Fortinet發表全球營運技術及網絡安全報告,指出企業在保護OT(Operation Technology,簡稱 OT)網絡環境上面臨重大挑戰。儘管數量按年增長,但仍有四分之三的OT組織報告遭到入侵,勒索軟件攻擊成為最常見的入侵方式之一。另外,Fortinet調查亦顯示,OT專業人員高估了其OT安全成熟度,需要加強網絡存取控制技術、零信任方法等。
OT網絡為網絡犯罪份子的目標
Fortinet全球2023營運技術及網絡安全報告指出,OT繼續成為網絡犯罪份子的目標。雖然沒有遭到網絡入侵的組織數量按年大幅提高,但仍有四分之三的OT組織報告,過去一年曾遭到至少一次入侵。事實上,釣魚和惡意程式攻擊再次成為報告最常見的事故類型,近三分之一受訪組織報稱在去年成為勒索軟件攻擊受害者。
OT安全成熟度被高估
Fortinet報告亦指出,網絡安全從業員高估了其OT安全成熟度。2023年,認為組織的OT安全狀況為「高度成熟」的受訪者數量從前一年的21%跌至13%。受訪者亦指出,當網絡攻擊發生時,近三分之一(32%)受訪者表示IT和OT系統受到影響,而去年只有21%。
需要加強網絡存取控制技術、零信任方法等
由於網絡安全技術人員日益短缺,OT安全由首席信息安全官負責,且OT網絡安全專業人員來自IT安全領導層。報告建議企業加強網絡存取控制技術、零信任方法等,以保障OT安全。其中,零信任方法可強化身份驗證、應用和資源可見性等,為企業提供更多保障。此外,部署網絡存取控制(NAC)技術可防止未經授權的設備接入網絡,並加強網絡安全性。報告亦建議企業加強網絡安全意識教育和培訓,以及制定供應商和OT網絡安全平台戰略。
OT安全由首席信息安全官負責
報告指出,隨著網絡攻擊不斷升級,企業需要加強對OT網絡的保護。由於網絡安全技術人員日益短缺,OT安全由首席信息安全官負責,且OT網絡安全專業人員來自IT安全領導層。報告亦建議企業加強網絡安全意識教育和培訓,讓員工了解網絡安全風險和防範措施,以提高整體OT安全水平。此外,制定供應商和OT網絡安全平台戰略,可幫助企業更好地管理供應商風險,提高整體OT安全性。