工业控制系统安全防护面临的几大挑战均涉及将老旧运营技术与现代IT系统相集成。

受运营技术（OT）与物联网安全提供商Nozomi Networks赞助，网络安全机构SANS研究所进行的一项研究揭示，今年全球受访公司遭遇的所有OT与工业控制系统（ICS）安全事件中，有35%是以工程工作站入侵作为初始攻击途径的。

尽管在过去12个月里经历过OT/ICS安全事件的受访者人数占比下降到了10.5%（2021年为15%），但有三分之一的受访者表示自己不清楚公司的系统有没有遭遇入侵。

2022年SANS ICS/OT调研收到了332份回复，受访公司所属领域横跨能源、化工、关键制造、核、用水管理等行业。

控制系统安全面临的挑战

调查发现，保护ICS/OT技术与过程所面临的一些重大挑战包括：将老旧OT与现代IT系统相集成；传统IT安全技术不适用于控制系统且会造成OT中断；IT员工不了解OT运营需求；没有足够的人手来实施现有的安全计划。

受访者认为，商务服务、医疗与公共健康，以及商业设施这三个行业，今年最有可能被攻击者成功入侵ICS，影响运营安全与可靠性。 

被问及哪些ICS组件若遭入侵会造成最大影响时，大多数受访者（51%）提到了工程工作站、仪器笔记本和矫正及测试设备。多数受访者（51%）还表示，工程工作站、笔记本和测试设备是遭入侵风险最大的几类系统组件。

研究指出，工程工作站包括用于设施中设备维护的移动笔记本电脑，其上装有控制系统软件，可以编程或修改逻辑控制器和其他现场设备设置或配置。不同于传统IT，ICS/OT系统监测并管理的数据能够通过物理输入和受控物理操作引发现实世界的实时变化。

IT系统是OT/ICS主要攻击途径

尽管过去一年中工程工作站攻击数量翻了一倍，但此类攻击仅在OT/ICS初始攻击途径排行榜上列第三位。OT/ICS的主要攻击途径涉及IT，41%的受访公司称IT安全事件是其OT/ICS系统最终遭入侵的罪魁祸首。

第二大攻击途径是可移动媒体，比如USB和移动硬盘。为防御此类威胁，83%的受访公司设置了正式策略来管理临时设备，76%的受访公司采用威胁检测技术管理这些设备。此外，70%的受访公司使用商业威胁检测工具，49%使用自己开发的解决方案，23%部署专用威胁检测来管理这一风险。 

报告中写道：“尽管工程系统未配备传统反恶意软件代理，但可通过基于网络的ICS感知检测系统和基于工业的网络架构实践对其加以保护。此外，作为现场设备持续工程维护的一部分，日志捕获或日志转发，以及定期的控制器配置验证，都是开始保护此类资产的可行方法。”

报告揭示，ICS安全正迈向成熟。“一年来，ICS威胁情报市场取得了长足进步。越来越多的设施开始使用供应商提供的威胁情报，从而采取更即时、更可行的防御措施。不同于2021年的大多数受访公司，2022年的受访公司不再仅仅依赖公开可用的威胁情报。”Dean Parsons在报告中写道，“这标志着ICS供应商特定威胁情报愈趋成熟，其价值越来越为人所知，也标志着将会分配预算改善该领域的主动防御。”

工业系统有了自己的安全预算

报告称，越来越多的公司会分配ICS特定的安全预算，2022年仅有8%的设施缺乏此类预算。27%的公司这方面预算在100000美元到499999美元之间，25%的公司预算分配范围在500000美元到999999美元之间。 

未来18个月，公司会将这些预算分配给各个计划；增加对网络资产及其配置的可见性（42%），实现基于网络的异常与入侵检测工具（34%）。此外，还有一个重点是控制系统网络上基于网络的入侵预防工具（26%）。 

近80%的受访公司表示目前设置有重在ICS运营的职位，而2021年设置有此类特定职位的公司仅约50%。然而，受访公司表示，尽管各个领域在安全事件中有不同的任务、所需技能和影响，其职责却仍然趋同。

近60%的受访公司使用被动监测，主要采用网络嗅探器来检测硬件和软件漏洞。第二常用的方法是持续主动漏洞扫描。 

第三常用的方法则是对照已知良好逻辑版本比较配置和控制逻辑程序。 

参考阅读
[调研]OT充满安全漏洞
[调研]人人都面临ICS攻击风险
[调研]ICS和OT网络安全事件致一些美国企业损失上亿美元
“从全球化到本地化，从IT到OT”——Fortinet OT Summit圆桌论坛观点实录