2024年控制系統(tǒng)網(wǎng)絡(luò)安全年度報(bào)告

控制(C系S)統(tǒng)2A網(wǎng)I-絡(luò)KP安M全G年度報(bào)告2024目錄(CS)2管理服務(wù)的使用——縱向分析348附錄A：受訪者組成61(CS)2技術(shù)現(xiàn)狀——高成熟度vs低成熟度49受訪者職位——終端用戶和供應(yīng)商 62(CS)2網(wǎng)絡(luò)監(jiān)控——縱向分析50受訪者區(qū)域分布 63(CS)2可見性——終端用戶51受訪者年齡分布 64(CS)2事件52按受訪者組織級別的年齡分布 65(CS)2攻擊響應(yīng)——終端用戶53受訪者教育水平 66(CS)2事件近況——縱向分析54受訪者所在公司類別 66客戶(CS)2事件攻擊媒介——區(qū)域55受訪者所在行業(yè)（僅限終端用戶） 67(CS)2事件影響——縱向分析56受訪者組織規(guī)模 68近期(CS)2攻擊媒介——縱向分析57受訪者決策角色 68(CS)2威脅行為者——縱向分析58受訪者決策角色——僅限終端用戶 68受訪者的職務(wù)和組織級別69供應(yīng)商指引 59

客戶KPI關(guān)注指引——供應(yīng)商

60附錄B：年度報(bào)告指導(dǎo)委員會及撰稿人 71附錄C：關(guān)于(CS)2AI73附錄D：報(bào)告發(fā)起人74(CS)2AI-KPMG控制系統(tǒng)網(wǎng)絡(luò)安全年度報(bào)告2024主席致辭尊敬的業(yè)界同仁：我很自豪地發(fā)布第三版(CS)2AI-KPMG控制應(yīng)對方面的經(jīng)驗(yàn)，以及將資源集中于保護(hù)關(guān)鍵系統(tǒng)和資產(chǎn)所面臨的問題。調(diào)查報(bào)告中的受訪者增加了招聘合格人員系統(tǒng)網(wǎng)絡(luò)安全年度報(bào)告，這份報(bào)告不僅凝

的難度，報(bào)告強(qiáng)調(diào)各組織需要投資發(fā)展現(xiàn)結(jié)著我們分析師和研究人員的心血，也離 有員工的網(wǎng)絡(luò)安全技能并對其進(jìn)行培訓(xùn)。不開所有報(bào)告指導(dǎo)委員和同仁的辛勤付出。

每年都有越來越多的參與者為我們的年度今年的報(bào)告基于630多名行業(yè)成員的調(diào)查

報(bào)告付出努力。我們必須向報(bào)告發(fā)起人畢結(jié)果和(CS)2AI全球會員的代表性樣本（目

馬威國際表示最大的感謝，感謝他們幾年前約有3,4000名社區(qū)成員）而形成，其中

前使我們能夠啟動(dòng)這個(gè)項(xiàng)目，并感謝他們包括關(guān)于控制系統(tǒng)安全事件、攻擊模式和

在項(xiàng)目制作方面繼續(xù)支持和合作。我們的共同目標(biāo)是，本報(bào)告能夠?yàn)闃I(yè)界同

事提供基于經(jīng)驗(yàn)的有價(jià)值見解，成為輔助日常做出許多艱難決定的工具。重要的是，要利用本報(bào)告的結(jié)論做出明智的決策，并優(yōu)先考慮能為控制系統(tǒng)安全支出提供最佳投資回報(bào)率的領(lǐng)域。我們將一如既往地支持我們的社區(qū)，努力確保系統(tǒng)安全，使現(xiàn)代生活方式成為可能。德里克·哈普4(CS)2AI創(chuàng)始人兼董事長2024年的報(bào)告闡明了控制系統(tǒng)安全行業(yè)的幾個(gè)關(guān)鍵趨勢和挑戰(zhàn)。雖然網(wǎng)絡(luò)攻擊的增加令人擔(dān)憂，但各組織在網(wǎng)絡(luò)安全預(yù)算方面也更加充裕，專注于預(yù)防，并認(rèn)識到供應(yīng)鏈攻擊的威脅。報(bào)告中強(qiáng)調(diào)的一個(gè)重要問題是網(wǎng)絡(luò)安全領(lǐng)域的技術(shù)工人短缺。隨著網(wǎng)絡(luò)威脅的興起，對網(wǎng)絡(luò)安全專業(yè)人員的需求從未如此之高。Waterfall安全解決方案和Fortinet自我們的第一版報(bào)告以來一直與我們合作，并提供資源和專業(yè)知識。我們還要感謝所有其他合作伙伴，他們的支持和指導(dǎo)每年都有助于使這成為一個(gè)寶貴的決策支持工具（見附錄D）。當(dāng)然，我們也不能忽略那些主動(dòng)加入年度報(bào)告指導(dǎo)委員會的所有成員（見附錄B）。在新年到來之際，回顧我們在控制系統(tǒng)安全領(lǐng)域取得的進(jìn)展以及我們繼續(xù)面臨的挑戰(zhàn)至關(guān)重要。即使作為一個(gè)百分之百的樂觀主義者，在去年數(shù)以百次與他人交談中仍然可以感受到，想要取得真正的進(jìn)展還有很長的路要走。有一點(diǎn)始終沒改變的，就是我們面前還有大量的工作要做，來確保能夠?qū)崿F(xiàn)現(xiàn)代生活方式的安全系統(tǒng)。(CS)2AI-KPMG控制系統(tǒng)網(wǎng)絡(luò)安全年度報(bào)告2024年度報(bào)告冠名5贊助商前言瓦爾特·里西畢馬威國阿際根全廷球咨O詢T業(yè)網(wǎng)務(wù)絡(luò)主安管全合負(fù)伙責(zé)人人，巴勃羅·阿爾馬達(dá)畢馬威國際全球OT網(wǎng)絡(luò)安全副主管，畢馬威阿根廷OT網(wǎng)絡(luò)安全主管合伙人雖然運(yùn)營技術(shù)（OT）網(wǎng)絡(luò)安全已經(jīng)在大多數(shù)行業(yè)首席信息安全官（CISO）的議程上占據(jù)了一席之地，但在許多情況下，它仍然是更廣泛的網(wǎng)絡(luò)安全領(lǐng)域中一個(gè)孤立的問題。盡管近年來許多公司取得了重大進(jìn)展，但該領(lǐng)2域仍在不斷走向成熟和整合。今年(CS)

AI和畢馬威國際合作的結(jié)果揭示了我們?nèi)〉玫倪M(jìn)展和面臨的持續(xù)挑戰(zhàn)。關(guān)于成熟度，近一半（49%）的受訪組織運(yùn)營仍處于較低的成熟度（第1級或第2級），即只擁有解決問題和基本管理的能力。雖然建立OT網(wǎng)絡(luò)安全項(xiàng)目的必要性不再是一個(gè)新穎的概念，盡管市場上已有成熟的技術(shù)解決方案，但調(diào)查結(jié)果發(fā)現(xiàn)成熟度仍沒有大幅提升。可能阻礙進(jìn)步的一個(gè)顯著因素是技術(shù)資源的稀缺，這也是該領(lǐng)域多年來一直在努力應(yīng)對的一個(gè)眾所周知的挑戰(zhàn)。盡管存在這些挑戰(zhàn)和相對漸進(jìn)的發(fā)展步伐，但我們與行業(yè)高管的討論表明，我們對OT網(wǎng)絡(luò)安全相關(guān)風(fēng)險(xiǎn)的認(rèn)識有所提高。盡管在過去幾年里，這可能是一次艱難的推銷，但與高層管理人員的網(wǎng)絡(luò)安全對話越來越多地圍繞著OT網(wǎng)絡(luò)安全作為焦點(diǎn)。這意味著對學(xué)科的關(guān)鍵重要性有了更高層次的理解和認(rèn)識。正如所料，高管們也更愿意參與以O(shè)T網(wǎng)絡(luò)安全為中心的危機(jī)模擬和桌面演習(xí)。我們相信，畢馬威國際和(CS)2AI之間的年度

合作在提高高管層的意識方面發(fā)揮著關(guān)鍵作用。通過對全球從業(yè)者和領(lǐng)導(dǎo)者所提供的真實(shí)案例進(jìn)行分析，我們的調(diào)查為該領(lǐng)域的全球演變提供了一個(gè)公正的視角。它有助于做出明智的投資決策，并突出了人們對這一領(lǐng)域日益增長的興趣。我們相信，我們的聯(lián)合報(bào)告為OT網(wǎng)絡(luò)安全從業(yè)人員和領(lǐng)導(dǎo)者以及更廣泛的執(zhí)行社區(qū)提供了寶貴的資源。在第三版報(bào)告中，我們重申，我們將致力于對該領(lǐng)域全球領(lǐng)導(dǎo)人所認(rèn)為的圍繞OT網(wǎng)絡(luò)安全的主要挑戰(zhàn)提供公正的展望。我們誠邀讀者深入了解本年度報(bào)告的見解，希望我們的年度工作能讓您在這一領(lǐng)域做出更明智的決策和投資，無論您是領(lǐng)導(dǎo)者、執(zhí)行者還是實(shí)踐者。我們認(rèn)為，OT

網(wǎng)絡(luò)安全是一個(gè)持續(xù)的旅程，沒有真正的終點(diǎn)。本調(diào)查與網(wǎng)絡(luò)安全本身一樣，是這一永恒旅程中不可或缺的一部分，致力于年復(fù)一年地為這一關(guān)鍵領(lǐng)域提供更好的見解。(CS)2AI-KPMG控制系統(tǒng)網(wǎng)絡(luò)安全年度報(bào)告20246執(zhí)行摘要主要調(diào)查結(jié)果幾乎一半的響應(yīng)組織（49%）仍然沒有ICS/OT網(wǎng)絡(luò)安全計(jì)劃，或者只有基本的網(wǎng)絡(luò)安全計(jì)劃，缺乏既定的計(jì)劃、程序或能力改進(jìn)過程。不同組織級別的受訪者在分配額外酌處權(quán)資金方面的優(yōu)先事項(xiàng)大相徑庭，這就提出了他們的動(dòng)機(jī)是否一致以及他們的目標(biāo)為何不同的問題。對控制系統(tǒng)網(wǎng)絡(luò)活動(dòng)的全面監(jiān)控正在增加，在過去一年中增加了80%。我們評估了來自企業(yè)網(wǎng)絡(luò)、互聯(lián)網(wǎng)、云以及集成商/供應(yīng)商的許多控制系統(tǒng)組件（

PLC

、IED、

RTU

、HMI、服務(wù)器、工作站和Historian）的可訪問性。在這一領(lǐng)域，擁有高成熟度項(xiàng)目的組織和擁有低成熟度項(xiàng)目的組織之間通常沒有什么區(qū)別。事實(shí)上，高成熟度組織中的組件通常比低成熟度組織中的組件更容易訪問。有關(guān)高成熟度和低成熟度的定義，請參見第8頁。本報(bào)告是一系列年度出版物中的最新一份，這些出版物來自國際控制系統(tǒng)網(wǎng)絡(luò)安全協(xié)2會（又稱(CS)

AI），其擁有近3,4000名成員的社區(qū)和數(shù)十個(gè)戰(zhàn)略聯(lián)盟伙伴的研究。2在(CS)

AI創(chuàng)始人兼董事長Derek

Harp和聯(lián)合創(chuàng)始人兼總裁Bengt

Gregory-Brown領(lǐng)導(dǎo)的數(shù)十年網(wǎng)絡(luò)安全調(diào)查開發(fā)、研究和分2析的基礎(chǔ)上，(CS)

AI團(tuán)隊(duì)邀請我們的全球成員和我們擴(kuò)展社區(qū)中的數(shù)千名其他人參加。通過詢問關(guān)鍵問題，了解他們在運(yùn)營、保護(hù)和維護(hù)運(yùn)營技術(shù)（OT）系統(tǒng)和資產(chǎn)的第一線的經(jīng)驗(yàn)，這些系統(tǒng)和資產(chǎn)耗資數(shù)百萬至數(shù)十億美元的資本支出，對持續(xù)收入產(chǎn)生同等或更多的影響，并影響全世界個(gè)人的日常生活和企業(yè)的業(yè)務(wù)運(yùn)營。其中超過630人對我們的初步調(diào)查做出了回應(yīng)，更2多人參與了我們通過正在進(jìn)行的(CS)

教育計(jì)劃開展的額外數(shù)據(jù)收集工作。該數(shù)據(jù)池以匿名方式提交，以確保排除可能影響參與者反應(yīng)的考慮因素，從而深入了解負(fù)責(zé)控制系統(tǒng)運(yùn)營和資產(chǎn)的個(gè)人和組織的真實(shí)經(jīng)驗(yàn)，超出本報(bào)告的預(yù)設(shè)范圍。我們希望我們選擇的細(xì)節(jié)能為讀者提供所需的決策支持工具。(CS)2AI-KPMG控制系統(tǒng)網(wǎng)絡(luò)安全年度報(bào)告2024調(diào)查目標(biāo)與方法本報(bào)告使用總體術(shù)語“控制系統(tǒng)”

(CS)

和“運(yùn)營技術(shù)”7（OT）來指代管理、監(jiān)控和/或控制物理設(shè)備和過程的任何/所有系統(tǒng)。因此，CS、(CS)和OT應(yīng)理解為包括工業(yè)控制系統(tǒng)（ICS）、數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)（SCADA）、過程控制系統(tǒng)（PCS）、過程控制域（PCD）、建筑/設(shè)施控制、自動(dòng)化和管理系統(tǒng)（BACS/BAMS/FRCS…）、聯(lián)網(wǎng)醫(yī)療設(shè)備等。同樣，“(CS)2”是泛指控制系統(tǒng)網(wǎng)絡(luò)安全領(lǐng)域、專業(yè)、項(xiàng)目和人員。(CS)2AI-KPMG控制系統(tǒng)網(wǎng)絡(luò)安全年度報(bào)告系列于2019年推出，旨在為世界各地參與控制系統(tǒng)資產(chǎn)和運(yùn)營安全工作的各方（無論是終端用戶還是供應(yīng)商、高管、經(jīng)理還是運(yùn)營團(tuán)隊(duì)）提供信息豐富的決策工具。本報(bào)告由以下實(shí)體共同完成：(CS)2AI：作為項(xiàng)目發(fā)起人，(CS)2AI在項(xiàng)目規(guī)劃、領(lǐng)導(dǎo)和實(shí)施中發(fā)揮著主要作用，包括數(shù)據(jù)收集、分析和編寫本報(bào)告。畢馬威國際：作為產(chǎn)權(quán)報(bào)告發(fā)起人，畢馬威提供了主要資金和組織資源支2持，以增強(qiáng)(CS)

AI自身的能力。其他贊助商：非冠名贊助商Fortinet、Waterfall Security Solutions

和（見附錄D：報(bào)告發(fā)起人。）根據(jù)上述目標(biāo)，(CS)2AI和我們的贊助商向在該領(lǐng)域工作的CS/OT網(wǎng)絡(luò)安全社區(qū)成員分發(fā)了在線調(diào)查，收集了CS事件、活動(dòng)和技術(shù)的關(guān)鍵數(shù)據(jù)，以及組織如何應(yīng)對不斷1變化的威脅的詳細(xì)信息

。(CS)2AI邀請其相關(guān)成員、已知的OT安全捍衛(wèi)者和研究人員參與，通過直接邀請和各種廣播媒體渠道分發(fā)調(diào)查，并在為CS網(wǎng)絡(luò)安全工作人員服務(wù)的網(wǎng)站上進(jìn)行推廣，目的是收集盡可能廣泛的樣本。受訪者通過2確認(rèn)他們目前或最近參與(CS)

領(lǐng)域而自我選擇。他們包括所有組織層面的專業(yè)人員：網(wǎng)絡(luò)安全專家和事務(wù)專家（SME），以及其工作包括但不僅限于安全和保護(hù)控制系統(tǒng)的人員。能夠?qū)⑽覀兊膮⑴c者解析為不同的群體，并比較他們在這些群體關(guān)聯(lián)中的投入，這是從這個(gè)年度研究項(xiàng)目中獲得見解的關(guān)鍵。2雖然我們認(rèn)為調(diào)查參與者(CS)

AI計(jì)劃的成熟度是最重要的維度，但我們也考慮了他2們的組織級別、地區(qū)以及他們與(CS)

資產(chǎn)Opscura提供了額外的資金和其他資源。 （供應(yīng)商、用戶、所有者或運(yùn)營商）的關(guān)系。當(dāng)然，我們也進(jìn)行了縱向分析，當(dāng)我們發(fā)現(xiàn)有趣的趨勢時(shí)，我們也分享這些趨勢。用1.

威的脅保范護(hù)圍措：施對的C制S/定O而T行不動(dòng)斷和變資化產(chǎn)。的所有可能威脅的總和。威脅是動(dòng)態(tài)的，隨著漏洞的發(fā)現(xiàn)和針對漏洞利(CS)2AI-KPMG控制系統(tǒng)網(wǎng)絡(luò)安全年度報(bào)告2024(CS)2項(xiàng)目衡量受訪組織的(CS)2計(jì)劃成熟度是我們年度分析的關(guān)鍵，它為評估受訪組織提供的許多其他數(shù)據(jù)提供了衡量標(biāo)準(zhǔn)。與其他組織相比，2擁有更加成熟計(jì)劃

的組織在哪些方面做得更不同或更頻繁？如果我們發(fā)現(xiàn)這些組織的回答之間存在明顯差異，我們會提請讀者注意。我們要求每位參與者從以下描述中選擇最適合其組織情況的一項(xiàng)。控制系統(tǒng)網(wǎng)絡(luò)安全計(jì)劃成熟度第1級第2級第3級8第4級第5級網(wǎng)絡(luò)安全流程通過現(xiàn)有流程的反饋不斷改進(jìn)，需求。2.

高成熟度組包括所有自評為第4級或第5級的受訪者；低成熟度組指被識別為第1級或第2級的受訪者。網(wǎng)絡(luò)安全計(jì)劃利用數(shù)據(jù)收集和分析來改善其結(jié)并適應(yīng)更好地滿足組織

果?；顒?dòng)以文件化的組織指執(zhí)行流程的人員具有足

令為指導(dǎo)，政策包括特夠的技能和知識。優(yōu)化、

定標(biāo)準(zhǔn)和/或指南的合自動(dòng)化、集成、可預(yù)測。

規(guī)要求。主動(dòng)防御、威脅情報(bào)、

負(fù)責(zé)控制系統(tǒng)安全職責(zé)事件管理。

的人員受過培訓(xùn)并具備經(jīng)驗(yàn)。計(jì)劃是管理的，主動(dòng)的，跟蹤指標(biāo)，部分自動(dòng)化。主動(dòng)防御、安全信息和事件管理（SIEM）、異常和漏洞檢測。流程和程序進(jìn)行生產(chǎn)和工作。確定并參與關(guān)鍵已經(jīng)確定了指導(dǎo)實(shí)施的標(biāo)準(zhǔn)和/或指導(dǎo)方針。被動(dòng)防御。被動(dòng)防御。網(wǎng)絡(luò)安全根據(jù)文件化的 在網(wǎng)絡(luò)安全實(shí)施中遵循 救火狀態(tài)。網(wǎng)絡(luò)安全程基本的項(xiàng)目管理實(shí)踐；

序是無組織和無記錄的，成功仍然需要關(guān)鍵人物，

不是在“程序”中組織利益相關(guān)者。提供足夠

但知識體系正在發(fā)展。

的。成功取決于個(gè)人的的資源來支持這一過程

執(zhí)行最佳實(shí)踐，但可能

努力；是不可重復(fù)或可（人員、資金和工具）。

是臨時(shí)的。

擴(kuò)展的，因?yàn)闆]有充分定義和記錄流程。被動(dòng)防御。(CS)2AI-KPMG控制系統(tǒng)網(wǎng)絡(luò)安全年度報(bào)告202414%30%33%6%28%32%9%16%

16%33%28%17%16%

17%6%0%5%10%15%20%25%30%35%2020

2022

2023更成熟9以下哪一項(xiàng)最能描述您的控制系統(tǒng)網(wǎng)絡(luò)安全程序？每個(gè)排名的參與者數(shù)量都有所變化（值得注意的是，第2級組織的數(shù)量在今年有所增加），但我們發(fā)現(xiàn)，多年來高成熟度和低成熟度組織的規(guī)模變化不大。參與者繼續(xù)對他們自己的(CS)2項(xiàng)目進(jìn)行評分。我們的團(tuán)隊(duì)認(rèn)為這有利于自我評價(jià)有效性。我們在分析高成熟度（第4級和第5級）和低成熟度（第1級和第2級）組之間的對比和相似性時(shí)廣泛使用了這一點(diǎn)，并以此作為劃分建議的基礎(chǔ)。(CS)2項(xiàng)目成熟度——縱向分析第1級第2級第3級第4級第5級(CS)2AI-KPMG控制系統(tǒng)網(wǎng)絡(luò)安全年度報(bào)告202416%34%29%15%34%28%14%5%

5%43%16%16%10%48%31%7%16%12%12%4%3%

4%0%10%20%20% 20%30%40%50%60%GlobalRegion

1egion

2Region

4egion

5世界各地的顧問（供應(yīng)商、服務(wù)提供商、集成商）對其客戶(CS)2項(xiàng)目的成熟度看法不一。不同地區(qū)對成熟度有不同的看法。區(qū)域2的自評得分較低，63%在第1級和第2級，區(qū)域4的有近一半（48%）處于第2級，而區(qū)域5有超過一半的組織（56%）處于第3級。區(qū)域3、6和7缺乏足夠的參與，無法納入本分析（見腳注3）。客戶(CS)2項(xiàng)目成熟度——

地區(qū)33.

(CS)2AI將組織劃分成七個(gè)區(qū)域。1）

北美；2）

歐洲（中部、西部、北部和南部）；3）

歐亞大陸；印度太平洋；中東-北非；6）

南部非洲；7）

拉丁美洲-加勒比以下哪一項(xiàng)最能描述您的控制系統(tǒng)網(wǎng)絡(luò)安全程序？56%第1級第2級第5級全球的區(qū)域1第3級R區(qū)域2區(qū)域4第4級R區(qū)域510(CS)2AI-KPMG控制系統(tǒng)網(wǎng)絡(luò)安全年度報(bào)告202434%41%47%44%31%38%44%56%38%31%50%59%41%38%3%28%21%35%24%3344%%31%38%24%21%31%22% 28%18%9%16%15%0%10%50%60%70%Typical(CS)2KPIsmonitored

byorganizations(—C—S)高2關(guān)成鍵熟績度效v指s低標(biāo)成（熟K度PI）盡管更多成熟項(xiàng)目對某些關(guān)鍵績效指標(biāo)(KPI)的跟蹤力度更大并不令人驚訝（例如，作為任何項(xiàng)目隨時(shí)間推移不斷改進(jìn)的核心活動(dòng)，效率提升或改進(jìn)所帶來的安全活動(dòng)成本增加至近五倍的差距：低成熟度的

8%對高成熟度的40%，這是符合預(yù)期的），我們認(rèn)為如此多的項(xiàng)目對于績效的跟蹤力度之低是令人擔(dān)憂的。今年，我們的低成熟度受訪者大約是高成熟度受訪者的兩倍，盡管85.3%的受訪者跟蹤了一些KPI，但大多數(shù)人只跟蹤了少數(shù)KPI。我們強(qiáng)烈建議這些組織擴(kuò)大其衡量標(biāo)準(zhǔn)，以更好地了解其安全計(jì)劃工作的有效性。組織監(jiān)控的典型(CS)2KPI組織不跟蹤KPI實(shí)施了組織的安全要求和原則并持續(xù)遵循的場站和系統(tǒng)的數(shù)量效率提升或改進(jìn)所帶來的安全活動(dòng)成本從非核心網(wǎng)絡(luò)區(qū)域流入關(guān)鍵控制網(wǎng)絡(luò)的信息流數(shù)量安全事件造成的運(yùn)營中斷（停機(jī)時(shí)間）數(shù)量缺少補(bǔ)丁的系統(tǒng)數(shù)量未盤點(diǎn)設(shè)備的數(shù)量受感染（惡意軟件）系統(tǒng)的數(shù)量安全事件的數(shù)量應(yīng)用程序和配置過期的系統(tǒng)數(shù)量解決安全事件的時(shí)間共享帳戶使用數(shù)量點(diǎn)擊不良鏈接的人數(shù)安全事件的財(cái)務(wù)成本到達(dá)終端用戶的惡意代碼和/或垃圾郵件的百分比安全事件誤報(bào)次數(shù)重復(fù)點(diǎn)擊惡意鏈接的人數(shù)(CS)2AI-KPMG控制系統(tǒng)網(wǎng)絡(luò)安全年度報(bào)告202420%

30%

40%低成熟度 高成熟度1119%34%34%9%44%53%28%53%25%25%25% 31%9%28%10%36%27%26%NISTNERC

CIPTop20CriticalSecurity

ControlsANSSI

ICSISOCOBITISA/IEC

62443CybersecurityCapabilityMaturityModel

(C2M2)Industry

RegulationsEnd

UsersVendorsFrameworks

used

by

control

system

security

teams使——用終的端安用全戶成熟vs度供框應(yīng)架商比較不同群體的觀點(diǎn)有其不利之處，但我們認(rèn)為，將這兩個(gè)群體的觀點(diǎn)并列看待是有用的，因?yàn)樗麄兌紝刂葡到y(tǒng)的安全負(fù)有責(zé)任。我們在這里看到，雖然C2M2和NIST是最突出的，但前者適用于供應(yīng)商，后者適用于終端用戶。報(bào)告的使用情況終端用戶的C2M2與去年的總體數(shù)據(jù)（2022年-C2M2

26.3%）有效匹配，但該報(bào)告沒有區(qū)分終端用戶和供應(yīng)商。在我們的最新一輪調(diào)查中，供應(yīng)商分別做出回應(yīng)，并報(bào)告使用C2M2的頻率幾乎是原來的兩倍（終端用戶C2M2

26.6%vs供應(yīng)商C2M2

53.1%）。NIST的使用率似乎變化不大，去年所有參與者的反饋結(jié)果為45.7%（2022年)，本次調(diào)研兩個(gè)群體的平均值也基本落在這個(gè)范圍內(nèi)?？刂葡到y(tǒng)安全團(tuán)隊(duì)使用的框架美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）NERC

CIPTop20關(guān)鍵安全控制ANSSI

ICS國際標(biāo)準(zhǔn)化組織（ISO）COBITISA/IEC

62443標(biāo)準(zhǔn)網(wǎng)絡(luò)安全能力成熟度模型（C2M2）行業(yè)法規(guī)0%10%20%30%40%50%60%終端用戶供應(yīng)商12(CS)2AI-KPMG控制系統(tǒng)網(wǎng)絡(luò)安全年度報(bào)告2024Current

state

of

organizational

plans22%23%28%28%35%24%24%25%27%20%22%22%20%37%29%28%29%20%34%33%26%13%20%15%22%16%17%11%40%35%30%25%20%15%10%5%0%lannedDocumentedImplementedTested組——織計(jì)終劃端用戶我們團(tuán)隊(duì)認(rèn)為，每個(gè)有控制系統(tǒng)安全(CS)2責(zé)任的組織都應(yīng)全面管理其風(fēng)險(xiǎn)，制定文檔化的實(shí)施和測試計(jì)劃及程序，以減少事故發(fā)生，并最大限度降低對公司、員工和客戶的影響。隨著全面實(shí)施計(jì)劃和測試成為黃金標(biāo)準(zhǔn)，大量受訪公司僅擁有文檔化的計(jì)劃和記錄，但在程序上并未做好這些計(jì)劃所針對的事件發(fā)生后的應(yīng)對準(zhǔn)備。組織計(jì)劃的當(dāng)前狀態(tài)控制系統(tǒng)風(fēng)險(xiǎn)管理計(jì)劃控制系統(tǒng)網(wǎng)絡(luò)安全事件響應(yīng)計(jì)劃控制系統(tǒng)網(wǎng)絡(luò)安全業(yè)務(wù)連續(xù)性計(jì)劃控制系統(tǒng)網(wǎng)絡(luò)安全控制系統(tǒng)網(wǎng)絡(luò)安全控制系統(tǒng)網(wǎng)絡(luò)安全訪問管理計(jì)劃供應(yīng)鏈風(fēng)險(xiǎn)管理計(jì)劃P計(jì)劃記錄在案災(zāi)難恢復(fù)計(jì)劃已實(shí)施漏洞管理計(jì)劃已測試13(CS)2AI-KPMG控制系統(tǒng)網(wǎng)絡(luò)安全年度報(bào)告20241456%43%38%42%36%36%40%36%Internal

IT

security

resourcesInternal

OT

security

resourcesInternal

Hybrid

IT/OT

team(s)Internal

Engineering

team(s)Internal

security

teams

under

CISO/CSO/CTOSecurity

teams

under

CISO/CSO/CTO

with

both

internal

and

externalresourcesContracted

resources

(consultants)Outsourced

resources

(service

company)0%10%20%30%40%50%60%Sourcesofcontrolsystemsecurityservicesusedby

organizationsSecurityteamsunderCISO/CSO/CTOwithbothinternal

andexternalresources(CS)2服務(wù)——

終端用戶組織應(yīng)該到哪里去尋求保護(hù)其控制系統(tǒng)安全(CS)2資產(chǎn)、人員和運(yùn)營所需的幫助？根據(jù)我們的受訪者反饋，他們會從各個(gè)渠道

獲取幫助。

內(nèi)部IT

安全資源

（56.2%）作為多數(shù)反饋表明，大多數(shù)組織的OT網(wǎng)絡(luò)安全由IT部門推動(dòng)，

并且可能IT安全方法和技術(shù)正在這些環(huán)境中應(yīng)用。許多首席信息安全官（CISO）對運(yùn)營技術(shù)（OT）安全項(xiàng)目感到畏懼，因?yàn)閷S網(wǎng)絡(luò)安全的‘治愈’比‘疾病’本身還要糟糕。我曾經(jīng)是CISO，所以我理解這種情況。OT需要生產(chǎn)優(yōu)先，而IT則優(yōu)先考慮安全性而不是停機(jī)時(shí)間。我們在與惡意行為者的斗爭中節(jié)節(jié)敗退，很大程度上是因?yàn)闊o所作為。使用傳統(tǒng)的IT工具來保護(hù)運(yùn)營技術(shù)（OT）十分昂貴，不僅因?yàn)樽稍儭⒁?guī)劃和設(shè)備的成本，更重要的是因?yàn)榇罅康耐C(jī)時(shí)間。運(yùn)營者必須做出痛苦的決定，重新配置他們的網(wǎng)絡(luò)，替換仍在使用但已過壽命的資產(chǎn)，并部署安全團(tuán)隊(duì)——所有這些都需要關(guān)閉他們的工廠數(shù)天甚至數(shù)周。我們正在迫使他們做出不推進(jìn)其運(yùn)營產(chǎn)線和設(shè)施網(wǎng)絡(luò)安全的艱難決定。在許多情況下，停機(jī)損失比整個(gè)安全項(xiàng)目本身成本還要昂貴。讓我們合作，使得保護(hù)和維護(hù)我們的工廠和設(shè)施的時(shí)間成本更低，更加經(jīng)濟(jì)，最重要的是，減少甚至消除停機(jī)時(shí)間。

通過合作，我們可以消除傳統(tǒng)IT的障礙，共同保障全球的基礎(chǔ)設(shè)施安全。Brian

Brammeier各組織使用的控制系統(tǒng)安全服務(wù)的來源內(nèi)部IT安全資源內(nèi)部OT安全資源內(nèi)部融合的IT/OT團(tuán)隊(duì)內(nèi)部工程師團(tuán)隊(duì)CISO/CSO/CTO領(lǐng)導(dǎo)的內(nèi)部安全團(tuán)隊(duì)合同資源（顧問）外包資源（服務(wù)公司）CISO/CSO/CTO領(lǐng)導(dǎo)下的安全團(tuán)隊(duì)，包括內(nèi)外部資源Opscura首席執(zhí)行官(CS)2AI-KPMG控制系統(tǒng)網(wǎng)絡(luò)安全年度報(bào)告20241565%58%58%52%34%29%(CS)2技術(shù)——

終端用戶并不是所有技術(shù)都適合所有環(huán)境的需求和要求。盡管如此，我們認(rèn)為那些擁有和/或運(yùn)營工業(yè)控制系統(tǒng)(ICS)/運(yùn)營技術(shù)(OT)資產(chǎn)的組織表示他們擁有被動(dòng)網(wǎng)絡(luò)異常檢測（58%入侵檢測系統(tǒng)（IDS））的情況下，通過實(shí)施主動(dòng)入侵防御系統(tǒng)（IPS）將會大有裨益。NextGen防火墻同樣具有廣泛的適用性，應(yīng)該保護(hù)更多ICS環(huán)境免受來自企業(yè)或其他外部網(wǎng)絡(luò)的威脅。單向網(wǎng)關(guān)/數(shù)據(jù)二極管由于主要在最高安全環(huán)境（如核電站）中使用而被認(rèn)為復(fù)雜且昂貴，但我們最近看到這些因素有所減弱，預(yù)計(jì)未來會有更多部署。組織用于保護(hù)控制系統(tǒng)資產(chǎn)免受網(wǎng)絡(luò)威脅的安全技術(shù)防火墻NextGen防火墻

被動(dòng)網(wǎng)絡(luò)異常檢測

主動(dòng)入侵防護(hù)系統(tǒng)（IDS） （IPS）沙箱單向網(wǎng)關(guān)/數(shù)據(jù)二極管(CS)2AI-KPMG控制系統(tǒng)網(wǎng)絡(luò)安全年度報(bào)告2024減少(CS)2攻擊面的障礙13%28%25%22%47%16%28%16%22%26%15%13%32%26%24%38%25%16%16%19%51%53%22%24%Insecure

ICS/OT

protocolsInsufficient

control

system

cyber

security

expertise

Insufficient

cyber

threat

intelligence

Insufficient

financial

resources

Insufficient

leadership

support

Insufficient

personnel

Insufficient

technologies/tools

Operational

requirements

(e.g.

mandatory

uptime)

Organizational

complexity/constraints

Overly

complex

control

system

networkRegulatory

compliance

requirements

preventing

application

of

innovation/new

technologysolutionsTechnology

(e.g.

PLC

designs)

that

cannot

support

encryption0%10%40%50%60%What

are

the

greatest

obstacles

toreducing

the

(CS)2

attack

surface?(CS)2障礙——

高成熟度vs低成熟度我們每年都會比較不同群體之間的情況和觀點(diǎn)，在這里，我們通過受訪組織的控制系統(tǒng)網(wǎng)絡(luò)安全項(xiàng)目的相對成熟度（高成熟度

vs

低成熟度）來分析他們認(rèn)為的最大障礙，以確定哪些方法有效，哪些無效，以及隨著組織在提高安全性方面的進(jìn)展，情況會如何變化。如右圖，我們看到一些障礙被廣泛認(rèn)同，例如：控制系統(tǒng)網(wǎng)絡(luò)安全專業(yè)知識不足（低成熟度51.5%，高成熟度

53.1%）和不安全的ICS/運(yùn)營技術(shù)（OT）協(xié)議

（

低成

熟度

23.5%

vs

高成熟

度21.9%），而其他障礙則存在較大差異，例如：無法支持加密的技術(shù)（

低成熟度26.5%

vs

高成熟度12.5%）和領(lǐng)導(dǎo)支持不足（低成熟度25.0%

vs

高成熟度15.6%）。這些表明，更成熟的項(xiàng)目已經(jīng)克服了一些較不成熟的項(xiàng)目仍在努力應(yīng)對的障礙。減少(CS)2攻擊面的最大障礙是什么？不安全的ICS/OT協(xié)議控制系統(tǒng)網(wǎng)絡(luò)安全專業(yè)知識不足網(wǎng)絡(luò)威脅情報(bào)不足財(cái)政資源不足領(lǐng)導(dǎo)支持不足人員不足技術(shù)/工具不足運(yùn)營要求

（如強(qiáng)制性正常運(yùn)行時(shí)間）組織復(fù)雜性/制約因素控制系統(tǒng)網(wǎng)絡(luò)過于復(fù)雜法規(guī)遵從性要求阻止創(chuàng)新/新技術(shù)解決方案的應(yīng)用無法支持加密的技術(shù)（例如PLC設(shè)計(jì)）(CS)2AI-KPMG控制系統(tǒng)網(wǎng)絡(luò)安全年度報(bào)告202420% 30%低成熟度 高成熟度1729%21%29%50%11%39%11%24%13%39%13%2267%%39%9%27%3%58%26%12%17%15%33%37%23%25%40%21%23%12% 21%16%37%3301%%(CS)2障礙——組織層面4任何一個(gè)人都不太可能全面了解和掌握現(xiàn)代控制系統(tǒng)環(huán)境的所有細(xì)節(jié)，個(gè)人觀點(diǎn)的差異不可避免地會導(dǎo)致對需要完成的工作的看法不同。在這里，我們看到高管一致認(rèn)為運(yùn)營要求（

50.0%

）

、

人員不足（39.5%）和控制系統(tǒng)安全專業(yè)知識不足（39.5%）是最大的障礙，這與運(yùn)營者部分一致（該群體認(rèn)為最大的障礙是人員不足39.5%

和控制系統(tǒng)安全專業(yè)知識不足37.0%），但運(yùn)營者（Ops）認(rèn)為運(yùn)營要求不是主要障礙（在操作人員列表中排第六，23.5%）。管理層經(jīng)常與一方或雙方意見不一致，這突顯了當(dāng)我們支持他們解決問題時(shí)，了解終端用戶在其組織中的角色的重要性。4.

在我們的調(diào)查中，回答每個(gè)問題的參與者人數(shù)各不相同。有時(shí)，這會導(dǎo)致參與者的特定子集不足以進(jìn)行有效的統(tǒng)計(jì)分析。在根據(jù)其組織不同級別的參與對我們的數(shù)據(jù)進(jìn)行細(xì)分的情況下，我們收到的領(lǐng)導(dǎo)層受訪者太少，無法將他們包括在一些圖表中。減少(CS)2攻擊面的最大障礙是什么？不安全的ICS/OT協(xié)議控制系統(tǒng)網(wǎng)絡(luò)安全專業(yè)知識不足網(wǎng)絡(luò)威脅情報(bào)不足財(cái)政資源不足領(lǐng)導(dǎo)支持不足人員不足技術(shù)/工具不足運(yùn)營要求（如強(qiáng)制性正常運(yùn)行時(shí)間）組織復(fù)雜性/制約因素控制系統(tǒng)網(wǎng)絡(luò)過于復(fù)雜法規(guī)遵從性要求阻止創(chuàng)新/新技術(shù)解決方案的應(yīng)用無法支持加密的技術(shù)（例如PLC設(shè)計(jì)）(CS)2AI-KPMG控制系統(tǒng)網(wǎng)絡(luò)安全年度報(bào)告20240%

10%

20%

30%

40%

50%

60%

70%運(yùn)營者 管理者 高管1814%54%35%41%24%38%34%

38%37%43%14%20%35%38%17%19%21%16%19%16%242%6%262%7%0.0%10.0%40.0%50.0%60.0%End

UsersVendors(CS)2障礙——終端用戶vs供應(yīng)商我們的團(tuán)隊(duì)發(fā)現(xiàn)，終端用戶和供應(yīng)商受訪者在觀點(diǎn)上的許多差異都很有趣。這些是否源于其控制系統(tǒng)的所有權(quán)/

操作與OT（運(yùn)營技術(shù)）資產(chǎn)的生產(chǎn)/監(jiān)控、可供其使用的不同資源、不同的財(cái)政責(zé)任或某些因素的組合？值得注意的是，供應(yīng)商將法規(guī)遵從性要求、過于復(fù)雜的控制系統(tǒng)網(wǎng)絡(luò)和網(wǎng)絡(luò)威脅情報(bào)不足確定為最大障礙，其比例是終端用戶的兩到三倍。終端用戶反饋中唯一與之比例相似的是他們對人員不足的看法（終端用戶36.8%，供應(yīng)商13.5%）。我們建議供應(yīng)商注意終端用戶客戶確定的最大障礙，以便最好地幫助他們克服這些障礙。減少(CS)2攻擊面的最大障礙是什么？不安全的ICS/OT協(xié)議無法支持加密的技術(shù)（例如PLC設(shè)計(jì)）法規(guī)遵從性要求阻止創(chuàng)新/新技術(shù)解決方案的應(yīng)用財(cái)政資源不足領(lǐng)導(dǎo)支持不足技術(shù)/工具不足組織復(fù)雜性/制約因素控制系統(tǒng)網(wǎng)絡(luò)過于復(fù)雜網(wǎng)絡(luò)威脅情報(bào)不足控制系統(tǒng)網(wǎng)絡(luò)安全專業(yè)知識不足人員不足運(yùn)營要求（如強(qiáng)制性正常運(yùn)行時(shí)間）20.0%終端用戶30.0%供應(yīng)商19(CS)2AI-KPMG控制系統(tǒng)網(wǎng)絡(luò)安全年度報(bào)告20242026%20%35%34%17%37%21%43%13%16%16%40%24%19%18%24%26%29%32%13%112%14%

19%39%

44%32%27%27%2233%%36%32%

37%

41%27%34%35%18%16%27%18%61%8%9%59%23%Regulatory

compliance

requirements

preventing

application

of

innovation/newtechnology

solutionsInsufficient

control

system

cyber

security

expertiseInsecure

ICS/OT

protocolsInsufficientcontrolsystemcybersecurity

expertiseInsufficient

cyber

threat

intelligence

Insufficient

financial

resources

Insufficient

leadership

support

Insufficient

personnelInsufficient

technologies/tools

Operational

requirements

(e.g.

mandatory

uptime)

Organizational

complexity/constraints

Overly

complex

control

system

networkappRliecgautilonatoofryicnonmovpalitaionnce/nreewqutiercehmneolnogtsyprseolveuntitoningsTechnology

(e.g.

PLC

designs)

that

cannot

support

encryption(CS)2障礙——

區(qū)域分析5

6最后，對于安全障礙的分析，我們對來自全球不同區(qū)域的受訪者之間的差異進(jìn)行了研究。由于全球控制系統(tǒng)主要建立在通用技術(shù)之上，我們預(yù)計(jì)無論地理位置如何，對這個(gè)問題的回答會有一定程度的一致性。事實(shí)上，這張圖表顯示的差異比本報(bào)告中的許多其他圖表要少。一個(gè)顯著的區(qū)別是，區(qū)域4（亞太區(qū)域）將控制系統(tǒng)網(wǎng)絡(luò)安全專業(yè)知識不足（59.1%）作為主要問題，其比例比區(qū)域2、區(qū)域1或全球高出15個(gè)百分點(diǎn)。區(qū)域2（歐洲、中部、西部和北部）和區(qū)域4（亞太區(qū)域）的受訪者也比世界其他區(qū)域更關(guān)心過于復(fù)雜的控制系統(tǒng)網(wǎng)絡(luò)（

區(qū)域2

29.0%

，

區(qū)域4

36.4%

，

全球20.1%）。5.

正如我們對參與者組織層面的反應(yīng)進(jìn)行的分析一樣，一些地區(qū)缺乏足夠的代表樣例來進(jìn)行有效的分析。下表僅顯示了有足夠參與的區(qū)域，以及全球（所有答復(fù)者）以供比較。6.

(CS)2AI將組織劃分成七個(gè)區(qū)域

。1）

北美；2）

歐洲（中部、西部、北部和南部）；3）

歐亞大陸；4）

印度太平洋；5）

中東-北非；6）

南部非洲；7）

拉丁美洲-加勒比減少(CS)2攻擊面的最大障礙是什么？無法支持加密的技術(shù)（例如PLC設(shè)計(jì)）不安全的ICS/OT協(xié)議控制系統(tǒng)網(wǎng)絡(luò)安全專業(yè)知識不足網(wǎng)絡(luò)威脅情報(bào)不足財(cái)政資源不足領(lǐng)導(dǎo)支持不足人員不足技術(shù)/工具不足運(yùn)營要求（如強(qiáng)制性正常運(yùn)行時(shí)間）組織復(fù)雜性/制約因素控制系統(tǒng)網(wǎng)絡(luò)過于復(fù)雜法規(guī)遵從性要求阻止創(chuàng)新/新技術(shù)解決方案的應(yīng)用(CS)2AI-KPMG控制系統(tǒng)網(wǎng)絡(luò)安全年度報(bào)告2024區(qū)域20% 10% 20% 30% 40% 50% 60% 70%區(qū)域4 區(qū)域1 全球(CS)2支出和預(yù)算22%25%64%17%43%25%10%47%75%60%11%15%44%21%40% 50%

57%24%353%8%13%24%41%52%26%Improving

communications/collaboration

with

IT/corporateteamsNetwork

segmentation/micro-segmentationSecure

remote

access

to

control

system

networksControl

system

cyber

security

monitoringIncreased

control

system

cyber

security

staffingontrol

system

cyber

security

technology

solutions(hardware,

software)Patch

and

Vulnerability

management0%60%80%OperationsManagementExecutivesTopROIareafor

(CS)2investmentsBackupsPatchandVulnerability

managementCControlsystemcybersecuritytechnology

solutions(hardware,

software)Security

Awareness

TrainingIncreasedcontrolsystemcybersecurity

staffingTraining

for

security

defendersControlsystemcybersecurity

monitoringSecureremoteaccesstocontrolsystem

networksNetworksegmentation/micro-segmentationImprovingcommunications/collaborationwith

IT/corporate

teams——組織級別(CS)2高投資回7報(bào)率領(lǐng)域(CS)2

AI

“團(tuán)隊(duì)和我們的許多演講者都熟悉如何獲得高管對安全需求支持的問題，尤其是需要進(jìn)行影響分析的細(xì)分項(xiàng)目；在某些情況下，甚至還需要進(jìn)行大量的網(wǎng)絡(luò)架構(gòu)重建工作，當(dāng)然我們很高興地看到，大多數(shù)參與的高管（57.1%）認(rèn)識到在他們的組織中實(shí)施網(wǎng)絡(luò)架構(gòu)重建的高投資回報(bào)率，這對安全性和彈性都是至關(guān)重要的。2我們甚至看到他們對(CS)

監(jiān)控(64.3%)

的支持更加積極，多年來，專家們一直認(rèn)為可見性是任何安全改進(jìn)計(jì)劃的第一步。另一方面，受訪管理者發(fā)現(xiàn)培訓(xùn)的投資回報(bào)率最高，無論是安全意識方面(60.0%)還是安全防御方面(75%)。我們的團(tuán)隊(duì)認(rèn)為有必要提請注意以下事實(shí)：盡管有

27%

至

39%

的2參與者認(rèn)為

“人員不足”（參見圖表(CS)

障礙-組織層面）2是他們改善其(CS)

狀況的最大障礙，但沒有一位高管或管理參與者將增加控制系統(tǒng)網(wǎng)絡(luò)安全人員配備視為高投資回報(bào)率（兩組均為0%）。7.

領(lǐng)導(dǎo)層受訪者反饋太少，未納入本分析。(CS)2高投資回報(bào)率領(lǐng)域備份 0% 13%0%控制系統(tǒng)網(wǎng)絡(luò)安全技術(shù)解決方案（硬件、軟件）安全意識培訓(xùn)增加控制系統(tǒng)網(wǎng)絡(luò)安全人員配備

0%安全防御培訓(xùn)控制系統(tǒng)網(wǎng)絡(luò)安全監(jiān)控控制系統(tǒng)網(wǎng)絡(luò)的安全遠(yuǎn)程訪問網(wǎng)絡(luò)隔離/微隔離改善與IT/公司團(tuán)隊(duì)的溝通/協(xié)作補(bǔ)丁和漏洞管理運(yùn)營者20%管理者40%高管22(CS)2AI-KPMG控制系統(tǒng)網(wǎng)絡(luò)安全年度報(bào)告202475%11%55%27%50%17%50%25%

40%33%36% 53%27%36%38%39%242%7%Improvingcommunications/collaborationBackupsPatch

and

VulnerabilitymanagementControlsystemcybersecuritytechnology

solutions

(hardware,…Security

Awareness

TrainingIncreased

control

system

cybersecurity

staffingTraining

for

security

defendersControl

system

cyber

securitymonitoringSecure

remote

access

to

controlsystem

networksNetwork

segmentation/micro-segmentationImprovingcommunications/collaborationwith

IT…/corporate

teams(—C—S)2高高成投熟資度回v報(bào)s低率成領(lǐng)熟域度2的安全計(jì)劃領(lǐng)域上，他們有更多的共識。有一些明顯的異常值需要注意，特別是低成熟度的強(qiáng)調(diào)改善與IT/公司團(tuán)隊(duì)的溝通/協(xié)作（低成熟度16.7%，高成熟度0%）和而8高成熟度的更強(qiáng)調(diào)備份

（低成熟度0%，高成熟度50%）。與他們對需要克服的安全障礙的看法相比，

這說明最成熟的項(xiàng)目已經(jīng)整合了團(tuán)隊(duì)，并就在(CS)

支出中識別最高投資回報(bào)率（ROI）

實(shí)施了可靠的備份系統(tǒng)和程序。所有小組都一致認(rèn)為，網(wǎng)絡(luò)隔離/微隔離的投資回報(bào)率最高，這與多年來的研究和建議是一致的，即實(shí)施網(wǎng)絡(luò)隔離/微隔離既能提高整體安全性，又能減少網(wǎng)絡(luò)事件的影響。8.

可能表明，在最近勒索軟件攻擊上升期間，更成熟的程序經(jīng)歷了這種情況。50%的受訪者認(rèn)為網(wǎng)絡(luò)隔離是網(wǎng)絡(luò)安全計(jì)劃投資回報(bào)率的首要領(lǐng)域。網(wǎng)絡(luò)工程的最新想法是，在重要邊界部署任何一種工程級網(wǎng)絡(luò)隔離方法都是最有收益的。重要邊界包括IT/OT接口、任何OT/互聯(lián)網(wǎng)接口以及網(wǎng)絡(luò)之間的任何其他連接，這些邊界的漏洞導(dǎo)致的最差情況后果差異巨大。攻擊樹分析結(jié)果表明，在這樣的邊界上進(jìn)行工程級隔離可以將關(guān)鍵網(wǎng)絡(luò)的攻擊面減少3個(gè)數(shù)量級。Andrew

GinterWaterfall

Security

Solutions工業(yè)安全副總裁(CS)2高投資回報(bào)率領(lǐng)域（高成熟度與低成熟度）

備份 0%控制系統(tǒng)網(wǎng)絡(luò)安全技術(shù)解決方案改善與IT/公司團(tuán)隊(duì)的溝通/協(xié)作

0%修補(bǔ)程序和漏洞管理（硬件，軟件）安全意識培訓(xùn)增加控制系統(tǒng)網(wǎng)絡(luò)安全人員配置安全防御培訓(xùn)控制系統(tǒng)網(wǎng)絡(luò)安全監(jiān)測控制系統(tǒng)網(wǎng)絡(luò)的安全遠(yuǎn)程訪問網(wǎng)絡(luò)隔離/微隔離(CS)2AI-KPMG控制系統(tǒng)網(wǎng)絡(luò)安全年度報(bào)告20240%

20%

40%

60%

80%低成熟度 高成熟度2316%14%5%16%41%23%65%19%14%8%15%38%20%30%40%50%70%ExecutiveManagementOperations支——出組優(yōu)織先層級面今年的一個(gè)新情況是，我們的團(tuán)隊(duì)發(fā)現(xiàn)參 60%與者的回答很有趣，

除了一些普遍共識（例如各級將保護(hù)連續(xù)運(yùn)營確定為他們支出額外資金的首要目標(biāo)）之外，差異確實(shí)很突出。請注意，管理層的參與者對保護(hù)公共安全和保護(hù)工人安全的重視程度很低（兩者均為3.2%），對保護(hù)產(chǎn)品質(zhì)量的重視程度也很低。鑒于這些差異，鼓勵(lì)組織就調(diào)整業(yè)務(wù)優(yōu)先級進(jìn)行討論。您會將額外的可自由支配資金用于您的組織嗎？10%3%0% 保護(hù)工人安全6% 4%保護(hù)商業(yè)秘密8%3%保護(hù)公共安全0%保護(hù)產(chǎn)品質(zhì)量保護(hù)設(shè)備編程和配置保護(hù)連續(xù)運(yùn)營高管管理者運(yùn)營者24(CS)2AI-KPMG控制系統(tǒng)網(wǎng)絡(luò)安全年度報(bào)告2024供——應(yīng)供商應(yīng)對商客戶預(yù)算的指導(dǎo)25許多資產(chǎn)所有者或運(yùn)營商依賴其信任的供應(yīng)商提供的安全事務(wù)專家建議，因此我們今年研究了供應(yīng)商關(guān)于資源分配的建議。將此圖表與上一圖表進(jìn)行比較，我們發(fā)現(xiàn)最重要的仍然是保護(hù)連續(xù)運(yùn)營。您會建議您的大多數(shù)客戶在未來一年將更多的資源投入到哪里？25%保護(hù)設(shè)備編程和配置14%保護(hù)產(chǎn)品質(zhì)量9%保護(hù)公共安全8%保護(hù)工人安全33%保護(hù)連續(xù)運(yùn)營7%保護(hù)商業(yè)秘密(CS)2AI-KPMG控制系統(tǒng)網(wǎng)絡(luò)安全年度報(bào)告202440%31%35%29%34%35%50%20%40%36%

37%36%

34%29%29%

28%33%37%0%10%20%30%40%50%60%(CS)2高支出——高成熟度vs低成熟度vs全部為了便于比較，我們在這些表格中包含了所有參與者的回復(fù)。這使我們能夠表明，高成熟度組在安全意識培訓(xùn)上的支出顯著增加（高成熟度50.0%，低成熟度28.6%，全部35.0%），以及他們中很少有人專注于控制系統(tǒng)網(wǎng)絡(luò)安全咨詢服務(wù)（

高成熟度20.0%，低成熟度33.3%，全部33.8%）。(CS)2高支出區(qū)域（高成熟度vs低成熟度vs全部）內(nèi)部SOC運(yùn)營和服務(wù)，及虛擬/云SOC運(yùn)營和服務(wù)控制系統(tǒng)網(wǎng)絡(luò)安全人員配備安全意識培訓(xùn)補(bǔ)丁和漏洞管理控制系統(tǒng)網(wǎng)絡(luò)安全咨詢服務(wù)控制系統(tǒng)網(wǎng)絡(luò)安全技術(shù)解決方案(CS)2AI-KPMG控制系統(tǒng)網(wǎng)絡(luò)安全年度報(bào)告2024全部 高成熟度 低成熟度2613%16%13%15%9%15%19%20%

20%16%9%15%

15%16%17%16%

17%17%0%5%10%15%20%25%-

Most-

2nd

Most3

-

3rd

Most(CS)2高支出——終端用戶除了高成熟度和低成熟度集團(tuán)的最高支出之外，我們還要求終端用戶識別其組織投2入資源的前三領(lǐng)域，以進(jìn)一步了解(CS)

預(yù)算優(yōu)先事項(xiàng)。安全技術(shù)和安全咨詢服務(wù)在預(yù)算中占有最大份額（分別為56.3%和50.6%）。我們的團(tuán)隊(duì)認(rèn)為值得調(diào)查的是，對控制系統(tǒng)網(wǎng)絡(luò)安全人員相對較低的投資是否是導(dǎo)致該領(lǐng)域員工持續(xù)供不應(yīng)求的一個(gè)因素。組織在控制系統(tǒng)網(wǎng)絡(luò)安全方面投入資源最多的前三個(gè)領(lǐng)域安全意識培訓(xùn)內(nèi)部SOC運(yùn)營和服務(wù)，及虛擬/云SOC運(yùn)營和服務(wù)控制系統(tǒng)網(wǎng)絡(luò)安全人員配備補(bǔ)丁和漏洞管理控制系統(tǒng)網(wǎng)絡(luò)安全咨詢服務(wù)控制系統(tǒng)網(wǎng)絡(luò)安全技術(shù)解決方案1-最多2-第2位最多3至327(CS)2AI-KPMG控制系統(tǒng)網(wǎng)絡(luò)安全年度報(bào)告202413%13%11%8%21%13%13%1%3%1%23%6%12%21%7%9%3%20%11%

14%12%19%10%10%13%1%2%0%5%25%Organizational

policy

prevents

me

from

answering

thisquestion10%202015%

20%2022 2023組織的控制系統(tǒng)安全預(yù)算近幾年同比估算Decrease

of

more

than

50%Decrease

of

more

than

30%

Decrease

of

more

than

10%

Decrease

of

less

than

10%

No

change

from

previous

year

Increase

of

less

than

10%

Increase

of

more

than

10%

Increase

of

more

than

30%

Increase

of

more

than

50%Organizationalpolicypreventsmefromanswering

thisquestionDon’t

know(CS)2預(yù)算變化——縱向分析絕大多數(shù)組織繼續(xù)增加其(CS)2

的預(yù)算（53%），這一響應(yīng)率在幾年內(nèi)徘徊在接近中點(diǎn)（2022年為47%，2020年為52%）。低增長群體呈現(xiàn)出穩(wěn)步增長的模式，即2(CS)

預(yù)算增長低于30%的群體，從2020年的20%上升到今年的34%。增長率較高的群體，即增長率超過30%的群體，相應(yīng)地從2020年受訪者的31%下降到現(xiàn)在的19%。2我們的分析團(tuán)隊(duì)成員指出，(CS)

供應(yīng)商/解決方案提供商行業(yè)出現(xiàn)了某些放緩，這可能是對競爭加劇或市場需求過大的反應(yīng)。持續(xù)致力于增加同比支出表明，各組織正在更好地了解其運(yùn)營所處的威脅環(huán)境以及所面臨的一定程度的風(fēng)險(xiǎn)。最近的控制系統(tǒng)網(wǎng)絡(luò)安全事件頭條提高了人們對當(dāng)前網(wǎng)絡(luò)風(fēng)險(xiǎn)和防止類似事件發(fā)生的必要行動(dòng)的認(rèn)識。Brad

Raiford畢馬威美國物聯(lián)網(wǎng)和運(yùn)營技術(shù)網(wǎng)絡(luò)服務(wù)總監(jiān)減少10%以上 0%

2%28減少30%以上 0% 33%%減少50%以上 0%下降幅度小于10%與上一年相比沒有變化增幅小于10%增長10%以上增長30%以上增長50%以上組織策略阻止我回答此問題不知道(CS)2AI-KPMG控制系統(tǒng)網(wǎng)絡(luò)安全年度報(bào)告202419%22%22%9%3%9%3%30%21%8%6%3%12%15%0%25%30%35%(CS)2投資計(jì)劃——高成熟度vs低成熟度雖然對網(wǎng)絡(luò)隔離的價(jià)值有強(qiáng)烈認(rèn)同（請參2見(CS)

高投資回報(bào)率領(lǐng)域圖表），但我們認(rèn)為值得注意的是，很少有組織計(jì)劃將未來安全支出集中在該領(lǐng)域。可能的解釋是，高成熟度的組織可能已經(jīng)對其網(wǎng)絡(luò)進(jìn)行了顯著劃分，因此他們現(xiàn)在的支出（3%）遠(yuǎn)低于低成熟度組織（15%）。他們在資產(chǎn)盤點(diǎn)和管理與威脅檢測方面支出計(jì)劃差異的背后可能也有類似的因素。未來一年(CS)2

的高投資領(lǐng)域資產(chǎn)盤點(diǎn)和管理漏洞管理威脅檢測供應(yīng)鏈安全合規(guī)性報(bào)告安全遠(yuǎn)程訪問網(wǎng)絡(luò)細(xì)分(CS)2AI-KPMG控制系統(tǒng)網(wǎng)絡(luò)安全年度報(bào)告20245%10%15%20%低成熟度高成熟度2924%18%13%7%13%13%28%22%9%7%3%3