工控安全产品和服务继续快速发展。Gartner 为安全和风险管理领导者提供了工控安全市场状况的概述,以及利用可用工控安全产品不断发展的建议。
主要发现
随着工控系统继续连接到 IT 系统,并且部署了新设计的网络物理系统 (CPS),工控安全正在从以网络为中心的安全发展为以 CPS 资产为中心的安全。
81% 的组织正在超越意识阶段进行安全迁移,并且大多数组织都从发现工作开始他们的旅程。
安全和风险管理 (SRM) 领导者拥有比以往更多的选择,因为基于平台的解决方案成为重心,垂直特定供应商出现,并购继续,OT 和 IT 安全供应商相互连接起来。
建议
负责工控系统安全的技术、信息和弹性风险的 SRM 领导者应该:
通过采用超越传统工控系统的集成安全策略,在面临不断增加的风险时将安全工作锚定到运营弹性。将所有 CPS(例如OT、IOT、IIoT和医疗物联网 IoMT)和 IT 纳入联合治理模型。
评估他们在典型的最终用户工控/CPS 安全之旅中所处的位置,并为加速他们的优化路径奠定基础,从而提供安全之外的额外好处。
盘点目前在其组织中使用的工控安全解决方案,并评估目前市场上不断增长的解决方案列表以找到最合适的解决方案。
战略规划假设
到 2025 年,70% 的资产密集型组织将在企业和工控环境中融合其安全功能。
市场定义
Gartner 将工控安全定义为“通过直接监控和/或控制工业设备、资产、流程和事件来检测或导致变化的硬件和软件”。工控安全包括用于保护它们的实践和技术。
市场描述
工控安全市场正在迅速变化。传统的利基工控安全市场强调专注于传统工业系统和纯工控网络及防火墙的产品。随着具有不断增加的功能的新工具、新服务的出现,市场现在正在迅速变化。随着工控系统继续连接到 IT 系统,并部署了新设计的 CPS,工控系统管理、治理、基础设施和安全性也在不断发展(见图 1 )。
图 1:从工控系统到 CPS 的安全之旅
安全学科的演变:
默默无闻的安全:在许多组织中,工控系统最初是以定制方式部署的,用于执行特定任务,而安全性并不是系统设计和架构的核心。尽管后来发现它在很大程度上是一个谬误,但认为这些系统完全“隔离”的概念导致了一种“默默无闻的安全”心态,没有安全重点,因为他们认为没有人可能会发现并瞄准这些系统。
工控系统以网络为中心的安全:随着系统开始相互连接,然后连接到企业 IT 系统,出现了以网络为中心的安全规则,以 Purdue 模型为基础,并由防火墙、DMZ和单向数据网闸提供支持。
CPS 以资产为中心的安全:随着新旧资产的复杂性和多样性已成为许多组织的现实,因此需要一种新的安全方法。组织正在认识到,工控系统只是他们现在必须应对的一种网络物理资产之一,其他的还有物联网、工业物联网、智能建筑甚至医疗设备技术。所有这些技术都有一个共同点:它们不仅仅是处理数据,它们还跨越了网络和物理世界。发现和清点它们的能力为以资产为中心的安全打开了大门。
当涉及安全时,历史 IT 与工控系统功能差异正在成为一种责任,因为两极分化的优先级只会帮助攻击者。由于设计、年龄或功能的原因,工控系统的独特要求现在以无法再忽视的方式增加了 IT 安全问题。现代化工作将风险、可靠性和安全讨论带到了最前沿。
市场方向
威胁正在上升和转移
工控系统通常对组织非常重要。它们是创造价值和收入的核心系统。如果他们倒下,组织有可能就会停止运营。它们之间的联系越紧密,攻击面就越扩大。这越来越使它们成为勒索软件和目标恶意软件开发的有吸引力的目标,从南非港口的运营中断到美国佛罗里达州一家自来水公司的中毒事件,自 2021 年以来,涉及工控环境的安全事件数量不断增加。此外,Industroyer2和Pipedream 等恶意软件正在出现新功能和易于部署。
更多漏洞正在浮出水面
工控系统中披露的漏洞数量逐年增加。越来越多的漏洞是由于越来越多的安全研究人员和供应商将注意力集中在这些工控系统资产上。但这也是因为长期以来,工控系统生产商将漏洞问题视为下游、售后需要处理的问题。此外,工控环境中漏洞的另一个重要问题是无法随意修补。
专业安全技能仍然供不应求
安全工程、安全评估和工业安全运营等领域的技能短缺清楚地表明,制定跨越 IT、OT 和其他 CPS 环境的有效安全策略是复杂的。技能的缺乏导致对提供安全评估、安全框架、开发和实施的咨询服务的需求增加。对事件响应、自动化响应的兴趣也导致对这些服务的需求不断增加。
更多法规、指令和框架正在出现
2021 年针对关键基础设施相关组织,从水务公司到管道运营商,加速了人们认识到这些行业工控环境中的技术是国家安全和经济繁荣的关键。因此,出现了新的法规、指令和框架。
市场分析
一些重要因素直接影响工控安全市场的发展。
组织正在超越意识阶段
Gartner 记录了组织所经历的典型安全旅程(参见图 2),调查结果显示 82% 的组织已经过了意识阶段。
图 2:OT/CPS 安全之旅
六个关键阶段:
阶段 1. 意识:在此阶段,出现新的优先级和重点,通常由导致底线影响的违规行为驱动;董事会、高管和首席信息官的参与;或数字化转型计划,迫使组织重新审视其风险状况。此外,来自FBI 、国土安全部 (DHS)和欧盟网络安全局 (ENISA)等政府机构的警告和公告也在增加。还涉及垂直特定的合规性要求。通常用来弄清楚的团队是 IT 安全团队,他们将其以 IT 为中心的偏见带到了任务中,并很快意识到它正在进入一个并不总是受欢迎的新环境。
阶段 2. 认知:资产发现/网络拓扑映射:一旦组织进入认知阶段,下一步就是弄清楚环境中存在哪些连接系统以及风险概况是什么样的。这通常涉及与支持工控资产的团队联系,以了解存在哪些企业范围的 IT 架构和工控安全策略和流程。现实通常很快就会发现,对于已经连接到提高生产力或控制成本的“棕地”工控环境缺乏安全可见性。在通过IIoT / IoT工作部署的新CPS中也缺乏安全控制,这些工作由寻求更多数字化转型的业务部门管理。由于越来越多的安全供应商提供资产发现和网络拓扑映射平台,下一步通常涉及概念验证(POC)工作,包括一个或多个CPS保护平台解决方案。
阶段3. 震惊:这些 POC 总是让人大开眼界。例如:
o非托管资产无处不在。
o工控系统在其默认凭据未更改的情况下进行部署。
o最初设计为高度隔离的工控网络已经变得比想象的更扁平。
o各种远程位置的各种系统上的端口都是开放的。
o原始设备制造商正在访问他们远程销售的机器,而没有人对此进行管理。
o旧工控系统上公开的漏洞从未评估过可能的修补程序。
o不同安全学科(例如,网络安全、物理安全、供应链安全、产品安全、健康和安全)之间的功能孤岛正在形成不良行为者可以利用的缝隙。
o缺乏安全性的工控环境是大多数组织的价值创造中心;但是,不存在集中治理来开始理解这一切。认识到各种(与安全相关的)流程和决策的角色和责任从未明确过,更不用说达成一致了。
阶段 4. 灭火:在这个阶段,行动被优先考虑和部署。可以通过创建指导委员会来解决治理差距,例如当风险评估可以发现需要优先考虑安全工作的高价值资产时。重点是即时工作,例如网络分段审查、终端强化、威胁情报、可行时的修补或事件响应计划更新。对于某些组织来说,达到第 4 阶段可以确定一个决策点。对于一些人来说,它触发了向稳定状态的转变,因为他们认为他们既没有必要也没有资源来推进到第 5 阶段。对于其他人来说,第 4 阶段部署的活动创建了一个新的意识触发器,他们决定集成和优化阶段不仅为安全提供了回报,而且为整个组织提供了回报。
阶段 5. 整合:这是工控安全与 IT 和其他安全治理、监控和报告集成和协调的阶段。以前孤立的安全学科在新设立的首席安全官 (CSO) 角色下融合;例如,安全工具融合并提供更广泛的态势感知,并更新安全策略以适应非 IT 特定环境。此阶段可能包括与安全信息和事件管理 (SIEM) 或安全编排自动化和响应 (SOAR) 解决方案集成。组织可能会开始为其运营或关键任务环境采用端到端更广泛的安全方法,以反映 IT 安全实践,包括事件响应、威胁情报、威胁追踪或欺骗。值得注意的是,镜像并不意味着直接等效。工控环境仍然是独一无二的,IT 安全规则仍然需要相应地进行调整。
阶段 6.优化:随着融合取得成果,以及部署的以工控为中心的安全工具中涌现出更多数据,组织意识到,他们现在可以访问的前所未有的可见性和数据量可能使具有附加功能的安全团队受益,以及运营,维护,采购或工程方面的非安全团队。Gartner 的互动表明,一些组织已使用来自 CPS 保护平台的数据来支持预测性维护工作,或者根据资产使用情况指标为购买决策提供信息。
CPS 保护平台成为重心
随着工控系统越来越多地相互连接并与 IT 系统连接,并且随着物联网、工业物联网、智能建筑或智能工厂自动化工作的加速,组织现在必须保护其环境中所有类型的网络物理系统。在过去几年中,出现了 CPS 发现平台,以帮助安全领导者盘点这个庞大的技术资产。这些平台通常是无代理的,可以向运营部门解释为不会增加额外的风险。它们也越来越多地与其他安全工具(如 SIEM 或 SOAR 解决方案)互操作。
最初的平台功能以资产发现、可见性和网络拓扑为中心。然而,随着供应商不断向这些平台添加新功能,它们已成为CPS 保护平台。现在可用的功能包括威胁情报 (TI)、漏洞管理、风险评分或安全远程访问。
与基于平台的特性和功能相关的模块化对最终用户很有吸引力,他们可以根据当前的需求和成熟度来使用它们。平台业务模式还意味着供应商可以越来越多地提供基于软件即服务 (SaaS) 的定价模式,并为更多基于云和以分析为中心的解决方案打开大门。一些供应商现在既为“棕地”系统提供被动本地解决方案,又为“绿地”系统提供基于云的解决方案。
垂直特定供应商正在兴起
由于部署的系统和协议类型、独特的销售周期或安全文化,某些垂直行业(例如医疗保健、国防、铁路或海运)具有独特的安全需求。一些供应商正在接受这种独特性。他们将针对这些垂直特定环境量身定制的解决方案推向市场,并根据他们的知识精心挑选人员。渴望将其市场份额扩展到运营环境的云提供商也瞄准了行业合作伙伴关系,并展示了嵌入在其解决方案中的安全实践。
近两年显着的并购和风险投资变动
过去两年,工控安全领域发生了多起并购。如果工控设备制造商和安全供应商之间的合作导致收购,最终用户可能需要考虑互操作性。大多数工业环境都由来自各种设备制造商的系统提供支持。令人担忧的是,如果这些制造商之一的设备只能由已成为同一制造商产品的 CPS 保护平台监控,会发生什么情况。
工控和IT安全供应商继续搭建桥梁
过去两年,IT 安全与工控安全解决方案之间的联系显著增加。大多数工控安全供应商(以及所有 CPS 保护平台供应商)都与成熟的 IT 安全供应商建立了战略合作伙伴关系。
市场推荐
负责工控系统安全的技术、信息和弹性风险的 SRM 领导者应该:
- 将安全工作锚定于运营弹性
- 评估他们在典型的最终用户 OT/CPS 安全之旅中所处的位置
- 通过清点组织中使用的所有资产来加速IT/工控安全堆栈融合
将安全努力锚定在运营弹性上
随着勒索软件攻击、新冠疫情、供应链中断和日益严重的地缘政治问题,大多数组织都在重新评估其运营弹性。这包括协调风险评估的管理、风险监控和控制的执行,这些控制会影响业务交付和价值实现过程中使用的跨风险域的劳动力、流程、设施、技术和第三方。随着安全风险成为网络物理风险,SRM 领导者应抓住机会,将这种日益增强的意识与他们可以使用的不断扩大的工控安全工具列表相结合。
评估他们在典型的最终用户 OT/CPS 安全之旅中的位置
了解类似情况的组织的典型旅程是什么样的,可以帮助 SRM 领导者规划未来的道路,并在寻求资源时将预期结果传达给高级领导者。尽管安全通常被视为成本中心,但精通业务的 SRM 领导者很快就会意识到,保护其组织的价值创造资产可以引起不同程度的高管关注。如果对工控安全解决方案的投资创造了对非 IT 团队有价值的信息,则尤其如此。
通过清点其组织中使用的所有资产来加速IT/工控安全堆栈融合
SRM 领导者需要评估不断增长的独立或基于平台的选项列表,以实现与其 IT 安全工具的互操作性。为了帮助他们踏上旅程,SRM 领导者正在寻求比以往更多的选择。好消息是市场正在做出反应,现在可以使用适用于工控或关键任务环境的新供应商和安全特性和功能。