卡巴斯基研究顯示：7%的工業(yè)組織僅在必要時(shí)才解決漏洞問(wèn)題

這使得他們面臨計(jì)劃外停機(jī)、生產(chǎn)損失以及可能因網(wǎng)絡(luò)安全事件導(dǎo)致的聲譽(yù)和經(jīng)濟(jì)損失的風(fēng)險(xiǎn)。VDC Research和卡巴斯基最近進(jìn)行的一項(xiàng)聯(lián)合調(diào)查強(qiáng)調(diào)了這一令人擔(dān)憂的趨勢(shì)。

卡巴斯基與VDC Research合作開(kāi)展的一項(xiàng)名為《利用專用解決方案保護(hù)運(yùn)營(yíng)技術(shù)（OT）安全》的研究，闡明了工業(yè)領(lǐng)域網(wǎng)絡(luò)安全格局的變化。這項(xiàng)研究關(guān)注能源、公用事業(yè)、制造業(yè)和交通運(yùn)輸?shù)汝P(guān)鍵行業(yè)，調(diào)查了250多位決策者，揭示了在加強(qiáng)工業(yè)環(huán)境抵御網(wǎng)絡(luò)威脅方面面臨的關(guān)鍵趨勢(shì)和挑戰(zhàn)。

強(qiáng)大的網(wǎng)絡(luò)安全策略始于對(duì)組織資產(chǎn)的完全可見(jiàn)性，這能讓管理者清晰識(shí)別需要保護(hù)的資產(chǎn)，并準(zhǔn)確評(píng)估高風(fēng)險(xiǎn)區(qū)域。在信息技術(shù)（IT）和運(yùn)營(yíng)技術(shù)（OT）系統(tǒng)融合的環(huán)境中，這不僅僅需要全面的資產(chǎn)清單。組織必須實(shí)施符合其運(yùn)營(yíng)實(shí)際情況的風(fēng)險(xiǎn)評(píng)估方法——通過(guò)建立明確的資產(chǎn)基線，組織可以進(jìn)行有意義的風(fēng)險(xiǎn)評(píng)估，同時(shí)解決公司風(fēng)險(xiǎn)標(biāo)準(zhǔn)以及漏洞可能造成的物理和網(wǎng)絡(luò)后果。

最近的一項(xiàng)調(diào)研揭示了一個(gè)令人擔(dān)憂的趨勢(shì)：相當(dāng)多的組織沒(méi)有定期進(jìn)行滲透測(cè)試或漏洞評(píng)估。只有27.1%的受訪企業(yè)每月進(jìn)行這些關(guān)鍵評(píng)估，而大多數(shù)（48.4%）每隔幾個(gè)月進(jìn)行一次評(píng)估。更令人擔(dān)憂的是，16.7%的企業(yè)每年僅實(shí)施一至兩次評(píng)估，7.4%的受訪企業(yè)僅在需要時(shí)才解決漏洞。這種不一致的應(yīng)對(duì)方式可能使組織在應(yīng)對(duì)日益復(fù)雜的威脅環(huán)境時(shí)面臨風(fēng)險(xiǎn)。

每個(gè)軟件平臺(tái)都存在固有漏洞，不安全的代碼和其他弱點(diǎn)，這些弱點(diǎn)可能被惡意攻擊者利用以破壞IT環(huán)境。對(duì)于工業(yè)企業(yè)而言，有效的補(bǔ)丁管理因此至關(guān)重要，可有效降低此類風(fēng)險(xiǎn)。然而，研究表明許多組織在這個(gè)領(lǐng)域面臨著巨大的挑戰(zhàn)，常常難以抽出必要的時(shí)間來(lái)暫停運(yùn)營(yíng)以進(jìn)行關(guān)鍵更新。令人不安的是，許多組織每隔幾個(gè)月甚至更長(zhǎng)時(shí)間才為其OT系統(tǒng)打補(bǔ)丁，這大大增加了其風(fēng)險(xiǎn)暴露程度。具體來(lái)說(shuō)，31.4%的組織每月打補(bǔ)丁，46.9%的組織每隔幾個(gè)月打一次補(bǔ)丁，而12.4%的組織每年只更新一到兩次。

在運(yùn)營(yíng)技術(shù)（OT）環(huán)境中，有效補(bǔ)丁管理的實(shí)施難度更為嚴(yán)峻，這主要在于設(shè)備可見(jiàn)性有限、供應(yīng)商補(bǔ)丁可用性不一致、專業(yè)技術(shù)要求以及合規(guī)性要求等因素，為網(wǎng)絡(luò)安全環(huán)境增加了復(fù)雜性。

隨著IT和OT系統(tǒng)日益融合，迫切需要協(xié)調(diào)這些傳統(tǒng)上相互獨(dú)立的系統(tǒng)，這些系統(tǒng)往往依賴于專有技術(shù)而不是開(kāi)放標(biāo)準(zhǔn)。物聯(lián)網(wǎng)（IoT）設(shè)備的快速普及進(jìn)一步加劇了這一挑戰(zhàn)——從用于資產(chǎn)追蹤和健康監(jiān)測(cè)的攝像頭與智能傳感器，到先進(jìn)的氣候控制系統(tǒng)。這種互聯(lián)設(shè)備的爆炸式增長(zhǎng)擴(kuò)大了工業(yè)組織的攻擊面，突顯了對(duì)強(qiáng)大網(wǎng)絡(luò)安全措施的迫切需求。

面向工業(yè)企業(yè)客戶，卡巴斯基提供了一套獨(dú)特的生態(tài)系統(tǒng)，無(wú)縫集成專用的 OT級(jí)技術(shù)、專家知識(shí)和寶貴的專業(yè)經(jīng)驗(yàn)。該生態(tài)系統(tǒng)的基石是卡巴斯基工業(yè)網(wǎng)絡(luò)安全解決方案（KICS）——一個(gè)專為關(guān)鍵基礎(chǔ)設(shè)施保護(hù)而設(shè)計(jì)的原生擴(kuò)展檢測(cè)與響應(yīng)（XDR）平臺(tái)。它提供集中的資產(chǎn)清單、風(fēng)險(xiǎn)管理和審計(jì)，并通過(guò)單個(gè)平臺(tái)實(shí)現(xiàn)跨不同分布式基礎(chǔ)設(shè)施的安全可擴(kuò)展性。此外，卡巴斯基建議工業(yè)組織在部署新的OT設(shè)備或系統(tǒng)時(shí)采用“安全設(shè)計(jì)”理念。

“在卡巴斯基，我們通過(guò)我們的網(wǎng)絡(luò)免疫方法將“安全設(shè)計(jì)”理念付諸實(shí)踐。這意味著我們的產(chǎn)品在架構(gòu)上具有彈性，能夠抵御攻擊，甚至是利用未知漏洞的攻擊。與傳統(tǒng)系統(tǒng)不同，網(wǎng)絡(luò)免疫產(chǎn)品不依賴于持續(xù)的補(bǔ)丁或外部安全層。因此，我們的客戶受益于更強(qiáng)大的保護(hù)、簡(jiǎn)化的維護(hù)和更低的總擁有成本——而不會(huì)影響安全性，”卡巴斯基操作系統(tǒng)業(yè)務(wù)部負(fù)責(zé)人Dmitry Lukiyan表示。

卡巴斯基亞太區(qū)董事總經(jīng)理Adrian Hia評(píng)論道：“在競(jìng)爭(zhēng)異常激烈的商業(yè)環(huán)境中，穩(wěn)定性和連續(xù)性是組織績(jī)效的關(guān)鍵基石。此時(shí)，一個(gè)強(qiáng)大的安全系統(tǒng)對(duì)于防范潛在的網(wǎng)絡(luò)攻擊至關(guān)重要，因?yàn)檫@些攻擊可能導(dǎo)致嚴(yán)重的運(yùn)營(yíng)中斷，例如計(jì)劃外停機(jī)、設(shè)備損壞，以及在制品庫(kù)存報(bào)廢和損失。企業(yè)需要增強(qiáng)其網(wǎng)絡(luò)安全系統(tǒng)的韌性——這不僅是為了保護(hù)其運(yùn)營(yíng)，也是為了在數(shù)字經(jīng)濟(jì)中增強(qiáng)自身的競(jìng)爭(zhēng)優(yōu)勢(shì)。”

卡巴斯基大中華區(qū)總經(jīng)理鄭啟良指出，工業(yè)數(shù)字化轉(zhuǎn)型中IT與OT融合加劇了安全復(fù)雜性，企業(yè)普遍存在“被動(dòng)防御”與碎片化防護(hù)短板，暴露于物聯(lián)網(wǎng)設(shè)備激增帶來(lái)的風(fēng)險(xiǎn)敞口�？ò退够�提出的'設(shè)計(jì)即安全'理念，通過(guò)基于KasperskyOS的網(wǎng)絡(luò)免疫方法將防護(hù)能力植入系統(tǒng)底層，實(shí)現(xiàn)架構(gòu)級(jí)主動(dòng)防御，無(wú)需依賴頻繁補(bǔ)丁即可抵御未知威脅，同時(shí)其工業(yè)網(wǎng)絡(luò)安全生態(tài)系統(tǒng)（KICS）提供全方位防護(hù)，既能保障業(yè)務(wù)連續(xù)性，又能有效管控網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

采用基于卡巴斯基操作系統(tǒng)（KasperskyOS）的網(wǎng)絡(luò)免疫產(chǎn)品，企業(yè)能夠以最低的附加安全成本提升系統(tǒng)彈性，從而長(zhǎng)期降低整體網(wǎng)絡(luò)安全支出。

要閱讀《利用專用解決方案保護(hù)運(yùn)營(yíng)技術(shù)（OT）安全》報(bào)告全文，請(qǐng)?jiān)L問(wèn)這個(gè)網(wǎng)站。

要了解更多關(guān)于工業(yè)網(wǎng)絡(luò)彈性和全方位保護(hù)資產(chǎn)與流程安全的方法，請(qǐng)?jiān)L問(wèn)我們的交互式指南。

關(guān)于VDC Research

VDC Research 成立于 1971 年，為全球的技術(shù)供應(yīng)商、最終用戶和投資者提供深入的見(jiàn)解。作為一家市場(chǎng)研究和咨詢公司，VDC 在 AutoID、企業(yè)移動(dòng)性、工業(yè)自動(dòng)化以及 loT 和嵌入式技術(shù)方面的研究是業(yè)內(nèi)最先進(jìn)的，可幫助客戶做出有信心的關(guān)鍵決策。憑借嚴(yán)謹(jǐn)?shù)难芯糠椒ㄕ�，VDC Research始終為高技術(shù)含量市場(chǎng)提供精準(zhǔn)預(yù)測(cè)與卓越的思想領(lǐng)導(dǎo)力。VDC 位于馬薩諸塞州的 Southborough，以其與客戶的密切關(guān)系而自豪，提供無(wú)與倫比的注重細(xì)節(jié)和獨(dú)特的視角。

關(guān)于卡巴斯基

卡巴斯基是一家成立于1997年的全球網(wǎng)絡(luò)安全和數(shù)字隱私公司。迄今為止，卡巴斯基已保護(hù)超過(guò)十億臺(tái)設(shè)備免受新興網(wǎng)絡(luò)威脅和針對(duì)性攻擊。卡巴斯基不斷將深度威脅情報(bào)和安全技術(shù)轉(zhuǎn)化成創(chuàng)新的安全解決方案和服務(wù)，為全球的企業(yè)、關(guān)鍵基礎(chǔ)設(shè)施、政府和消費(fèi)者提供安全保護(hù)。公司提供全面的安全產(chǎn)品組合，包括領(lǐng)先的端點(diǎn)保護(hù)解決方案以及多種針對(duì)性的安全解決方案和服務(wù)，以及用于應(yīng)對(duì)復(fù)雜和不斷變化的數(shù)字威脅的網(wǎng)絡(luò)免疫解決方案。我們還幫助全球200,000家企業(yè)客戶保護(hù)最重要的東西。要了解更多詳情，請(qǐng)?jiān)L問(wèn)www.kaspersky.com.