2024年控制系统网络安全年度报告

(CS)2AI-KPMG控制系统网络安全年度报告20242主席致辞04年度报告冠名赞助商前言05执行摘要06(CS)2项目08(CS)2项目成熟度——纵向分析09客户(CS)2项目成熟度——地区10(CS)2关键绩效指标（KPI）——高成熟度vs低成熟度11使用的安全成熟度框架——终端用户vs供应商12组织计划——终端用户13(CS)2 服务——终端用户14(CS)2技术——终端用户15减少(CS)2攻击面的障碍16(CS)2障碍——高成熟度vs低成熟度17(CS)2障碍——组织层面18(CS)2障碍——终端用户vs供应商19(CS)2障碍——区域分析20(CS)2支出和预算21(CS)2高投资回报率领域——组织级别22(CS)2高投资回报率领域——高成熟度vs低成熟度23支出优先级——组织层面24供应商对客户预算的指导——供应商25目录(CS)2高支出——高成熟度vs低成熟度vs全部 26(CS)2高支出——终端用户27(CS)2预算变化——纵向分析28(CS)2投资计划——高成熟度vs低成熟度29(CS)2投资计划——地区30(CS)2预算情况——高成熟度vs低成熟度31(CS)2评估32(CS)2 评估频率——高成熟度vs低成熟度33(CS)2 评估频率——终端用户vs供应商34(CS)2 评估内容——高成熟度vs低成熟度35(CS)2 评估内容——终端用户vs供应商36(CS)2 评估响应——高成熟度vs低成熟度37获取前的(CS)2风险评估——高成熟度vs低成熟度38安全培训39(CS)2意识培训整合——终端用户40(CS)2意识训练整合——高成熟度vs低成熟度41(CS)2培训内容——高成熟度vs低成熟度42(CS)2网络43控制系统组件的可访问性44(CS)2管理服务现状——高成熟度vs低成熟度47(CS)2AI-KPMG控制系统网络安全年度报告20243目录(CS)2管理服务的使用——纵向分析48附录A：受访者组成61(CS)2技术现状——高成熟度vs低成熟度49受访者职位——终端用户和供应商62(CS)2网络监控——纵向分析50受访者区域分布63(CS)2可见性——终端用户51受访者年龄分布64(CS)2事件52按受访者组织级别的年龄分布65(CS)2攻击响应——终端用户53受访者教育水平66(CS)2事件近况——纵向分析54受访者所在公司类别66客户(CS)2事件攻击媒介——区域55受访者所在行业（仅限终端用户）67(CS)2事件影响——纵向分析56受访者组织规模68近期(CS)2攻击媒介——纵向分析57受访者决策角色68(CS)2威胁行为者——纵向分析58受访者决策角色——仅限终端用户68供应商指引59受访者的职务和组织级别69客户KPI关注指引——供应商60附录B：年度报告指导委员会及撰稿人71附录C：关于(CS)2AI73附录D：报告发起人74(CS)2AI-KPMG控制系统网络安全年度报告20244主席致辞尊敬的业界同仁：我很自豪地发 布第三版(CS)2AI-KPMG控制系统网络安全年度报告，这份报告不仅凝结着我们分析师和研究人员的心血，也离不开所有报告指导委员和同仁的辛勤付出。今年的报告基于630多名行业成员的调查结果和(CS)2AI全球会员的代表性样本（目前约有3,4000名社区成员）而形成，其中包括关于控制系统安全事件、攻击模式和应对方面的经验，以及将资源集中于保护关键系统和资产所面临的问题。调查报告中的受访者增加了招聘合格人员的难度，报告强调各组织需要投资发展现有员工的网络安全技能并对其进行培训。每年都有越来越多的参与者为我们的年度报告付出努力。我们必须向报告发起人毕马威国际表示最大的感谢，感谢他们几年前使我们能够启动这个项目，并感谢他们在项目制作方面继续支持和合作。我们的共同目标是，本报告能够为业界同事提供基于经验的有价值见解，成为辅助日常做出许多艰难决定的工具。重要的是，要利用本报告的结论做出明智的决策，并优先考虑能为控制系统安全支出提供最佳投资回报率的领域。我们将一如既往地支持我们的社区，努力确保系统安全，使现代生活方式成为可能。德里克·哈普(CS)2AI创始人兼董事长2024年的报告阐明了控制系统安全行业的几个关键趋势和挑战。虽然网络攻击的增加令人担忧，但各组织在网络安全预算方面也更加充裕，专注于预防，并认识到供应链攻击的威胁。报告中强调的一个重要问题是网络安全领域的技术工人短缺。随着网络威胁的兴起，对网络安全专业人员的需求从未如此之高。Waterfall安全解决方案和Fortinet自我们的第一版报告以来一直与我们合作，并提供资源和专业知识。我们还要感谢所有其他合作伙伴，他们的支持和指导每年都有助于使这成为一个宝贵的决策支持工具（见附录D）。当然，我们也不能忽略那些主动加入年度报告指导委员会的所有成员（见附录B）。在新年到来之际，回顾我们在控制系统安全领域取得的进展以及我们继续面临的挑战至关重要。即使作为一个百分之百的乐观主义者，在去年数以百次与他人交谈中仍然可以感受到，想要取得真正的进展还有很长的路要走。有一点始终没改变的，就是我们面前还有大量的工作要做，来确保能够实现现代生活方式的安全系统。(CS)2AI-KPMG控制系统网络安全年度报告20245年度报告冠名赞助商前言瓦尔特·里西毕马威国际全球OT网络安全负责人，毕马威阿根廷咨询业务主管合伙人巴勃罗·阿尔马达毕马威国际全球OT网络安全副主管，毕马威阿根廷OT网络安全主管合伙人虽然运营技术（OT）网络安全已经在大多数行业首席信息安全官（CISO）的议程上占据了一席之地，但在许多情况下，它仍然是更广泛的网络安全领域中一个孤立的问题。尽管近年来许多公司取得了重大进展，但该领域仍在不断走向成熟和整合。今年(CS)2AI和毕马威国际合作的结果揭示了我们取得的进展和面临的持续挑战。关于成熟度，近一半（49%）的受访组织运营仍处于较低的成熟度（第1级或第2级），即只拥有解决问题和基本管理的能力。虽然建立OT网络安全项目的必要性不再是一个新颖的概念，尽管市场上已有成熟的技术解决方案，但调查结果发现成熟度仍没有大幅提升。可能阻碍进步的一个显著因素是技术资源的稀缺，这也是该领域多年来一直在努力应对的一个众所周知的挑战。尽管存在这些挑战和相对渐进的发展步伐，但我们与行业高管的讨论表明，我们对OT网络安全相关风险的认识有所提高。尽管在过去几年里，这可能是一次艰难的推销，但与高层管理人员的网络安全对话越来越多地围绕着OT网络安全作为焦点。这意味着对学科的关键重要性有了更高层次的理解和认识。正如所料，高管们也更愿意参与以OT网络安全为中心的危机模拟和桌面演习。我们相信，毕马威国际和(CS)2AI之间的年度合作在提高高管层的意识方面发挥着关键作用。通过对全球从业者和领导者所提供的真实案例进行分析，我们的调查为该领域的全球演变提供了一个公正的视角。它有助于做出明智的投资决策，并突出了人们对这一领域日益增长的兴趣。我们相信，我们的联合报告为OT网络安全从业人员和领导者以及更广泛的执行社区提供了宝贵的资源。在第三版报告中，我们重申，我们将致力于对该领域全球领导人所认为的围绕OT网络安全的主