SANS最新發布的2024年工業控制系統(ICS)與營運技術(OT)資安調查報告《SANS 2024 State of ICS/OT Cybersecurity》顯示,工控環境正在經歷重大轉變,雲端技術應用顯著增長,但專業人才培養仍面臨挑戰。
本次調查結果顯示,工控系統雲端應用率較往年大幅提升15%,達到26%。然而,人才發展方面卻出現隱憂,調查發現51%的受訪者並未持有任何ICS/OT資安相關認證,顯示業界在專業培訓方面仍有很大進步空間。
ICS/OT資安證照持有比例
在事件應變方面,56%的組織已建立專門的ICS/OT事件應變計畫,但仍有28%的組織尚未制定相關規劃。值得注意的是,遠端存取安全已有明顯進展,75%的受訪者表示已為工業場所實施多因素認證(MFA)。人工智慧應用方面,目前僅有10%的受訪者在其ICS/OT安全策略中運用AI技術,但相關興趣正在增長。
人才現況與技術整合挑戰
調查顯示,大多數從業人員具有五年或以下的工作經驗,反映出該領域相對年輕的特點。值得注意的是,36%的受訪者同時負責IT和OT安全,34%專注於OT/ICS營運,24%主要負責IT/企業業務活動,顯示出IT與OT角色的逐漸融合趨勢。
ICS/OT資安從業年份比例
在技術整合方面,65%的受訪者表示,老舊ICS/OT技術與現代IT環境的整合是一大挑戰。此外,50%的受訪者指出IT人員對ICS/OT運作需求缺乏了解,46%則提到勞動力資源短缺的問題。這些挑戰凸顯了專業培訓的重要性,以及對ICS環境特殊需求的深入理解。
SANS五大工控資安關鍵控制項目
報告提及SANS於2022年11月發布的五大工控資安關鍵控制項目包含:
- ICS事件應變:著重於開發和維護針對ICS環境的專門事件應變計畫,確保系統韌性和快速復原能力。21.4%受訪者列此項為優先項目。
- 防禦性架構:強調ICS架構的設計與實施,支援可視性、分段和進程通訊執行。調查顯示,33%的受訪者將此列為預算分配的首要優先項目。
- ICS網路可視性和監控:提倡使用具協議感知功能的工具進行持續網路安全監控,提升對ICS互動的可視性並識別漏洞。22.9%受訪者列此項為優先項目。
- 安全遠端存取:特別針對混合工作結構和供應鏈漏洞,強調確保ICS網路遠端存取的安全性。僅12.9%受訪者列為修先。
- 基於風險的漏洞管理:根據風險優先順序管理ICS漏洞,重點關注可能導致攻擊者入侵或干擾營運的漏洞。不到10%受訪者將此列為修先投資項目。
相關文章:工控資安進化論:SANS五大控制框架下的現況與關鍵啟示
企業在SANS五大工控資安關鍵控制項目的投資優先順序
治理趨勢與標準採用
在治理方面,報告指出
資安長(CISO)是推動ICS安全政策的主要角色,約39%的組織由CISO負責整合工控安全與企業安全策略,14%由CIO或CTO參與ICS安全政策制定。72%的組織採用公認框架來管理其控制系統,其中NIST網路安全框架最受歡迎(45%),其次是ISA/IEC 62443和NERC CIP等標準。
特別值得注意的是,當CISO主導治理時,82%的ICS計畫會遵循行業標準;相比之下,若組織缺乏企業範圍的ICS政策,這個比例僅為42%。
預算分配與組織優先事項
儘管66%的受訪者認為人為因素是ICS環境面臨的最大風險,但52%的網路安全預算仍主要投入在技術投資上,只有25%用於人才培訓、招募和留任。
38%的受訪者表示採用IT-OT共享預算模式,若由CISO管理ICS/OT安全計畫,這個比例更上升至48%。相較於2019年的29%,這顯示出組織正逐漸認識到IT與OT環境整合安全管理的重要性。
在業務影響優先順序方面,工業組織最重視「工業流程/設施安全」和「工業流程的可靠性與可用性」。相比之下,「保護公司聲譽和品牌」以及「符合法規要求」的優先順序較低。然而,
IT部門往往更重視「智慧財產的機密性」,甚至將其置於安全性和可靠性之上,這反映出產業間在優先順序認知上的差異。
業務影響優先順序
延伸閱讀:OT與IT系統融合:資安環境新挑戰