定制报告-个性化定制-按需专项定制研究报告
行业报告、薪酬报告
联系:400-6363-638
《毕马威&国际控制系统网络安全协会:2024年控制系统网络安全年度报告(75页).pdf》由会员分享,可在线阅读,更多相关《毕马威&国际控制系统网络安全协会:2024年控制系统网络安全年度报告(75页).pdf(75页珍藏版)》请在本站上搜索。 1、(CS)2AI-KPMG控制系统网络安全年度报告20242主席致辞0404年度报告冠名赞助商前言0505执行摘要0606(CS)2项目0808(CS)2项目成熟度纵向分析0909客户(CS)2项目成熟度地区1010(CS)2关键绩效指标(KPI)高成熟度vs低成熟度1111使用的安全成熟度框架终端用户vs供应商1212组织计划终端用户13(CS)2 服务终端用户14(CS)2技术终端用户15减少(CS)2攻击面的障碍16(CS)2障碍高成熟度vs低成熟度17(CS)2障碍组织层面18(CS)2障碍终端用户vs供应商19(CS)2障碍区域分析20(CS)2支出和预算21(CS)2高投资回报率领域2、组织级别2222(CS)2高投资回报率领域高成熟度vs低成熟度2323支出优先级组织层面2424供应商对客户预算的指导供应商2525目录(CS)2高支出高成熟度vs低成熟度vs全部 2626(CS)2高支出终端用户2727(CS)2预算变化纵向分析2828(CS)2投资计划高成熟度vs低成熟度2929(CS)2投资计划地区3030(CS)2预算情况高成熟度vs低成熟度3131(CS)2评估3232(CS)2 评估频率高成熟度vs低成熟度3333(CS)2评估频率终端用户vs供应商34(CS)2评估内容高成熟度vs低成熟度35(CS)2 评估内容终端用户vs供应商36(CS)2 评估响应高成熟度3、vs低成熟度37获取前的(CS)2风险评估高成熟度vs低成熟度38安全培训39(CS)2意识培训整合终端用户4040(CS)2意识训练整合高成熟度vs低成熟度4141(CS)2培训内容高成熟度vs低成熟度4242(CS)2网络43控制系统组件的可访问性4444(CS)2管理服务现状高成熟度vs低成熟度4747(CS)2AI-KPMG2024控制系统网络安全年度报告3目录(CS)2管理服务的使用纵向分析48附录A:受访者组成61(CS)2技术现状高成熟度vs低成熟度49受访者职位终端用户和供应商62(CS)2网络监控纵向分析50受访者区域分布63(CS)2可见性终端用户51受访者年龄分布64(C4、S)2事件52按受访者组织级别的年龄分布65(CS)2攻击响应终端用户53受访者教育水平66(CS)2事件近况纵向分析54受访者所在公司类别66客户(CS)2事件攻击媒介区域55受访者所在行业(仅限终端用户)67(CS)2事件影响纵向分析56受访者组织规模68近期(CS)2攻击媒介纵向分析57受访者决策角色68(CS)2威胁行为者纵向分析58受访者决策角色仅限终端用户68供应商指引59受访者的职务和组织级别69客户KPI关注指引供应商60附录B:年度报告指导委员会及撰稿人71附录C:关于(CS)2AI73附录D:报告发起人74(CS)2AI-KPMG2024控制系统网络安全年度报告4主席致辞尊5、敬的业界同仁:我很自豪地发布第三版(CS)2AI-KPMG控制系统网络安全年度报告,这份报告不仅凝结着我们分析师和研究人员的心血,也离不开所有报告指导委员和同仁的辛勤付出。今年的报告基于630多名行业成员的调查结果和(CS)2AI全球会员的代表性样本(目前约有3,4000名社区成员)而形成,其中包括关于控制系统安全事件、攻击模式和应对方面的经验,以及将资源集中于保护关键系统和资产所面临的问题。调查报告中的受访者增加了招聘合格人员的难度,报告强调各组织需要投资发展现有员工的网络安全技能并对其进行培训。每年都有越来越多的参与者为我们的年度报告付出努力。我们必须向报告发起人毕马威国际表示最大的感谢,6、感谢他们几年前使我们能够启动这个项目,并感谢他们在项目制作方面继续支持和合作。我们的共同目标是,本报告能够为业界同事提供基于经验的有价值见解,成为辅助日常做出许多艰难决定的工具。重要的是,要利用本报告的结论做出明智的决策,并优先考虑能为控制系统安全支出提供最佳投资回报率的领域。我们将一如既往地支持我们的社区,努力确保系统安全,使现代生活方式成为可能。德里克哈普(CS)2AI创始人兼董事长2024年的报告阐明了控制系统安全行业的几个关键趋势和挑战。虽然网络攻击的增加令人担忧,但各组织在网络安全预算方面也更加充裕,专注于预防,并认识到供应链攻击的威胁。报告中强调的一个重要问题是网络安全领域的技术工7、人短缺。随着网络威胁的兴起,对网络安全专业人员的需求从未如此之高。Waterfall安全解决方案和Fortinet自我们的第一版报告以来一直与我们合作,并提供资源和专业知识。我们还要感谢所有其他合作伙伴,他们的支持和指导每年都有助于使这成为一个宝贵的决策支持工具(见附录D)。当然,我们也不能忽略那些主动加入年度报告指导委员会的所有成员(见附录B)。在新年到来之际,回顾我们在控制系统安全领域取得的进展以及我们继续面临的挑战至关重要。即使作为一个百分之百的乐观主义者,在去年数以百次与他人交谈中仍然可以感受到,想要取得真正的进展还有很长的路要走。有一点始终没改变的,就是我们面前还有大量的工作要做,来8、确保能够实现现代生活方式的安全系统。(CS)2AI-KPMG2024控制系统网络安全年度报告5年度报告冠名赞助商前言瓦尔特里西毕马威国际全球OT网络安全负责人,毕马威阿根廷咨询业务主管合伙人巴勃罗阿尔马达毕马威国际全球OT网络安全副主管,毕马威阿根廷OT网络安全主管合伙人虽然运营技术(OT)网络安全已经在大多数行业首席信息安全官(CISO)的议程上占据了一席之地,但在许多情况下,它仍然是更广泛的网络安全领域中一个孤立的问题。尽管近年来许多公司取得了重大进展,但该领域仍在不断走向成熟和整合。今年(CS)2AI和毕马威国际合作的结果揭示了我们取得的进展和面临的持续挑战。关于成熟度,近一半(49%)9、的受访组织运营仍处于较低的成熟度(第1级或第2级),即只拥有解决问题和基本管理的能力。虽然建立OT网络安全项目的必要性不再是一个新颖的概念,尽管市场上已有成熟的技术解决方案,但调查结果发现成熟度仍没有大幅提升。可能阻碍进步的一个显著因素是技术资源的稀缺,这也是该领域多年来一直在努力应对的一个众所周知的挑战。尽管存在这些挑战和相对渐进的发展步伐,但我们与行业高管的讨论表明,我们对OT网络安全相关风险的认识有所提高。尽管在过去几年里,这可能是一次艰难的推销,但与高层管理人员的网络安全对话越来越多地围绕着OT网络安全作为焦点。这意味着对学科的关键重要性有了更高层次的理解和认识。正如所料,高管们也更愿10、意参与以OT网络安全为中心的危机模拟和桌面演习。我们相信,毕马威国际和(CS)2AI之间的年度合作在提高高管层的意识方面发挥着关键作用。通过对全球从业者和领导者所提供的真实案例进行分析,我们的调查为该领域的全球演变提供了一个公正的视角。它有助于做出明智的投资决策,并突出了人们对这一领域日益增长的兴趣。我们相信,我们的联合报告为OT网络安全从业人员和领导者以及更广泛的执行社区提供了宝贵的资源。在第三版报告中,我们重申,我们将致力于对该领域全球领导人所认为的围绕OT网络安全的主要挑战提供公正的展望。我们诚邀读者深入了解本年度报告的见解,希望我们的年度工作能让您在这一领域做出更明智的决策和投资,无论11、您是领导者、执行者还是实践者。我们认为,OT 网络安全是一个持续的旅程,没有真正的终点。本调查与网络安全本身一样,是这一永恒旅程中不可或缺的一部分,致力于年复一年地为这一关键领域提供更好的见解。(CS)2AI-KPMG2024控制系统网络安全年度报告6执行摘要主要调查结果几乎一半的响应组织(49%)仍然没有ICS/OT网络安全计划,或者只有基本的网络安全计划,缺乏既定的计划、程序或能力改进过程。不同组织级别的受访者在分配额外酌处权资金方面的优先事项大相径庭,这就提出了他们的动机是否一致以及他们的目标为何不同的问题。对控制系统网络活动的全面监控正在增加,在过去一年中增加了80%。我们评估了来自企12、业网络、互联网、云以及集成商/供应商的许多控制系统组件(PLC、IED、RTU、HMI、服务器、工作站和Historian)的可访问性。在这一领域,拥有高成熟度项目的组织和拥有低成熟度项目的组织之间通常没有什么区别。事实上,高成熟度组织中的组件通常比低成熟度组织中的组件更容易访问。有关高成熟度和低成熟度的定义,请参见第8页。本报告是一系列年度出版物中的最新一份,这些出版物来自国际控制系统网络安全协会(又称(CS)2AI),其拥有近3,4000名成员的社区和数十个战略联盟伙伴的研究。在(CS)2AI创始人兼董事长Derek Harp和联合创始人兼总裁Bengt Gregory-Brown领导的数13、十年网络安全调查开发、研究和分析的基础上,(CS)2AI团队邀请我们的全球成员和我们扩展社区中的数千名其他人参加。通过询问关键问题,了解他们在运营、保护和维护运营技术(OT)系统和资产的第一线的经验,这些系统和资产耗资数百万至数十亿美元的资本支出,对持续收入产生同等或更多的影响,并影响全世界个人的日常生活和企业的业务运营。其中超过630人对我们的初步调查做出了回应,更多人参与了我们通过正在进行的(CS)2教育计划开展的额外数据收集工作。该数据池以匿名方式提交,以确保排除可能影响参与者反应的考虑因素,从而深入了解负责控制系统运营和资产的个人和组织的真实经验,超出本报告的预设范围。我们希望我们选择14、的细节能为读者提供所需的决策支持工具。(CS)2AI-KPMG控制系统网络安全年度报告20247调查目标与方法本报告使用总体术语“控制系统”(CS)和“运营技术”(OT)来指代管理、监控和/或控制物理设备和过程的任何/所有系统。因此,CS、(CS)和OT应理解为包括工业控制系统(ICS)、数据采集与监视控制系统(SCADA)、过程控制系统(PCS)、过程控制域(PCD)、建筑/设施控制、自动化和管理系统(BACS/BAMS/FRCS)、联网医疗设备等。同样,“(CS)2”是泛指控制系统网络安全领域、专业、项目和人员。(CS)2AI-KPMG控制系统网络安全年度报告系列于2019年推出,旨在为世15、界各地参与控制系统资产和运营安全工作的各方(无论是终端用户还是供应商、高管、经理还是运营团队)提供信息丰富的决策工具。本报告由以下实体共同完成:(CS)2AI:作为项目发起人,(CS)2AI在项目规划、领导和实施中发挥着主要作用,包括数据收集、分析和编写本报告。毕马威国际:作为产权报告发起人,毕马威提供了主要资金和组织资源支持,以增强(CS)2AI自身的能力。其他赞助商:非冠名赞助商Fortinet、WaterfallSecuritySolutions和Opscura提供了额外的资金和其他资源。(见附录D:报告发起人。)根据上述目标,(CS)2AI和我们的赞助商向在该领域工作的CS/OT网络安16、全社区成员分发了在线调查,收集了CS事件、活动和技术的关键数据,以及组织如何应对不断变化的威胁的详细信息1。(CS)2AI邀请其相关成员、已知的OT安全捍卫者和研究人员参与,通过直接邀请和各种广播媒体渠道分发调查,并在为CS网络安全工作人员服务的网站上进行推广,目的是收集尽可能广泛的样本。受访者通过确认他们目前或最近参与(CS)2领域而自我选择。他们包括所有组织层面的专业人员:网络安全专家和事务专家(SME),以及其工作包括但不仅限于安全和保护控制系统的人员。能够将我们的参与者解析为不同的群体,并比较他们在这些群体关联中的投入,这是从这个年度研究项目中获得见解的关键。虽然我们认为调查参与者(C17、S)2AI计划的成熟度是最重要的维度,但我们也考虑了他们的组织级别、地区以及他们与(CS)2资产(供应商、用户、所有者或运营商)的关系。当然,我们也进行了纵向分析,当我们发现有趣的趋势时,我们也分享这些趋势。1.威胁范围:对CS/OT行动和资产的所有可能威胁的总和。威胁是动态的,随着漏洞的发现和针对漏洞利用的保护措施的制定而不断变化。(CS)2AI-KPMG控制系统网络安全年度报告20248(CS)2项目衡量受访组织的(CS)2计划成熟度是我们年度分析的关键,它为评估受访组织提供的许多其他数据提供了衡量标准。与其他组织相比,拥有更加成熟计划2的组织在哪些方面做得更不同或更频繁?如果我们发现这些18、组织的回答之间存在明显差异,我们会提请读者注意。我们要求每位参与者从以下描述中选择最适合其组织情况的一项。控制系统网络安全计划成熟度第1级第2级第3级第4级第5级网络安全流程通过现有流程的反馈不断改进,并适应更好地满足组织需求。执行流程的人员具有足够的技能和知识。优化、自动化、集成、可预测。主动防御、威胁情报、事件管理。2.高成熟度组包括所有自评为第4级或第5级的受访者;低成熟度组指被识别为第1级或第2级的受访者。网络安全计划利用数据收集和分析来改善其结果。活动以文件化的组织指令为指导,政策包括特定标准和/或指南的合规要求。负责控制系统安全职责的人员受过培训并具备经验。计划是管理的,主动的,跟19、踪指标,部分自动化。主动防御、安全信息和事件管理(SIEM)、异常和漏洞检测。网络安全根据文件化的流程和程序进行生产和工作。确定并参与关键利益相关者。提供足够的资源来支持这一过程(人员、资金和工具)。已经确定了指导实施的标准和/或指导方针。被动防御。在网络安全实施中遵循基本的项目管理实践;成功仍然需要关键人物,但知识体系正在发展。执行最佳实践,但可能是临时的。被动防御。救火状态。网络安全程序是无组织和无记录的,不是在“程序”中组织的。成功取决于个人的努力;是不可重复或可扩展的,因为没有充分定义和记录流程。被动防御。(CS)2AI-KPMG控制系统网络安全年度报告20249更成熟14%30%3320、%17%6%16%28%32%16%9%16%33%28%17%6%0%5%10%15%20%25%30%35%202020222023以下哪一项最能描述您的控制系统网络安全程序?每个排名的参与者数量都有所变化(值得注意的是,第2级组织的数量在今年有所增加),但我们发现,多年来高成熟度和低成熟度组织的规模变化不大。参与者继续对他们自己的(CS)2项目进行评分。我们的团队认为这有利于自我评价有效性。我们在分析高成熟度(第4级和第5级)和低成熟度(第1级和第2级)组之间的对比和相似性时广泛使用了这一点,并以此作为划分建议的基础。(CS)2项目成熟度纵向分析第1级第2级第3级第4级第5级(CS)2A21、I-KPMG控制系统网络安全年度报告20241016%34%29%15%5%20%34%28%14%5%20%43%16%16%4%10%48%31%7%3%16%12%56%12%4%0%10%20%30%40%50%60%GlobalRegion 1Region 2Region 4Region 5世界各地的顾问(供应商、服务提供商、集成商)对其客户(CS)2项目的成熟度看法不一。不同地区对成熟度有不同的看法。区域2的自评得分较低,63%在第1级和第2级,区域4的有近一半(48%)处于第2级,而区域5有超过一半的组织(56%)处于第3级。区域3、6和7缺乏足够的参与,无法纳入本分析(见脚注322、)。客户(CS)2项目成熟度 地区33.(CS)2AI将组织划分成七个区域。1)北美;2)欧洲(中部、西部、北部和南部);3)欧亚大陆;4)印度太平洋;5)中东-北非;6)南部非洲;7)拉丁美洲-加勒比以下哪一项最能描述您的控制系统网络安全程序?第1级第2级第3级第4级第5级全球的区域1区域2区域4区域5(CS)2AI-KPMG控制系统网络安全年度报告20241134%41%47%44%34%31%38%44%56%38%31%50%59%28%41%38%3%28%21%35%24%34%31%28%31%38%24%21%31%22%18%9%16%15%0%10%20%30%40%50%23、60%70%Typical(CS)KPIs monitored by organizations(CS)2关键绩效指标(KPI)高成熟度vs低成熟度尽管更多成熟项目对某些关键绩效指标(KPI)的跟踪力度更大并不令人惊讶(例如,作为任何项目随时间推移不断改进的核心活动,效率提升或改进所带来的安全活动成本增加至近五倍的差距:低成熟度的 8%对高成熟度的40%,这是符合预期的),我们认为如此多的项目对于绩效的跟踪力度之低是令人担忧的。今年,我们的低成熟度受访者大约是高成熟度受访者的两倍,尽管85.3%的受访者跟踪了一些KPI,但大多数人只跟踪了少数KPI。我们强烈建议这些组织扩大其衡量标准,以更好地24、了解其安全计划工作的有效性。组织监控的典型(CS)KPI重复点击恶意链接的人数安全事件误报次数到达终端用户的恶意代码和/或垃圾邮件的百分比安全事件的财务成本点击不良链接的人数共享帐户使用数量解决安全事件的时间应用程序和配置过期的系统数量安全事件的数量受感染(恶意软件)系统的数量未盘点设备的数量缺少补丁的系统数量安全事件造成的运营中断(停机时间)数量效率提升或改进所带来的安全活动成本组织不跟踪KPI实施了组织的安全要求和原则并持续遵循的场站和系统的数量从非核心网络区域流入关键控制网络的信息流数量(CS)2AI-KPMG控制系统网络安全年度报告2024低成熟度 高成熟度1219%34%31%25%25、34%9%44%53%28%53%25%25%9%28%10%36%27%26%NISTNERC CIPTop 20 Critical Security ControlsANSSI ICSISOCOBITISA/IEC 62443Cybersecurity Capability Maturity Model(C2M2)Industry Regulations0%10%20%30%40%50%60%End UsersVendorsFrameworks used by control system security teams使用的安全成熟度框架终端用户 vs 供应商比较不同群体的观点有其不利之处26、,但我们认为,将这两个群体的观点并列看待是有用的,因为他们都对控制系统的安全负有责任。我们在这里看到,虽然C2M2和NIST是最突出的,但前者适用于供应商,后者适用于终端用户。报告的使用情况终端用户的C2M2与去年的总体数据(2022年-C2M2 26.3%)有效匹配,但该报告没有区分终端用户和供应商。在我们的最新一轮调查中,供应商分别做出回应,并报告使用C2M2的频率几乎是原来的两倍(终端用户C2M2 26.6%vs供应商C2M2 53.1%)。NIST的使用率似乎变化不大,去年所有参与者的反馈结果为45.7%(2022年),本次调研两个群体的平均值也基本落在这个范围内。控制系统安全团队使用27、的框架美国国家标准与技术研究院(NIST)NERC CIPTop20关键安全控制ANSSI ICS国际标准化组织(ISO)COBITISA/IEC 62443标准网络安全能力成熟度模型(C2M2)行业法规终端用户供应商(CS)2AI-KPMG控制系统网络安全年度报告2024Current state of organizational plans22%24%23%28%28%22%35%24%25%28%27%20%22%20%37%29%29%20%34%33%26%13%20%15%22%16%17%11%0%5%10%15%20%25%30%35%40%PlannedDocumented28、ImplementedTested13组织计划 终端用户我们团队认为,每个有控制系统安全(CS)责任的组织都应全面管理其风险,制定文档化的实施和测试计划及程序,以减少事故发生,并最大限度降低对公司、员工和客户的影响。随着全面实施计划和测试成为黄金标准,大量受访公司仅拥有文档化的计划和记录,但在程序上并未做好这些计划所针对的事件发生后的应对准备。组织计划的当前状态控制系统风险管理计划控制系统网络安全事件响应计划控制系统网络安全业务连续性计划控制系统网络安全灾难恢复计划控制系统网络安全漏洞管理计划控制系统网络安全访问管理计划供应链风险管理计划计划记录在案已实施已测试(CS)2AI-KPMG控制系统29、网络安全年度报告20241456%43%38%42%36%36%40%36%Internal IT security resourcesInternal OT security resourcesInternal Hybrid IT/OT team(s)Internal Engineering team(s)Internal security teams under CISO/CSO/CTOSecurity teams under CISO/CSO/CTO with both internal and externalresourcesContracted resources(consulta30、nts)Outsourced resources(service company)0%10%20%30%40%50%60%Sources of control system security services used by organizationsSecurity teams under CISO/CSO/CTO with both internal and external resources(CS)2服务 终端用户组织应该到哪里去寻求保护其控制系统安全(CS)资产、人员和运营所需的帮助?根据我们的受访者反馈,他们会从各个渠 道 获 取 帮 助。内 部 IT 安 全 资 源(56.2%)31、作为多数反馈表明,大多数组织的OT网络安全由IT部门推动,并且可能IT安全方法和技术正在这些环境中应用。许多首席信息安全官(CISO)对运营技术(OT)安全项目感到畏惧,因为对工厂网络安全的治愈比疾病本身还要糟糕。我曾经是CISO,所以我理解这种情况。OT需要生产优先,而IT则优先考虑安全性而不是停机时间。我们在与恶意行为者的斗争中节节败退,很大程度上是因为无所作为。使用传统的IT工具来保护运营技术(OT)十分昂贵,不仅因为咨询、规划和设备的成本,更重要的是因为大量的停机时间。运营者必须做出痛苦的决定,重新配置他们的网络,替换仍在使用但已过寿命的资产,并部署安全团队所有这些都需要关闭他们的工厂32、数天甚至数周。我们正在迫使他们做出不推进其运营产线和设施网络安全的艰难决定。在许多情况下,停机损失比整个安全项目本身成本还要昂贵。让我们合作,使得保护和维护我们的工厂和设施的时间成本更低,更加经济,最重要的是,减少甚至消除停机时间。通过合作,我们可以消除传统IT的障碍,共同保障全球的基础设施安全。BrianBrammeierOpscura首席执行官各组织使用的控制系统安全服务的来源内部IT安全资源内部OT安全资源内部融合的IT/OT团队内部工程师团队CISO/CSO/CTO领导的内部安全团队合同资源(顾问)外包资源(服务公司)CISO/CSO/CTO领导下的安全团队,包括内外部资源(CS)2A33、I-KPMG控制系统网络安全年度报告20241565%58%58%52%34%29%(CS)2技术 终端用户并不是所有技术都适合所有环境的需求和要求。尽管如此,我们认为那些拥有和/或运营工业控制系统(ICS)/运营技术(OT)资产的组织表示他们拥有被动网络异常检测(58%入侵检测系统(IDS)的情况下,通过实施主动入侵防御系统(IPS)将会大有裨益。NextGen防火墙同样具有广泛的适用性,应该保护更多ICS环境免受来自企业或其他外部网络的威胁。单向网关/数据二极管由于主要在最高安全环境(如核电站)中使用而被认为复杂且昂贵,但我们最近看到这些因素有所减弱,预计未来会有更多部署。组织用于保护控制34、系统资产免受网络威胁的安全技术防火墙NextGen防火墙被动网络异常检测(IDS)主动入侵防护系统(IPS)沙箱单向网关/数据二极管(CS)2AI-KPMG控制系统网络安全年度报告2024减少(CS)2攻击面的障碍1713%28%25%22%47%16%28%16%22%19%53%22%26%15%13%32%26%24%38%25%16%16%51%24%Technology(e.g.PLC designs)that cannot support encryptionRegulatory compliance requirements preventing application of i35、nnovation/new technologysolutionsOverly complex control system networkOrganizational complexity/constraintsOperational requirements(e.g.mandatory uptime)Insufficient technologies/toolsInsufficient personnelInsufficient leadership supportInsufficient financial resourcesInsufficient cyber threat intel36、ligenceInsufficient control system cyber security expertiseInsecure ICS/OT protocols0%10%20%30%40%50%60%What are the greatest obstacles to reducing the(CS)2attack surface?(CS)2障碍 高成熟度vs低成熟度我们每年都会比较不同群体之间的情况和观点,在这里,我们通过受访组织的控制系统网络安全项目的相对成熟度(高成熟度 vs 低成熟度)来分析他们认为的最大障碍,以确定哪些方法有效,哪些无效,以及随着组织在提高安全性方面的进展,情37、况会如何变化。如右图,我们看到一些障碍被广泛认同,例如:控制系统网络安全专业知识不足(低成熟度51.5%,高成熟度 53.1%)和不安全的ICS/运营技术(OT)协 议(低 成 熟 度 23.5%vs 高 成 熟 度21.9%),而其他障碍则存在较大差异,例如:无法支持加密的技术(低成熟度26.5%vs 高成熟度12.5%)和领导支持不足(低成熟度25.0%vs 高成熟度15.6%)。这些表明,更成熟的项目已经克服了一些较不成熟的项目仍在努力应对的障碍。减少(CS)2攻击面的最大障碍是什么?无法支持加密的技术(例如PLC设计)控制系统网络过于复杂组织复杂性/制约因素运营要求(如强制性正常运行时38、间)技术/工具不足人员不足领导支持不足财政资源不足网络威胁情报不足控制系统网络安全专业知识不足不安全的ICS/OT协议法规遵从性要求阻止创新/新技术解决方案的应用(CS)2AI-KPMG控制系统网络安全年度报告2024低成熟度高成熟度1829%21%26%29%50%11%39%11%24%13%39%13%24%12%27%33%39%9%27%21%12%3%58%30%26%17%15%37%23%25%40%23%21%16%37%31%0%10%20%30%40%50%60%70%(CS)2障碍组织层面4任何一个人都不太可能全面了解和掌握现代控制系统环境的所有细节,个人观点的差异不可39、避免地会导致对需要完成的工作的看法不同。在这里,我们看到高管一致认为 运营要求(50.0%)、人员不足(39.5%)和控制系统安全专业知识不足(39.5%)是最大的障碍,这与运营者部分一致(该群体认为最大的障碍是人员不足39.5%和控制系统安全专业知识不足37.0%),但运营者(Ops)认为运营要求不是主要障碍(在操作人员列表中排第六,23.5%)。管理层经常与一方或双方意见不一致,这突显了当我们支持他们解决问题时,了解终端用户在其组织中的角色的重要性。4.在我们的调查中,回答每个问题的参与者人数各不相同。有时,这会导致参与者的特定子集不足以进行有效的统计分析。在根据其组织不同级别的参与对我们40、的数据进行细分的情况下,我们收到的领导层受访者太少,无法将他们包括在一些图表中。减少(CS)2攻击面的最大障碍是什么?无法支持加密的技术(例如PLC设计)控制系统网络过于复杂组织复杂性/制约因素运营要求(如强制性正常运行时间)技术/工具不足人员不足领导支持不足财政资源不足网络威胁情报不足控制系统网络安全专业知识不足不安全的ICS/OT协议法规遵从性要求阻止创新/新技术解决方案的应用(CS)2AI-KPMG控制系统网络安全年度报告2024运营者管理者高管1938%14%54%35%41%38%24%19%16%38%24%27%34%37%43%14%20%35%17%21%19%16%26%241、6%0.0%10.0%20.0%30.0%40.0%50.0%60.0%End UsersVendors(CS)2障碍终端用户vs供应商我们的团队发现,终端用户和供应商受访者在观点上的许多差异都很有趣。这些是否源于其控制系统的所有权/操作与OT(运营技术)资产的生产/监控、可供其使用的不同资源、不同的财政责任或某些因素的组合?值得注意的是,供应商将法规遵从性要求、过于复杂的控制系统网络和网络威胁情报不足确定为最大障碍,其比例是终端用户的两到三倍。终端用户反馈中唯一与之比例相似的是他们对人员不足的看法(终端用户36.8%,供应商13.5%)。我们建议供应商注意终端用户客户确定的最大障碍,以便最好42、地帮助他们克服这些障碍。减少(CS)2攻击面的最大障碍是什么?运营要求(如强制性正常运行时间)人员不足控制系统网络安全专业知识不足网络威胁情报不足控制系统网络过于复杂组织复杂性/制约因素技术/工具不足领导支持不足财政资源不足无法支持加密的技术(例如PLC设计)不安全的ICS/OT协议法规遵从性要求阻止创新/新技术解决方案的应用终端用户供应商(CS)2AI-KPMG控制系统网络安全年度报告20242026%16%20%35%34%17%37%21%19%14%43%26%27%13%16%37%34%16%40%24%18%12%44%24%26%23%29%32%35%16%32%13%16%43、19%39%32%27%23%36%41%27%18%27%18%18%9%59%23%0%10%20%30%40%50%60%70%Technology(e.g.PLC designs)that cannot support encryptionRegulatory compliance requirements preventing application of innovation/newtechnology solutionsOverly complex control system networkOrganizational complexity/constraintsOperati44、onal requirements(e.g.mandatory uptime)Insufficient technologies/toolsInsufficient personnelInsufficient leadership supportInsufficient financial resourcesInsufficient cyber threat intelligenceInsufficient control system cyber security expertiseInsecure ICS/OT protocolsRegulatory compliance requirem45、ents preventing application of innovation/new technology solutions Insufficient control system cybersecurity expertise(CS)2障碍 区域分析5 6最后,对于安全障碍的分析,我们对来自全球不同区域的受访者之间的差异进行了研究。由于全球控制系统主要建立在通用技术之上,我们预计无论地理位置如何,对这个问题的回答会有一定程度的一致性。事实上,这张图表显示的差异比本报告中的许多其他图表要少。一个显著的区别是,区域4(亚太区域)将控制系统网络安全专业知识不足(59.1%)作为主要问题,其46、比例比区域2、区域1或全球高出15个百分点。区域2(欧洲、中部、西部和北部)和区域4(亚太区域)的受访者也比世界其他区域更关心过于复杂的控制系统网络(区域2 29.0%,区域4 36.4%,全球20.1%)。5.正如我们对参与者组织层面的反应进行的分析一样,一些地区缺乏足够的代表样例来进行有效的分析。下表仅显示了有足够参与的区域,以及全球(所有答复者)以供比较。6.(CS)2AI将组织划分成七个区域。1)北美;2)欧洲(中部、西部、北部和南部);3)欧亚大陆;4)印度太平洋;5)中东-北非;6)南部非洲;7)拉丁美洲-加勒比减少(CS)2攻击面的最大障碍是什么?无法支持加密的技术(例如PLC设47、计)控制系统网络过于复杂组织复杂性/制约因素运营要求(如强制性正常运行时间)技术/工具不足人员不足领导支持不足财政资源不足网络威胁情报不足控制系统网络安全专业知识不足不安全的ICS/OT协议法规遵从性要求阻止创新/新技术解决方案的应用(CS)2AI-KPMG控制系统网络安全年度报告2024区域4区域2区域1 全球(CS)2支出和预算2222%57%25%64%17%0%43%15%25%0%10%40%47%35%75%0%60%11%44%13%21%50%24%38%13%24%41%52%26%0%Improving communications/collaboration with I48、T/corporateteamsNetwork segmentation/micro-segmentationSecure remote access to control system networksControl system cyber security monitoringTraining for security defendersIncreased control system cyber security staffingSecurity Awareness TrainingControl system cyber security technology solutions(h49、ardware,software)Patch and Vulnerability managementBackups0%20%40%60%80%OperationsManagementExecutivesControl system cybersecurity technology solutions(hardware,software)Improving communications/collaboration with IT/corporate teamsTop ROI area for(CS)2investments Increased control system cybersecur50、ity staffingControl system cybersecurity monitoringSecure remote access to control system networksNetwork segmentation/micro-segmentationPatch and Vulnerability management(CS)2高投资回报率领域组织级别7(CS)2AI“团队和我们的许多演讲者都熟悉如何获得高管对安全需求支持的问题,尤其是需要进行影响分析的细分项目;在某些情况下,甚至还需要进行大量的网络架构重建工作,当然我们很高兴地看到,大多数参与的高管(57.1%)认识到51、在他们的组织中实施网络架构重建的高投资回报率,这对安全性和弹性都是至关重要的。我们甚至看到他们对(CS)2监控(64.3%)的支持更加积极,多年来,专家们一直认为可见性是任何安全改进计划的第一步。另一方面,受访管理者发现培训的投资回报率最高,无论是安全意识方面(60.0%)还是安全防御方面(75%)。我们的团队认为有必要提请注意以下事实:尽管有 27%至 39%的参与者认为“人员不足”(参见图表(CS)2障碍-组织层面)是他们改善其(CS)2状况的最大障碍,但没有一位高管或管理参与者将增加控制系统网络安全人员配备视为高投资回报率(两组均为0%)。7.领导层受访者反馈太少,未纳入本分析。(CS)52、2高投资回报率领域安全防御培训安全意识培训备份控制系统网络安全技术解决方案(硬件、软件)改善与 IT/公司团队的沟通/协作增加控制系统网络安全人员配备控制系统网络安全监控控制系统网络的安全远程访问网络隔离/微隔离补丁和漏洞管理运营者管理者高管(CS)2AI-KPMG控制系统网络安全年度报告2024230%75%40%53%33%11%55%27%24%50%17%50%25%36%27%36%38%39%27%0%0%20%40%60%80%Improvingcommunications/collaborationNetwork segmentation/micro-segmentationS53、ecure remote access to controlsystem networksControl system cyber securitymonitoringTraining for security defendersIncreased control system cybersecurity staffingSecurity Awareness TrainingControl system cyber securitytechnology solutions(hardware,Patch and VulnerabilitymanagementBackupsImproving co54、mmunications/collaboration with IT/corporate teams(CS)2高投资回报率领域 高成熟度vs低成熟度与他们对需要克服的安全障碍的看法相比,就在(CS)2支出中识别最高投资回报率(ROI)的安全计划领域上,他们有更多的共识。有一些明显的异常值需要注意,特别是低成熟度的强调改善与IT/公司团队的沟通/协作(低成熟度16.7%,高成熟度0%)和而高成熟度的更强调备份8(低成熟度0%,高成熟度50%)。这说明最成熟的项目已经整合了团队,并实施了可靠的备份系统和程序。所有小组都一致认为,网络隔离/微隔离的投资回报率最高,这与多年来的研究和建议是一致的,即实55、施网络隔离/微隔离既能提高整体安全性,又能减少网络事件的影响。8.可能表明,在最近勒索软件攻击上升期间,更成熟的程序经历了这种情况。50%的受访者认为网络隔离是网络安全计划投资回报率的首要领域。网络工程的最新想法是,在重要边界部署任何一种工程级网络隔离方法都是最有收益的。重要边界包括IT/OT接口、任何OT/互联网接口以及网络之间的任何其他连接,这些边界的漏洞导致的最差情况后果差异巨大。攻击树分析结果表明,在这样的边界上进行工程级隔离可以将关键网络的攻击面减少3个数量级。Andrew Ginter Waterfall Security Solutions工业安全副总裁(CS)2高投资回报率领域56、(高成熟度与低成熟度)安全防御培训安全意识培训备份控制系统网络安全技术解决方案(硬件,软件)改善与IT/公司团队的沟通/协作修补程序和漏洞管理增加控制系统网络安全人员配置控制系统网络安全监测控制系统网络的安全远程访问网络隔离/微隔离(CS)2AI-KPMG控制系统网络安全年度报告2024低成熟度 高成熟度2416%14%8%5%16%41%3%6%3%0%23%65%19%4%14%8%15%38%0%10%20%30%40%50%60%70%ExecutiveManagementOperations支出优先级组织层面今年的一个新情况是,我们的团队发现参与者的回答很有趣,除了一些普遍共识(例如57、各级将保护连续运营确定为他们支出额外资金的首要目标)之外,差异确实很突出。请注意,管理层的参与者对保护公共安全和保护工人安全的重视程度很低(两者均为3.2%),对保护产品质量的重视程度也很低。鉴于这些差异,鼓励组织就调整业务优先级进行讨论。您会将额外的可自由支配资金用于您的组织吗?保护工人安全保护商业秘密保护公共安全保护产品质量保护设备编程和配置保护连续运营高管管理者运营者(CS)2AI-KPMG控制系统网络安全年度报告202425供应商对客户预算的指导供应商许多资产所有者或运营商依赖其信任的供应商提供的安全事务专家建议,因此我们今年研究了供应商关于资源分配的建议。将此图表与上一图表进行比较,58、我们发现最重要的仍然是保护连续运营。您会建议您的大多数客户在未来一年将更多的资源投入到哪里?25%保护设备编程和配置14%保护产品质量9%保护公共安全8%保护工人安全33%保护连续运营7%保护商业秘密(CS)2AI-KPMG控制系统网络安全年度报告20242640%31%35%29%34%35%36%36%50%29%20%40%37%34%29%28%33%37%0%10%20%30%40%50%60%(CS)2高支出高成熟度vs低成熟度vs全部为了便于比较,我们在这些表格中包含了所有参与者的回复。这使我们能够表明,高成熟度组在安全意识培训上的支出显著增加(高成熟度50.0%,低成熟度28.59、6%,全部35.0%),以及他们中很少有人专注于控制系统网络安全咨询服务(高成熟度20.0%,低成熟度33.3%,全部33.8%)。(CS)2高支出区域(高成熟度vs低成熟度vs全部)内部SOC运营和服务,及虚拟/云SOC运营和服务控制系统网络安全人员配备安全意识培训补丁和漏洞管理控制系统网络安全咨询服务控制系统网络安全技术解决方案(CS)2AI-KPMG控制系统网络安全年度报告2024全部 高成熟度 低成熟度2713%16%13%15%17%20%9%15%15%19%16%20%16%9%15%16%17%17%0%5%10%15%20%25%1-Most2-2nd Most3-3rd M60、ost(CS)2高支出终端用户除了高成熟度和低成熟度集团的最高支出之外,我们还要求终端用户识别其组织投入资源的前三领域,以进一步了解(CS)2预算优先事项。安全技术和安全咨询服务在预算中占有最大份额(分别为56.3%和50.6%)。我们的团队认为值得调查的是,对控制系统网络安全人员相对较低的投资是否是导致该领域员工持续供不应求的一个因素。组织在控制系统网络安全方面投入资源最多的前三个领域安全意识培训内部SOC运营和服务,及虚拟/云SOC运营和服务控制系统网络安全人员配备补丁和漏洞管理控制系统网络安全咨询服务控制系统网络安全技术解决方案1-最多2-第2位最多3至3(CS)2AI-KPMG控制系统61、网络安全年度报告20242813%13%11%8%21%13%13%1%3%3%1%23%11%6%12%21%7%9%2%2%3%3%20%14%12%19%10%10%13%1%0%0%0%0%5%10%15%20%25%Dont knowOrganizational policy prevents me from answering thisquestionIncrease of more than 50%Increase of more than 30%Increase of more than 10%Increase of less than 10%No change from pr62、evious yearDecrease of less than 10%Decrease of more than 10%Decrease of more than 30%Decrease of more than 50%202020222023组织的控制系统安全预算近几年同比估算Organizational policy prevents me from answering this question(CS)2预算变化纵向分析绝大多数组织继续增加其(CS)2的预算(53%),这一响应率在几年内徘徊在接近中点(2022年为47%,2020年为52%)。低增长群体呈现出稳步增长的模式,即(CS)63、2预算增长低于30%的群体,从2020年的20%上升到今年的34%。增长率较高的群体,即增长率超过30%的群体,相应地从2020年受访者的31%下降到现在的19%。我们的分析团队成员指出,(CS)2供应商/解决方案提供商行业出现了某些放缓,这可能是对竞争加剧或市场需求过大的反应。持续致力于增加同比支出表明,各组织正在更好地了解其运营所处的威胁环境以及所面临的一定程度的风险。最近的控制系统网络安全事件头条提高了人们对当前网络风险和防止类似事件发生的必要行动的认识。Brad Raiford 毕马威美国物联网和运营技术网络服务总监不知道增长50%以上增长30%以上增长10%以上增幅小于10%与上一年64、相比没有变化下降幅度小于10%减少10%以上减少30%以上减少50%以上组织策略阻止我回答此问题(CS)2AI-KPMG2024控制系统网络安全年度报告2919%22%22%9%3%9%3%30%21%8%6%3%12%15%0%5%10%15%20%25%30%35%(CS)2投资计划高成熟度vs低成熟度虽然对网络隔离的价值有强烈认同(请参见(CS)2高投资回报率领域图表),但我们认为值得注意的是,很少有组织计划将未来安全支出集中在该领域。可能的解释是,高成熟度的组织可能已经对其网络进行了显著划分,因此他们现在的支出(3%)远低于低成熟度组织(15%)。他们在资产盘点和管理与威胁检测方面支出65、计划差异的背后可能也有类似的因素。未来一年(CS)2 的高投资领域资产盘点和管理漏洞管理威胁检测供应链安全合规性报告安全远程访问网络细分(CS)2AI-KPMG2024控制系统网络安全年度报告低成熟度高成熟度3024%18%13%7%3%13%13%28%22%9%7%3%7%12%13%8%25%4%4%25%13%0%5%10%15%20%25%30%Asset Inventory&ManagementVulnerability ManagementThreat DetectionSupply Chain SecurityCompliance ReportingSecure Remote 66、AccessNetwork SegmentationHighest OT cybersecurity investment areas for the year aheadRegion 2Region 1Global(CS)2投资计划地区区域3-79对此问题的回答不足以进行独立分析,但区域1和区域2的受访者的计划却有很大差异。区域2的参与者目前专注于安全远程访问和威胁检测10(两者各占25%),而他们的北美同行似乎认为漏洞管理与资产盘点和管理更为紧迫(分别为18.4%和24.3%)。在我们的分析中提出的一种可能性是,地区2的组织已经解决了这些管理问题,而地区1的组织尚未达到这一程度。9.(CS67、)2AI将组织划分为七个区域。1)北美;2)欧洲(中部、西部、北部和南部);3)欧亚大陆;4)印度太平洋;5)中东-北非;6)南部非洲;7)拉丁美洲-加勒比10.其中一个可能的因素是,欧洲的监管机构(包括国家和国际监管机构)一直在推进/发布立法,要求在多个行业和基础设施部门进行威胁检测。未来一年OT安全高投资领域资产盘点和管理漏洞管理威胁检测供应链安全合规性报告安全远程访问网络细分区域2区域1全球(CS)2AI-KPMG控制系统网络安全年度报告20243111%7%10%6%12%7%4%5%3%4%22%3%19%3%13%6%3%6%0%0%7%10%10%6%13%9%9%3%6%6%M68、ore than$10MMore than$5MMore than$1MMore than$500KMore than$250KMore than$100KMore than$50KMore than$25KMore than$10KLess than$10K0%5%10%15%20%25%(CS)2预算情况高成熟度vs低成熟度我们已经看到,高成熟度组织往往拥有最高的控制系统网络安全预算。一种理论认为,大型组织(即拥有更多资源的组织)通常比小型组织在安全之旅中走得更远。虽然我们认识到,分配足够资源来提高安全性的小公司面临的财务挑战往往更大,但我们也希望指出,同样的财政限制可能意味着它们抵御和恢69、复破坏性网络事件影响的能力较弱。网络攻击导致他们的运营长时间关闭的威胁对他们来说可能更为现实,他们的风险管理过程需要考虑到这一点。这种相关性也突显了针对(CS)2领域的需求,需要考虑通过缩减预算的解决方案和服务从而更好地为较小的客户服务。Rod LockeFortinet产品管理总监上一财年各组织的(CS)2预算规划总计超过1000万美元超过500万美元超过100万美元超过50万美元超过25万美元超过10万美元超过5万美元超过25000美元超过1万美元低于1万美元(CS)2AI-KPMG2024控制系统网络安全年度报告低成熟度 高成熟度 全部(CS)2评估3325%25%6%28%0%0%3%70、0%3%9%7%12%9%29%7%10%12%9%1%3%MonthlyQuarterlyTwice each yearAnnuallyOnce every two yearsLess often than once every two yearsOnly in response to security incidentsNone performedDont knowOrganizational policy prevents mefrom answering0%5%10%15%20%25%30%35%Low MHigh MFrequency of(CS)2assessments by or71、ganizations(Low M VS High M)(CS)2评估频率 高成熟度vs低成熟度不同成熟度水平的项目之间最明显的差异之一是其控制系统网络安全评估的频率。高成熟度项目中有一半至少每季度进行一次评估,而低成熟度项目中有一半以上每年或更低频进行一次评估。9%的低成熟度项目没有进行过安全评估,这本身就说明了问题。各组织(CS)2评估的频率(低成熟度与高成熟度)每月季度每年两次每年每两年一次少于每两年一次仅针对安全事件未执行任何操作不知道组织策略禁止回答低成熟度高成熟度(CS)2AI-KPMG2024控制系统网络安全年度报告3419%38%11%8%8%5%5%3%9%15%9%36%572、%5%7%5%MonthlyQuarterlyTwice each yearAnnuallyOnce every two yearsLess often than once every twoyearsOnly in response to securityincidentsNone performed0%10%20%30%40%End UsersVendorsFrequency of(CS)2assessments by organizations(CS)2评估频率 终端用户vs供应商供应商对其安全承担着与最终用户不同的责任,因为他们不仅必须保护自己,还必须保护他们的客户,而客户通常会授予特73、权访问权限以进行持续的监控、维护和更新。我们的团队很高兴看到供应商如此频繁 地 进 行(CS)2评 估,超 过 三 分 之 二(67.6%)的供应商每年至少进行两次评估。他们在最终用户供应链中的地位使他们成为攻击者非常有价值的目标11。终端用户组织这样做的频率较低,评估中最大的单一群体(35.6%)仅每年进行一次评估,的确不那么令人鼓舞。技术、特权人员、攻击方法和能力都在不断发生变化,即使使用IPS/IDS(入侵预防/检测系统),一些受害者也只能在评估活动中发现恶意分子访问了他们的网络。更频繁的评估可以大大减少这种停留时间,从而减少各种潜在的危害。我们建议所有组织,包括终端用户和供应商,至少每74、季度评估一次其(CS)2网络和资产。11.请参阅许多报道2021年太阳风供应链攻击事件的文章中的任何一篇。各组织进行(CS)2评估的频率每月季度每年两次每年每两年一次少于每两年一次仅针对安全事件未执行任何操作终端用户供应商(CS)2AI-KPMG2024控制系统网络安全年度报告3548%71%77%55%87%71%52%42%77%61%65%25%43%54%38%54%56%30%18%51%41%39%Comprehensive(i.e.,end-to-end)Cyber security roles and responsibilitiesInventory of assetsInv75、entory of external connectivityNetwork architecturePhysical securityReview of 3rd party Assessment of organizational PenetrationTestingReview of business and financial systemsReview of cyber security policies and procedures(anddocumentation)Review of Incident Response Plan(s)Review of security aware76、ness and training program(s)0%10%20%30%40%50%60%70%80%90%100%Components included in organizations(CS)2assessmentsCybersecurityReview of cybersecurity(CS)2评估内容高成熟度vs低成熟度与安全评估频率同等重要的是评估的彻底性,如本表所示,高成熟度项目在我们使用的每个指标上都比低成熟度项目进行了更完整的评估,几乎在每个类别中都至少进行了50%的评估。组织(CS)2评估的组成分布综合评估(如端到端)网络安全的角色和责任资产清单外部连接清单网络架构物理77、安全性组织渗透测试第三方评估评审审查业务和财务系统审查网络安全政策和程序(以及文件)事件响应计划审查安全意识和培训审查计划(CS)2AI-KPMG2024控制系统网络安全年度报告低成熟度高成熟度3636%39%39%24%52%36%33%18%55%33%36%26%58%63%46%69%62%40%21%63%53%49%0%10%20%30%40%50%60%70%80%Comprehensive(i.e.,end-to-end)Cyber security roles and responsibilitiesInventory of assetsInventory of extern78、al connectivityNetwork architecturePhysical securityReview of 3rd party Assessment of organizational PenetrationTestingReview of business and financial systemsReview of cyber security policies and procedures(anddocumentation)Review of Incident Response Plan(s)Review of security awareness and trainin79、g program(s)End UsersVendorsCybersecurityReview of cybersecurity policies and procedures(and documentation)Components included in organizations(CS)2assessments(CS)2评估内容终端用户和供应商一个有趣的发现是,除了综合评估(终端用户26%,供应商36%)之外,终端用户似乎比供应商执行了更多的安全检查。这表明,虽然终端用户的评估包括多个重要活动(终端用户:物理安全62%、网络架构69%、资产清单63%等)但通常不如供应商或供应商客户的评估80、完整。终端用户可能缺乏所需的端到端的可见性,另外就是,供应商通常处于供应链中部,其必须考虑自身供应链和应用程序的安全性,以及他们为客户提供的服务的安全性。该图表中列出的每一项都解决了一个防止入侵者沿其杀伤链前进的关键点(或在过程中捕获他们)。我们建议制定包括所有这些组成部分的计划,每个计划都有明确的评估和补救周期。组织(CS)2评估中包含的组成部分综合评估(如端到端)网络安全的角色和责任资产清单外部连接清单网络架构物理安全性组织渗透测试第三方评估评审审查业务和财务系统审查网络安全政策和程序(以及文件)事件响应计划审查安全意识和培训审核计划终端用户供应商(CS)2AI-KPMG2024控制系统网81、络安全年度报告3768%68%68%39%61%61%55%68%41%46%57%36%30%41%33%52%Develop and implement remediation planCyber security strategy updateCyber security roadmap/initiatives reprioritizationPenetration testingReplace vulnerable control system hardware,software,devices,etc.Procure new security technologiesReplace 82、or upgrade security solutionsAdopt new or improved security processes0%20%40%60%80%Activities carried out/planned in response to findings of(CS)2assessments completed by organizations within the last 12 monthsReplace vulnerable control system hardware,software,devices,etc.Cybersecurity strategy upda83、teCybersecurity roadmap/initiatives reprioritization(CS)2评估响应高成熟度vs低成熟度为了完成组织(CS)2评估因素的三位一体,我们调查了他们在分析后采取的行动。再次,我们看到高成熟度项目在每项指标上都比低成熟度项目更频繁地跟进评估结果。尤其是他们在制定和实施补救计划(低成熟度41.0%vs 高成熟度67.7%)和更换有漏洞的控制系统硬件、软件、设备等(低成熟度29.5%vs 高成熟度61.3%)这两方面。尽管在网络安全基本措施(如网络隔离、培训和漏洞修补)上的投资是防止工业网络的潜在漏洞的关键,但要阻止有高度动机且技艺精湛的攻击者访问网84、络将非常困难。从网络事件中快速恢复的能力对于最大限度地减少对运营或向消费者供应电力或水等基础服务的中断至关重要。应审查常规备份和恢复评估,以提高关键或工业系统的网络弹性。Eddie Toh毕马威新加坡合伙人兼毕马威亚太区鉴证技术主管针对各组织在过去12个月内完成的(CS)2评估结果而开展或计划开展的活动制定并实施补救计划网络安全策略更新网络安全路线图/举措重新确定优先次序渗透测试采购新的安全技术替换或升级安全解决方案采用新的或优化的安全流程更换有漏洞的控制系统硬件、软件、设备等2024(CS)2AI-KPMG控制系统网络安全年度报告低成熟度高成熟度72%47%53%41%38%81%53%2885、%0%44%49%41%32%12%28%15%25%6%Internal review of vendor product and/or service risk profileRequire vendor to complete security questionnaireInformal discussions with vendorRequest vendor SOC 2 Type 2 report or ISO27001 certificateIEC62443-4-1 ComplianceTechnical testing(e.g.vulnerability analysis,arc86、hitecture review,penetration test,etc.)ISA/IEC 62443 part 4-2 and 3-3 requirements capabilities in productsPLC top 20 PLC coding practices for vendors and integratorsproviding products and servicesNone0%20%40%60%80%100%38获取前的(CS)2风险评估高成熟度vs低成熟度对新设备和/或软件的风险评估与周期性安全评估不同,必须单独考虑。正如我们看到具有高成熟度的(CS)2项目的组织更87、频繁地进行总体安全评估一样,我们注意到,他们更有可能进行几乎所有类型的获取前风险评估(安全问卷除外)。对于我们的许多受访者来说,美国监管活动的增加可能是影响合规性的一个因素,但我们认为高成熟度的技术测试率很高(低成熟度为27.9%,高成熟度为81.3%),因为它只提供快照,是对定期安全评估的正向的补充。组织在获取控制系统产品或服务之前进行的风险评估(高成熟度与低成熟度)供应商产品和/或服务风险概况的内部审查要求供应商填写安全调查表与供应商进行非正式讨论要求供应商SOC类型2报告或ISO27001证书IEC62443-4-1符合性ISA/IEC 62443第4-2和3-3部分产品的要求能力无技术88、测试(如漏洞分析、架构审查、渗透测试等)Top20 PLC编码实践,针对提供PLC产品或服务的供应商和集成商2024(CS)2AI-KPMG控制系统网络安全年度报告低成熟度高成熟度安全培训(CS)2意识培训整合终端用户402024(CS)2AI-KPMG控制系统网络安全年度报告这里明显的问题是,许多终端用户组织缺乏任何(CS)2意识培训(16.1%空白)。无论是由IT部门或风险管理计划所驱动、或是完全由运营或其他设计部门负责,以实现并保持对(CS)2威胁、攻击方法、漏洞和程序的高度认识,对于管理任何ICS/OT运营环境中的固有风险都至关重要。我们强烈建议每个负责资产/运营的组织实施此类计划。组89、织的控制系统安全意识培训现状与IT安全意识培训整合与物理安全培训整合独立于IT或物理安全培训的项目空白(组织没有控制系统网络安全意识培训)39%6%34%16%(CS)2意识培训整合高成熟度vs低成熟度412024(CS)2AI-KPMG控制系统网络安全年度报告按成熟度级别分组的数据显示,只有(CS)2安全计划处于低成熟度的组织缺乏相关的意识培训(存在空白的,低成熟度24%,高成熟度0%),而高成熟度组织的大多数同事都接受了整合IT安全和控制系统安全的网络安全意识培训。53%0%41%0%31%12%31%24%0%10%20%30%40%50%60%组织的控制系统安全意识培训现状与IT安全意90、识培训整合与物理安全培训整合独立于IT或物理安全培训的项目空白(组织没有控制系统网络安全意识培训)高成熟度低成熟度(CS)2培训内容高成熟度vs低成熟度422024(CS)2AI-KPMG控制系统网络安全年度报告尽管我们在对各种安全项目成熟度级别的描述中没有包括安全培训,但从该图表中可以清楚地看出,高成熟度组织在确保训练有素的员工队伍方面投入了更多。这两组人甚至彼此接近的唯一组成部分是使用印刷材料,这通常被认为不如其他任何一组培训内容有效。事实上,在模拟(任何)和讲师指导培训等最有效的领域,我们看到了一些最大差异。更多地使用安全意识培训有效性测试(高成熟度77%,低成熟度54%)能够使这些公司91、专注于最有效的方法,并不断改进其培训项目。74%55%77%65%32%77%52%39%65%44%38%54%44%16%44%24%36%26%0%10%20%30%40%50%60%70%80%90%组织控制系统安全相关培训中包含的组成部分低成熟度高成熟度网络钓鱼模拟社会工程模拟安全意识培训有效性测试事件模拟(桌面演练)事件模拟(真实场景)计算机辅助培训(CBT)讲师指导的培训印刷材料(海报、传单、时事通讯等)针对不同用户群体的培训项目(如管理、法律、IT、OT等)(CS)2网络442024(CS)2AI-KPMG控制系统网络安全年度报告控制系统组件的可访问性总的来说,这张图表和后续图92、表令人十分担忧。控制系统中有这么多元素可以从互联网进行访问,甚至被控制(低成熟度组织15%的PLC和39%的实时历史数据库),这表明攻击者拥有非常大的攻击面,并且对这些公司可能造成巨大的影响。我们的一些专家贡献者指出,必须牢记这些“可访问”确实揭示了对可访问性控制和措施的问题。这些系统可能是具有对互联网开放的端口(例如HMI登录窗口),具有从互联网远程访问的功能(例如VPN或者RDP),或可以通过暴露在互联网上的另一台机器(例如跳板机)访问,或在跳板机可访问的网络上访问。评估其风险级别时,必须考虑其可访问性的具体细节和防护控制措施。80%69%85%20%31%15%65%62%74%35%393、8%26%63%62%75%37%38%25%60%64%64%40%36%36%73%79%61%27%21%39%0%10%20%30%40%50%60%70%80%90%可从互联网访问的组件我们确实感到奇怪的是,在高成熟度组织中,如此多的组件可以通过互联网进行频繁控制,就像在低成熟度组织中一样。事实上,在高成熟度的组织中,服务器、HMI和PLC/IED/RTU更经常以这种方式访问12。以下图表继续显示了这种模式,显示了来自业务网络、供应商/集成商和云的组件可访问性。12.更成熟的群体对网络隔离的高投资回报率(75%,请参见高投资回报率图表高成熟度vs 低成熟度)可能会对此处产生影响。实时94、历史数据库Historian服务器PLC、IED、RTU工作站人机界面(HMI)全部高成熟度低成熟度全部高成熟度低成熟度受监控的受控制的控制系统组件的可访问性(续)452024(CS)2AI-KPMG控制系统网络安全年度报告这些反馈表明,如今控制系统的外部访问很普遍,包括来自企业网络、供应商和云的访问。由于IT/OT的融合日益增强,组织必须将控制系统安全视为其整体安全计划的一部分,而不是一个单独的领域。这既适用于安全管理程序(根据IEC62443和ISO 27001等标准),也适用于用以保护和监控这些系统的控制措施。在Fortinet的2023年运营技术和网络安全状况报告中,受访者表示,OT安95、全是几乎所有组织(95%)首席信息安全官职责的一部分。IT/OT融合的现实也反映在组织对威胁格局的看法中绝大多数组织(77%)认为勒索软件比OT环境的其他威胁更令人担忧。Rod LockeFortinet 产品管理总监47%50%52%53%50%48%51%61%51%49%39%49%48%45%56%52%55%44%41%38%40%59%62%60%59%71%57%41%29%43%0%10%20%30%40%50%60%70%80%可从企业网络访问的组件PLC、IED、RTU人机界面(HMI)服务器工作站实时历史数据库全部高成熟度低成熟度全部高成熟度低成熟度受监控的受控制的控制系96、统组件的可访问性(续)462024(CS)2AI-KPMG控制系统网络安全年度报告59%67%50%41%33%50%59%64%63%41%36%37%51%57%57%49%43%43%53%60%56%47%40%44%62%54%62%38%46%38%0%20%40%60%80%供应商/集成商可远程访问的组件65%50%67%35%50%33%63%60%61%38%40%39%58%62%64%42%38%36%54%50%58%46%50%42%67%60%70%33%40%30%0%20%40%60%80%可从云访问的组件PLC、IED、RTU人机界面(HMI)服务器工作站实时97、历史数据库全部高成熟度低成熟度全部高成熟度低成熟度受监控的受控制的PLC、IED、RTU人机界面(HMI)服务器工作站实时历史数据库全部高成熟度低成熟度全部高成熟度低成熟度受监控的受控制的(CS)2管理服务现状高成熟度vs低成熟度472024(CS)2AI-KPMG控制系统网络安全年度报告今年的参与者再次表示,高成熟度组织更有可能已经拥有管理服务来处理其网络安全(高成熟度25.8%,低成熟度16%),或正在通过试点管理服务项目来处理网络安全(高成熟度25.6%,低成熟度7%)。13%16%6%26%26%21%37%19%7%16%0%5%10%15%20%25%30%35%40%组织控制系统98、安全的管理服务现状(高成熟度与低成熟度)无计划实施控制系统的管理服务计划在12个月内实施计划在24个月内实施试点项目运行中已实施管理服务处理控制系统网络安全低成熟度高成熟度(CS)2管理服务的使用纵向分析482024(CS)2AI-KPMG控制系统网络安全年度报告转向使用(CS)2管理服务符合我们多年来向读者的建议。内部资源的培训和教育有着无可争议的意义,但这些都是长期(短期内可能不太确定)的投资。长期以来,(CS)2劳动力中知识渊博、经验丰富的从业者供应一直不足以满足快速变化的技术、实践和控制系统设备日益增长的超连接性的需求。这不可避免地为不断扩大的(CS)2服务市场提供了动力。我们建议那些99、拥有足够资源的公司既要推行内部资源开发计划,又要利用外部专业知识来满足保护其资产和运营的迫切需求。我们认为,这是改善其组织长期前景的最佳方法。17%14%30%13%19%23%21%20%12%25%31%11%25%13%20%0%5%10%15%20%25%30%35%组织控制系统安全的管理服务现状(纵向)202020222023计划在24个月内实施计划在12个月内实施试点项目运行中已实施管理服务处理控制系统网络安全无计划实施控制系统的管理服务(CS)2技术现状高成熟度vs低成熟度492024(CS)2AI-KPMG控制系统网络安全年度报告除了高成熟度组织比低成熟度组更频繁地使用每种安全100、技术的总体趋势外,主动入侵防御系统(高成熟度78.1%,低成熟度36.8%)和被动网络异常检测(高成熟度81.3%,低成熟度52.8%)的使用之间的巨大差异也说明,高成熟度公司更有可能在较短的时间内识别和阻止入侵企图,从而减少对其系统的潜在影响。28%81%63%81%78%44%26%59%54%53%37%32%Unidirectional Gateways/Data DiodesFirewallsNextGen FirewallsPassive Network Anomaly Detection(IDS)Active Intrusion Prevention Systems(IPS)Sa101、ndboxing0%10%20%30%40%50%60%70%80%90%用于保护组织控制系统资产免受网络威胁的安全技术单向网关/数据二极管防火墙下一代防火墙被动网络异常检测(IDS)主动入侵防御系统(IPS)沙箱低成熟度高成熟度(CS)2网络监控纵向分析502024(CS)2AI-KPMG控制系统网络安全年度报告对我们的控制系统网络的可见性对于保护这些网络和连接的资产至关重要。尽管OT文化历来抵制将网络监控技术引入其环境(可以理解的是,由于这样做会导致一些运营中断)。但是,监控工具和技术不断成熟和改进,人们对其风险收益比的接受度也在提高。令人鼓舞的是,实施(CS)2网络监控并计划加强的组织同102、比在增长,从几年前的0到今天的17.9%。未计划实施任何网络活动监控的组织占比首次降至百分比个位数(9%)。结果表明,未来组织将继续部署和加强网络活动监控。2022年未计划实施监测的组织数量曾激增(19%),最初这被认为是许多组织已进入“全面监控”状态的迹象;但今年的结果对这一点产生了质疑。我们将继续探索这个谜题。9%14%19%17%24%18%19%21%8%17%25%10%11%10%17%31%30%0%10%20%30%40%Control system network activity monitoring is notplannedPlanning to implement w103、ithin 24 monthsPlanning to implement within 12 monthsPilot project is in placeAll control system network activity is monitoredAll control system networks are monitored and weare planning to increase the degree of monitoringwithin the next 18 months组织控制系统网络活动监控的现状202020222023随着运营技术的现代化,当OT系统越来越多地连接到I104、T系统时,攻击面会继续扩大。威胁行为者将继续应用精密的“战术、技术和程序”,并利用其来攻击任何薄弱环节以破坏这些系统。例如,鉴于其功能性,Pipedream是威胁行为者在破坏工业系统方面的能力和日益复杂的一个体现。为了检测恶意活动并及时应对此类事件,必须对OT、IT、IIOT网络保持可见性并持续监控。Eddie Toh毕马威新加坡合伙人毕马威亚太区法政技术主管试点项目进行中所有控制系统网络都受到监控,并计划在未来18个月内提高监控程度所有控制系统网络活动已被监控计划在24个月内实施计划在12个月内实施未计划进行控制系统网络活动监控(CS)2可见性终端用户512024(CS)2AI-KPMG控制105、系统网络安全年度报告我们的团队认为,我们最大的终端用户受访者群体(信心有限,有一些盲点43.7%)的信心水平相当现实。控制系统网络的可见性一直是一个问题,直到最近几年,具备这一重要能力的工具才得到普及。我们建议我们的读者,如果尚未实施的,利用这些工具来解决盲点,并为您的(CS)2守卫者提供履行职责所需的基本知识。没有信心,不知道信心有限,有一些盲点有点自信,定期检查非常自信,几乎没有已知的漏洞100%自信,使用工具持续监控7%5%21%22%44%离线网络建模是以非侵入方式提供全面网络可见性的最快、最有效的方法。它有助于准确了解我们致力于保护的网络环境,而不会中断运营。通过分析离线环境中的网络106、配置、拓扑和安全策略,我们可以深入了解关键的通信路径和覆盖缺口,否则这些路径和缺口可能会在实时网络分析会话中被隐藏。这种方法在快速识别和解决缺乏可见性的区域的同时,保持了网络的完整性和性能,从而增强网络对潜在网络威胁的防御。Robin BerthierNetwork Perception 首席执行官兼联合创始人组织对网络上设备、用户和应用程序可见性的信心水平(CS)2事件(CS)2AI-KPMG控制系统网络安全年度报告2024(CS)2攻击响应终端用户我们的团队很高兴看到资产所有者或运营商(最终用户)对网络攻击事件响应流程的信心水平,58%的人至少有点自信,其中大多数人非常或100%自信。这比107、他们对网络的可见性的信心更足(参照上页图表)信心有限,有一些盲点组织对网络攻击事件响应流程的信心水平53没有信心,不知道有点自信,定期检查非常自信,几乎没有已知的漏洞100%自信,使用工具持续监控4%34%25%26%7%(CS)2事件近况纵向分析(CS)2AI-KPMG控制系统网络安全年度报告2024尽管在过去一年中,经历50件以上(CS)2事件的受访者略有上升(从上次报告的5.2%上升到现在的5.8%),但更突出的结果是,回答“无”的受访者大幅上升(2022年14.8%对比2023年25.4%),而回答“26-50”的受访者则有所下降(2022年19.4%对2023年10.1%)。希望这体108、现了持续的保护和复原努力的结果,而不是无视或错误反馈。6%10%9%6%20%25%9%14%5%19%9%6%17%15%19%10%4%1%4%9%18%17%17%30%5025101060%)的年龄段是30-50岁。我们倾向于将重点放在运营团队上,因为他们最直接地与资产/系统打交道,是技术知识和专业技能的重要储备库,当他们退休时,这些知识和专业技能也会随之留下。保持代际储备,同时与时俱进,对于维护和改进我们控制系统的保护工作至关重要。因此,处于职业生涯中早期的群体,即那些向更资深人员学习的群体,能够有如此多的代表,是一件好事。16%22%7%10%11%12%8%5%7%10%14%1109、4%19%7%17%12%4%13%32%20%17%5%4%1%6%12%14%17%17%14%6%11%25-2930-3435-3940-4445-4950-5455-5960 or older0%5%10%15%20%25%30%35%按受访者组织级别的年龄分布领导行政人员操作运维人员管理层60岁或以上662024(CS)2AI-KPMG控制系统网络安全年度报告0%6%9%10%36%36%2%0%5%10%15%20%25%30%35%40%完成的最高教育水平或获得的最高学位38%48%30%14%0%10%20%30%40%50%60%受访者组织类别参与者的教育情况与前几年非常相110、似。受访者教育水平最终用户和技术供应商之间的百分比差异几乎相等(欧盟下降了10个百分点,技术供应商上涨了7个百分点)。系统集成商是今年的一个新类别。所有适用类别都会做统计,因此比例总和远超过100%。当然,今年还有一个“其他”类别,收到了5%的回复。受访者所在公司类别高中以下学历高中或同等学历(如贸易学校、GED)本科研究生学位拒绝回答上大学但未获得学历大专系统集成商终端用户(使用他人提供的安全服务/技术来保护自身运营和/或资产)安全服务供应商和/或咨询公司(提供服务以保护他人的控制系统运营/资产)技术供应商(提供硬件/软件来保护他人的控制系统运营/资产)15%15%15%15%13%13%1111、2%12%11%11%10%10%10%10%10%10%10%10%8%8%7%7%6%6%6%6%6%6%6%6%6%6%6%6%6%6%5%5%5%5%5%5%5%5%4%4%4%4%4%4%4%4%4%4%4%4%4%4%3%3%3%3%3%3%3%3%0%2%4%6%8%10%12%14%16%受访者组织所在行业受访者所在行业(仅限终端用户)67(CS)2AI-KPMG2024控制系统网络安全年度报告组织从哪里可以找到保护其(CS)2资产、人员和运营所需的援助?根据我们的受访者的说法,他们无处不在。内部IT 安全资源(56.2%)的突出响应表明,OT 网络安全是由大多数组织的IT 团112、队推动的,随之而来的是 IT 安全方法和技术可能被应用于这些环境。制造-印刷及相关支持活动运输-管道运输汽车医院农业配送服务互联网出版和广播制造-石油和煤炭产品仓储制造-食品/饮料交通-轨道艺术、娱乐公司和企业管理制造-金属制品制造制药航空航天(包括国防)金融/保险制造-电气设备、电器和零部件制造-机械通讯制造业-计算机和电子产品专业、科学和技术服务(包括网络安全服务)行政和支持服务电力输送天然气配送石油和天然气开采数据处理、托管和相关服务制造-化学教育服务水、污水和其他系统政府配电发电受访者组织规模6819%18%13%15%11%10%13%0%5%10%15%20%25%受访者决策角色受113、访者决策角色仅限终端用户11%19%44%16%10%0%5%10%15%20%25%30%35%40%45%50%参与控制系统安全相关支出决策的人员角色(仅限终端用户)在控制系统安全相关支出决策中角色组织劳动力规模的适当估算14%15%36%23%11%0%5%10%15%20%25%30%35%40%非常小型:50000(CS)2AI-KPMG控制系统网络安全年度报告2024批准财务决策 做出财务决策 影响财务决策建议财务决策无批准财务决策 做出财务决策影响财务决策建议财务决策无受访者的职务和组织级别694%17%3%8%2%8%3%5%1%3%2%11%6%0%1%2%3%3%7%2%1114、1%0%2%4%6%8%10%12%14%16%18%与控制系统安全工作相关的受访者职位首席信息安全官首席安全官(CSO)首席技术官(CTO)首席风险官(CRO)首席运营官(COO)合规官/审计师首席数字官工程师总监副总裁安全经理生产工程经理项目执行负责人项目发起人安全管理员/分析师安全设计工程师IT/OT架构师运营总监或工厂总监ICS OT安全工过程控制工程师ICS/OT安全顾问以上都不是2024(CS)2AI-KPMG控制系统网络安全年度报告7024%9%16%4%47%受访人在组织中的级别经理领导人管理层执行运维无受访者的职务和组织级别(续)2024(CS)2AI-KPMG控制系统网络安115、全年度报告71德里克哈普(CS)2AI创始人兼主席年度调查与报告主席、联合作者derek.harpcs2ai.org本特格利高里-布朗(CS)2AI联合创始人兼总裁年度调查与报告总监、首席设计师和分析师、联合作者bengt.gregory-browncs2ai瓦尔特里西(CS)2AI战略联盟合作伙伴联络员调查设计和报告分析团队全球OT网络安全负责人毕马威国际全球OT网络安全负责人,毕马威阿根廷咨询业务主管合伙人.ar安德鲁金特调查设计和报告分析小组(CS)2AI创始研究员瀑布式安全解决方案工业安全副总裁作者兼讲师andrew.ginterwaterfall-附录B:年度报告指导委员会及撰稿人2116、024(CS)2AI-KPMG控制系统网络安全年度报告72我们要感谢以下人员为本报告的分析、设计和其他工作所做的贡献Ana Girdner-Cognite安全副总裁Brent Huston-MicroSolved首席执行官Daryl Haegley-美国国防部控制系统网络弹性技术总监Mark Bristow-CIPIC MITRE董事Michael Chipley-PMC集团总裁Rees Machtemes-Waterfall安全解决方案工业安全总监Rod Locke-Fortinet集团产品管理总监Steve Mustard-National Automation总裁兼首席执行官Vivek 117、Ponnada-Nozomi Networks技术解决方案总监Anish Mitra-毕马威印度总监Hossain Alshedoki 毕马威沙特阿拉伯总监Jayne Goble-毕马威英国总监Craig Morris-毕马威澳大利亚总监Joshua Turner-毕马威日本顾问Brad Raiford-毕马威美国总监Pablo Almada-毕马威阿根廷合伙人Thomas Gronenwald-毕马威德国高级经理Marko Vogel-毕马威德国合伙人Eddie Toh-毕马威新加坡合伙人Sarah Puzewicz-毕马威德国高级助理Valentin Steinforth 毕马威德国网络安118、全顾问2024(CS)2AI-KPMG控制系统网络安全年度报告附录C:关于(CS)2AI732024(CS)2AI-KPMG控制系统网络安全年度报告愿景使命目标通过促进控制系统网络安全对等网络和发展,加强全球关键基础设施。一个支持对等组织并支持其基层努力的国际组织。专业网络全球联盟专业发展社区外联领导机会(CS)2AI是一个快速发展的全球非营利协会,在全球拥有3,4000名会员。全球首屈一指的非营利劳动力发展组织,支持负责确保控制系统安全的各级专业人员。我们为会员提供帮助会员的平台,促进有意义的同行交流,继续进行专业教育,并以各种方式直接支持网络安全专业发展。作为(CS)2Al的成员,您加入了119、一个由控制系统网络安全从业人员组成的全球社区,他们有动力在这个高度关键和重要的领域改善和发展个人和专业。(CS)2AI提供了一个场所,用于点对点连接、与领先的行业专家进行小组互动、分享经验、挑战和最佳实践,以及开发和发展所需的资源。探索越来越多的独家(CS)2Al会员机会,旨在帮助您在职业生涯中达到更高的水平。如果您还不是国际控制系统网络安全协会的活跃成员,我们邀请您今天就参与进来,加入我们的会员互助活动。我们的协会有很多方式可以作为全球成员、发言人、教师、导师、合作伙伴、贡献者、委员会成员、(CS)2AlFellow或研究参与者做出贡献。全球范围内的点对点网络https:/www.cs2ai120、.org附录D:报告发起人742024(CS)2AI-KPMG控制系统网络安全年度报告一级赞助商KPMGFortinet Waterfall 安全解决方案OpscuraNetwork Perception 三级赞助商五级赞助商Bridewell六级赞助商752024(CS)2AI-KPMG控制系统网络安全年度报告网络安全和数据保护咨询服务主管合伙人毕马威中国电话:+86(21)2212 3637邮箱:张令琪郝长伟网络安全和数据保护咨询服务合伙人毕马威中国电话:+86(10)8508 5498邮箱:李振网络安全和数据保护咨询服务总监毕马威中国电话:+86(21)8508 5397邮箱:邬敏华网络121、安全和数据保护咨询服务总监毕马威中国电话:+86(21)2212 3180邮箱:黄芃芃网络安全和数据保护咨询服务合伙人毕马威中国电话:+86(21)2212 2355邮箱:宋智佳网络安全和数据保护咨询服务总监毕马威中国电话:+86(21)2212 3306邮箱:周文韬网络安全和数据保护咨询服务合伙人毕马威中国电话:+86(21)2212 3149邮箱:本刊物经毕马威国际授权翻译,已获得原作者及成员所授权。本刊物为毕马威国际发布的英文原文“Control System Cybersecurity Annual Report 2024”(“原文刊物”)的中文译本。如本中文译本的字词含义与其原文刊物不一致,应以原文刊物为准所载资料仅供一般参考用,并非针对任何个人或团体的个别情况而提供。虽然本所已致力提供准确和及时的资料,但本所不能保证这些资料在阁下收取时或日后仍然准确。任何人士不应在没有详细考虑相关的情况及获取适当的专业意见下依据所载资料行事。2024 毕马威华振会计师事务所(特殊普通合伙)中国合伙制会计师事务所及毕马威企业咨询(中国)有限公司 中国有限责任公司,均是与毕马威国际有限公司(英国私营担保有限公司)相关联的独立成员所全球组织中的成员。版权所有,不得转载。在中国印刷。毕马威的名称和标识均为毕马威全球组织中的独立成员所经许可后使用的商标。