SANS研究所最近进行的一项关于工业控制系统安全的调查表明，拥有诸如ICS、SCADA、过程控制、分布式控制或设施自动化之类的操作控制系统的组织仍将人视为最大的潜在弱点，并且在某些地区，它也是阻止网络攻击最大的资产。

2019年6月，SANS研究所发布了其报告《 2019年SANS OT / ICS网络安全调查》，该调查探讨了工业控制系统（ICS）的设计、运营和风险管理，及其网络资产和通信协议以及支持操作方面所面临的挑战。

该报告基于对338名人员的调查，其中包括安全人员以及在企业IT或运营控制系统（例如监督控制和数据采集（SCADA）、过程控制、分布式控制或建筑/设施自动化和控制）中工作的其他专业人员。

最弱的连接

该调查发现了几个有趣的数据点，例如，有62％的受访者表示“人员”是危害其运营技术（OT）和ICS环境的主要风险。其范围从故意的恶意攻击者到非恶意的人，例如粗心地配置设备的员工。

然而，该调查还强调，组织越来越依赖内部培训的人员作为安全情报的来源。在2017年，有37.4％的人表示“我们依靠训练有素的员工知道何时搜索事件。”到2019年，这一数字已急剧上升至60.4％。

SANS调查发现的另一个数据点是，尽管75％的受访者谈到了工作站和服务器存在较高的风险。而与控制系统设备和软件应用等OT直接相关时，该数字降至不到一半。考虑到调查发现78％的OT或控制系统具有外部连接，而其中34％的系统直接或通过其DMZ连接到Internet，这一点更为重要。

安全态势不平衡

该调查揭示出一个依赖于ICS / SCADA的行业仍在努力解决的三个关键问题。首先是吸引、培训和留住技术人才的能力。第二个问题是行业正在出现新的数字技术，这些技术模糊了OT和传统企业网络之间的界限。

最后一个问题是威胁与风险之间的脱节。事实证明，嵌入式控制器和组件（如PLC和IED）受到攻击者入侵对业务的影响最大。而只有19％的组织从这些设备收集安全数据。

如何解释这些问题呢？一种解释是，具有ICS和SCADA基础结构的组织会看到更多的潜在攻击者，这使得定义风险和设计其安全模型的过程比传统的企业IT组织更为复杂。摆在面前的问题是：这些企业会否成为具有政府背景网络攻击者的目标？威胁是否最有可能来自恶意内部人员或竞争对手？

令人揪心的是，通过对制造、能源和石化领域的组织进行了解，这些行业企业仍然普遍认为安全的边界和物理隔离的网络足以保护关键系统。

SANS这项报告表明，这种误解正在发生改变，同时指出，从2017年到2019年，使用异常检测工具来进行检测的比例从35％增长到44％，并且还在上升。但是，许多组织仍然遭受“不平衡”的安全态势，公司已经部署了各种高级工具，但问题是缺少人员和流程来正确地使用该技术。

基于风险的决策

所有这些数据表明，工业领域的组织，尤其是那些拥有十多年系统的组织，必须开始转向业务驱动的风险导向系统。这种方法将成为所有OT安全策略的核心，并且与当前的工业网络安全思维（侧重于可见性和威胁监控）的转变有所不同。

尽管这至关重要，但影响评估中的反应性响应会产生大量的警报，从而使网络安全分析师超负荷工作，难以应对，而且对于低维护率的SCADA网络尤其如此。

组织需要在部署持续监控之前执行风险评估。此风险评估应特定于ICS，并且不仅仅是针对设备漏洞，还要考虑业务流程及其对业务的影响，包括资金成本、服务中断、安全性、环境影响或发生违规的影响。

一旦确定了基线风险，就必须利用它来处理对系统事件和建议的监控。此功能必须考虑不同的威胁、业务流程，当然还要考虑每个网络事件的可能性和潜在影响，从而将重点放在要保护的关键设备上。

如果没有以风险为导向的方法，安全团队就有可能浪费宝贵的有限资源来修复对关键系统几乎没有实质性影响的小问题，而更多危险漏洞则被忽视。

风险评估必须持续进行，以反映对设备、漏洞和新威胁情报的更新。考虑到ICS CERT通常每季度将增加100～150个与ICS / SCADA环境相关的新条目，因此，将来每个组织最重要的考虑因素是，有效且连续地对系统风险进行分类的能力。