SANS研究所最近進行的一項關于工業控制系統安全的調查表明，擁有諸如ICS、SCADA、過程控制、分布式控制或設施自動化之類的操作控制系統的組織仍將人視為最大的潛在弱點，并且在某些地區，它也是阻止網絡攻擊最大的資產。

2019年6月，SANS研究所發布了其報告《 2019年SANS OT / ICS網絡安全調查》，該調查探討了工業控制系統（ICS）的設計、運營和風險管理，及其網絡資產和通信協議以及支持操作方面所面臨的挑戰。

該報告基于對338名人員的調查，其中包括安全人員以及在企業IT或運營控制系統（例如監督控制和數據采集（SCADA）、過程控制、分布式控制或建筑/設施自動化和控制）中工作的其他專業人員。

最弱的連接

該調查發現了幾個有趣的數據點，例如，有62％的受訪者表示“人員”是危害其運營技術（OT）和ICS環境的主要風險。其范圍從故意的惡意攻擊者到非惡意的人，例如粗心地配置設備的員工。

然而，該調查還強調，組織越來越依賴內部培訓的人員作為安全情報的來源。在2017年，有37.4％的人表示“我們依靠訓練有素的員工知道何時搜索事件。”到2019年，這一數字已急劇上升至60.4％。

SANS調查發現的另一個數據點是，盡管75％的受訪者談到了工作站和服務器存在較高的風險。而與控制系統設備和軟件應用等OT直接相關時，該數字降至不到一半。考慮到調查發現78％的OT或控制系統具有外部連接，而其中34％的系統直接或通過其DMZ連接到Internet，這一點更為重要。

安全態勢不平衡

該調查揭示出一個依賴于ICS / SCADA的行業仍在努力解決的三個關鍵問題。首先是吸引、培訓和留住技術人才的能力。第二個問題是行業正在出現新的數字技術，這些技術模糊了OT和傳統企業網絡之間的界限。

最后一個問題是威脅與風險之間的脫節。事實證明，嵌入式控制器和組件（如PLC和IED）受到攻擊者入侵對業務的影響最大。而只有19％的組織從這些設備收集安全數據。

如何解釋這些問題呢？一種解釋是，具有ICS和SCADA基礎結構的組織會看到更多的潛在攻擊者，這使得定義風險和設計其安全模型的過程比傳統的企業IT組織更為復雜。擺在面前的問題是：這些企業會否成為具有政府背景網絡攻擊者的目標？威脅是否最有可能來自惡意內部人員或競爭對手？

令人揪心的是，通過對制造、能源和石化領域的組織進行了解，這些行業企業仍然普遍認為安全的邊界和物理隔離的網絡足以保護關鍵系統。

SANS這項報告表明，這種誤解正在發生改變，同時指出，從2017年到2019年，使用異常檢測工具來進行檢測的比例從35％增長到44％，并且還在上升。但是，許多組織仍然遭受“不平衡”的安全態勢，公司已經部署了各種高級工具，但問題是缺少人員和流程來正確地使用該技術。

基于風險的決策

所有這些數據表明，工業領域的組織，尤其是那些擁有十多年系統的組織，必須開始轉向業務驅動的風險導向系統。這種方法將成為所有OT安全策略的核心，并且與當前的工業網絡安全思維（側重于可見性和威脅監控）的轉變有所不同。

盡管這至關重要，但影響評估中的反應性響應會產生大量的警報，從而使網絡安全分析師超負荷工作，難以應對，而且對于低維護率的SCADA網絡尤其如此。

組織需要在部署持續監控之前執行風險評估。此風險評估應特定于ICS，并且不僅僅是針對設備漏洞，還要考慮業務流程及其對業務的影響，包括資金成本、服務中斷、安全性、環境影響或發生違規的影響。

一旦確定了基線風險，就必須利用它來處理對系統事件和建議的監控。此功能必須考慮不同的威脅、業務流程，當然還要考慮每個網絡事件的可能性和潛在影響，從而將重點放在要保護的關鍵設備上。

如果沒有以風險為導向的方法，安全團隊就有可能浪費寶貴的有限資源來修復對關鍵系統幾乎沒有實質性影響的小問題，而更多危險漏洞則被忽視。

風險評估必須持續進行，以反映對設備、漏洞和新威脅情報的更新。考慮到ICS CERT通常每季度將增加100～150個與ICS / SCADA環境相關的新條目，因此，將來每個組織最重要的考慮因素是，有效且連續地對系統風險進行分類的能力。