【编者按】每位安全人员都将与公司系统的远程连接视为潜在威胁。对于工业企业，尤其是关键基础设施的网络安全专家来说，这种威胁是真实存在的。对于工业企业来说，停机意味着数百万美元的损失，是各类网络犯罪分子的诱人目标。勒索软件运营商一直在寻找可用于感染工业系统的开放RDP连接。拥有公开电子邮件地址的员工经常会收到带有木马链接的网络钓鱼电子邮件，这些木马程序可为攻击者提供远程访问。网络犯罪分子还密切关注暖通空调操作员，他们有时会远程连接到工业环境中运行的供暖、通风和空调系统。

　　2020年由于COVID-19全球大流行，导致实施自我隔离措施及全球转向远程工作，网络安全部门重新调整了工作。因此，卡巴斯基决定进一步了解最新情况如何影响工业企业的网络安全，咨询组织ARC代表卡巴斯基进行了一次有关工业网络安全状况以及工业组织当前的优先事项和方法的调查，调查了全球330多家工业公司的网络安全决策者和政策影响者，并对10位行业代表进行了采访。

　　调查发现：超过一半（53％）的受访者承认，COVID-19大流行已导致多数工作人员转移到居家办公，这成为对网络安全服务的一种压力测试。由于外部连接数量众多，现在绝大多数公司都在对OT网络的安全级别进行定期评估（只有5%接受调查的公司没有此类计划）。许多公司不得不重新考虑他们在边界保护方面的一般做法，隔离和工作站保护已不再足够。只有7％的受访者表示，他们的网络安全策略在大流行期间相当有效。

　　对此研究结果，卡巴斯基联合ARC发布了2020年工业网络安全调研报告《数字化时代的工业网络安全状况》。该报告探讨了调查结果，并分析了工业网络安全的全球现状和未来发展，还研究了由于COVID-19大流行而导致工业公司如何更改其网络安全优先级。该报告除了解释大流行如何影响工业安全官员的工作外，还洞悉了谁会影响安全决策，如何影响，创新的推动者以及网络安全部门在2020年面临的问题。

　　今年是特殊的一年。随着冠状病毒大流行以及随之而来的行业封锁，工业网络安全方法面临新的挑战。借助调查结果，卡巴斯基研究人员确定了这一大流行对现有网络安全方法的影响。一个重要的趋势是行业的持续数字化。对于许多工业公司而言，关键问题是：“网络安全成熟度模型必须如何调整以在数字时代提供有效的保护？”另一个主要话题是：大流行期间的“ICS网络安全驱动因素与威胁挑战”。

　　与传统IT网络的IT安全方法相比，工业控制系统（ICS）及其自动化组件在过去从未被视为潜在的安全风险。然而这种态度近年来发生了变化。过去，ICS中异常的原因通常是由于用户错误或软硬件缺陷。

　　然而现如今，对ICS环境的网络攻击不再是虚构的，而是现实的。根据Gartner的数据，到2020年，100%的大型企业计划每年向董事会报告网络安全风险（2019年为40%）。

　　在数字化时代，ICS与越来越多的组件相连，而这些组件又依次直接连接到互联网。这样就使得通过互联网与自动化系统进行通信成为可能，例如在智能建筑、管道或自动驾驶中。

　　与管理数据的公司网络不同，ICS管理物理过程。网络攻击可能会操纵甚至破坏物理资产。犯罪组织现在正在利用这些可能性作为一种商业模型。用户必须使用新兴现代安全方法来保护自己，以检测攻击并采取对策。

　　本报告探讨了调查的结果，并且是先前ARC和卡巴斯基关于ICS网络安全性调查的后续报告。对全球各地330多家工业公司和组织进行了在线调查，并在全球的交易会和ARC论坛上采访了10位行业代表。大部分受访的公司来自欧洲、北美、拉丁美洲、亚洲和中东。

　　一、主要发现

　　COVID-19大流行对网络安全的影响

　　许多公司因新冠病毒大流行而改变了运营方式，53%的受访者表示他们一直在使用远程员工。这成为网络安全流程的压力测试。因此，14%的组织表示他们修改了网络安全概念，只有7%的组织表示他们的网络安全策略在大流行期间是足够的。在新冠病毒大流行期间，远程工作者数量的增加导致OT网络扫描尝试的次数增加。结果是，公司认识到在特殊情况下需要补充网络安全程序。

　　数字化时代的网络安全成熟度模型

　　许多公司期望数字化会带来某些好处，例如提高效率。这当然是可行的，但是互连的数字设备会影响OT的拓扑结构，因此著名的ICS网络安全成熟度模型必须升级。55%的受访者表示他们的OT网络每年至少检查一次或多次安全问题。这表明，基本网络安全保护的重要原则已经到位。此外，44%的受访者表示，他们每天都在致力于数字化转型的网络安全计划。

　　ICS网络安全关键驱动因素

　　如今在许多公司中，网络安全预算的部署是由跨学科团队决定的，因为ICS的复杂性。找到合适的保护措施的最好方法是咨询不同领域的专家。其中包括来自IT、ICS、安全和生产的专家。67%的受访者表示，这样的团队对网络安全决策的影响力越来越大。

　　网络安全实施的间隔

　　在数字化时代，OT网络内部的通信经常发生变化。因此，建议定期检查OT网络中的安全漏洞。特别是，如果发现了安全漏洞，为什么要第一时间修复漏洞？最常被提及的漏洞无法迅速修复的原因是不希望停产（34%）、审批时间过长（31%）和涉及太多决策者（23%）。公司应指定一名负责人，确保及时修复已披露的安全漏洞。这些漏洞代表着巨大的风险，使得攻击者很容易操纵。

　　2020年ICS网络威胁的典型挑战

　　与每年的情况一样，由有害物质引起的事故和死亡（占32％）被全球公认为ICS网络安全的最大挑战。例如，如果网络攻击者操纵或关闭安全系统，则可能在公司内发生致命事故。当然，必须不惜一切代价避免这些。“服务质量损害”和“机密信息丢失”以及“缓解成本”也被视为主要挑战。这与去年的调查不同，去年的“缓解成本”起着次要作用。这可以解释为，缓解事件现在需要特殊的，有时是外部的昂贵资源。与此同时，随着公司遭受攻击的频率、网络攻击的代价以及由此产生的负面新闻的影响变得越来越清楚，管理层对更新的网络安全性的要求也越来越高。

　　二、调查结果

　　COVID-19的影响：居家办公增加了外部网络扫描的数量

　　由于新冠病毒大流行，许多工作被转移到了居家办公。事实上，53%的受访者证实新冠病毒大流行已经导致工作人员转移到在家工作。扫描ICS网络是否存在异常的管理员发现，居家办公的员工使用个人设备通过VPN连接到生产网络，从而产生了新一类的有害网络扫描。这些异常现象的原因可能是一些雇主没有为远程工作提供足够快的公司设备。此外，对于某些员工而言，使用自己的台式计算机（连接了键盘，显示器和打印机）可以更方便地在家工作。该端点（居家办公计算机）通常具有比公司网络低的安全标准，并且公司已经观察到这些计算机已被用于执行生产网络的有害扫描尝试。全世界都有这一趋势。

　　另一个有趣的结果是，只有24%的受访者表示在大流行期间需要修改内部安全流程。同样，只有15%的人建议员工在大流行期间接受在家工作的特殊安全培训。这表明，大多数受访者认为没有必要改变安全流程，也没有必要在流感大流行期间提供额外的员工培训。

　　建议：公司应为停工期间工作条件的变化做好准备。应该使用公司的设备来访问公司网络，以便连接设备由组织的安全团队管理。如果员工使用自己的电脑，使用虚拟机可以改善安全态势。虚拟桌面基础设施（VDI）维护受控环境，并通过专用设备限制对公司网络的漏洞。为了及早发现未经授权的OT网络访问，还可以使用双重身份验证等方法。

　　COVID-19的影响：它将如何改变安全态势

　　当前的新冠病毒大流行影响了许多网络安全项目。只有32％的受访者表示，他们公司的安全流程没有受到很大影响或根本没有受到影响。

　　在居家办公室和员工使用自己的设备连接到ICS网络的情况下影响最大。员工应经常接受培训，并且必须部署PC技术，以满足极端情况下所需的安全标准。网络罪犯利用对冠状病毒的恐惧，通过网络钓鱼攻击、恶意软件和针对远程维护基础设施的网络攻击进行网络攻击。根据卡巴斯基研究，自3月份以来，与冠状病毒相关的网络钓鱼和网络攻击数量有所上升。

　　仅靠网络隔离和端点保护已不足

　　在2019年的调查中，有24％的参与者表示他们不会对OT网络进行安全评估。今年，只有5％的受访者表示他们不会对其OT网络进行安全评估。更频繁地进行安全评估可以在早期阶段发现安全漏洞。

　　目前大约有100亿个IoT设备连接到互联网，即使不是所有这些设备都在工业中使用，仍需要采取保护措施。但是，不太可能为每个物联网设备配备端点保护。在OT网络中，需要其他有效的安全方法来预先检测攻击或异常。重点是检测通信行为的变化以防止损坏。

　　建议：当公司制定物联网战略时，必须从一开始就考虑安全方面的问题。由于新的通信信道数量众多，不可能对每个设备进行监控。相反，监控异常行为是更好的解决方案。

　　当前的安全工作量将使你忙个不停

　　在全球范围内，超过44％的受访者正在为其公司做好数字化的准备。在2019年的调查中，有31％的受访者表示，他们的主要任务是为数字化转型和相关的网络安全要求做准备。这种趋势在全球范围内都在强劲增长，但从地区数据来看存在差异。在欧洲，23％的受访者正在致力于遵守当地法规，而在拉丁美洲，有29％的受访者正在努力弥补OT网络中的安全漏洞。这些不同的优先事项可能是区域趋势和政策导致的。如果需要在一个区域遵守政策，那就是优先事项。如果存在许多OT漏洞，则该相应区域的优先级是不同的。

　　真正的安全预算决策者

　　从法律角度来看，董事会或董事总经理决定如何分配预算。实际上，安全团队对必要的安全措施和首选供应商做出跨学科决策变得越来越重要。在本文中“团队”一词指来自OT通信和ICS领域的经验丰富的代表，他们通过跨学科合作和决策共同评估风险状况并确定适当的网络安全措施。在欧洲，团队预算决策的趋势最为普遍，欧洲有50％的受访者选择团队决策。

　　在去年的调查中，有26％的受访者表示“通用IT部门/管理层”参与了安全预算审批。在今年的调查结果中，有23％的受访者表示IT部门负责全球OT/ICS预算。这表明IT安全经验在OT安全领域也很受欢迎。显然，人们不想在这里做重复的工作，而是希望基于IT经验的基础上再接再厉。

　　2020年ICS网络威胁的典型挑战

　　与每年的情况一样，受访者面临的工业网络安全最重要挑战是保护员工免受伤害或死亡。接下来排名第二、第三和第四的挑战比例大致相等，分别为产品/服务质量损坏（28％）、专有或机密信息丢失（28％）以及事件响应和缓解成本（27％），合起来占总数的83％。

　　今年，疫情后的影响和由此产生的成本尤为重要。在2019年，情况有所不同。在该调查中，事件响应和失去客户信心的成本被认为是不重要的（仅为5％）。显然，一种新的观念正在出现。由于网络攻击对行业资产的复杂性日益提高，其影响更为显著。此外，业务部门现在定期报告董事会，以便可以更好地分析网络事件后的影响。

　　哪些部门在推动ICS中的网络安全项目？

　　维护ICS完整性需要透彻了解所有ICS组件之间使用的通信标准，以保持安全高效的运行。在此网络物理层中，可能很难发现通信错误、网络安全威胁和网络健康问题。有些现象很明显：人机界面（HMI）更新缓慢、无法解释的停机、以及ICS组件的不稳定故障。一个强大而健康的OT网络对于防止这些故障至关重要。总而言之，网络安全计划是一项复杂的任务。没有跨学科知识通常很难管理。运营部门是提高OT安全级别的驱动力。

　　当进一步阐述并询问哪个团队最擅开发OT网络安全解决方案时，有67％的答案是IT安全。尽管如此，所需的跨学科知识仍然很明显，因为25％的受访者表示还使用了外部顾问。

　　数字化举措导致新的网络安全威胁

　　受访者希望哪些数字技术影响其传统自动化技术？不足为奇，有55％的被调查者提到了云计算和边缘计算以及OT组件连接到互联网的方法。云计算和边缘计算经常被提及的原因可能是心理上的。尽管云计算已经在其他许多应用领域证明了其可靠性，但该行业目前仍对使用云数据或应用程序存在安全性方面的担忧。

　　对物联网技术安全使用的新网络安全方法的评估也反映在定性调查响应中。许多人表示，他们的公司安装了基本的网络安全保护，可以保护经典的确定性自动化。在未来，网络安全技术确保了每一项数字技术的完整性。每种网络安全技术都有一组相关的人员、流程和技术，这些都是实现其目标所必需的。有趣的是，新的5G通信网络的重要性不如IoT组件大，这可能是因为在此新的连接标准中已经实现了高水平的嵌入式安全性。

　　实施网络安全措施的时间间隔

　　组织风险和网络安全漏洞在现代企业中始终存在。专家们一致认为，确定并采取措施解决可预防的漏洞是加强公司防御的真正机会。此问题旨在澄清在OT网络中检测到漏洞后，延迟缓解该漏洞的原因。

　　近年来，修复这些网络安全漏洞已成为高层关注的问题，引起了决策者的更多关注。全球有三分之一的参与者将较长的批准期限（31％）和无法停止生产过程（34％）列为造成这些时间间隔的原因。只有16％的受访者表示，公司中几乎没有阻碍安全措施实施的障碍。

　　但是在本地，可能还有其他原因导致引入ICS措施可能被推迟。在亚洲，大多数受访者经常将参与ICS实施的大量决策者视为拖延的原因。

　　全球运营的公司必须找到解决这些延迟的解决方案。检测到的安全漏洞可能会给零日漏洞利用带来类似的风险。必须尽快安装必要的安全措施。在国际上，有效的ISO或IEC准则可以帮助标准化方法并提高执行速度。

　　网络安全团队的环境和针对性别的情况

　　在技术工作中，性别平等并不总是既定的。这也适用于当前的调查结果。57％的受访者表示，女性在其公司的网络安全团队中任职人数不足。

　　埃森哲的一份《推动经济增长：吸引更多的年轻女性参与科学和技术》报告探讨了这些障碍和挑战。该报告指出：“在推动数字化的基于科学和技术的职业中，女性所占的比例极低”。欧盟的统计数字也反映了这一点，只有7％的技术职位由女性担任。

　　根据埃森哲（Accenture）的研究，令人遗憾的是，女性对技术的负面刻板印象仍然持续存在。女性仍然认为，技术教育是针对“男性”职业的，这是为什么青年人比年轻女性更可能选择这一道路的最大原因。只有15％的接受调查的参与者表示，他们预计未来网络安全团队中的女性人数将会增加。

　　当被问及公司是否设立了与环境相关的角色（如首席可持续发展官CSO）时，44%的人表示确实如此。对CSO需求的增加反映了企业可持续性的重大变化。总的来说，这不再是“环保”的问题，而是要成为一个好的企业公民。可持续性现在已被纳入公司的核心使命，联合国负责任投资原则的签署国占世界机构资产的一半以上。

　　企业表示，在CSO的控制下，他们重新设计了处理客户和员工数据以及业务伙伴信息的流程。显然，CSO管理个人数据保护，但对于公司来说，保护其他与业务相关的信息，以防止损害其在市场上的竞争地位、品牌和声誉，仍然至关重要。网络安全是数据保护的重要组成部分，在CSO的帮助下，网络安全的重要性将在企业中得到提升。

　　三、结论及建议

　　今年以来，各种影响对工业网络安全措施的压力加大。一个值得注意的影响是COVID-19大流行，它影响了公司的工作方式。影响工业网络安全的一个长期和持续的过程是使用数字方法提高公司效率。这两种影响，特别是对网络安全措施的影响，已经在本报告的许多章节中进行了解释。但是，如何进一步制定工业网络安全措施，以便在未来实现保护目标和保障措施？

　　网络安全成熟度模型

　　ARC开发了一个支持未来工业网络安全标准整体发展的模型。该模型为战略性地开发网络安全技术在工业过程中降低风险的好处提供了一个框架。基础网络安全结构表明需要协调人员、流程和技术，以确保达到所需的安全级别。

　　近年来，工业网络安全发生了重大变化。复杂的攻击增加了对影响控制系统的网络风险的更好可见性的需求。IT和OT网络安全计划的整合突出了远程支持团队增加系统访问的必要性。数字化改造项目需要新的方法来确保各种新的、潜在的不安全设备在工厂边界内的安全部署。工业网络安全成熟度模型为管理者在新的现实中管理工业网络安全战略提供了额外的信息。

　　这种用于不断发展的技术和体系结构的网络安全模型超越了标准和指南的建议，它采用了新的OT技术，如边缘网关、PKI等新实践和新策略，包括IT和OT网络安全计划的集成。尽管缺乏行业指导方针，但效率的提高正在推动企业采用这些发展。研究人员已将这些发展纳入模型，以帮助网络安全团队更好地评估和准备这些发展。ARC的网络安全分析师定期更新这个工业OT网络安全成熟度模型，在工业网络安全中采用了新的技术和实践。总之，这个ARC模型为规划网络安全投资提供了一个实用的工具。

　　该模型帮助公司评估技术解决方案，并帮助供应商评估他们在模型中涵盖的焦点的程度。有关工业网络安全状况的常规ARC信息用于确定工业公司需要弥补的关键资源和技术差距。在该模型的当前版本中，最终用户可以使用工业OT网络安全成熟度模型来评估其网络安全计划，并证明向最高管理层进行必要投资的合理性。

　　该模型强调需要平衡技术投资和人力资源之间的差异，网络专业人士也经常利用该模型讨论管理人员批准技术投资后的虚假安全感。所有技术投资都需要积极管理，以维持所需的网络安全保护水平。

　　异常检测作为应对ICS威胁的关键实用措施之一

　　当今的生产网络的拓扑结构可与传统的IT网络相媲美，并越来越多地使用IT协议。这些协议不仅被称为智能控制单元，传感器和执行器也越来越多地使用它们进行通信。这些组件的数量导致这些网络变得更加复杂。工业网络元素通过交换机连接；防火墙和其他监控解决方案用于保护段接口和网络连接。在这种情况下，监控是对网络中发生的数据和数据流进行原型化和分析，主要用于检测影响自动化过程的异常情况。

　　异常是对正常规则的意外偏离，即偏离“正常运行条件”。这些通常发生在错误的情况下。但是，它们也可能是生产网络中的攻击或操纵的迹象。当事件第一次发生，进程行为不同，或者设备之间没有进行过通信时，尤其如此。这意味着以前未知的攻击模式也可以通过评估异常情况来检测。因此，异常检测是生成网络警告的合适方法，并且在必要时能够进行更有效的取证。异常检测是检测网络攻击的基本方法之一。