調查報告：ICS安全從業人員日益擔心勒索軟體攻擊

E安全7月19日訊 SANS研究所第四次年度ICS網路安全調查報告顯示，許多工業控制系統（ICS）的安全從業人員認為，ICS行業的風險等級較高，ICS安全從業人員日益重視勒索軟體和嵌入式控制器帶來的風險。

調查分析

什麼威脅最大？各大機構的ICS安全專家接受調查時向SANS表示，44%的人認為是無法自我保護的設備，24%的人認為是嵌入式控制器、43%的人認為是內部威脅（包括意外故障），40%的人認為是外部威脅（例如國家攻擊者和激進黑客），35%的人認為勒索軟體和其它勒索企圖威脅最大。

擔心勒索軟體的ICS安全專家顯著增加

過去一年，勒索軟體頻繁霸佔頭條，工業系統面臨的風險諸多，理論攻擊場景以及WannaCry這類惡意軟體就是最好的證明。因此，擔心勒索軟體的ICS安全專家數量相比前一年SANS調查的數據翻了近一番。

SANS在報告中表示，雖然勒索軟體主要感染商業操作系統（例如Windows，Linux），但這些系統被集成到ICS環境，再加上ICS依賴的設備也在運行這些操作系統，從而擴大了勒索軟體對ICS的有效性和覆蓋面。公共已知的行動影響迄今為止不多，但今後可能會更多，尤其出現了針對ICS/SCADA的勒索軟體。

近期的ICS入侵事件似乎讓越來越多人意識到嵌入式控制器和控制系統應用面臨的風險。近四分之一的調查對象認為，控制器的風險最大，而仍有許多人認為運營商業操作系統的計算機風險和影響最大。

ICS相關預算比例增加

超過三分之二的調查對象認為，ICS面臨的威脅大；近一半的調查對象表示，他們的ICS安全預算相比2016財年有所增加。接下來的18個月中，20%或更多組織機構已經提供預算對控制系統進行安全評估或審計，以提高這些系統的可見性，加強安全意識培訓，並採用異常和入侵檢測工具。

在員工數量超過1000的組織機構中，其中2.6%表示2017財年用於控制系統安全的預算超過1000萬美元；而其中6%表示預算介於100萬美元至1000萬美元之間。另一方面，2.6%的大型企業承認它們根本沒有ICS安全預算。

人員培訓預算竟然減少

SANS指出，用於培訓並認證工作人員（實施和維護控制系統安全）的預算大幅下降，從2016年的34%下降到2017年26%。

這部分預算減少並非是因為招聘受過培訓的員工或從外部聘用顧問。這些舉措的預算減少到14%，低於前10大預算舉措。威脅級別不斷提升，再加上攻擊面擴大，這就要求技能專業人員出面解決這些風險，在暴露和風險因素增多的當口，員工培訓預算減少這種現象有違直覺。

40%的系統安全管理人員並不「專業」

當被問及控制系統是否被感染或滲透，40%的調查對象了解的情況與實際不符，這可能是他們對運營技術（OT）網路缺乏了解，這說明這些人維護的系統可能已經遭遇入侵。

不同系統遭遇的攻擊差別較大

近12%的調查對象表示，控制系統過去一年遭遇感染或滲透。雖然大多數調查對象不了解系統遭遇入侵的次數，或他們最多只發現五次這類事件，一些調查對象則報告稱遭遇的此類事件超過50起。

原文地址：https://www.easyaq.com/news/1445070290.shtml

E安全注：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！