OT事件检测的速度更快，响应能力仍然不足

根据 SANS 研究所的一份新报告，企业在工业控制系统 (ICS) 和其他运营技术 (OT) 环境中检测事件的速度越来越快，但事件响应仍然不足。

SANS 的《2024 年 ICS/OT 网络安全状况》报告基于对关键基础设施领域 530 多名专业人士的调查，报告显示，大约 60% 的受访者可以在不到 24 小时内检测到入侵，与五年前相比有了显着改善，当时相同数量的受访者表示他们的入侵到检测时间为 2-7 天。

勒索软件攻击持续袭击 OT 组织，但 SANS 的调查发现，攻击有所减少，过去 12 个月内只有 12% 的组织遭遇过勒索软件攻击。 

其中一半的事件同时影响 IT 和 OT 网络或仅影响 OT 网络，38% 的事件影响物理过程的可靠性或安全性。 

在非勒索软件网络安全事件中，19% 的受访者在过去 12 个月内遇到过此类事件。在近 46% 的案例中，最初的攻击媒介是允许访问 OT 系统的 IT 入侵。 

大约有 20% 的案例认为外部远程服务、暴露于互联网的设备、工程工作站、受感染的 USB 驱动器、供应链感染、驱动攻击和鱼叉式网络钓鱼是初始攻击媒介。

尽管组织在检测攻击方面做得越来越好，但对许多组织来说，应对事件仍然是一个问题。只有 56% 的受访者表示，他们的组织有针对 ICS/OT 的事件响应计划，而且大多数组织每年测试一次他们的计划。

SANS 发现，每季度（16%）或每月（8%）进行事件响应测试的组织也会针对更广泛的方面，例如威胁情报、标准和结果驱动的工程场景。调查发现，他们进行测试的频率越高，他们对以手动模式操作 ICS 的能力就越有信心。

该调查还研究了劳动力管理，发现超过 50% 的 ICS/OT 网络安全人员在该领域的经验不足五年，大约相同比例的人员缺乏 ICS/OT 特定认证。

SANS 在过去五年收集的数据显示，CISO 过去是、现在仍然是 ICS/OT 网络安全的“主要所有者”。