能力改进过程。不同组织级别的受访者在分配额外酌处权资金方面的优先事项大相径庭,这就提出了他们的动机是否一致以及他们的目标为何不同的问题。对控制系统网络活动的全面监控正在增加,在过去一年中增加了80%。我们评估了来自企
12、业网络、互联网、云以及集成商/供应商的许多控制系统组件(PLC、IED、RTU、HMI、服务器、工作站和Historian)的可访问性。在这一领域,拥有高成熟度项目的组织和拥有低成熟度项目的组织之间通常没有什么区别。事实上,高成熟度组织中的组件通常比低成熟度组织中的组件更容易访问。有关高成熟度和低成熟度的定义,请参见第8页。本报告是一系列年度出版物中的最新一份,这些出版物来自国际控制系统网络安全协会(又称(CS)2AI),其拥有近3,4000名成员的社区和数十个战略联盟伙伴的研究。在(CS)2AI创始人兼董事长Derek Harp和联合创始人兼总裁Bengt Gregory-Brown领导的数
13、十年网络安全调查开发、研究和分析的基础上,(CS)2AI团队邀请我们的全球成员和我们扩展社区中的数千名其他人参加。通过询问关键问题,了解他们在运营、保护和维护运营技术(OT)系统和资产的第一线的经验,这些系统和资产耗资数百万至数十亿美元的资本支出,对持续收入产生同等或更多的影响,并影响全世界个人的日常生活和企业的业务运营。其中超过630人对我们的初步调查做出了回应,更多人参与了我们通过正在进行的(CS)2教育计划开展的额外数据收集工作。该数据池以匿名方式提交,以确保排除可能影响参与者反应的考虑因素,从而深入了解负责控制系统运营和资产的个人和组织的真实经验,超出本报告的预设范围。我们希望我们选择
14、的细节能为读者提供所需的决策支持工具。(CS)2AI-KPMG控制系统网络安全年度报告20247调查目标与方法本报告使用总体术语“控制系统”(CS)和“运营技术”(OT)来指代管理、监控和/或控制物理设备和过程的任何/所有系统。因此,CS、(CS)和OT应理解为包括工业控制系统(ICS)、数据采集与监视控制系统(SCADA)、过程控制系统(PCS)、过程控制域(PCD)、建筑/设施控制、自动化和管理系统(BACS/BAMS/FRCS)、联网医疗设备等。同样,“(CS)2”是泛指控制系统网络安全领域、专业、项目和人员。(CS)2AI-KPMG控制系统网络安全年度报告系列于2019年推出,旨在为世
15、界各地参与控制系统资产和运营安全工作的各方(无论是终端用户还是供应商、高管、经理还是运营团队)提供信息丰富的决策工具。本报告由以下实体共同完成:(CS)2AI:作为项目发起人,(CS)2AI在项目规划、领导和实施中发挥着主要作用,包括数据收集、分析和编写本报告。毕马威国际:作为产权报告发起人,毕马威提供了主要资金和组织资源支持,以增强(CS)2AI自身的能力。其他赞助商:非冠名赞助商Fortinet、WaterfallSecuritySolutions和Opscura提供了额外的资金和其他资源。(见附录D:报告发起人。)根据上述目标,(CS)2AI和我们的赞助商向在该领域工作的CS/OT网络安
16、全社区成员分发了在线调查,收集了CS事件、活动和技术的关键数据,以及组织如何应对不断变化的威胁的详细信息1。(CS)2AI邀请其相关成员、已知的OT安全捍卫者和研究人员参与,通过直接邀请和各种广播媒体渠道分发调查,并在为CS网络安全工作人员服务的网站上进行推广,目的是收集尽可能广泛的样本。受访者通过确认他们目前或最近参与(CS)2领域而自我选择。他们包括所有组织层面的专业人员:网络安全专家和事务专家(SME),以及其工作包括但不仅限于安全和保护控制系统的人员。能够将我们的参与者解析为不同的群体,并比较他们在这些群体关联中的投入,这是从这个年度研究项目中获得见解的关键。虽然我们认为调查参与者(C
17、S)2AI计划的成熟度是最重要的维度,但我们也考虑了他们的组织级别、地区以及他们与(CS)2资产(供应商、用户、所有者或运营商)的关系。当然,我们也进行了纵向分析,当我们发现有趣的趋势时,我们也分享这些趋势。1.威胁范围:对CS/OT行动和资产的所有可能威胁的总和。威胁是动态的,随着漏洞的发现和针对漏洞利用的保护措施的制定而不断变化。(CS)2AI-KPMG控制系统网络安全年度报告20248(CS)2项目衡量受访组织的(CS)2计划成熟度是我们年度分析的关键,它为评估受访组织提供的许多其他数据提供了衡量标准。与其他组织相比,拥有更加成熟计划2的组织在哪些方面做得更不同或更频繁?如果我们发现这些
18、组织的回答之间存在明显差异,我们会提请读者注意。我们要求每位参与者从以下描述中选择最适合其组织情况的一项。控制系统网络安全计划成熟度第1级第2级第3级第4级第5级网络安全流程通过现有流程的反馈不断改进,并适应更好地满足组织需求。执行流程的人员具有足够的技能和知识。优化、自动化、集成、可预测。主动防御、威胁情报、事件管理。2.高成熟度组包括所有自评为第4级或第5级的受访者;低成熟度组指被识别为第1级或第2级的受访者。网络安全计划利用数据收集和分析来改善其结果。活动以文件化的组织指令为指导,政策包括特定标准和/或指南的合规要求。负责控制系统安全职责的人员受过培训并具备经验。计划是管理的,主动的,跟
19、踪指标,部分自动化。主动防御、安全信息和事件管理(SIEM)、异常和漏洞检测。网络安全根据文件化的流程和程序进行生产和工作。确定并参与关键利益相关者。提供足够的资源来支持这一过程(人员、资金和工具)。已经确定了指导实施的标准和/或指导方针。被动防御。在网络安全实施中遵循基本的项目管理实践;成功仍然需要关键人物,但知识体系正在发展。执行最佳实践,但可能是临时的。被动防御。救火状态。网络安全程序是无组织和无记录的,不是在“程序”中组织的。成功取决于个人的努力;是不可重复或可扩展的,因为没有充分定义和记录流程。被动防御。(CS)2AI-KPMG控制系统网络安全年度报告20249更成熟14%30%33
20、%17%6%16%28%32%16%9%16%33%28%17%6%0%5%10%15%20%25%30%35%202020222023以下哪一项最能描述您的控制系统网络安全程序?每个排名的参与者数量都有所变化(值得注意的是,第2级组织的数量在今年有所增加),但我们发现,多年来高成熟度和低成熟度组织的规模变化不大。参与者继续对他们自己的(CS)2项目进行评分。我们的团队认为这有利于自我评价有效性。我们在分析高成熟度(第4级和第5级)和低成熟度(第1级和第2级)组之间的对比和相似性时广泛使用了这一点,并以此作为划分建议的基础。(CS)2项目成熟度纵向分析第1级第2级第3级第4级第5级(CS)2A
21、I-KPMG控制系统网络安全年度报告20241016%34%29%15%5%20%34%28%14%5%20%43%16%16%4%10%48%31%7%3%16%12%56%12%4%0%10%20%30%40%50%60%GlobalRegion 1Region 2Region 4Region 5世界各地的顾问(供应商、服务提供商、集成商)对其客户(CS)2项目的成熟度看法不一。不同地区对成熟度有不同的看法。区域2的自评得分较低,63%在第1级和第2级,区域4的有近一半(48%)处于第2级,而区域5有超过一半的组织(56%)处于第3级。区域3、6和7缺乏足够的参与,无法纳入本分析(见脚注3
22、)。客户(CS)2项目成熟度 地区33.(CS)2AI将组织划分成七个区域。1)北美;2)欧洲(中部、西部、北部和南部);3)欧亚大陆;4)印度太平洋;5)中东-北非;6)南部非洲;7)拉丁美洲-加勒比以下哪一项最能描述您的控制系统网络安全程序?第1级第2级第3级第4级第5级全球的区域1区域2区域4区域5(CS)2AI-KPMG控制系统网络安全年度报告20241134%41%47%44%34%31%38%44%56%38%31%50%59%28%41%38%3%28%21%35%24%34%31%28%31%38%24%21%31%22%18%9%16%15%0%10%20%30%40%50%
23、60%70%Typical(CS)KPIs monitored by organizations(CS)2关键绩效指标(KPI)高成熟度vs低成熟度尽管更多成熟项目对某些关键绩效指标(KPI)的跟踪力度更大并不令人惊讶(例如,作为任何项目随时间推移不断改进的核心活动,效率提升或改进所带来的安全活动成本增加至近五倍的差距:低成熟度的 8%对高成熟度的40%,这是符合预期的),我们认为如此多的项目对于绩效的跟踪力度之低是令人担忧的。今年,我们的低成熟度受访者大约是高成熟度受访者的两倍,尽管85.3%的受访者跟踪了一些KPI,但大多数人只跟踪了少数KPI。我们强烈建议这些组织扩大其衡量标准,以更好地
24、了解其安全计划工作的有效性。组织监控的典型(CS)KPI重复点击恶意链接的人数安全事件误报次数到达终端用户的恶意代码和/或垃圾邮件的百分比安全事件的财务成本点击不良链接的人数共享帐户使用数量解决安全事件的时间应用程序和配置过期的系统数量安全事件的数量受感染(恶意软件)系统的数量未盘点设备的数量缺少补丁的系统数量安全事件造成的运营中断(停机时间)数量效率提升或改进所带来的安全活动成本组织不跟踪KPI实施了组织的安全要求和原则并持续遵循的场站和系统的数量从非核心网络区域流入关键控制网络的信息流数量(CS)2AI-KPMG控制系统网络安全年度报告2024低成熟度 高成熟度1219%34%31%25%
25、34%9%44%53%28%53%25%25%9%28%10%36%27%26%NISTNERC CIPTop 20 Critical Security ControlsANSSI ICSISOCOBITISA/IEC 62443Cybersecurity Capability Maturity Model(C2M2)Industry Regulations0%10%20%30%40%50%60%End UsersVendorsFrameworks used by control system security teams使用的安全成熟度框架终端用户 vs 供应商比较不同群体的观点有其不利之处
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2024 控制系统 网络安全 年度报告
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【宇***】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【宇***】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。