Fortinet報告發現全球75%的OT組織去年遭到至少一次入侵

Fortinet報告發現全球75%的OT組織去年遭到至少一次入侵

95% 組織預計未來 12 個月内 OT 網絡安全責任將從主任和經理轉移到首席信息安全官

Fortinet執行副總裁及行銷總監 John Maddison 表示：「 Fortinet的 2023 年營運技術及網絡安全報告顯示，縱使 OT 組織的整體網絡安全狀況已有改善，他們仍有持續改進的空間。網絡和 IT 團隊在應對和提高OT意識方面正面臨巨大壓力，組織正物色並採用解決方案，以在整個 IT/OT 環境中實施安全保護，以降低整體風險。」

Fortinet 香港、澳門及蒙古區業務發展總監徐思俊表示：「Fortinet 一直致力提升各界對OT的安全意識，是次報告再次突顯企業在確保 OT 安全方面仍需努力。針對 OT 的網絡威脅日新月異，香港亦不能獨善其身。在 IT 和 OT 日趨融合的情況下，企業需採用有效的方式保障安全，包括零信任和網絡存取控制等，以確保對大眾切身的服務不受中斷。」

新聞概要

全球頂尖的全方位自動化網絡保安服務方案供應商 Fortinet 上星期發表2023全球營運技術及網絡安全報告。結果反映營運技術（Operation Technology，簡稱 OT）安全的現狀，並為組織提供持續改進的機會，以在不斷擴大的 IT/OT 威脅型態下做好保護。報告除了提供影響OT組織的最新趨勢和見解外，亦提供路綫圖，以助IT和安全團隊更好地保護網絡環境。

該項全球調查的重點如下：

OT繼續成爲網絡犯罪份子的目標：雖然沒有遭到網絡入侵的組織數量按年大幅提高（由 2022 年的6% 升至 2023 年的 25%），但仍有進步空間。事實上，四分之三的 OT 組織報告，過去一年曾遭到至少一次入侵；來自惡意程式和釣魚的入侵再次成為報告最常見的事故類型，近三分之一受訪組織報稱在去年成爲勒索軟件攻擊受害者（32%，與 2022 年一樣）。
網絡安全從業員高估他們的 OT 安全成熟度：2023年，認爲組織的 OT 安全狀況為「高度成熟」的受訪者數量從前一年的 21% 跌至13%。這代表 OT 專業人員的意識正在不斷提高，並有更多有效的工具評估組織的網絡保安能力。受訪者亦指出，當網絡攻擊發生時，近三分一（32%）受訪者表示 IT 和 OT 系統受到影響，而去年只有21%。

連接設備數目急增，凸顯了OT組織面對的複雜性挑戰：近八成受訪者指，他們的OT環境有多於 100 台由 IT 支持的 OT 設備。這凸顯了 IT 和安全團隊在不斷擴大的威脅型態做好保護正面對重大的挑戰。調查結果顯示網絡安全解決方案繼續幫助大多數（76%）OT專業人員，特別是在提高效率（67%）和靈活性（68%）方面。然而報告數據亦表明，解決方案雜亂無序地擴展，使在日益融合的IT/OT環境裡，納入、採用和執行政策變得更加困難，而且這問題隨著系統的老化而加劇，大多數組織（74%）稱工業控制系統的平均年齡為6至10年之間。

OT安全由首席信息安全官負責：由於網絡安全技術人員日益短缺，幾乎所有組織都在尋找合資格的網絡安全從業員上進行著艱苦的戰鬥。報告結果顯示OT組織會繼續將網絡安全置於首位，其中一項關鍵指標是，幾乎所有（95%）的組織都計劃在未來12個月將OT網絡安全的責任交給首席信息安全官（CISO）而非營運主任或團隊。調查結果還顯示，現時的OT網絡安全專業人員均來自IT安全領導層，而不是產品管理部門。對網絡安全決策的影響正從營運部門轉移至其他領導人員，特別是首席信息安全官（CISO）或首席安全官（CSO）等角色。

最佳守則

Fortinet的全球2023營運技術及網絡安全報告提出了有助組織加强整體安全狀況的方法。企業可以透過採用以下做法來應對OT安全挑戰：

制定一個供應商和OT網絡安全平台戰略。整合可以減少複雜性和加快成果。第一步是開始逐步建立平台，與在設計產品時考慮到整合和自動化的供應商合作，使企業能夠在日益融合的 IT/OT 環境中持續地納入和執行政策。尋求與具有廣泛解決方案組合的供應商合作，他們可以提供有關資產庫存和區隔的基本解決方案，以及更高級的解決方案，如OT 安全營運中心（SOC）或支援聯合IT/OT SOC的能力。
部署網絡存取控制（NAC）技術。要解決保護工業控制系統（ICS）、數據採集與監控系統（SCADA）、物聯網、自攜裝置（BYOD）和其他端點有關的挑戰，進階的網絡存取控制需成為綜合安全架構的一部分。有效的 NAC 方案亦能管理與組織基礎設施連接或通訊的新裝置，以助維持組織網絡的完整掌控。
採用零信任方法。落實資產庫存、區隔的基本步驟，並持續驗證所有尋求存取關鍵資產的用戶、應用和裝置。
提供網絡安全意識教育和培訓。網絡安全培訓仍然至為重要，因為網絡安全的守護需要所有員工的力量，以知識和意識攜手保障自己以及組織的數據。組織應考慮為每一個使用電腦或流動裝置的人，如遙距工作人員以至他們的家人提供非技術培訓。

採用平台方式，並透過開放的 API 和支援織網技術的強大聯盟生態圈，來提供 OT 功能以保障 OT 環境，有助首席信息安全官和安全團隊降低複雜性，增加預防和檢測勒索軟件的效率，以及加快事件分類、調查和回應。

IT、OT 和生產團隊與首席信息安全官合作評估網絡與生產風險，尤其勒索軟件事故，有助確保意識、優先次序、預算和人員分配。

報告概述：

Fortinet 2023營運技術和網絡安全狀況報告由第三方研究公司進行，數據基於對全球 570 名 OT 專業人員進行的深入調查。
調查受訪者來自世界各地，包括：澳洲、新西蘭、巴西、加拿大、埃及、法國、德國、印度、日本、墨西哥、南非、英國和美國等。
受訪者來自一系列大量使用 OT 的行業，包括：製造、運輸/物流、醫療保健/製藥、石油、天然氣和煉油、能源/公用事業、化工/石化以及水/廢水處理。
大多數接受調查的人都深入參與網絡安全購買決策，不分頭銜。他們越來越多在 OT 購買決策中擁有最終決定權。今年的調查發現，91% 的受訪者經常參與組織的網絡安全採購決策。