北京赛虎网络空间安全技术发展有限公司是公安部信息安全等级保护评估中心授权的CIIPT合作单位。

SANS研究所最近对工业控制系统安全性的一项调查显示，拥有ICS、SCADA、过程控制、分布式控制或设施自动化等操作控制系统的组织仍然认为人是最大的潜在弱点，在某些领域，人也是防止网络攻击的最大资产。

2019年6月，SANS研究所发布报告《2019年SANS-OT/ICS网络安全调查》，探讨了工业控制系统（ICS）、其网络资产和通信协议的设计、运行和风险管理，并支持运营挑战。

该报告基于对338人的调查，包括安全人员和在公司IT或操作控制系统（如监控和数据采集（SCADA）、过程控制、分布式控制或建筑/设施自动化和控制）工作的其他专业人员。

最弱连接

调查发现了几个有趣的数据点。例如，62%的受访者表示，“人员”是其操作技术（OT）和集成电路环境的主要风险。它的范围从故意的恶意攻击者到非恶意人员，例如不小心配置设备的员工。

不过，调查还强调，各组织越来越依赖内部受过培训的人员作为安全情报的来源。2017年，37.4%的人表示“我们依赖训练有素的员工知道何时搜索事故”。到2019年，这一数字急剧上升至60.4%。

SANS调查中发现的另一个数据点是，尽管75%的受访者提到工作站和服务器的风险更高。当与OT直接相关时，如控制系统设备和软件应用，这个数字降到一半以下。更重要的是，调查发现78%的OT或控制系统有外部连接，34%的系统直接或通过DMZ连接到Internet。

不平衡的安全局势

这项调查揭示了三个关键问题，一个依赖于ICS/SCADA的行业仍然难以解决。一是吸引、培养和留住技术人才的能力。第二个问题是，新的数字技术正在这个行业出现。这些技术模糊了OT和传统企业网络之间的界限。

最后一个问题是威胁和风险之间的脱节。事实证明，当被攻击者攻击时，嵌入式控制器和组件（如PLC和IED）对业务的影响最大。只有19%的组织从这些设备收集安全数据。

如何解释这些问题？一种解释是，具有ICS和SCADA基础设施的组织将看到更多潜在的攻击者，这使得定义风险和设计其安全模型的过程比传统的企业IT组织更加复杂。摆在我们面前的问题是：这些公司会成为具有政府背景的网络攻击者的攻击目标吗？威胁最有可能来自恶意的内部人士或竞争对手吗？

令人担忧的是，通过了解制造业、能源和石化领域的组织，这些行业的公司仍然普遍认为，安全的边界和物理隔离的网络足以保护关键系统。

SANS报告显示，这种误解正在改变，同时，从2017年到2019年，用于测试的异常检测工具的比例从35%上升到44%，而且还在上升。然而，许多组织仍然遭受着“不平衡”的安全态势。该公司已经部署了各种先进的工具，但问题是缺乏适当使用该技术的人员和流程。

基于windnonerisk决策

所有这些数据表明，工业部门的组织，特别是那些拥有十多年系统

tems必须开始转向业务驱动的风险导向系统。这种方法将是所有OT安全策略的核心，将不同于当前工业网络安全思想的转变（侧重于可见性和威胁监控）。

尽管这一点至关重要，但在影响评估中的反应性响应将产生大量警报，使网络安全分析人员超载，难以应对，特别是对于维护率较低的SCADA网络。

在部署持续监控之前，组织需要执行风险评估。此风险评估应针对IC，不仅针对设备漏洞，还针对业务流程及其对业务的影响，包括资本成本、服务中断、安全、环境影响或违规行为的影响。

一旦确定了基线风险，就必须使用它来处理系统事件和建议的监控。此功能必须考虑不同的威胁、业务流程，当然还要考虑每个网络事件的可能性和潜在影响，以便将重点放在要保护的关键设备上。

如果没有面向风险的方法，安全团队可能会浪费宝贵的有限资源来解决对关键系统几乎没有实质性影响的小问题，而忽略更危险的漏洞。

必须继续进行风险评估，以反映设备、漏洞和新威胁情报的最新情况。考虑到ICS CERT通常每季度会增加100到150个与ICS/SCADA环境相关的新项目，未来每个组织最重要的考虑是能够有效且持续地对系统风险进行分类。