摘要
本研究的目的是了解石油和天然气行业的公司如何解决运营技术(OT,operational
technology)环境中的网络安全风险。
据调查结果显示,部署网络安全措施没有跟上石油和天然气业务数字化的增长。
事实上,只有35%的受访者认为组织的OT网络安全准备就绪。
大多数受访者将自己的组织的网络安全的就绪状态定为低到中等,68%的受访者表示,他们的业务在过去一年至少有一次安全攻击,导致机密信息丢失或OT被破坏。
以下是本研究的八个主要发现。
1. 59%的受访者认为,在过去几年中OT风险比IT环境风险更大,67%的受访者认为过去几年工业控制系统的风险水平,由于网络威胁而大大增加。
2. 66%的受访者认为,石油和天然气公司正在从数字化中受益,但是网络风险大大增加。
3. 有68%的受访者表示,他们的组织经历了至少一次网络攻击,但许多组织缺乏OT网络风险关键性的意识,或者确实解决它的策略。
4.61%的受访者表示,其组织的工业控制系统的保护和安全是不够的。
5.有65%的受访者表示网络安全威胁最大的是疏忽或粗心的内部人士,15%的受访者表示是恶意软件或犯罪的内部人士,强调需要采用先进的监控解决方案来找到人员之间的非典型行为。
6.只有41%的受访者表示,他们持续性监测基础设施以对威胁和攻击进行排序处理。事实上,在OT环境中平均有46%的网络攻击未被发现,这表明需要在检测石油和天然气业务网络威胁的技术上投资。
7.68%的受访者表示,安全分析对于实现强有力的安全形势至关重要。
8.部署的安全技术不被认为是最有效的。63%的受访者表示用户行为分析,62%的受访者认为终端防护在减轻网络安全风险方面非常有效。此外,62%的受访者认为对流量中数据加密是非常有效的。然而,许多公司没有计划部署这些技术。具体来说,在未来12个月中,不到一半的组织(48%的受访者)计划使用数据加密,只有39%的企业计划部署终端防护,只有20%将采用用户行为分析(UBA)。
(二)主要成果分析
本研究参与者简介
我们调查了美国有377名在OT环境中负责安全或监督网络风险的成员。大多数是工业控制系统负责人(19%),质量工程负责人(15%),OT安全领导(14%),过程工程负责人(14%)和IT安全领导(11%)负责人
。受访者在石油和天然气行业的下游(30%),上游(24%),中游(17%)或所有这些环境中工作(29%)。
我们根据以下主题组织了调查结果:
-
网络安全的挑战
-
漏洞利用和安全攻击
-
油气行业数字化
-
实现网络安全的解决方案
1、网络准备的挑战
OT比IT环境面临更大的风险。59%的受访者认为,与IT环境相比,OT的风险更大。77%的受访者认为,由于网络威胁,过去几年工业控制系统的风险水平已大大增加。
网络风险,特别是供应链上的风险很难解决。 69%的受访者认为,由于供应链中第三方的网络安全措施不确定,其组织面临风险,61%的受访者表示其组织难以缓解油气价值链中的网络风险。
许多公司对网络攻击和安全漏洞被利用没有准备。只有35%的受访者认为其在OT环境中的网络准备就绪率高,61%的受访者表示其组织的工业控制系统的保护和安全性不够。
这些看法基于以下发现:61%的受访者认为他们的组织难以应对石油和天然气价值链中产生网络风险,不到一半(48%)的受访者认为其组织有效实现安全标准和石油和天然气行业的指导方针。
组织的挑战影响呢网络安全准备。只有33%的受访者认为OT与IT在网络安全方面的运作完全一致。60%表示他们没有足够的员工,只有45%的受访者表示拥有内部专家来管理OT环境中的网络威胁。
疏忽,恶意或犯罪的内部人员对关键行动构成最严重的威胁。65%的受访者表示网络安全威胁最大的是疏忽或粗心的内部人士,15%的受访者表示这是恶意或犯罪的内部人士。
2、漏洞利用和安全攻击
OT环境中的网络攻击未被检测出。在过去12个月中,88%的组织遭受安全攻击,导致机密信息丢失或OT环境破坏。但平均而言,反馈者相信46%的网络攻击未被发现。
许多组织似乎缺乏对其组织的网络风险的认识。虽然68%的受访者表示其组织经历了网络攻击,但只有20%的受访者表示,他们的组织很可能或可能在未来12个月内经历的网络攻击。只有20%的受访者表示,他们的组织在过去12个月内经历了DUOU,DUOU 2.0或Flame病毒/蠕虫。
旨在保护OT基础架构的任务尚未完成。只有41%的受访者表示,他们持续性监测OT基础设施,对威胁和攻击进行排序和优先处理。较少的受访者表示,38%和37%的受访者,他们的组织能够评估风险,以确定处理风险或攻击所需的资源,并调动正确的技术和资源来处理攻击。
勘探信息是石油和天然气价值链中最易受到网络攻击的领域。当被要求确定最高风险的前七名时,72%的受访者表示是勘探信息,60%的受访者表示是生产信息。其他包括:潜在的合作伙伴和收购目标(56%的受访者),财务和组织报告(53%的受访者),运营信息(50%的受访者),钻井现场的详细信息(47%的受访者)和来自传感器的生产信息(46%的受访者)。只有18%的受访者表示,他们的组织每月进行全面审计(7%的受访者)和每6个月进行安全审计(11%的受访者)。
3、石油和天然气行业的数字化
数字油田带来了收益和风险。石油和天然气公司正在受益于数字化。然而,66%的受访者担心这使得他们更容易受到安全攻击。这些增加使组织更加意识到,需要进行安全分析。68%的受访者表示技术至关重要或非常重要。
组织最大的脆弱性是设施过时和老化控制系统。 63%的受访者表示设施中陈旧的老化控制系统使组织面临风险。在生产环境中使用具有已知漏洞的IT产品(61%的受访者)。
大多数组织正处于OT网络安全的早期阶段。40%的受访者表示,他们的组织在网络安全的早期到中期阶段。这意味着许多OT网络安全计划活动尚未被计划或部署,或者已经被规划和定义,但是仅部分部署。
许多组织正在外包OT安全业务。为了支持他们努力解决数字化带来的风险,52%的受访者表示,他们的组织目前外包(占16%的受访者),或者考虑外包其OT安全业务(36%的受访者)。
4、实现网络安全的解决方案
部署的安全技术不被认为是最有效的。 63%的受访者表示用户行为分析,62%的受访者认为终端防护在减轻网络安全风险方面非常有效。此外,62%的受访者认为对流量数据进行加密非常有效的。然而,许多公司没有计划部署这些技术。具体来说,在未来12个月中,不到一半的组织(48%的受访者)计划使用数据加密,只有39%的企业计划部署终端防护,只有20%将采用用户行为分析(UBA)。
威胁情报在减少网络威胁方面被认为是有价值的。 71%的受访者认为,在OT环境中减少网络风险的关键就是分享威胁情报。然而,只有43%的受访者表示他们参加了石油和天然气信息共享和分析中心。不分享情报的主要原因是威胁信息质量(56%的受访者)和资源不足(53%的受访者)。
解决方案应侧重于OT、IT以及内部专家之间联合。如本研究所示,组织安全挑战造成了OT安的困难。只有33%的受访者表示,OT与IT之间在网络安全方面保持一致,只有45%的受访者表示其组织有内部专家来管理网络威胁。网络安全培训和员工意识至关重要,因为60%的受访者表示,他们的组织没有这样的举措。
原文链接:https://siemensusa.newshq.businesswire.com/sites/siemensusa.newshq.businesswire.com/files/doc_library/file/Cyber_readiness_in_Oil__Gas_Final_4.pdf