位于美国马里兰州贝塞斯达市的信息安全与网络安全培训公司SANS研究所,新近发布了一份调查报告,指出:今年,认为工控系统(ICS)受威胁程度是中度到重度的受访者占比67%,比去年的43%有了大幅上升。ICS的安全经理正越来越关注安全问题,担心业内信息共享不足。
该报告作者之一,SANS研究所ICS全球项目负责人德雷克·哈普称,不断恶化的问题催生了这种趋势,越来越多的事件被报道,公司高层越来越关注自身暴露面。
事实上,根据博思艾伦咨询公司上周发布的一份报告,2014到2015年,报告给美国官方的安全事件数量上涨了20%。尤其是鱼叉式钓鱼攻击,飙升160%。该攻击形式是大型攻击行动的初始攻击方法,2015年最大攻击行动之一“秘狼行动”( Operation Clandestine Wolf ),以及针对德国钢铁厂和乌克兰电力分销商的攻击行动都是以鱼叉式网络钓鱼为起点的。
SANS报告称,27%的受访者承认曾遭受过安全事件,52%觉得自己没有意识到有数据泄露,只有13%确信自己没有被渗透。
知情是个大问题。很多问题实际存在却未被发现。普遍认为,大多数系统都被这样那样地探测过,但真的很难弄清到底有没有被人侵入。
这些公司吸引了各种各样的攻击者,有被经济利益驱使的网络罪犯,有对公司不满的内部人士和前雇员,还有搜寻专利信息的民族国家。
同时,称从工业信息共享合作伙伴关系收到情报信息的受访者人数从45%降到了41%;而从政府机构收到此类信息的人数更是降得厉害,从44%降到了34%。
这或许只是感知问题,未必意味着信息共享真的减少了。
人们极度渴望获得更多信息。他们知道这是了解现状向前迈进的途径,但又得不到想要的信息。
增加公共事业和私营产业间信息共享的工作已经展开。但是,通向更加开放的道路上依然充满阻碍,有些势力在抵制公开。
比如说,对公司声誉或股价可能会受影响的担忧,对自己可能会被解雇的担忧等。
但,调查结果中最令人失望的数据是,过去12个月中,有31%的企业连一次安全评估都没做,16%的受访者表示自家企业从未对控制系统做过安全评估。
人们需要行动起来,安全评估是最基础的国,不管想做什么样的安全策略,都必须在有个基准的前提下。
(责任编辑:宋编辑)
