根据 SANS 研究所进行并由 Nozomi Networks 赞助的研究，在今年全球接受调查的公司中，35% 的运营技术 (OT) 和工业控制系统漏洞是工程工作站入侵的初始攻击媒介，比去年同期翻了一番。

虽然表示在过去 12 个月内他们的 OT/ICS 系统遭到破坏的受访者数量下降至 10.5%（低于 2021 年的 15%），但三分之一的受访者表示他们不知道他们的系统是否是否被违反。

对于 2022 年 SANS ICS/OT 调查，收到了 332 份回复，代表来自能源、化学、关键制造、核能、水管理和其他行业的垂直行业。

控制系统安全面临的挑战

在保护 ICS/OT 技术和流程方面面临的一些最大挑战包括 将传统和老化的 OT 与现代 IT 系统集成；不是为控制系统设计的传统 IT 安全技术，会导致 OT 环境中断；不了解 OT 运营要求的 IT 人员；调查显示，劳动力资源不足以实施现有的安全计划。

0 seconds of 28 seconds音量 0%

商业服务、医疗保健和公共卫生以及商业设施等行业是受访者认为最有可能成功实现 ICS 妥协的三大行业，这将影响今年的安全可靠运营。 

当被问及哪些 ICS 组件被认为对业务影响最大时，大多数受访者 (51%) 指定了工程工作站、仪器笔记本电脑和校准/测试设备。大多数受访者 (54%) 还表示，工程工作站、笔记本电脑和测试设备是最容易受到威胁的系统组件。

该研究指出，工程工作站，包括用于设施设备维护的移动笔记本电脑，具有用于编程或更改逻辑控制器和其他现场设备设置或配置的控制系统软件。与传统 IT 不同，ICS/OT 系统监控和管理通过物理输入和受控物理动作在现实世界中进行实时更改的数据。

IT 系统是 OT/ICS 的主要攻击媒介

尽管对工程工作站的攻击在过去一年中翻了一番，但就作为 OT/ICS 系统的初始攻击媒介而言，它们仅排在第三位。OT/ICS 系统的主要攻击媒介涉及 IT，41% 的公司报告称，IT 漏洞是导致其 OT/ICS 系统最终受损的原因。

第二大攻击媒介是可移动媒体，例如 USB 和外部硬盘驱动器。为了避免这种威胁，83% 的受访者制定了管理临时设备的正式政策，76% 的受访者采用了威胁检测技术来管理这些设备。此外，70% 使用商业威胁检测工具，49% 使用自制解决方案，23% 已部署临时威胁检测来管理此风险。 

“工程系统虽然没有配备传统的反恶意软件代理，但可以通过基于网络的 ICS 感知检测系统和基于工业的网络架构实践得到保护，”报告称。“此外，作为现场设备持续工程维护任务的一部分，日志捕获或日志转发以及定期控制器配置验证是开始保护这些资产的可行方法。”

该报告表明，ICS 安全性正在成熟。“ICS 威胁情报市场在 12 个月内取得了长足的进步。越来越多的设施正在使用供应商提供的威胁情报来采取更直接和可操作的防御措施。与 2021 年的大多数受访者不同，2022 年的受访者不再仅仅依赖于公开可用的威胁英特尔，”根据迪恩·帕森斯 (Dean Parsons) 撰写的报告。“这标志着对 ICS 供应商特定威胁情报的价值的成熟度和意识的提高，以及用于改进该领域主动防御的预算分配。”

工业系统有自己的安全预算

报告称，越来越多的组织正在获得特定于 ICS 的安全预算，到 2022 年，只有 8% 的设施没有安全预算。27% 的组织的预算分配在 100,000 美元到 499,999 美元之间，25% 的组织的预算在 500,000 美元到 999,999 美元之间。 

在接下来的 18 个月中，组织将这些预算分配给各种计划；计划提高对网络资产及其配置的可见性（42%）以及基于网络的异常和入侵检测工具的实施（34%）。控制系统网络上基于网络的入侵防御工具也受到关注（26%）。 

近 80% 的受访者表示，他们现在拥有强调 ICS 运营的角色，而 2021 年只有约 50% 拥有此类特定角色。然而，这些组织表示，即使这些领域在安全事件期间具有不同的任务、所需的技能和影响，但责任仍然趋同。

近 60% 的调查受访者使用被动监控，网络嗅探器是检测硬件和软件漏洞的主要方法。第二种最常见的方法是持续主动漏洞扫描。 

第三种最常用的方法是将配置和控制逻辑程序与已知良好的逻辑版本进行比较。