全球工業物聯網資安領導廠商 TXOne Networks(睿控網安)今日發表最新的營運技術(OT)網路資安年度報告,詳細說明供應鏈漏洞、老舊基礎架構、漏洞修補困難,以及事件回應能力不足等風險。這份可公開下載的最新報告揭露了工業控制系統(ICS)的部署,包含如智慧感測器、邊緣運算裝置、資產追蹤解決方案,以及遠端監控工具等,讓企業更加擔心可能衍生的數位弱點。
TXOne Networks(睿控網安)的「2024 年 OT/ICS 網路資安年度報告」指出,企業如何有效保護這些連網系統以防範資安威脅,是全球資安長(CISO)正面臨的迫切挑戰。傳統的網路資安策略都專注於保護 IT(資訊技術)系統與相關的數位資產。然而,隨著產業持續邁向數位轉型,關鍵基礎架構也逐步整合至統一的數位生態環系當中,使得攻擊面因而擴大。OT 與 IT 系統之間的天生差異,通常會讓以 IT 為主的資安措施無法有效套用至 OT 環境。此外,隨著 OT 系統之間的連結變得更加緊密,傳統 IT 防護的缺點也更為顯著,尤其在系統安全性、可用性與可靠性方面。
這些研究發現來自 TXOne Networks(睿控網安)與 Frost & Sullivan 聯合執行的一項大規模問卷調查,這份調查廣納來自亞洲、歐洲、中東及北美共 150 名 C-level 級高階主管的意見,並涵蓋眾多產業,包含如汽車、食品、石油天然氣、醫藥及半導體等,每一個產業都對全球經濟至關重要,同時也都面臨著獨特的 OT 網路資安挑戰。
根據該報告顯示,高達 94% 的受訪機構表示在過去一年曾經面臨 OT 資安事件的風險,更有 98% 表示 IT 事件對他們的 OT 環境造成影響。儘管曾經發生勒索病毒事件的受訪者從 2023 年的 47% 下降至 2024 年的 28%,但國家級駭客對於關鍵基礎架構的攻擊卻儼然成為一項日趨嚴重的新挑戰。進階持續性滲透攻擊(APT)、供應鏈軟體漏洞,以及進階惡意程式(如 Fuxnet 和 FrostyGoop),都是「2024 年 OT/ICS 網路資安年度報告」當中所指出的多樣化威脅。
TXOne Networks 報告點出關鍵洞察
- OT 環境的威脅情勢正在改變:在影響 OT 環境的 IT 事件中,有 68% 來自直接滲透攻擊,30% 則因連帶損害而受影響,顯示 IT 系統安全漏洞對 IT-OT 交界處的脆弱性構成威脅。攻擊者常利用 IT-OT 整合中的薄弱環節,如憑證洩漏和錯誤配置的防火牆規則,進入 OT 環境。此外針對員工的網路釣魚攻擊及人為錯誤所造成的資安事件,也凸顯了人為因素的重要性。隨著 OT 環境與 IT 系統的連結加深,傳統的「一刀切」資安策略已不再有效,企業亟需更具針對性的防護措施。
- 漏洞與克服漏洞修補的挑戰應列為優先:在 OT 環境中有 85% 的組織未能有效更新補丁,背後的原因來自對停機的疑慮以及其他技術限制,特別在石油和天然氣行業更為嚴峻,有 10% 的組織完全不進行修補。因此,長期未修補的漏洞讓關鍵基礎設施蒙受重大風險,攻擊者可能會利用未修補的漏洞來破壞企業的運營。
- 法規與標準化的趨勢:隨著網路威脅加劇和全球監管環境越趨嚴格,組織必須將網路安全合規性納入其核心業務策略。報告中也顯示出擔憂無法合規(51%)是企業在營運技術(OT)網路安全方面投資的主要驅動因素之一。
- 避開陷阱及保障未來安全:報告指出有 95% 的組織對其 OT 網路安全狀態感到滿意或非常滿意,然而在過去 12 個月中,卻有 67% 經歷了網路安全事件。這種矛盾彰顯出當 OT 系統的防護能力需要提升,組織必須重新審視現有的安全框架,並實施必要的升級。
TXOne Networks(睿控網安)執行長劉榮太表示:「當大型企業在提昇他們的資安態勢時,OT網路資安的焦點不再侷限於資產盤點以及漏洞管理,而是延伸至資安防護、進階威脅偵測,以及基於風險的資安治理。正如今年的報告所指出,OT 網路攻擊的持續升高,突顯企業迫切需要採取行動,特別是那些尚未在 OT 佈建資安的企業。在每個垂直產業則有賴社群的力量,透過知識的分享與創新來消除這些認知及解決方案上的缺口,進而將 OT 資安的做法依據產業建立標準。TXOne Networks 一直與全球各垂直產業的領導者合作以致力提升 OT資安的防護,為企業和關鍵基礎設施的數位旅程打造更具韌性的未來!」
下載 TXOne Networks 的 2024 年 OT/ICS 網路資安年度報告。
(本文訊息由 TXOne Networks 睿控網安提供,內文與標題經 TechOrange 修訂後刊登。新聞稿 / 產品訊息提供,可寄至:pr@fusionmedium.com,經編輯檯審核並評估合宜性後再行刊登。首圖來源:TXOne Networks 睿控網安。)