網(wǎng)絡安全行業(yè)市場前景及投資研究報告：（CS）2AI-KPMG控制系統(tǒng)網(wǎng)絡

目錄主席致辭04(CS)

高支出——高成熟度vs低成熟度vs全部262年度報告冠名贊助商前言05(CS)

高支出——終端用戶272執(zhí)行摘要0608091011(CS)

預算變化——縱向分析2822(CS)

項目2(CS)

投資計劃——高成熟度vs低成熟度29(CS)

項目成熟度——縱向分析2(CS)

投資計劃——地區(qū)3022客戶(CS)

項目成熟度——地區(qū)2(CS)

預算情況——高成熟度vs低成熟度313233(CS)

關鍵績效指標（KPI）——高成熟度vs低成熟度2(CS)

評估2使用的安全成熟度框架——終端用戶vs供應商12131415(CS)

評估頻率——高成熟度vs低成熟度22組織計劃——終端用戶(CS)

服務——終端用戶(CS)

評估頻率——終端用戶vs供應商3422(CS)

評估內(nèi)容——高成熟度vs低成熟度352(CS)

技術——終端用戶(CS)

評估內(nèi)容——終端用戶vs供應商3637382減少(CS)

攻擊面的障礙162(CS)

評估響應——高成熟度vs低成熟度2(CS)

障礙——高成熟度vs低成熟度17222獲取前的(CS)

風險評估——高成熟度vs低成熟度2(CS)

障礙——組織層面18安全培訓39(CS)

障礙——終端用戶vs供應商19(CS)

意識培訓整合——終端用戶40(CS)

障礙——區(qū)域分析2022(CS)

意識訓練整合——高成熟度vs低成熟度41(CS)

支出和預算2122(CS)

培訓內(nèi)容——高成熟度vs低成熟度42(CS)

高投資回報率領域——組織級別22222(CS)

網(wǎng)絡43(CS)

高投資回報率領域——高成熟度vs低成熟度232支出優(yōu)先級——組織層面24控制系統(tǒng)組件的可訪問性44供應商對客戶預算的指導——供應商25(CS)

管理服務現(xiàn)狀——高成熟度vs低成熟度4722目錄(CS)

管理服務的使用——縱向分析484950附錄A：受訪者組成612222(CS)

技術現(xiàn)狀——高成熟度vs低成熟度受訪者職位——終端用戶和供應商62(CS)

網(wǎng)絡監(jiān)控——縱向分析受訪者區(qū)域分布63(CS)

可見性——終端用戶51受訪者年齡分布64(CS)

事件52535455565758按受訪者組織級別的年齡分布受訪者教育水平65666667686868692(CS)

攻擊響應——終端用戶22(CS)

事件近況——縱向分析受訪者所在公司類別客戶(CS)

事件攻擊媒介——區(qū)域受訪者所在行業(yè)（僅限終端用戶）受訪者組織規(guī)模2(CS)

事件影響——縱向分析2近期(CS)

攻擊媒介——縱向分析受訪者決策角色2(CS)

威脅行為者——縱向分析受訪者決策角色——僅限終端用戶2供應商指引59受訪者的職務和組織級別附錄B：年度報告指導委員會及撰稿人附錄C：關于(CS)

AI客戶KPI關注指引——供應商607173742附錄D：報告發(fā)起人3執(zhí)行摘要本報告是一系列年度出版物中的最新一份，這些出版物來自國際控制系統(tǒng)網(wǎng)絡安全協(xié)會（又稱(CS)

AI），其擁有近3,4000名成2員的社區(qū)和數(shù)十個戰(zhàn)略聯(lián)盟伙伴的研究。在(CS)

AI創(chuàng)始人兼董事長Derek

Harp和聯(lián)2合創(chuàng)始人兼總裁Bengt

Gregory-Brown領導的數(shù)十年網(wǎng)絡安全調(diào)查開發(fā)、研究和分主要調(diào)查結果析的基礎上，(CS)

AI團隊邀請我們的全球2成員和我們擴展社區(qū)中的數(shù)千名其他人參?幾乎一半的響應組織（49%）仍然加。沒有ICS/OT網(wǎng)絡安全計劃，或者只有基本的網(wǎng)絡安全計劃，缺乏既通過詢問關鍵問題，了解他們在運營、保定的計劃、程序或能力改進過程。護和維護運營技術（OT）系統(tǒng)和資產(chǎn)的第一線的經(jīng)驗，這些系統(tǒng)和資產(chǎn)耗資數(shù)百萬?不同組織級別的受訪者在分配額外至數(shù)十億美元的資本支出，對持續(xù)收入產(chǎn)酌處權資金方面的優(yōu)先事項大相徑生同等或更多的影響，并影響全世界個人庭，這就提出了他們的動機是否一的日常生活和企業(yè)的業(yè)務運營。其中超過致以及他們的目標為何不同的問題。630人對我們的初步調(diào)查做出了回應，更多人參與了我們通過正在進行的(CS)

教育??對控制系統(tǒng)網(wǎng)絡活動的全面監(jiān)控正2在增加，在過去一年中增加了80%。計劃開展的額外數(shù)據(jù)收集工作。我們評估了來自企業(yè)網(wǎng)絡、互聯(lián)網(wǎng)、該數(shù)據(jù)池以匿名方式提交，以確保排除可云以及集成商/供應商的許多控制能影響參與者反應的考慮因素，從而深入系

統(tǒng)

組

件

（

PLC

、

IED

、

RTU

、了解負責控制系統(tǒng)運營和資產(chǎn)的個人和組HMI、服務器、工作站和Historian）織的真實經(jīng)驗，超出本報告的預設范圍。的可訪問性。在這一領域，擁有高我們希望我們選擇的細節(jié)能為讀者提供所成熟度項目的組織和擁有低成熟度需的決策支持工具。項目的組織之間通常沒有什么區(qū)別。事實上，高成熟度組織中的組件通常比低成熟度組織中的組件更容易訪問。?有關高成熟度和低成熟度的定義，6請參見第8頁。調(diào)查目標與方法(CS)

AI-KPMG控制系統(tǒng)網(wǎng)絡安全年度報告(CS)

AI邀請其相關成員、已知的OT安全捍22系列于2019年推出，旨在為世界各地參與衛(wèi)者和研究人員參與，通過直接邀請和各控制系統(tǒng)資產(chǎn)和運營安全工作的各方（無運營團隊）提供信息豐富的決策工具。種廣播媒體渠道分發(fā)調(diào)查，并在為CS網(wǎng)絡論是終端用戶還是供應商、高管、經(jīng)理還安全工作人員服務的網(wǎng)站上進行推廣，目是的是收集盡可能廣泛的樣本。受訪者通過確認他們目前或最近參與(CS)

領域而自我2本報告由以下實體共同完成：選擇。他們包括所有組織層面的專業(yè)人員：(CS)AI：作為項目發(fā)起人，(CS)

AI在網(wǎng)絡安全專家和事務專家（SME），以及22?本報告使用總體術語“控制系統(tǒng)”(CS)和“運營技術”項目規(guī)劃、領導和實施中發(fā)揮著主要其工作包括但不僅限于安全和保護控制系（OT）來指代管理、監(jiān)控和/或控制物理設備和過程的任何作用，包括數(shù)據(jù)收集、分析和編寫本統(tǒng)的人員。/所有系統(tǒng)。因此，CS、(CS)和OT應理解為包括工業(yè)控制系報告。能夠將我們的參與者解析為不同的群體，統(tǒng)（ICS）、數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)（SCADA）、過程控并比較他們在這些群體關聯(lián)中的投入，這?畢馬威國際：作為產(chǎn)權報告發(fā)起人，制系統(tǒng)（PCS）、過程控制域（PCD）、建筑/設施控制、是從這個年度研究項目中獲得見解的關鍵。畢馬威提供了主要資金和組織資源支自動化和管理系統(tǒng)（BACS/BAMS/FRCS…）、聯(lián)網(wǎng)醫(yī)療設雖然我們認為調(diào)查參與者(CS)

AI計劃的成持，以增強(CS)

AI自身的能力。2備等。2熟度是最重要的維度，但我們也考慮了他?其他贊助商：非冠名贊助商Fortinet、2同樣，“(CS)

”是泛指控制系統(tǒng)網(wǎng)絡安全領域、專業(yè)、項2們的組織級別、地區(qū)以及他們與(CS)

資產(chǎn)Waterfall

Security

Solutions（見附錄D：報告發(fā)起人。）和目和人員。（供應商、用戶、所有者或運營商）的關Opscura提供了額外的資金和其他資源。系。當然，我們也進行了縱向分析，當我們發(fā)現(xiàn)有趣的趨勢時，我們也分享這些趨勢。根據(jù)上述目標，(CS)

AI和我們的贊助商向2在該領域工作的CS/OT網(wǎng)絡安全社區(qū)成員分發(fā)了在線調(diào)查，收集了CS事件、活動和技術的關鍵數(shù)據(jù)，以及組織如何應對不斷變化的威脅的詳細信息

。1威脅范圍：對CS/OT行動和資產(chǎn)的所有可能威脅的總和。威脅是動態(tài)的，隨著漏洞的發(fā)現(xiàn)和針對漏洞利1.用的保護措施的制定而不斷變化。7(CS)2項目控制系統(tǒng)網(wǎng)絡安全計劃成熟度第5級第4級第3級第2級第1級衡量受訪組織的(CS)

計劃成熟度是我們年度分析的關鍵，它為評2網(wǎng)絡安全流程通過現(xiàn)有網(wǎng)絡安全計劃利用數(shù)據(jù)網(wǎng)絡安全根據(jù)文件化的在網(wǎng)絡安全實施中遵循救火狀態(tài)。網(wǎng)絡安全程估受訪組織提供的許多其他數(shù)據(jù)提供了衡量標準。與其他組織相比，流程的反饋不斷改進，收集和分析來改善其結流程和程序進行生產(chǎn)和基本的項目管理實踐；序是無組織和無記錄的，擁有更加成熟計劃

的組織在哪些方面做得更不同或更頻繁？如果2并適應更好地滿足組織果。工作。確定并參與關鍵成功仍然需要關鍵人物，

不是在“程序”中組織我們發(fā)現(xiàn)這些組織的回答之間存在明顯差異，我們會提請讀者注意。需求。利益相關者。提供足夠但知識體系正在發(fā)展。的。成功取決于個人的我們要求每位參與者從以下描述中選擇最適合其組織情況的一項?；顒右晕募慕M織指的資源來支持這一過程執(zhí)行最佳實踐，但可能努力；是不可重

復或可執(zhí)行流程的人員具有足令為指導，政策包括特（人員、資金和工具）。是臨時的。擴展的，因為沒有充分夠的技能和知識。優(yōu)化、

定標準和/或指南的合已經(jīng)確定了指導實施的定義和記錄流程。自動化、集成、可預測。

規(guī)要求。被動防御。標準和/或指導方針。被動防御。主動防御、威脅情報、負責控制系統(tǒng)安全職責被動防御。事件管理。的人員受過培訓并具備經(jīng)驗。計劃是管理的，主動的，跟蹤指標，部分自動化。主動防御、安全信息和事件管理（SIEM）、異常和漏洞檢測。高成熟度組包括所有自評為第4級或第5級的受訪者；低成熟度組指被識別為第1級或第2級的受訪者。2.8(CS)

項目成熟度2以下哪一項最能描述您的控制系統(tǒng)網(wǎng)絡安全程序？——縱向分析35%30%33%33%32%30%28%28%每個排名的參與者數(shù)量都有所變化（值得注意的是，第2級組織的數(shù)量在今年有所增25%加），但我們發(fā)現(xiàn)，多年來高成熟度和低成熟度組織的規(guī)模變化不大。參與者繼續(xù)對他們自己的(CS)

項目進行評220%分。我們的團隊認為這有利于自我評價有17%17%效性。我們在分析高成熟度（第4級和第516%

16%16%級）和低成熟度（第1級和第2級）組之間14%15%的對比和相似性時廣泛使用了這一點，并以此作為劃分建議的基礎。9%10%6%6%5%0%第1級第2級第3級第4級第5級2020

2022

2023更成熟9客戶(CS)

項目成熟度2以下哪一項最能描述您的控制系統(tǒng)網(wǎng)絡安全程序？——

地區(qū)360%50%56%48%世界各地的顧問（供應商、服務提供商、法。集成商）對其客戶(CS)

項目的成熟度看法243%不一。不同地區(qū)對成熟度有不同的看區(qū)域2的自評得分較低，63%在第1級和第240%30%20%10%級，區(qū)域4的有近一半（48%）處于第2級，34%而區(qū)域5有超過一半的組織（56%）處于第34%3級。區(qū)域3、6和7缺乏足夠的參與，無法29%31%納入本分析（見腳注3）。28%20%20%16%16%16%16%15%(CS)2AI將組織劃分成七個3.14%區(qū)域

。12%12%1）

北美；10%2）

歐洲（中部、西部、北7%部和南部）；5%

5%3）

歐亞大陸；4%4%3%4）

印度太平洋；5）

中東-北非；0%6）

南部非洲；第1級第2級第3級R區(qū)e域g

i2on

2第4級第5級7）

拉丁美洲-加勒比G全lo球b的alR區(qū)e域g

i1on

1R區(qū)e域g

i4on

4R區(qū)e域gi5on

510(CS)

關鍵績效指標（KPI）組織監(jiān)控的典型(CS)2KPI2——高成熟度vs低成熟度15%組織不跟蹤KPI3%16%實施了組織的安全要求和原則并持續(xù)遵循的場站和系統(tǒng)的數(shù)量38%9%效率提升或改進所帶來的安全活動成本41%盡管更多成熟項目對某些關鍵績效指

標18%從非核心網(wǎng)絡區(qū)域流入關鍵控制網(wǎng)絡的信息流數(shù)量(KPI)的跟蹤力度更大并不令人驚訝（例如，28%22%作為任何項目隨時間推移不斷改進的核心安全事件造成的運營中斷（停機時間）數(shù)量59%活動，效率提升或改進所帶來的安全活動31%缺少補丁的系統(tǒng)數(shù)量50%成本增加至近五倍的差距：低成熟度的

8%21%對高成熟度的40%，這是符合預期的），未盤點設備的數(shù)量31%我們認為如此多的項目對于績效的跟蹤力24%受感染（惡意軟件）系統(tǒng)的數(shù)量38%度之低是令人擔憂的。今年，我們的低成38%安全事件的數(shù)量56%熟度受訪者大約是高成熟度受訪者的兩倍，31%28%盡管85.3%的受訪者跟蹤了一些KPI，但大應用程序和配置過期的系統(tǒng)數(shù)量44%多數(shù)人只跟蹤了少數(shù)KPI。我們強烈建議這解決安全事件的時間38%些組織擴大其衡量標準，以更好地了解其31%共享帳戶使用數(shù)量安全計劃工作的有效性。31%34%點擊不良鏈接的人數(shù)34%24%安全事件的財務成本44%35%到達終端用戶的惡意代碼和/或垃圾郵件的百分比安全事件誤報次數(shù)47%21%41%28%重復點擊惡意鏈接的人數(shù)34%0%10%20%30%40%50%60%70%低成熟度

高成熟度11使用的安全成熟度框架控制系統(tǒng)安全團隊使用的框架——終端用戶vs

供應商26%行業(yè)法規(guī)28%27%比較不同群體的觀點有其不利之處，但我在我們的最新一輪調(diào)查中，供應商分別做網(wǎng)絡安全能力成熟度模型（C2M2）53%們認為，將這兩個群體的觀點并列看待是出回應，并報告使用C2M2的頻率幾乎是原有用的，因為他們都對控制系統(tǒng)的安全負來的兩倍（終端用戶C2M2

26.6%vs供應商36%ISA/IEC

62443標準有責任。我們在這里看到，雖然C2M2和C2M2

53.1%）。NIST的使用率似乎變化不44%NIST是最突出的，但前者適用于供應商，大，去年所有參與者的反饋結果為45.7%后者適用于終端用戶。報告的使用情況終（2022年)，本次調(diào)研兩個群體的平均值也10%COBIT9%端用戶的C2M2與去年的總體數(shù)據(jù)（2022年基本落在這個范圍內(nèi)。-C2M2

26.3%）有效匹配，但該報告沒有28%區(qū)分終端用戶和供應商。國際標準化組織（ISO）34%9%ANSSI

ICSTop20關鍵安全控制25%25%31%25%NERC

CIP34%53%美國國家標準與技術研究院（NIST）19%0%10%20%30%40%50%60%終端用戶供應商12組織計劃——

終端用戶組織計劃的當前狀態(tài)40%35%30%37%35%34%33%我們團隊認為，每個有控制系統(tǒng)安全(CS)2責任的組織都應全面管理其風險，制定文29%29%28%28%檔化的實施和測試計劃及程序，以減少事28%27%26%故發(fā)生，并最大限度降低對公司、員工和25%24%客戶的影響。隨著全面實施計劃和測試成24%25%23%22%22%為黃金標準，大量受訪公司僅擁有文檔化22%22%20%20%的計劃和記錄，但在程序上并未做好這些20%20%20%15%10%5%計劃所針對的事件發(fā)生后的應對準備。17%16%15%13%11%0%控制系統(tǒng)風險管理控制系統(tǒng)網(wǎng)絡安全控制系統(tǒng)網(wǎng)絡安全控制系統(tǒng)網(wǎng)絡安全控制系統(tǒng)網(wǎng)絡安全控制系統(tǒng)網(wǎng)絡安全供應鏈風險管理計劃事件響應計劃業(yè)務連續(xù)性計劃災難恢復計劃漏洞管理計劃訪問管理計劃計劃P計lan劃ned記Do錄cu在m

e案ntedI已m實ple施mented已T

e測ste試d13(CS)

服務2——

終端用戶各組織使用的控制系統(tǒng)安全服務的許多首席信息安全官（CISO）對運營技術（OT）安全項目感到畏懼，因為對工廠網(wǎng)絡安全的‘治愈’比‘疾病’本身外包資源（服務公司）36%還要糟糕。我曾經(jīng)是CISO，所以我理解這種情況。OT需要生產(chǎn)優(yōu)先，而IT則優(yōu)組織應該到哪里去尋求保護其控制系統(tǒng)先考慮安全性而不是停機時間。安全(CS)2資產(chǎn)、人員和運營所需的幫合同資源（顧問）40%助？我們在與惡意行為者的斗爭中節(jié)節(jié)敗退，很大程度上是因為無所作為。使用傳統(tǒng)根據(jù)我們的受訪者反饋，他們會從各個的IT工具來保護運營技術（OT）十分昂渠

道

獲

取

幫

助

。

內(nèi)

部

IT安

全

資

源CISO/CSO/CTO領導下的安全團隊，包括內(nèi)外部資源36%resources貴，不僅因為咨詢、規(guī)劃和設備的成本，（56.2%）作為多數(shù)反饋表明，大多數(shù)更重要的是因為大量的停機時間。組織的OT網(wǎng)絡安全由IT部門推動，

并CISO/CSO/CTO領導的內(nèi)部安全團隊且可能IT安全方法和技術正在這些環(huán)境36%運營者必須做出痛苦的決定，重

新配置中應用。他們的網(wǎng)絡，替換仍在使用但已過壽命的資產(chǎn)，并部署安全團隊——所有這些內(nèi)部工程師團隊42%都需要關閉他們的工廠數(shù)天甚至數(shù)周。我們正在迫使他們做出不推進其運營產(chǎn)線和設施網(wǎng)絡安全的艱難決定。在許多內(nèi)部融合的IT/OT團隊38%情況下，停機損失比整個安全項目本身成本還要昂貴。讓我們合作，使得保護和維護我們的工內(nèi)部OT安全資源43%廠和設施的時間成本更低，更加經(jīng)濟，最重要的是，減少甚至消除停機時間。內(nèi)部IT安全資源通過合作，我們可以消除傳統(tǒng)IT的障礙，56%共同保障全球的基礎設施安全。0%10%20%30%40%50%60%Brian

Brammeier14Opscura首席執(zhí)行官(CS)

技術2——

終端用戶組織用于保護控制系統(tǒng)資產(chǎn)免受網(wǎng)絡威脅的安全技術并不是所有技術都適合所有環(huán)境的需求和要求。盡管如此，我們認為那些擁有和/或運營工業(yè)控制系統(tǒng)(ICS)/運營技術(OT)資產(chǎn)的組織表示他們擁有被動網(wǎng)絡65%異常檢測（58%入侵檢測系統(tǒng)（IDS））的情況下，通過實施主動入侵防御系統(tǒng)（IPS）將會大有裨益。NextGen防火58%58%墻同樣具有廣泛的適用性，應該保護更多ICS環(huán)境免受來自企業(yè)或其他外部網(wǎng)52%絡的威脅。單向網(wǎng)關/數(shù)據(jù)二極管由于主要在最高安全環(huán)境（如核電站）中使34%用而被認為復雜且昂貴，但我們最近看到這些因素有所減弱，預計未來會有更29%多部署。單向網(wǎng)關/數(shù)據(jù)防火墻NextGen防火墻

被動網(wǎng)絡異常檢測

主動入侵防護系統(tǒng)沙箱二極管（IDS）（IPS）15減少(CS)2攻擊面的障礙(CS)

障礙2減少(CS)

攻擊面的最大障礙是什么？22?——

高成熟度vs低成熟度24%不安全的ICS/OT協(xié)議22%51%控制系統(tǒng)網(wǎng)絡安全專業(yè)知識不足53%我們每年都會比較不同群體之間的情況和16%網(wǎng)絡威脅情報不足觀點，在這里，我們通過受訪組織的控制19%系統(tǒng)網(wǎng)絡安全項目的相對成熟度（高成熟16%財政資源不足度

vs

低成熟度）來分析他們認為的最大障22%礙，以確定哪些方法有效，哪些無效，以25%領導支持不足及隨著組織在提高安全性方面的進展，情，例如：控制系統(tǒng)網(wǎng)絡安全16%況會如何變化。如右圖，我們看到一些障38%人員不足28%礙被廣泛認同專業(yè)知識不足（低成熟度51.5%，高成熟24%技術/工具不足16%度

53.1%）和不安全的ICS/運營技術（OT）協(xié)

議

（

低

成

熟

度

23.5%

vs

高

成

熟

度26%運營要求（如強制性正常運行時間）組織復雜性/制約因素控制系統(tǒng)網(wǎng)絡過于復雜47%21.9%），而其他障礙則存在較大差異，例如：無法支持加密的技術（低成熟度32%22%26.5%

vs

高成熟度12.5%）和領導支持不足（低成熟度25.0%

vs

高成熟度15.6%）。13%25%這些表明，更成熟的項目已經(jīng)克服了一些較不成熟的項目仍在努力應對的障礙。15%法規(guī)遵從性要求阻止創(chuàng)新/新技術解決方案的應用28%26%無法支持加密的技術（例如PLC設計）13%0%10%20%30%40%50%60%低成熟度高成熟度17(CS)

障礙減少(CS)

攻擊面的最大障礙是什么？22——組織層面431%不安全的ICS/OT協(xié)議30%13%37%控制系統(tǒng)網(wǎng)絡安全專業(yè)知識不足58%39%任何一個人都不太可能全面了解和掌握現(xiàn)16%代控制系統(tǒng)環(huán)境的所有細節(jié)，個人觀點的網(wǎng)絡威脅情報不足3%13%差異不可避免地會導致對需要完成的工作21%的看法不同。在這里，我們看到高管一致財政資源不足12%24%認

為

運

營

要求

（

50.0%

）

、

人

員

不

足最大的障礙，這與運營者部23%（39.5%）和控制系統(tǒng)安全專業(yè)知識不足領導支持不足21%11%（39.5%）是40%人員不足27%25%分一致（該群體認為最大的障礙是人員不39%足39.5%和控制系統(tǒng)安全專業(yè)知識不足技術/工具不足9%37.0%），但運營者（Ops）認為運營要11%求不是主要障礙（在操作人員列表中排第23%39%運營要求（如強制性正常運行時間）六，23.5%）。管理層經(jīng)常與一方或雙方50%意見不一致，這突顯了當我們支持他們解37%組織復雜性/制約因素33%決問題時，了解終端用戶在其組織中的角29%色的重要性。15%控制系統(tǒng)網(wǎng)絡過于復雜27%26%法規(guī)遵從性要求阻止創(chuàng)新/新技術解決方案的應用17%12%21%26%無法支持加密的技術（例如PLC設計）29%在我們的調(diào)查中，回答每個問題的參與者人數(shù)各不相同。4.有時，這會導致參與者的特定子集不足以進行有效的統(tǒng)計0%10%20%30%40%管理者50%60%70%分析。在根據(jù)其組織不同級別的參與對我們的數(shù)據(jù)進行細分的情況下，我們收到的領導層受訪者太少，無法將他們運營者高管包括在一些圖表中。18(CS)

障礙2減少(CS)2攻擊面的最大障礙是什么？——終端用戶vs供應商26%不安全的ICS/OT協(xié)議27%26%無法支持加密的技術（例如PLC設計）24%我們的團隊發(fā)現(xiàn)，終端用戶和供應商受訪16%法規(guī)遵從性要求阻止創(chuàng)新/新技術解決方案的應用者在觀點上的許多差異都很有趣。這些是38%否源于其控制

系統(tǒng)的所

有權/操作

與OT19%財政資源不足（運營技術）資產(chǎn)的生產(chǎn)/監(jiān)控、可供其使16%用的不同資源、不同的財政責任或某些因21%領導支持不足素的組合？值得注意的是，供應商將法規(guī)19%17%遵從性要求、過于復雜的控制系統(tǒng)網(wǎng)絡和技術/工具不足網(wǎng)絡威脅情報不足確定為最大障礙，其比24%例是終端用戶的兩到三倍。終端用戶反饋35%組織復雜性/制約因素中唯一與之比例相似的是他們對人員不足38%的看法（終端用戶36.8%，供應商13.5%）。20%控制系統(tǒng)網(wǎng)絡過于復雜網(wǎng)絡威脅情報不足41%我們建議供應商注意終端用戶客戶確定的最大障礙，以便最好地幫助他們克服這些14%35%障礙。43%控制系統(tǒng)網(wǎng)絡安全專業(yè)知識不足人員不足54%37%14%34%運營要求（如強制性正常運行時間）38%0.0%10.0%20.0%30.0%40.0%50.0%60.0%E終n端d

用Us戶ersV供e應nd商ors19(CS)

障礙減少(CS)

攻擊面的最大障礙是什么？22——

區(qū)域分析5

623%24%不安全的ICS/OT協(xié)議控制系統(tǒng)網(wǎng)絡安全專業(yè)知識不足網(wǎng)絡威脅情報不足32%26%59%39%44%43%最后，對于安全障礙的分析，我們對來自9%19%全球不同區(qū)域的受訪者之間的差異進行了12%14%研究。由于全球控制系統(tǒng)主要建立在通用18%財政資源不足16%技術之上，我們預計無論地理位置如何，18%19%對這個問題的回答會有一定程度的一致性。18%領導支持不足13%事實上，這張圖表顯示的差異比本報告中區(qū)域4（亞太區(qū)域）將控制系統(tǒng)網(wǎng)絡安全24%21%的許多其他圖表要少。一個顯著的區(qū)別是，問題，27%人員不足32%40%37%專業(yè)知識不足（59.1%）作為主要18%技術/工具不足16%其比例比區(qū)域2、區(qū)域1或全球高出15個百17%分點。區(qū)域2（歐洲、中部、西部和北部）27%運營要求（如強制性正常運行時間）組織復雜性/制約因素控制系統(tǒng)網(wǎng)絡過于復雜35%和區(qū)域4（亞太區(qū)域）的受訪者也比世界34%34%其他區(qū)域更關心過于復雜的控制系統(tǒng)網(wǎng)絡41%32%（

區(qū)

域

2

29.0%

，

區(qū)

域

4

36.4%

，

全

球37%35%20.1%）。36%29%16%20%法規(guī)遵從性要求阻止創(chuàng)新/新技術解決方案的應用23%23%13%16%正如我們對參與者組織層面的反應進行的分析一樣，一5.27%27%無法支持加密的技術（例如PLC設計）些地區(qū)缺乏足夠的代表樣例來進行有效的分析。下表僅顯示了有足夠參與的區(qū)域，以及全球（所有答復者）以26%供比較。0%10%20%30%40%50%60%70%(CS)

AI將組織劃分成七個區(qū)域

。1）

北美；2）

歐洲6.2（中部、西部、北部和南部）；3）

歐亞大陸；4）

印度區(qū)域4區(qū)域2區(qū)域1全球太平洋；5）

中東-北非；6）

南部非洲；7）

拉丁美洲-加勒比20(CS)2支出和預算(CS)

高投資回報率領域2(CS)2高投資回報率領域——組織級別70%備份13%0%補丁和漏洞管理26%44%25%(CS)

AI

“團隊和我們的許多演講者都熟悉我們的團隊認為有必要提請注意以下事實：2如何獲得高管對安全需求支持的問題，尤盡管有

27%

至

39%

的參與者認為

“人員控制系統(tǒng)網(wǎng)絡安全技術解決方案52%11%（硬件、軟件）其是需要進行影響分析的細分項目；在某不足”（參見圖表(CS)

障礙-組織層面）15%2些情況下，甚至還需要進行大量的網(wǎng)絡架是他們改善其(CS)

狀況的最大障礙，但沒241%安全意識培訓構重

建工作，當然我們很高興地看到，大有一位高管或管理參與者將增加控制系統(tǒng)60%43%多數(shù)參與的高管（57.1%）認識到在他們網(wǎng)絡安全人員配備視為高投資回報率（兩24%的組織中實施網(wǎng)絡架構重

建的高投資回報組均為

0%）。增加控制系統(tǒng)網(wǎng)絡安全人員配備

0%0%率，這對安全性和彈性都是至關重要的。我們甚至看到他們對(CS)

監(jiān)控(64.3%)的213%安全防御培訓75%支持更加積極，多年來，專家們一直認為資回報17%可見性是任何安全改進計劃的第一步。另38%控制系統(tǒng)網(wǎng)絡安全監(jiān)控一方面，受訪管理者發(fā)現(xiàn)培訓的投35%64%率最高，無論是安全意識方面(60.0%)還是安全防御方面(75%)。24%控制系統(tǒng)網(wǎng)絡的安全遠程訪問47%25%50%網(wǎng)絡隔離/微隔離40%領導層受訪者反饋太少，未納入本分析。7.57%21%改善與

IT/公司團隊的溝通/協(xié)作10%22%0%O運p營era者tions20%M管a理na者gement40%E高x

e管cutives60%80%22(CS)

高投資回報率領域2(CS)2高投資回報率領域（高成熟度與低成熟度）——

高成熟度vs低成熟度0%備份50%修補程序和漏洞管理27%24%與他們對需要克服的安全障礙的看法相比，

這說明最成熟的項目已經(jīng)整合了團隊，并50%的受訪者認為網(wǎng)絡隔離是網(wǎng)絡安全39%就在(CS)

支出中識別最高投資回報率（ROI）

實施了可靠的備份系統(tǒng)和程序。計劃投資回報率的首要領域。網(wǎng)絡工程控制系統(tǒng)網(wǎng)絡安全技術解決方案227%（硬件，軟件）的安全計劃領域上，他們有更多的共識。的最新想法是，在重要邊界部署任何一所有小組都一致認為，網(wǎng)絡隔離/微隔離的有一些明顯的異常值需要注意，特別是低種工程級網(wǎng)絡隔離方法都是最有收益的。38%投資回報率最高，這與多年來的研究和建安全意識培訓55%成熟度的強調(diào)改善與IT/公司團隊的溝通/協(xié)重要邊界包括IT/OT接口、任何OT/互聯(lián)議是一致的，即實施網(wǎng)絡隔離/微隔離既能作（低成熟度16.7%，高成熟度0%）和而網(wǎng)接口以及網(wǎng)絡之間的任何其他連接，提高整體安全性，又能減少網(wǎng)絡事件的影36%高成熟度的更強調(diào)備份

（低成熟度0%，高這些邊界的漏洞導致的最差情況后果差11%8增加控制系統(tǒng)網(wǎng)絡安全人員配置響。成熟度50%）。異巨大。攻擊樹分析結果表明，在這樣的邊界上進行工程級隔離可以將關鍵網(wǎng)27%安全防御培訓33%可能表明，在最近勒索軟件攻擊上升期間，更成熟絡的攻擊面減少3個數(shù)量級。8.的程序經(jīng)歷了這種情況。36%控制系統(tǒng)網(wǎng)絡安全監(jiān)測53%Andrew

GinterWaterfall

Security

Solutions控制系統(tǒng)網(wǎng)絡的安全遠程訪問25%40%工業(yè)安全副總裁50%網(wǎng)絡隔離/微隔離75%17%改善與IT/公司團隊的溝通/協(xié)作0%0%20%40%60%80%低成熟度高成熟度23支出優(yōu)先級——組織層面您會將額外的可自由支配資金用于您的組織嗎？70%65%60%今年的一個新情況是，我們的團隊發(fā)現(xiàn)參與者的回答很有趣，除了一些普遍共識（例如各級將保護連續(xù)運營確定為他們支50%出額外資金的首要目標）之外，差異確實很突出。請注意，管理層的參與者對保護41%38%公共安全和保護工人安全的重

視程度很低40%（兩者均為3.2%），對保護產(chǎn)品質量的重視程度也很低。鑒于這些差異，鼓勵組織就調(diào)整業(yè)務優(yōu)先級進行討論。30%20%10%0%23%19%16%16%15%14%14%8%8%6%5%4%3%3%0%保護工人安全保護商業(yè)秘密保護公共安全保護產(chǎn)品質量保護設備編程和配置保護連續(xù)運營E高x管ecutive

管M

a理n者agementO運p營er者ations24供應商對客戶預算的指導您會建議您的大多數(shù)客戶在未來一年將更多的資源投入到哪里？——供應商33%許多資產(chǎn)所有者或運營商依賴其信任的供應商提供的安全事務專家建議，保護連續(xù)運營因此我們今年研究了供應商關于資源25%分配的建議。將此圖表與上一圖表進保護設備編程和行比較，我們發(fā)現(xiàn)最重要的仍然是保配置護連續(xù)運營。14%9%保護公共安全保護產(chǎn)品質量8%保護工人安全7%保護商業(yè)秘密25(CS)

高支出2(CS)2高支出區(qū)域（高成熟度vs低成熟度vs全部）——高成熟度vs低成熟度vs全部60%50%40%30%20%10%0%50%為了便于比較，我們在這些表格中包含了所有參與者的回復。這使我們能夠表明，高成熟度組在安全意識培訓上的支出顯著40%40%增加（高成熟度50.0%，低成熟度28.6%，37%37%36%36%全部35.0%），以及他們中很少有人專注于34%35%35%34%33%控制系統(tǒng)網(wǎng)絡安全咨詢服務（高成熟度31%20.0%，低成熟度33.3%，全部33.8%）。29%29%29%28%20%內(nèi)部SOC運營和服務，控制系統(tǒng)網(wǎng)絡安全安全意識培訓補丁和漏洞管理控制系統(tǒng)網(wǎng)絡安全控制系統(tǒng)網(wǎng)絡安全及虛擬/云SOC運營和人員配備咨詢服務技術解決方案服務全部

高成熟度

低成熟度26(CS)

高支出2組織在控制系統(tǒng)網(wǎng)絡安全方面投入資源最多的前三個領域——終端用戶25%20%20%

20%19%除了高成熟度和低成熟度集團的最高支出之外，我們還要求終端用戶識別其組織投17%17%17%16%入資源的前三領域，以進一步了解(CS)

預16%16%16%215%15%算優(yōu)先事項。15%15%15%13%13%安全技術和安全咨詢服務在預算中占有最大份額（分別為56.3%和50.6%）。我們的團隊認為值得調(diào)查的是，對控制系統(tǒng)網(wǎng)絡10%9%9%安全人員相對較低的投資是否是導致該領域員工持續(xù)供不應求的一個因素。5%0%安全意識培訓內(nèi)部SOC運營和服務，控制系統(tǒng)網(wǎng)絡安全人補丁和漏洞管理控制系統(tǒng)網(wǎng)絡安全咨詢控制系統(tǒng)網(wǎng)絡安全及虛擬/云SOC運營和服務員配備服務技術解決方案1-Most1-最多2-2ndMost2-第2位3-3rd

Most最多3至327(CS)

預算變化2——縱向分析組織的控制系統(tǒng)安全預算近幾年同比估算0%0%減少50%以上3%1%絕

大

多

數(shù)

組

織

繼

續(xù)

增

加

其

(CS)

的

預

算減少30%以上3%2持續(xù)致力于增加同比支出表明，各組織3%（53%），這一響應率在幾年內(nèi)徘徊在接正在更好地了解其運營所處的威脅環(huán)境0%近中點（2022年為47%，2020年為52%）。減少10%以上2%以及所面臨的一定程度的風險。最近的3%低增長群體呈現(xiàn)出穩(wěn)步增長的模式，即控制系統(tǒng)網(wǎng)絡安全事件頭條提高了人們1%(CS)

預算增長低于30%的群體，從2020年下降幅度小于10%2%2對當前網(wǎng)絡風險和防止類似事件發(fā)生的1%的20%上升到今年的34%。增長率較高的必要行動的認識

。13%群體，即增長率超過30%的群體，相應地與上一年相比沒有變化9%10%13%從2020年受訪者的31%下降到現(xiàn)在的19%。Brad

Raiford絡服務總監(jiān)我們的分析團隊成員指出，(CS)

供應商/解增幅小于10%7%2畢馬威美國物聯(lián)網(wǎng)和運營技術網(wǎng)13%決方案提供商行業(yè)出現(xiàn)了某些放緩，這可10%能是對競爭加劇或市場需求過大的反應。增長10%以上21%21%19%增長30%以上12%12%8%6%增長50%以上組織策略阻止我回答此問題11%11%14%13%20%不知道Don’t

know23%25%13%0%5%10%15%20%20202022202328(CS)

投資計劃2未來一年

(CS)2

的高投資領域——高成熟度vs低成熟度15%網(wǎng)絡細分3%雖然對網(wǎng)絡隔離的價值有強烈認同（請參12%見(CS)

高投資回報率領域圖表），但我們安全遠程訪問29%認為值得注意的是，很少有組織計劃將未來安全支出集中在該領域?？赡艿慕忉屖牵?%高成熟度的組織可能已經(jīng)對其網(wǎng)絡進行了合規(guī)性報告3%顯著劃分，因此他們現(xiàn)在的支出（3%）遠低于低成熟度組織（15%）。他們在資產(chǎn)盤點和管理與威脅檢測方面支出計劃差異6%供應鏈安全的背后可能也有類似的因素。9%8%威脅檢測22%21%漏洞管理22%30%資產(chǎn)盤點和管理19%0%5%10%15%20%25%30%35%低成熟度高成熟度29(CS)

投資計劃2未來一年OT安全高投資領域——地區(qū)13%網(wǎng)絡細分12%13%區(qū)域3-7

對此問題的回答不足以進行獨立分925%25%安全遠程訪問析，但區(qū)域1和區(qū)域2的受訪者的計劃卻有7%13%很大差異。區(qū)域2的參與者目前專注于安全遠程訪問和威脅檢測

（兩者各占25%），104%而他們的北美同行似乎認為漏洞管理與資合規(guī)性報告3%產(chǎn)盤點和管理更為緊迫（分別為18.4%和3%24.3%）。在我們的分析中提出的一種可能性是，地區(qū)2的組織已經(jīng)解決了這些管理問4%供應鏈安全7%題，而地區(qū)1的組織尚未達到這一程度。7%威脅檢測9%13%8%漏洞管理22%(CS)

AI將組織劃分為七個區(qū)域。1）北美；2）歐9.218%洲（中部、西部、北部和南部）；3）歐亞大陸；4）印度太平洋；5）中東-北非；6）南部非洲；7）

拉丁美洲-加勒比13%資產(chǎn)盤點和管理28%其中一個可能的因素是，歐洲的監(jiān)管機構（包括10.24%25%國家和國際監(jiān)管機構）一直在推進/發(fā)布立法，要求在多個行業(yè)和基礎設施部門進行威脅檢測。0%5%10%15%20%30%區(qū)域2Region2區(qū)域1Region1全球Global30(CS)

預算情況2上一財年各組織的(CS)2預算規(guī)劃總計——高成熟度vs低成熟度6%低于1萬美元超過1萬美元0%0%4%6%我們已經(jīng)看到，高成熟度組織往往擁有最這種相關性也突顯了針對(CS)

領域的3%2高的控制系統(tǒng)網(wǎng)絡安全預算。一種理論認需求，需要考慮通過縮減預算的解決方3%超過25000美元6%為，大型組織（即擁有更多資源的組織）來提高安案和服務從而更好地為較小的客戶服務。5%通常比小型組織在安全之旅中走得更遠。9%雖然我們認識到，分配足夠資源超過5萬美元3%Rod

Locke4%全性的小公司面臨的財務挑戰(zhàn)往往更大，F(xiàn)ortinet

產(chǎn)品管理總監(jiān)但我們也希望指出，同樣的財政限制可能9%超過10萬美元6%意味著它們抵御和恢復破壞性網(wǎng)絡事件影7%響的能力較弱。網(wǎng)絡攻擊導致他們的運營13%超過25萬美元長時間關閉的威脅對他們來說可能更為現(xiàn)13%12%實，他們的風險管理過程需要考慮到這一6%點。超過50萬美元超過100萬美元超過500萬美元超過1000萬美元3%6%10%19%10%10%3%7%7%22%11%0%5%10%15%20%25%低成熟度高成熟度全部31(CS)2評估(CS)

評估頻率各組織(CS)2評估的頻率（低成熟度與高成熟度）2——高成熟度vs低成熟度3%組織策略禁止回答不知道9%1%3%不同成熟度水平的項目之間最明顯的差異之一是其控制系統(tǒng)網(wǎng)絡安全評估的頻率。9%未執(zhí)行任何操作僅針對安全事件少于每兩年一次每兩年一次每年高成熟度項目中有一半至少每季度進行一0%次評估，而低成熟度項目中有一半以上每12%年或更低頻進行一次評估。9%的低成熟度3%項目沒有進行過安全評估，這本身就說明了問題。10%0%0%7%7%29%28%9%每年兩次6%12%季度25%25%每月0%5%10%15%20%25%30%35%Low

MHighM低成熟度

高成熟度33(CS)

評估頻率

——各組織進行(CS)

評估的頻率22終端用戶vs供應商5%未執(zhí)行任何操作3%供應商對其安全承擔著與最終用戶不同的技術、特權人員、攻擊方法和能力都在不7%僅針對安全事件5%責任，因為他們不僅必須保護自己，還必斷發(fā)生變化，即使使用IPS/IDS（入侵預防須保護他們的客戶，而客戶通常會授予特/檢測系統(tǒng)），一些受害者也只能在評估活權訪問權限以進行持續(xù)的監(jiān)控、維護和更動中發(fā)現(xiàn)惡意分子訪問了他們的網(wǎng)絡。更5%少于每兩年一次5%新。我們的團隊很高興看到供應商如此頻頻繁的評估可以大大減少這種停留時間，繁

地

進

行

(CS)

評

估

，

超

過

三

分

之

二從而減少各種潛在的危害。我們建議所有2（67.6%）的供應商每年至少進行兩次評估。

組織，包括終端用戶和供應商，至少每季5%每兩年一次8%他們在最終用戶供應鏈中的地位使他們成度評估一次其(CS)

網(wǎng)絡和資產(chǎn)。2為攻擊者非常有價值的目標

。終端用戶組11織這樣做的頻率較低，評估中最大的單一36%每年每年兩次季度8%群體（35.6%）僅每年進行一次評估，的確不那么令人鼓舞。9%11%15%38%請參閱許多報道2021年太陽風供應鏈攻擊事件的文章中的任11.何一篇。9%每月19%0%10%20%30%40%E終nd端U用s戶ers

V供e應nd商ors34(CS)

評估內(nèi)容——組織(CS)2評估的組成分布2高成熟度vs低成熟度39%安全意識和培訓審查計劃事件響應計劃審查65%41%61%與安全評估頻率同等重要的是評估的徹底性，如本表所示，

高成熟度項目在我們使51%審查網(wǎng)絡安全政策和程序（以及文件）77%用的每個指標上都比低成熟度項目進行了更完整的評估，幾乎在每個類別中都至少18%審查業(yè)務和財務系統(tǒng)審42%進行了50%的評估。30%52%56%71%54%87%38%清55%54%清77%43%71%25%48%0%10%20%30%40%50%60%70%80%90%100%低成熟度高成熟度35(CS)

評估內(nèi)容——組織(CS)

評估中包含的組成部分22終端用戶和供應商49%安全意識和培訓審核計劃36%53%事件響應計劃審查33%一個有趣的發(fā)現(xiàn)是，除了綜合評估（終端用戶26%，供應商36%）之外，終端用戶63%審查網(wǎng)絡安全政策和程序（以及文件）55%似乎比供應商執(zhí)行了更多的安全檢查。這表明，雖然終端用戶的評估包括多個重要21%審查業(yè)務和財務系統(tǒng)18%活動（終端用戶：物理安全62%、網(wǎng)絡架構69%、資產(chǎn)清單63%等）但通常不如供40%組織滲透測試第三方評估評審應商或供應商客戶的評估完整。終端用戶33%可能缺乏所需的端到端的可見性，另外就62%物理安全性是，供應商通常處于供應鏈中部，其必須36%考慮自身供應鏈和應用程序的安全性，以69%網(wǎng)絡架構及他們?yōu)榭蛻籼峁┑姆盏陌踩浴?2%該圖表中列出的每一項都解決了一個防止46%外部連接清單入侵者沿其殺傷鏈前進的關鍵點（或在過24%程中捕獲他們）。我們建議制定包括所有63%資產(chǎn)清單網(wǎng)絡安全的角色和責任綜合評估（如端到端）這些組成部分的計劃，每個計劃都有明確39%39%的評估和補救周

期。58%26%36%0%10%20%30%40%50%60%70%80%E終n端d

用Us戶ers

供V

e應nd商ors36(CS)

評估響應——2針對各組織在過去12個月內(nèi)完成的(CS)2評估結果而開展或計劃開展的活動高成熟度vs低成熟度采用新的或優(yōu)化的安全流程52%68%為了完成組織(CS)

評估因素的三位一體，盡管在網(wǎng)絡安全基本措施（如網(wǎng)絡隔2替換或升級安全解決方案我們調(diào)查了他們在分析后采取的行動。再離、培訓和漏洞修補）上的投資是防33%55%次，我們看到高成熟度項目在每項指標上止工業(yè)網(wǎng)絡的潛在漏洞的關鍵，但要都比低成熟度項目更頻繁地跟進評估結果。阻止有高度動機且技藝精湛的攻擊者采購新的安全技術41%尤其是他們在制定和實施補救計劃（低成訪問網(wǎng)絡將非常困難。從網(wǎng)絡事件中61%熟度41.0%

vs

高成熟度67.7%）和更換有快速恢復的能力對于最大限度地減少漏洞的控制系統(tǒng)硬件、軟件、設備等（低對運營或向消費者供應電力或水等基更換有漏洞的控制系統(tǒng)硬件、軟件、設備等30%成熟度29.5%

vs

高成熟度61.3%）這兩方礎服務的中斷至關重要。61%面。應審查常規(guī)備份和恢復評估，以提高關鍵或工業(yè)系統(tǒng)的網(wǎng)絡彈性。滲透測試網(wǎng)絡安全路線圖/舉措重

新確定優(yōu)先次序網(wǎng)絡安全策略更新36%39%57%Eddie

Toh68%68%68%畢馬威新加坡合伙人兼畢馬威亞太區(qū)鑒證技術主管46%制定并實施補救計劃41%0%20%40%60%80%低成熟度高成熟度37獲取前的(CS)

風險評估2組織在獲取控制系統(tǒng)產(chǎn)品或服務之前進行的風險評估（高成熟度與低成熟度）——高成熟度vs低成熟度6%無0%對新設備和/或軟件的風險評估與周

期性安全評估不同，必須單獨考慮。正如我們看到具有高成熟度的(CS)

項目的組織更頻繁2Top20

PLC編碼實踐，針對提供PLC產(chǎn)品或服務的供應商和集成商25%地進行總體安全評估一樣，我們注意到，他們更有可能進行幾28%乎所有類型的獲取前風險評估（安全問卷除外）。對于我們的許多受訪者來說，美國監(jiān)管活動的增加可能是影響合規(guī)性的一15%ISA/IEC

62443第4-2和3-3部分產(chǎn)品的要求能力個因素，但我們認為高成熟度的技術測試率很高（低成熟度為53%27.9%，高成熟度為81.3%），因為它只提供快照，是對定期28%安全評估的正向的補充。技術測試（如漏洞分析、架構審查、滲透測試等）81%12%IEC62443-4-1符合性38%32%要求供應商SOC類型2報告或ISO27001證書41%41%與供應商進行非正式討論53%49%要求供應商填寫安全調(diào)查表47%44%供應商產(chǎn)品和/或服務風險概況的內(nèi)部審查72%0%20%40%60%80%100%低成熟度高成熟度38安全培訓(CS)

意識培訓整合2組織的控制系統(tǒng)安全意識培訓現(xiàn)狀——終端用戶這里明顯的問題是，許多終端用戶組織缺乏任何(CS)

意識培訓（16.1%空白）。無2論是由IT部門或風險管理計劃所驅動、或是完全由運營或其他設計部門負責，以實現(xiàn)并保持對(CS)

威脅、攻擊方法、漏洞和239%程序的高度認識，對于管理任何ICS/OT運34%營環(huán)境中的固有風險都至關重要。我們強烈建議每個負責資產(chǎn)/運營的組織實施此類計劃。16%6%與IT安全意識培訓

與物理安全培訓整合獨立于IT或物理空白（組織沒有控整合安全培訓的項目制系統(tǒng)網(wǎng)絡安全意識培訓）40(CS)

意識培訓整合2組織的控制系統(tǒng)安全意識培訓現(xiàn)狀——高成熟度vs低成熟度60%50%53%按成熟度級別分組的數(shù)據(jù)顯示，只有(CS)2安全計劃處于低成熟度的組織缺乏相關的意識培訓（存在空白的，低成熟度24%，高成熟度0%），而高成熟度組織的大多數(shù)41%同事都接受了整合IT安全和控制系統(tǒng)安全40%30%20%10%0%的網(wǎng)絡安全意識培訓。31%31%24%12%0%0%與IT安全意識培訓整合與物理安全培訓整合獨立于IT或物理空白（組織沒有控制系統(tǒng)安全培訓的項目網(wǎng)絡安全意識培訓）高成熟度低成熟度41(CS)

培訓內(nèi)容組織控制系統(tǒng)安全相關培訓中包含的組成部分2——高成熟度vs低成熟度26%針對不同用戶群體的培訓項目（如管理、法律、IT、OT等）65%36%印刷材料（海報、傳單、時事通訊等）盡管我們在對各種安全項目成熟度級別的39%描述中沒有包括安全培訓，但從該圖表中可以清楚地看出，高成熟度組織在確保訓24%講師指導的培訓52%練有素的員工隊伍方面投入了更多。這兩組人甚至彼此接近的唯一組成部分是使用44%印刷材料，這通常被認為不如其他任何一計算機輔助培訓（CBT）77%組培訓內(nèi)容有效。事實上，在模擬（任何）和講師指導培訓等最有效的領域，我們看16%事件模擬（真實場景）到了一些最大差異。更多地使用安全意識32%培訓有效性測試（高成熟度77%，低成熟度54%）能夠使這些公司專注于最有效的44%事件模擬（桌面演練）安全意識培訓有效性測試社會工程模擬65%方法，并不斷改進其培訓項目。54%77%38%55%44%網(wǎng)絡釣魚模擬74%0%10%20%30%40%50%60%70%80%90%低成熟度高成熟度42(CS)2網(wǎng)絡控制系統(tǒng)組件的可訪問性可從互聯(lián)網(wǎng)訪問的組件39%36%低成熟度25%26%15%總的來說，這張圖表和后續(xù)圖表令人十分我們確實感到奇怪的是，在高成熟度組織21%擔憂?？刂葡到y(tǒng)中有這么多元素可以從互中，如此多的組件可以通過互聯(lián)網(wǎng)進行頻36%高成熟度38%聯(lián)網(wǎng)進行訪問，甚至被控制（低成熟度組繁控制，就像在低成熟度組織中一樣。事38%織15%的PLC和39%的實時歷史數(shù)據(jù)庫），實上，在高成熟度的組織中，服務器、31%這表明攻擊者擁有非常大的攻擊面，并且HMI和PLC/IED/RTU更經(jīng)常以這種方式訪27%對這些公司可能造成巨大的影響。問。以下圖表繼續(xù)顯示了這種模式，顯1240%全部37%示了來自業(yè)務網(wǎng)絡、供應商/集成商和云的35%我們的一些專家貢獻者指出，必須牢記這組件可訪問性。20%些“可訪問”確實揭示了對可訪問性控制和措施的問題。這些系統(tǒng)可能是具有對互61%64%聯(lián)網(wǎng)開放的端口（例如HMI登錄窗口），具更成熟的群體對網(wǎng)絡隔離的高投資回報率低成熟度12.75%（75%，請參見高投資回報率圖表——高成熟74%有從互聯(lián)網(wǎng)遠程訪問的功能（例如VPN或85%度

vs

低成熟度）可能會對此處產(chǎn)生影響。者RDP），或可以通過暴露在互聯(lián)網(wǎng)上的另一臺機器（例如跳板機）訪問，或在跳79%64%板機可訪問的網(wǎng)絡上訪問。評估其風險級高成熟度62%62%別時，必須考慮其可訪問性的具體細節(jié)和69%防護控制措施。73%60%全部63%65%80%0%10%20%30%40%50%60%70%80%90%實時歷史數(shù)據(jù)庫Historian工作站服務器人機界面（HMI）PLC、IED、RTU44控制系統(tǒng)組件的可訪問性（續(xù)）可從企業(yè)網(wǎng)絡訪問的組件80%70%71%62%61%60%這些反饋表明，如今控制系統(tǒng)的外部訪問很普遍，包括來自59%59%60%57%企業(yè)網(wǎng)絡、供應商和云的訪問。由于IT/OT的融合日益增強，56%55%53%組織必須將控制系統(tǒng)安全視為其整體安全計劃的一部分，而52%52%51%51%50%50%49%49%不是一個單獨的領域。這既適用于安全管理程序（根據(jù)IEC50%48%48%47%62443和ISO

27001等標準），也適用于用以保護和監(jiān)控這些45%44%43%系統(tǒng)的控制措施。41%41%40%39%38%40%在Fortinet的《2023年運營技術和網(wǎng)絡安全狀況報告》中，受訪者表示，OT安全是幾乎所有組織（95%）首席信息安全官職責的一部分。IT/OT融合的現(xiàn)實也反映在組織對威脅格局的看29%30%法中——絕大多數(shù)組織（77%）認為勒索軟件比OT環(huán)境的其他威脅更令人擔憂。20%Rod

LockeFortinet

產(chǎn)品管理總監(jiān)10%0%全部高成熟度受監(jiān)控的低成熟度全部高成熟度受控制的低成熟度PLC、IED、RTU人機界面（HMI）服務器工作站實時歷史數(shù)據(jù)庫45控制系統(tǒng)組件的可訪問性（續(xù)）供應商/集成商可遠程訪問的組件80%60%40%20%0%67%59%64%63%62%62%59%60%53%57%57%56%51%54%49%50%50%43%41%47%43%46%41%33%44%37%38%40%36%38%全部高成熟度受監(jiān)控的低成熟度全部高成熟度受控制的低成熟度PLC、IED、RTU人機界面（HMI）服務器工作站實時歷史數(shù)據(jù)庫可從云訪問的組件80%60%40%20%0%70%67%67%65%64%63%62%60%60%61%58%58%54%50%50%50%50%46%42%42%40%40%39%38%38%35%33%33%36%30%全部高成熟度受監(jiān)控的低成熟度全部高成熟度受控制的低成熟度PLC、IED、RTU人機界面（HMI）服務器工作站實時歷史數(shù)據(jù)庫46(CS)

管理服務現(xiàn)狀2組織控制系統(tǒng)安全的管理服務現(xiàn)狀（高成熟度與低成熟度）——高成熟度vs低成熟度40%35%30%25%20%15%10%5%37%今年的參與者再次表示，高成熟度組織更有可能已經(jīng)擁有管理服務來處理其網(wǎng)絡

安

全

（高

成熟

度

25.8%

，

低成

熟度26%26%16%），或正在通過試點管理服務項目來處理網(wǎng)絡安全（高成熟度25.6%，低成熟度7%）。21%19%16%16%13%7%6%0%無計劃實施控制系統(tǒng)計劃在12個月內(nèi)實施計劃在24個月內(nèi)實施試點項目運行中已實施管理服務處理控制的管理服務系統(tǒng)網(wǎng)絡安全低成熟度高成熟度47(CS)

管理服務的使用2組織控制系統(tǒng)安全的管理服務現(xiàn)狀（縱向）——縱向分析20%19%已實施管理服務處理控制系統(tǒng)網(wǎng)絡安全25%轉向使用(CS)

管理服務符合我們多年來向2讀者的建議。內(nèi)部資源的培訓和教育有著13%無可爭議的意義，但這些都是長期（短期試點項目運行中12%內(nèi)可能不太確定）的投資。長期以來，13%(CS)

勞動力中知識淵博、經(jīng)驗豐富的從業(yè)2者供應一直不足以滿足快速變化的技術、實踐和控制系統(tǒng)設備日益增長的超連接性25%的需求。這不可避免地為不斷擴大的(CS)2計劃在12個月內(nèi)實施20%服務市場提供了動力。我們建議那些擁有30%足夠資源的公司既要推行內(nèi)部資源開發(fā)計劃，又要利用外業(yè)知識來滿足保護其11%資產(chǎn)和運營的迫切需求。我們認為，這是計劃在24個月內(nèi)實施21%改善其組織長期前景的最佳方法。14%31%無計劃實施控制系統(tǒng)的管理服務23%17%0%5%10%15%20%25%30%35%2020

2022

202348(CS)

技術現(xiàn)狀2用于保護組織控制系統(tǒng)資產(chǎn)免受網(wǎng)絡威脅的安全技術——高成熟度vs低成熟度32%沙箱44%除了高成熟度組織比低成熟度組更頻繁地使用每種安全技術的總體趨勢外，主動入37%主動入侵防御系統(tǒng)（IPS）侵防御系統(tǒng)（高成熟度78.1%，低成熟度78%36.8%）和被動網(wǎng)絡異常檢測（高成熟度81.3%，低成熟度52.8%）的使用之間的巨53%大差異也說明，高成熟度公司更有可能在被動網(wǎng)絡異常檢測（IDS）81%較短的時間內(nèi)識別和阻止入侵企圖，從而減少對其系統(tǒng)的潛在影響。54%下一代防火墻63%59%防火墻81%26%單向網(wǎng)關/數(shù)據(jù)二極管28%0%10%20%30%40%50%60%70%80%90%低成熟度高成熟度49(CS)

網(wǎng)絡監(jiān)控2組織控制系統(tǒng)網(wǎng)絡活動監(jiān)控的現(xiàn)狀——縱向分析所有控制系統(tǒng)網(wǎng)絡都受到監(jiān)控，并計劃在未來18個月10%內(nèi)提高監(jiān)控程度18%對我們的控制系統(tǒng)網(wǎng)絡的可見性對于保護隨著運營技術的現(xiàn)代化，當OT系統(tǒng)越30%這些網(wǎng)絡和連接的資產(chǎn)至關重要。盡管OT來越多地連接到IT系統(tǒng)時，攻擊面會所有控制系統(tǒng)網(wǎng)絡活動已被監(jiān)控25%文化歷來抵制將網(wǎng)絡監(jiān)控技術引入其環(huán)境繼續(xù)擴大。威脅行為者將繼續(xù)應用精A24%（可以理解的是，由于這樣做會導致一些密的“戰(zhàn)術、技術和程序”，并利用運營中斷）。但是，監(jiān)控工具和技術不斷其來攻擊任何薄弱環(huán)節(jié)以破壞這些系31%成熟和改進，人們對其風險收益比的接受統(tǒng)。例如，鑒于其功能性，試點項目進行中17%P度也在提高。令人鼓舞的是，實施(CS)

網(wǎng)Pipedream是威脅行為者在破壞工業(yè)217%絡監(jiān)控并計劃加強的組織同系統(tǒng)方面比在增長，從的能力和日益復雜的一個體幾年前的0到今天的17.9%。未計劃實施任現(xiàn)。17%何網(wǎng)絡活動監(jiān)控的組織占比首次降至百分計劃在12個月內(nèi)實施8%為了檢測惡意活動并及時應對此類事P比個位數(shù)（9%）。結果表明，未來組織將19%件，必須對OT、IT、IIOT網(wǎng)絡保持可繼續(xù)部署和加強網(wǎng)絡活動監(jiān)控。見性并持續(xù)監(jiān)控。10%2022年未計劃實施監(jiān)測的組織數(shù)量曾激增計劃在24個月內(nèi)實施21%（19%），最初這被認為是許多組織已進PEddie

Toh14%入“全面監(jiān)控”狀態(tài)的跡象；但今年的結畢馬威新加坡合伙人果對這一點產(chǎn)生了質疑。我們將繼續(xù)探索畢馬威亞太區(qū)法政技術主管11%這個謎題。未計劃進行控制系統(tǒng)網(wǎng)絡活動監(jiān)控19%9%0%10%20%30%40%20202022202350(CS)2可見性——終端用戶組織對網(wǎng)絡上設備、用戶和應用程序可見性的信心水平我們的團隊認為，我們最大的終端用戶受訪者群體（信心有限，有一些盲點離線網(wǎng)絡建模是以非侵入方式提供43.7%）的信心水平相當現(xiàn)實?？刂葡等婢W(wǎng)絡可見性的最快、最有效的統(tǒng)網(wǎng)絡的可見性一直是一個問題，直到方法。它有助于準確了解我們致力最近幾年，具備這一重要能力的工具才于保護的網(wǎng)絡環(huán)境，而不會中斷運得到普及。我們建議我們的讀者，如果44%營。通過分析離線環(huán)境中的網(wǎng)絡配尚未實施的，利用這些工具來解決盲點，置、拓撲和安全策略，我們可以深并為您的(CS)

守衛(wèi)者提供履行職責所2入了解關鍵的通信路徑和覆蓋

缺口，需的基本知識。否則這些路徑和缺口可能會在實時網(wǎng)絡分析會話中被隱藏。這種方法22%在快速識別和解決缺乏可見性的區(qū)21%域的同時，保持了網(wǎng)絡的完整性和性能，從而增強網(wǎng)絡對潛在網(wǎng)絡威脅的防御。7%5%Robin

BerthierNetwork

Perception首席執(zhí)行官兼聯(lián)合創(chuàng)始人沒有信心，不知道信心有限，有有點自信，定非常自信，幾乎沒

100%自信，使一些盲點期檢查有已知的漏洞用工具持續(xù)監(jiān)控51(CS)2事件(CS)

攻擊響應組織對網(wǎng)絡攻擊事件響應流程的信心水平2——終端用戶我們的團隊很高興看到資產(chǎn)所有者或運營商（最終用戶）對網(wǎng)絡攻擊事件響應流程的信心水平，58%的人至少有點自信，其中大多見性的信心更足（參照上頁圖表）數(shù)人非?；?00%自信。這比他們對網(wǎng)絡的可34%26%25%7%4%沒有信心，信心有限，有點自信，非常自信，幾乎沒100%自信，使用不知道有一些盲點定期檢查有已知的漏洞工具持續(xù)監(jiān)控53(CS)

事件近況2過去12個月內(nèi)組織發(fā)生的控制系統(tǒng)網(wǎng)絡安全事件估算數(shù)量——縱向分析30%公司政策不允許我回答10%14%盡管在過去一年中，經(jīng)歷50件以上(CS)

事網(wǎng)絡攻擊預計只會增加——這是工業(yè)生17%2Idon我'

t不kn知o道w19%件的受訪者略有上升（從上次報告的5.2%產(chǎn)數(shù)字化的不利方面。不僅組織內(nèi)部的9%上升到現(xiàn)在的5.8%），但更突出的結果是，接口數(shù)量，而且與外部合作伙伴的接口回答“無”的受訪者大幅上升（2022年數(shù)量都在不斷提升。不幸的是，這增加17%Non無e15%14.8%對比2023年25.4%），而回答“26-了攻擊的媒介。25%50”的受訪者則有所下降（2022年19.4%因此，有優(yōu)先級且重

點突出的方案對于對2023年10.1%）。希望這體現(xiàn)了持續(xù)的18%保護生產(chǎn)系統(tǒng)和流程非常重要。一套健<517%保護和復原努力的結果，而不是無視或錯20%全的OT安全方案不僅包括技術方面，還誤反饋。包括安全流程、治理和人為因素。9%<10>10>25>506%預防、檢測和防御的關鍵是在于與時俱6%進。因為OT網(wǎng)絡安全具有兩個關鍵特征：4%變化和發(fā)展快。9%9%Marko

Vogel1%19%畢馬威德國OT網(wǎng)絡安全合伙人10%4%5%6%0%5%10%15%20%25%30%35%2020

2022

202354客戶(CS)

事件攻擊媒介2客戶反饋的過去12個月(CS)2事件的攻擊媒介——區(qū)域1328%電子郵件（例如：釣魚郵件）被入侵的用戶賬戶31%31%40%39%35%