《畢馬威&國際控制系統網絡安全協會：2024年控制系統網絡安全年度報告（75頁）.pdf》由會員分享，可在線閱讀，更多相關《畢馬威&國際控制系統網絡安全協會：2024年控制系統網絡安全年度報告（75頁）.pdf（75頁珍藏版）》請在三個皮匠報告上搜索。

1、(CS)2AI-KPMG控制系統網絡安全年度報告20242主席致辭0404年度報告冠名贊助商前言0505執行摘要0606(CS)2項目0808(CS)2項目成熟度縱向分析0909客戶(CS)2項目成熟度地區1010(CS)2關鍵績效指標（KPI）高成熟度vs低成熟度1111使用的安全成熟度框架終端用戶vs供應商1212組織計劃終端用戶13(CS)2 服務終端用戶14(CS)2技術終端用戶15減少(CS)2攻擊面的障礙16(CS)2障礙高成熟度vs低成熟度17(CS)2障礙組織層面18(CS)2障礙終端用戶vs供應商19(CS)2障礙區域分析20(CS)2支出和預算21(CS)2高投資回報率領域

2、組織級別2222(CS)2高投資回報率領域高成熟度vs低成熟度2323支出優先級組織層面2424供應商對客戶預算的指導供應商2525目錄(CS)2高支出高成熟度vs低成熟度vs全部 2626(CS)2高支出終端用戶2727(CS)2預算變化縱向分析2828(CS)2投資計劃高成熟度vs低成熟度2929(CS)2投資計劃地區3030(CS)2預算情況高成熟度vs低成熟度3131(CS)2評估3232(CS)2 評估頻率高成熟度vs低成熟度3333(CS)2評估頻率終端用戶vs供應商34(CS)2評估內容高成熟度vs低成熟度35(CS)2 評估內容終端用戶vs供應商36(CS)2 評估響應高成熟度

3、vs低成熟度37獲取前的(CS)2風險評估高成熟度vs低成熟度38安全培訓39(CS)2意識培訓整合終端用戶4040(CS)2意識訓練整合高成熟度vs低成熟度4141(CS)2培訓內容高成熟度vs低成熟度4242(CS)2網絡43控制系統組件的可訪問性4444(CS)2管理服務現狀高成熟度vs低成熟度4747(CS)2AI-KPMG2024控制系統網絡安全年度報告3目錄(CS)2管理服務的使用縱向分析48附錄A：受訪者組成61(CS)2技術現狀高成熟度vs低成熟度49受訪者職位終端用戶和供應商62(CS)2網絡監控縱向分析50受訪者區域分布63(CS)2可見性終端用戶51受訪者年齡分布64(C

4、S)2事件52按受訪者組織級別的年齡分布65(CS)2攻擊響應終端用戶53受訪者教育水平66(CS)2事件近況縱向分析54受訪者所在公司類別66客戶(CS)2事件攻擊媒介區域55受訪者所在行業（僅限終端用戶）67(CS)2事件影響縱向分析56受訪者組織規模68近期(CS)2攻擊媒介縱向分析57受訪者決策角色68(CS)2威脅行為者縱向分析58受訪者決策角色僅限終端用戶68供應商指引59受訪者的職務和組織級別69客戶KPI關注指引供應商60附錄B：年度報告指導委員會及撰稿人71附錄C：關于(CS)2AI73附錄D：報告發起人74(CS)2AI-KPMG2024控制系統網絡安全年度報告4主席致辭尊

5、敬的業界同仁：我很自豪地發布第三版(CS)2AI-KPMG控制系統網絡安全年度報告，這份報告不僅凝結著我們分析師和研究人員的心血，也離不開所有報告指導委員和同仁的辛勤付出。今年的報告基于630多名行業成員的調查結果和(CS)2AI全球會員的代表性樣本（目前約有3,4000名社區成員）而形成，其中包括關于控制系統安全事件、攻擊模式和應對方面的經驗，以及將資源集中于保護關鍵系統和資產所面臨的問題。調查報告中的受訪者增加了招聘合格人員的難度，報告強調各組織需要投資發展現有員工的網絡安全技能并對其進行培訓。每年都有越來越多的參與者為我們的年度報告付出努力。我們必須向報告發起人畢馬威國際表示最大的感謝，

6、感謝他們幾年前使我們能夠啟動這個項目，并感謝他們在項目制作方面繼續支持和合作。我們的共同目標是，本報告能夠為業界同事提供基于經驗的有價值見解，成為輔助日常做出許多艱難決定的工具。重要的是，要利用本報告的結論做出明智的決策，并優先考慮能為控制系統安全支出提供最佳投資回報率的領域。我們將一如既往地支持我們的社區，努力確保系統安全，使現代生活方式成為可能。德里克哈普(CS)2AI創始人兼董事長2024年的報告闡明了控制系統安全行業的幾個關鍵趨勢和挑戰。雖然網絡攻擊的增加令人擔憂，但各組織在網絡安全預算方面也更加充裕，專注于預防，并認識到供應鏈攻擊的威脅。報告中強調的一個重要問題是網絡安全領域的技術工

7、人短缺。隨著網絡威脅的興起，對網絡安全專業人員的需求從未如此之高。Waterfall安全解決方案和Fortinet自我們的第一版報告以來一直與我們合作，并提供資源和專業知識。我們還要感謝所有其他合作伙伴，他們的支持和指導每年都有助于使這成為一個寶貴的決策支持工具（見附錄D）。當然，我們也不能忽略那些主動加入年度報告指導委員會的所有成員（見附錄B）。在新年到來之際，回顧我們在控制系統安全領域取得的進展以及我們繼續面臨的挑戰至關重要。即使作為一個百分之百的樂觀主義者，在去年數以百次與他人交談中仍然可以感受到，想要取得真正的進展還有很長的路要走。有一點始終沒改變的，就是我們面前還有大量的工作要做，來

8、確保能夠實現現代生活方式的安全系統。(CS)2AI-KPMG2024控制系統網絡安全年度報告5年度報告冠名贊助商前言瓦爾特里西畢馬威國際全球OT網絡安全負責人，畢馬威阿根廷咨詢業務主管合伙人巴勃羅阿爾馬達畢馬威國際全球OT網絡安全副主管，畢馬威阿根廷OT網絡安全主管合伙人雖然運營技術（OT）網絡安全已經在大多數行業首席信息安全官（CISO）的議程上占據了一席之地，但在許多情況下，它仍然是更廣泛的網絡安全領域中一個孤立的問題。盡管近年來許多公司取得了重大進展，但該領域仍在不斷走向成熟和整合。今年(CS)2AI和畢馬威國際合作的結果揭示了我們取得的進展和面臨的持續挑戰。關于成熟度，近一半（49%）

9、的受訪組織運營仍處于較低的成熟度（第1級或第2級），即只擁有解決問題和基本管理的能力。雖然建立OT網絡安全項目的必要性不再是一個新穎的概念，盡管市場上已有成熟的技術解決方案，但調查結果發現成熟度仍沒有大幅提升?？赡茏璧K進步的一個顯著因素是技術資源的稀缺，這也是該領域多年來一直在努力應對的一個眾所周知的挑戰。盡管存在這些挑戰和相對漸進的發展步伐，但我們與行業高管的討論表明，我們對OT網絡安全相關風險的認識有所提高。盡管在過去幾年里，這可能是一次艱難的推銷，但與高層管理人員的網絡安全對話越來越多地圍繞著OT網絡安全作為焦點。這意味著對學科的關鍵重要性有了更高層次的理解和認識。正如所料，高管們也更愿

10、意參與以OT網絡安全為中心的危機模擬和桌面演習。我們相信，畢馬威國際和(CS)2AI之間的年度合作在提高高管層的意識方面發揮著關鍵作用。通過對全球從業者和領導者所提供的真實案例進行分析，我們的調查為該領域的全球演變提供了一個公正的視角。它有助于做出明智的投資決策，并突出了人們對這一領域日益增長的興趣。我們相信，我們的聯合報告為OT網絡安全從業人員和領導者以及更廣泛的執行社區提供了寶貴的資源。在第三版報告中，我們重申，我們將致力于對該領域全球領導人所認為的圍繞OT網絡安全的主要挑戰提供公正的展望。我們誠邀讀者深入了解本年度報告的見解，希望我們的年度工作能讓您在這一領域做出更明智的決策和投資，無論

11、您是領導者、執行者還是實踐者。我們認為，OT 網絡安全是一個持續的旅程，沒有真正的終點。本調查與網絡安全本身一樣，是這一永恒旅程中不可或缺的一部分，致力于年復一年地為這一關鍵領域提供更好的見解。(CS)2AI-KPMG2024控制系統網絡安全年度報告6執行摘要主要調查結果幾乎一半的響應組織（49%）仍然沒有ICS/OT網絡安全計劃，或者只有基本的網絡安全計劃，缺乏既定的計劃、程序或能力改進過程。不同組織級別的受訪者在分配額外酌處權資金方面的優先事項大相徑庭，這就提出了他們的動機是否一致以及他們的目標為何不同的問題。對控制系統網絡活動的全面監控正在增加，在過去一年中增加了80%。我們評估了來自企

12、業網絡、互聯網、云以及集成商/供應商的許多控制系統組件（PLC、IED、RTU、HMI、服務器、工作站和Historian）的可訪問性。在這一領域，擁有高成熟度項目的組織和擁有低成熟度項目的組織之間通常沒有什么區別。事實上，高成熟度組織中的組件通常比低成熟度組織中的組件更容易訪問。有關高成熟度和低成熟度的定義，請參見第8頁。本報告是一系列年度出版物中的最新一份，這些出版物來自國際控制系統網絡安全協會（又稱(CS)2AI），其擁有近3,4000名成員的社區和數十個戰略聯盟伙伴的研究。在(CS)2AI創始人兼董事長Derek Harp和聯合創始人兼總裁Bengt Gregory-Brown領導的數

13、十年網絡安全調查開發、研究和分析的基礎上，(CS)2AI團隊邀請我們的全球成員和我們擴展社區中的數千名其他人參加。通過詢問關鍵問題，了解他們在運營、保護和維護運營技術（OT）系統和資產的第一線的經驗，這些系統和資產耗資數百萬至數十億美元的資本支出，對持續收入產生同等或更多的影響，并影響全世界個人的日常生活和企業的業務運營。其中超過630人對我們的初步調查做出了回應，更多人參與了我們通過正在進行的(CS)2教育計劃開展的額外數據收集工作。該數據池以匿名方式提交，以確保排除可能影響參與者反應的考慮因素，從而深入了解負責控制系統運營和資產的個人和組織的真實經驗，超出本報告的預設范圍。我們希望我們選擇

14、的細節能為讀者提供所需的決策支持工具。(CS)2AI-KPMG控制系統網絡安全年度報告20247調查目標與方法本報告使用總體術語“控制系統”(CS)和“運營技術”（OT）來指代管理、監控和/或控制物理設備和過程的任何/所有系統。因此，CS、(CS)和OT應理解為包括工業控制系統（ICS）、數據采集與監視控制系統（SCADA）、過程控制系統（PCS）、過程控制域（PCD）、建筑/設施控制、自動化和管理系統（BACS/BAMS/FRCS）、聯網醫療設備等。同樣，“(CS)2”是泛指控制系統網絡安全領域、專業、項目和人員。(CS)2AI-KPMG控制系統網絡安全年度報告系列于2019年推出，旨在為世

15、界各地參與控制系統資產和運營安全工作的各方（無論是終端用戶還是供應商、高管、經理還是運營團隊）提供信息豐富的決策工具。本報告由以下實體共同完成：(CS)2AI：作為項目發起人，(CS)2AI在項目規劃、領導和實施中發揮著主要作用，包括數據收集、分析和編寫本報告。畢馬威國際：作為產權報告發起人，畢馬威提供了主要資金和組織資源支持，以增強(CS)2AI自身的能力。其他贊助商：非冠名贊助商Fortinet、WaterfallSecuritySolutions和Opscura提供了額外的資金和其他資源。（見附錄D：報告發起人。）根據上述目標，(CS)2AI和我們的贊助商向在該領域工作的CS/OT網絡安

16、全社區成員分發了在線調查，收集了CS事件、活動和技術的關鍵數據，以及組織如何應對不斷變化的威脅的詳細信息1。(CS)2AI邀請其相關成員、已知的OT安全捍衛者和研究人員參與，通過直接邀請和各種廣播媒體渠道分發調查，并在為CS網絡安全工作人員服務的網站上進行推廣，目的是收集盡可能廣泛的樣本。受訪者通過確認他們目前或最近參與(CS)2領域而自我選擇。他們包括所有組織層面的專業人員：網絡安全專家和事務專家（SME），以及其工作包括但不僅限于安全和保護控制系統的人員。能夠將我們的參與者解析為不同的群體，并比較他們在這些群體關聯中的投入，這是從這個年度研究項目中獲得見解的關鍵。雖然我們認為調查參與者(C

17、S)2AI計劃的成熟度是最重要的維度，但我們也考慮了他們的組織級別、地區以及他們與(CS)2資產（供應商、用戶、所有者或運營商）的關系。當然，我們也進行了縱向分析，當我們發現有趣的趨勢時，我們也分享這些趨勢。1.威脅范圍：對CS/OT行動和資產的所有可能威脅的總和。威脅是動態的，隨著漏洞的發現和針對漏洞利用的保護措施的制定而不斷變化。(CS)2AI-KPMG控制系統網絡安全年度報告20248(CS)2項目衡量受訪組織的(CS)2計劃成熟度是我們年度分析的關鍵，它為評估受訪組織提供的許多其他數據提供了衡量標準。與其他組織相比，擁有更加成熟計劃2的組織在哪些方面做得更不同或更頻繁？如果我們發現這些

18、組織的回答之間存在明顯差異，我們會提請讀者注意。我們要求每位參與者從以下描述中選擇最適合其組織情況的一項?？刂葡到y網絡安全計劃成熟度第1級第2級第3級第4級第5級網絡安全流程通過現有流程的反饋不斷改進，并適應更好地滿足組織需求。執行流程的人員具有足夠的技能和知識。優化、自動化、集成、可預測。主動防御、威脅情報、事件管理。2.高成熟度組包括所有自評為第4級或第5級的受訪者；低成熟度組指被識別為第1級或第2級的受訪者。網絡安全計劃利用數據收集和分析來改善其結果?；顒右晕募慕M織指令為指導，政策包括特定標準和/或指南的合規要求。負責控制系統安全職責的人員受過培訓并具備經驗。計劃是管理的，主動的，跟

19、蹤指標，部分自動化。主動防御、安全信息和事件管理（SIEM）、異常和漏洞檢測。網絡安全根據文件化的流程和程序進行生產和工作。確定并參與關鍵利益相關者。提供足夠的資源來支持這一過程（人員、資金和工具）。已經確定了指導實施的標準和/或指導方針。被動防御。在網絡安全實施中遵循基本的項目管理實踐；成功仍然需要關鍵人物，但知識體系正在發展。執行最佳實踐，但可能是臨時的。被動防御。救火狀態。網絡安全程序是無組織和無記錄的，不是在“程序”中組織的。成功取決于個人的努力；是不可重復或可擴展的，因為沒有充分定義和記錄流程。被動防御。(CS)2AI-KPMG控制系統網絡安全年度報告20249更成熟14%30%33

20、%17%6%16%28%32%16%9%16%33%28%17%6%0%5%10%15%20%25%30%35%202020222023以下哪一項最能描述您的控制系統網絡安全程序？每個排名的參與者數量都有所變化（值得注意的是，第2級組織的數量在今年有所增加），但我們發現，多年來高成熟度和低成熟度組織的規模變化不大。參與者繼續對他們自己的(CS)2項目進行評分。我們的團隊認為這有利于自我評價有效性。我們在分析高成熟度（第4級和第5級）和低成熟度（第1級和第2級）組之間的對比和相似性時廣泛使用了這一點，并以此作為劃分建議的基礎。(CS)2項目成熟度縱向分析第1級第2級第3級第4級第5級(CS)2A

21、I-KPMG控制系統網絡安全年度報告20241016%34%29%15%5%20%34%28%14%5%20%43%16%16%4%10%48%31%7%3%16%12%56%12%4%0%10%20%30%40%50%60%GlobalRegion 1Region 2Region 4Region 5世界各地的顧問（供應商、服務提供商、集成商）對其客戶(CS)2項目的成熟度看法不一。不同地區對成熟度有不同的看法。區域2的自評得分較低，63%在第1級和第2級，區域4的有近一半（48%）處于第2級，而區域5有超過一半的組織（56%）處于第3級。區域3、6和7缺乏足夠的參與，無法納入本分析（見腳注3

22、）?？蛻?CS)2項目成熟度 地區33.(CS)2AI將組織劃分成七個區域。1）北美；2）歐洲（中部、西部、北部和南部）；3）歐亞大陸；4）印度太平洋；5）中東-北非；6）南部非洲；7）拉丁美洲-加勒比以下哪一項最能描述您的控制系統網絡安全程序？第1級第2級第3級第4級第5級全球的區域1區域2區域4區域5(CS)2AI-KPMG控制系統網絡安全年度報告20241134%41%47%44%34%31%38%44%56%38%31%50%59%28%41%38%3%28%21%35%24%34%31%28%31%38%24%21%31%22%18%9%16%15%0%10%20%30%40%50%

23、60%70%Typical(CS)KPIs monitored by organizations(CS)2關鍵績效指標（KPI）高成熟度vs低成熟度盡管更多成熟項目對某些關鍵績效指標(KPI)的跟蹤力度更大并不令人驚訝（例如，作為任何項目隨時間推移不斷改進的核心活動，效率提升或改進所帶來的安全活動成本增加至近五倍的差距：低成熟度的 8%對高成熟度的40%，這是符合預期的），我們認為如此多的項目對于績效的跟蹤力度之低是令人擔憂的。今年，我們的低成熟度受訪者大約是高成熟度受訪者的兩倍，盡管85.3%的受訪者跟蹤了一些KPI，但大多數人只跟蹤了少數KPI。我們強烈建議這些組織擴大其衡量標準，以更好地

24、了解其安全計劃工作的有效性。組織監控的典型(CS)KPI重復點擊惡意鏈接的人數安全事件誤報次數到達終端用戶的惡意代碼和/或垃圾郵件的百分比安全事件的財務成本點擊不良鏈接的人數共享帳戶使用數量解決安全事件的時間應用程序和配置過期的系統數量安全事件的數量受感染（惡意軟件）系統的數量未盤點設備的數量缺少補丁的系統數量安全事件造成的運營中斷（停機時間）數量效率提升或改進所帶來的安全活動成本組織不跟蹤KPI實施了組織的安全要求和原則并持續遵循的場站和系統的數量從非核心網絡區域流入關鍵控制網絡的信息流數量(CS)2AI-KPMG控制系統網絡安全年度報告2024低成熟度 高成熟度1219%34%31%25%

25、34%9%44%53%28%53%25%25%9%28%10%36%27%26%NISTNERC CIPTop 20 Critical Security ControlsANSSI ICSISOCOBITISA/IEC 62443Cybersecurity Capability Maturity Model(C2M2)Industry Regulations0%10%20%30%40%50%60%End UsersVendorsFrameworks used by control system security teams使用的安全成熟度框架終端用戶 vs 供應商比較不同群體的觀點有其不利之處

26、，但我們認為，將這兩個群體的觀點并列看待是有用的，因為他們都對控制系統的安全負有責任。我們在這里看到，雖然C2M2和NIST是最突出的，但前者適用于供應商，后者適用于終端用戶。報告的使用情況終端用戶的C2M2與去年的總體數據（2022年-C2M2 26.3%）有效匹配，但該報告沒有區分終端用戶和供應商。在我們的最新一輪調查中，供應商分別做出回應，并報告使用C2M2的頻率幾乎是原來的兩倍（終端用戶C2M2 26.6%vs供應商C2M2 53.1%）。NIST的使用率似乎變化不大，去年所有參與者的反饋結果為45.7%（2022年)，本次調研兩個群體的平均值也基本落在這個范圍內?？刂葡到y安全團隊使用

27、的框架美國國家標準與技術研究院（NIST）NERC CIPTop20關鍵安全控制ANSSI ICS國際標準化組織（ISO）COBITISA/IEC 62443標準網絡安全能力成熟度模型（C2M2）行業法規終端用戶供應商(CS)2AI-KPMG控制系統網絡安全年度報告2024Current state of organizational plans22%24%23%28%28%22%35%24%25%28%27%20%22%20%37%29%29%20%34%33%26%13%20%15%22%16%17%11%0%5%10%15%20%25%30%35%40%PlannedDocumented

28、ImplementedTested13組織計劃 終端用戶我們團隊認為，每個有控制系統安全(CS)責任的組織都應全面管理其風險，制定文檔化的實施和測試計劃及程序，以減少事故發生，并最大限度降低對公司、員工和客戶的影響。隨著全面實施計劃和測試成為黃金標準，大量受訪公司僅擁有文檔化的計劃和記錄，但在程序上并未做好這些計劃所針對的事件發生后的應對準備。組織計劃的當前狀態控制系統風險管理計劃控制系統網絡安全事件響應計劃控制系統網絡安全業務連續性計劃控制系統網絡安全災難恢復計劃控制系統網絡安全漏洞管理計劃控制系統網絡安全訪問管理計劃供應鏈風險管理計劃計劃記錄在案已實施已測試(CS)2AI-KPMG控制系統

29、網絡安全年度報告20241456%43%38%42%36%36%40%36%Internal IT security resourcesInternal OT security resourcesInternal Hybrid IT/OT team(s)Internal Engineering team(s)Internal security teams under CISO/CSO/CTOSecurity teams under CISO/CSO/CTO with both internal and externalresourcesContracted resources(consulta

30、nts)Outsourced resources(service company)0%10%20%30%40%50%60%Sources of control system security services used by organizationsSecurity teams under CISO/CSO/CTO with both internal and external resources(CS)2服務 終端用戶組織應該到哪里去尋求保護其控制系統安全(CS)資產、人員和運營所需的幫助？根據我們的受訪者反饋，他們會從各個渠 道 獲 取 幫 助。內 部 IT 安 全 資 源（56.2%）

31、作為多數反饋表明，大多數組織的OT網絡安全由IT部門推動，并且可能IT安全方法和技術正在這些環境中應用。許多首席信息安全官（CISO）對運營技術（OT）安全項目感到畏懼，因為對工廠網絡安全的治愈比疾病本身還要糟糕。我曾經是CISO，所以我理解這種情況。OT需要生產優先，而IT則優先考慮安全性而不是停機時間。我們在與惡意行為者的斗爭中節節敗退，很大程度上是因為無所作為。使用傳統的IT工具來保護運營技術（OT）十分昂貴，不僅因為咨詢、規劃和設備的成本，更重要的是因為大量的停機時間。運營者必須做出痛苦的決定，重新配置他們的網絡，替換仍在使用但已過壽命的資產，并部署安全團隊所有這些都需要關閉他們的工廠

32、數天甚至數周。我們正在迫使他們做出不推進其運營產線和設施網絡安全的艱難決定。在許多情況下，停機損失比整個安全項目本身成本還要昂貴。讓我們合作，使得保護和維護我們的工廠和設施的時間成本更低，更加經濟，最重要的是，減少甚至消除停機時間。通過合作，我們可以消除傳統IT的障礙，共同保障全球的基礎設施安全。BrianBrammeierOpscura首席執行官各組織使用的控制系統安全服務的來源內部IT安全資源內部OT安全資源內部融合的IT/OT團隊內部工程師團隊CISO/CSO/CTO領導的內部安全團隊合同資源（顧問）外包資源（服務公司）CISO/CSO/CTO領導下的安全團隊，包括內外部資源(CS)2A

33、I-KPMG控制系統網絡安全年度報告20241565%58%58%52%34%29%(CS)2技術 終端用戶并不是所有技術都適合所有環境的需求和要求。盡管如此，我們認為那些擁有和/或運營工業控制系統(ICS)/運營技術(OT)資產的組織表示他們擁有被動網絡異常檢測（58%入侵檢測系統（IDS）的情況下，通過實施主動入侵防御系統（IPS）將會大有裨益。NextGen防火墻同樣具有廣泛的適用性，應該保護更多ICS環境免受來自企業或其他外部網絡的威脅。單向網關/數據二極管由于主要在最高安全環境（如核電站）中使用而被認為復雜且昂貴，但我們最近看到這些因素有所減弱，預計未來會有更多部署。組織用于保護控制

34、系統資產免受網絡威脅的安全技術防火墻NextGen防火墻被動網絡異常檢測（IDS）主動入侵防護系統（IPS）沙箱單向網關/數據二極管(CS)2AI-KPMG控制系統網絡安全年度報告2024減少(CS)2攻擊面的障礙1713%28%25%22%47%16%28%16%22%19%53%22%26%15%13%32%26%24%38%25%16%16%51%24%Technology(e.g.PLC designs)that cannot support encryptionRegulatory compliance requirements preventing application of i

35、nnovation/new technologysolutionsOverly complex control system networkOrganizational complexity/constraintsOperational requirements(e.g.mandatory uptime)Insufficient technologies/toolsInsufficient personnelInsufficient leadership supportInsufficient financial resourcesInsufficient cyber threat intel

36、ligenceInsufficient control system cyber security expertiseInsecure ICS/OT protocols0%10%20%30%40%50%60%What are the greatest obstacles to reducing the(CS)2attack surface?(CS)2障礙 高成熟度vs低成熟度我們每年都會比較不同群體之間的情況和觀點，在這里，我們通過受訪組織的控制系統網絡安全項目的相對成熟度（高成熟度 vs 低成熟度）來分析他們認為的最大障礙，以確定哪些方法有效，哪些無效，以及隨著組織在提高安全性方面的進展，情

37、況會如何變化。如右圖，我們看到一些障礙被廣泛認同，例如：控制系統網絡安全專業知識不足（低成熟度51.5%，高成熟度 53.1%）和不安全的ICS/運營技術（OT）協 議（低 成 熟 度 23.5%vs 高 成 熟 度21.9%），而其他障礙則存在較大差異，例如：無法支持加密的技術（低成熟度26.5%vs 高成熟度12.5%）和領導支持不足（低成熟度25.0%vs 高成熟度15.6%）。這些表明，更成熟的項目已經克服了一些較不成熟的項目仍在努力應對的障礙。減少(CS)2攻擊面的最大障礙是什么？無法支持加密的技術（例如PLC設計）控制系統網絡過于復雜組織復雜性/制約因素運營要求（如強制性正常運行時

38、間）技術/工具不足人員不足領導支持不足財政資源不足網絡威脅情報不足控制系統網絡安全專業知識不足不安全的ICS/OT協議法規遵從性要求阻止創新/新技術解決方案的應用(CS)2AI-KPMG控制系統網絡安全年度報告2024低成熟度高成熟度1829%21%26%29%50%11%39%11%24%13%39%13%24%12%27%33%39%9%27%21%12%3%58%30%26%17%15%37%23%25%40%23%21%16%37%31%0%10%20%30%40%50%60%70%(CS)2障礙組織層面4任何一個人都不太可能全面了解和掌握現代控制系統環境的所有細節，個人觀點的差異不可

39、避免地會導致對需要完成的工作的看法不同。在這里，我們看到高管一致認為 運營要求（50.0%）、人員不足（39.5%）和控制系統安全專業知識不足（39.5%）是最大的障礙，這與運營者部分一致（該群體認為最大的障礙是人員不足39.5%和控制系統安全專業知識不足37.0%），但運營者（Ops）認為運營要求不是主要障礙（在操作人員列表中排第六，23.5%）。管理層經常與一方或雙方意見不一致，這突顯了當我們支持他們解決問題時，了解終端用戶在其組織中的角色的重要性。4.在我們的調查中，回答每個問題的參與者人數各不相同。有時，這會導致參與者的特定子集不足以進行有效的統計分析。在根據其組織不同級別的參與對我們

40、的數據進行細分的情況下，我們收到的領導層受訪者太少，無法將他們包括在一些圖表中。減少(CS)2攻擊面的最大障礙是什么？無法支持加密的技術（例如PLC設計）控制系統網絡過于復雜組織復雜性/制約因素運營要求（如強制性正常運行時間）技術/工具不足人員不足領導支持不足財政資源不足網絡威脅情報不足控制系統網絡安全專業知識不足不安全的ICS/OT協議法規遵從性要求阻止創新/新技術解決方案的應用(CS)2AI-KPMG控制系統網絡安全年度報告2024運營者管理者高管1938%14%54%35%41%38%24%19%16%38%24%27%34%37%43%14%20%35%17%21%19%16%26%2

41、6%0.0%10.0%20.0%30.0%40.0%50.0%60.0%End UsersVendors(CS)2障礙終端用戶vs供應商我們的團隊發現，終端用戶和供應商受訪者在觀點上的許多差異都很有趣。這些是否源于其控制系統的所有權/操作與OT（運營技術）資產的生產/監控、可供其使用的不同資源、不同的財政責任或某些因素的組合？值得注意的是，供應商將法規遵從性要求、過于復雜的控制系統網絡和網絡威脅情報不足確定為最大障礙，其比例是終端用戶的兩到三倍。終端用戶反饋中唯一與之比例相似的是他們對人員不足的看法（終端用戶36.8%，供應商13.5%）。我們建議供應商注意終端用戶客戶確定的最大障礙，以便最好

42、地幫助他們克服這些障礙。減少(CS)2攻擊面的最大障礙是什么？運營要求（如強制性正常運行時間）人員不足控制系統網絡安全專業知識不足網絡威脅情報不足控制系統網絡過于復雜組織復雜性/制約因素技術/工具不足領導支持不足財政資源不足無法支持加密的技術（例如PLC設計）不安全的ICS/OT協議法規遵從性要求阻止創新/新技術解決方案的應用終端用戶供應商(CS)2AI-KPMG控制系統網絡安全年度報告20242026%16%20%35%34%17%37%21%19%14%43%26%27%13%16%37%34%16%40%24%18%12%44%24%26%23%29%32%35%16%32%13%16%

43、19%39%32%27%23%36%41%27%18%27%18%18%9%59%23%0%10%20%30%40%50%60%70%Technology(e.g.PLC designs)that cannot support encryptionRegulatory compliance requirements preventing application of innovation/newtechnology solutionsOverly complex control system networkOrganizational complexity/constraintsOperati

44、onal requirements(e.g.mandatory uptime)Insufficient technologies/toolsInsufficient personnelInsufficient leadership supportInsufficient financial resourcesInsufficient cyber threat intelligenceInsufficient control system cyber security expertiseInsecure ICS/OT protocolsRegulatory compliance requirem

45、ents preventing application of innovation/new technology solutions Insufficient control system cybersecurity expertise(CS)2障礙 區域分析5 6最后，對于安全障礙的分析，我們對來自全球不同區域的受訪者之間的差異進行了研究。由于全球控制系統主要建立在通用技術之上，我們預計無論地理位置如何，對這個問題的回答會有一定程度的一致性。事實上，這張圖表顯示的差異比本報告中的許多其他圖表要少。一個顯著的區別是，區域4（亞太區域）將控制系統網絡安全專業知識不足（59.1%）作為主要問題，其

46、比例比區域2、區域1或全球高出15個百分點。區域2（歐洲、中部、西部和北部）和區域4（亞太區域）的受訪者也比世界其他區域更關心過于復雜的控制系統網絡（區域2 29.0%，區域4 36.4%，全球20.1%）。5.正如我們對參與者組織層面的反應進行的分析一樣，一些地區缺乏足夠的代表樣例來進行有效的分析。下表僅顯示了有足夠參與的區域，以及全球（所有答復者）以供比較。6.(CS)2AI將組織劃分成七個區域。1）北美；2）歐洲（中部、西部、北部和南部）；3）歐亞大陸；4）印度太平洋；5）中東-北非；6）南部非洲；7）拉丁美洲-加勒比減少(CS)2攻擊面的最大障礙是什么？無法支持加密的技術（例如PLC設

47、計）控制系統網絡過于復雜組織復雜性/制約因素運營要求（如強制性正常運行時間）技術/工具不足人員不足領導支持不足財政資源不足網絡威脅情報不足控制系統網絡安全專業知識不足不安全的ICS/OT協議法規遵從性要求阻止創新/新技術解決方案的應用(CS)2AI-KPMG控制系統網絡安全年度報告2024區域4區域2區域1 全球(CS)2支出和預算2222%57%25%64%17%0%43%15%25%0%10%40%47%35%75%0%60%11%44%13%21%50%24%38%13%24%41%52%26%0%Improving communications/collaboration with I

48、T/corporateteamsNetwork segmentation/micro-segmentationSecure remote access to control system networksControl system cyber security monitoringTraining for security defendersIncreased control system cyber security staffingSecurity Awareness TrainingControl system cyber security technology solutions(h

49、ardware,software)Patch and Vulnerability managementBackups0%20%40%60%80%OperationsManagementExecutivesControl system cybersecurity technology solutions(hardware,software)Improving communications/collaboration with IT/corporate teamsTop ROI area for(CS)2investments Increased control system cybersecur

50、ity staffingControl system cybersecurity monitoringSecure remote access to control system networksNetwork segmentation/micro-segmentationPatch and Vulnerability management(CS)2高投資回報率領域組織級別7(CS)2AI“團隊和我們的許多演講者都熟悉如何獲得高管對安全需求支持的問題，尤其是需要進行影響分析的細分項目；在某些情況下，甚至還需要進行大量的網絡架構重建工作，當然我們很高興地看到，大多數參與的高管（57.1%）認識到

51、在他們的組織中實施網絡架構重建的高投資回報率，這對安全性和彈性都是至關重要的。我們甚至看到他們對(CS)2監控(64.3%)的支持更加積極，多年來，專家們一直認為可見性是任何安全改進計劃的第一步。另一方面，受訪管理者發現培訓的投資回報率最高，無論是安全意識方面(60.0%)還是安全防御方面(75%)。我們的團隊認為有必要提請注意以下事實：盡管有 27%至 39%的參與者認為“人員不足”（參見圖表(CS)2障礙-組織層面）是他們改善其(CS)2狀況的最大障礙，但沒有一位高管或管理參與者將增加控制系統網絡安全人員配備視為高投資回報率（兩組均為0%）。7.領導層受訪者反饋太少，未納入本分析。(CS)

52、2高投資回報率領域安全防御培訓安全意識培訓備份控制系統網絡安全技術解決方案（硬件、軟件）改善與 IT/公司團隊的溝通/協作增加控制系統網絡安全人員配備控制系統網絡安全監控控制系統網絡的安全遠程訪問網絡隔離/微隔離補丁和漏洞管理運營者管理者高管(CS)2AI-KPMG控制系統網絡安全年度報告2024230%75%40%53%33%11%55%27%24%50%17%50%25%36%27%36%38%39%27%0%0%20%40%60%80%Improvingcommunications/collaborationNetwork segmentation/micro-segmentationS

53、ecure remote access to controlsystem networksControl system cyber securitymonitoringTraining for security defendersIncreased control system cybersecurity staffingSecurity Awareness TrainingControl system cyber securitytechnology solutions(hardware,Patch and VulnerabilitymanagementBackupsImproving co

54、mmunications/collaboration with IT/corporate teams(CS)2高投資回報率領域 高成熟度vs低成熟度與他們對需要克服的安全障礙的看法相比，就在(CS)2支出中識別最高投資回報率（ROI）的安全計劃領域上，他們有更多的共識。有一些明顯的異常值需要注意，特別是低成熟度的強調改善與IT/公司團隊的溝通/協作（低成熟度16.7%，高成熟度0%）和而高成熟度的更強調備份8（低成熟度0%，高成熟度50%）。這說明最成熟的項目已經整合了團隊，并實施了可靠的備份系統和程序。所有小組都一致認為，網絡隔離/微隔離的投資回報率最高，這與多年來的研究和建議是一致的，即實

55、施網絡隔離/微隔離既能提高整體安全性，又能減少網絡事件的影響。8.可能表明，在最近勒索軟件攻擊上升期間，更成熟的程序經歷了這種情況。50%的受訪者認為網絡隔離是網絡安全計劃投資回報率的首要領域。網絡工程的最新想法是，在重要邊界部署任何一種工程級網絡隔離方法都是最有收益的。重要邊界包括IT/OT接口、任何OT/互聯網接口以及網絡之間的任何其他連接，這些邊界的漏洞導致的最差情況后果差異巨大。攻擊樹分析結果表明，在這樣的邊界上進行工程級隔離可以將關鍵網絡的攻擊面減少3個數量級。Andrew Ginter Waterfall Security Solutions工業安全副總裁(CS)2高投資回報率領域

56、（高成熟度與低成熟度）安全防御培訓安全意識培訓備份控制系統網絡安全技術解決方案（硬件，軟件）改善與IT/公司團隊的溝通/協作修補程序和漏洞管理增加控制系統網絡安全人員配置控制系統網絡安全監測控制系統網絡的安全遠程訪問網絡隔離/微隔離(CS)2AI-KPMG控制系統網絡安全年度報告2024低成熟度 高成熟度2416%14%8%5%16%41%3%6%3%0%23%65%19%4%14%8%15%38%0%10%20%30%40%50%60%70%ExecutiveManagementOperations支出優先級組織層面今年的一個新情況是，我們的團隊發現參與者的回答很有趣，除了一些普遍共識（例如

57、各級將保護連續運營確定為他們支出額外資金的首要目標）之外，差異確實很突出。請注意，管理層的參與者對保護公共安全和保護工人安全的重視程度很低（兩者均為3.2%），對保護產品質量的重視程度也很低。鑒于這些差異，鼓勵組織就調整業務優先級進行討論。您會將額外的可自由支配資金用于您的組織嗎？保護工人安全保護商業秘密保護公共安全保護產品質量保護設備編程和配置保護連續運營高管管理者運營者(CS)2AI-KPMG控制系統網絡安全年度報告202425供應商對客戶預算的指導供應商許多資產所有者或運營商依賴其信任的供應商提供的安全事務專家建議，因此我們今年研究了供應商關于資源分配的建議。將此圖表與上一圖表進行比較，

58、我們發現最重要的仍然是保護連續運營。您會建議您的大多數客戶在未來一年將更多的資源投入到哪里？25%保護設備編程和配置14%保護產品質量9%保護公共安全8%保護工人安全33%保護連續運營7%保護商業秘密(CS)2AI-KPMG控制系統網絡安全年度報告20242640%31%35%29%34%35%36%36%50%29%20%40%37%34%29%28%33%37%0%10%20%30%40%50%60%(CS)2高支出高成熟度vs低成熟度vs全部為了便于比較，我們在這些表格中包含了所有參與者的回復。這使我們能夠表明，高成熟度組在安全意識培訓上的支出顯著增加（高成熟度50.0%，低成熟度28.

59、6%，全部35.0%），以及他們中很少有人專注于控制系統網絡安全咨詢服務（高成熟度20.0%，低成熟度33.3%，全部33.8%）。(CS)2高支出區域（高成熟度vs低成熟度vs全部）內部SOC運營和服務，及虛擬/云SOC運營和服務控制系統網絡安全人員配備安全意識培訓補丁和漏洞管理控制系統網絡安全咨詢服務控制系統網絡安全技術解決方案(CS)2AI-KPMG控制系統網絡安全年度報告2024全部 高成熟度 低成熟度2713%16%13%15%17%20%9%15%15%19%16%20%16%9%15%16%17%17%0%5%10%15%20%25%1-Most2-2nd Most3-3rd M

60、ost(CS)2高支出終端用戶除了高成熟度和低成熟度集團的最高支出之外，我們還要求終端用戶識別其組織投入資源的前三領域，以進一步了解(CS)2預算優先事項。安全技術和安全咨詢服務在預算中占有最大份額（分別為56.3%和50.6%）。我們的團隊認為值得調查的是，對控制系統網絡安全人員相對較低的投資是否是導致該領域員工持續供不應求的一個因素。組織在控制系統網絡安全方面投入資源最多的前三個領域安全意識培訓內部SOC運營和服務，及虛擬/云SOC運營和服務控制系統網絡安全人員配備補丁和漏洞管理控制系統網絡安全咨詢服務控制系統網絡安全技術解決方案1-最多2-第2位最多3至3(CS)2AI-KPMG控制系統

61、網絡安全年度報告20242813%13%11%8%21%13%13%1%3%3%1%23%11%6%12%21%7%9%2%2%3%3%20%14%12%19%10%10%13%1%0%0%0%0%5%10%15%20%25%Dont knowOrganizational policy prevents me from answering thisquestionIncrease of more than 50%Increase of more than 30%Increase of more than 10%Increase of less than 10%No change from pr

62、evious yearDecrease of less than 10%Decrease of more than 10%Decrease of more than 30%Decrease of more than 50%202020222023組織的控制系統安全預算近幾年同比估算Organizational policy prevents me from answering this question(CS)2預算變化縱向分析絕大多數組織繼續增加其(CS)2的預算（53%），這一響應率在幾年內徘徊在接近中點（2022年為47%，2020年為52%）。低增長群體呈現出穩步增長的模式，即(CS)

63、2預算增長低于30%的群體，從2020年的20%上升到今年的34%。增長率較高的群體，即增長率超過30%的群體，相應地從2020年受訪者的31%下降到現在的19%。我們的分析團隊成員指出，(CS)2供應商/解決方案提供商行業出現了某些放緩，這可能是對競爭加劇或市場需求過大的反應。持續致力于增加同比支出表明，各組織正在更好地了解其運營所處的威脅環境以及所面臨的一定程度的風險。最近的控制系統網絡安全事件頭條提高了人們對當前網絡風險和防止類似事件發生的必要行動的認識。Brad Raiford 畢馬威美國物聯網和運營技術網絡服務總監不知道增長50%以上增長30%以上增長10%以上增幅小于10%與上一年

64、相比沒有變化下降幅度小于10%減少10%以上減少30%以上減少50%以上組織策略阻止我回答此問題(CS)2AI-KPMG2024控制系統網絡安全年度報告2919%22%22%9%3%9%3%30%21%8%6%3%12%15%0%5%10%15%20%25%30%35%(CS)2投資計劃高成熟度vs低成熟度雖然對網絡隔離的價值有強烈認同（請參見(CS)2高投資回報率領域圖表），但我們認為值得注意的是，很少有組織計劃將未來安全支出集中在該領域?？赡艿慕忉屖?，高成熟度的組織可能已經對其網絡進行了顯著劃分，因此他們現在的支出（3%）遠低于低成熟度組織（15%）。他們在資產盤點和管理與威脅檢測方面支出

65、計劃差異的背后可能也有類似的因素。未來一年(CS)2 的高投資領域資產盤點和管理漏洞管理威脅檢測供應鏈安全合規性報告安全遠程訪問網絡細分(CS)2AI-KPMG2024控制系統網絡安全年度報告低成熟度高成熟度3024%18%13%7%3%13%13%28%22%9%7%3%7%12%13%8%25%4%4%25%13%0%5%10%15%20%25%30%Asset Inventory&ManagementVulnerability ManagementThreat DetectionSupply Chain SecurityCompliance ReportingSecure Remote

66、AccessNetwork SegmentationHighest OT cybersecurity investment areas for the year aheadRegion 2Region 1Global(CS)2投資計劃地區區域3-79對此問題的回答不足以進行獨立分析，但區域1和區域2的受訪者的計劃卻有很大差異。區域2的參與者目前專注于安全遠程訪問和威脅檢測10（兩者各占25%），而他們的北美同行似乎認為漏洞管理與資產盤點和管理更為緊迫（分別為18.4%和24.3%）。在我們的分析中提出的一種可能性是，地區2的組織已經解決了這些管理問題，而地區1的組織尚未達到這一程度。9.(CS

67、)2AI將組織劃分為七個區域。1）北美；2）歐洲（中部、西部、北部和南部）；3）歐亞大陸；4）印度太平洋；5）中東-北非；6）南部非洲；7）拉丁美洲-加勒比10.其中一個可能的因素是，歐洲的監管機構（包括國家和國際監管機構）一直在推進/發布立法，要求在多個行業和基礎設施部門進行威脅檢測。未來一年OT安全高投資領域資產盤點和管理漏洞管理威脅檢測供應鏈安全合規性報告安全遠程訪問網絡細分區域2區域1全球(CS)2AI-KPMG控制系統網絡安全年度報告20243111%7%10%6%12%7%4%5%3%4%22%3%19%3%13%6%3%6%0%0%7%10%10%6%13%9%9%3%6%6%M

68、ore than$10MMore than$5MMore than$1MMore than$500KMore than$250KMore than$100KMore than$50KMore than$25KMore than$10KLess than$10K0%5%10%15%20%25%(CS)2預算情況高成熟度vs低成熟度我們已經看到，高成熟度組織往往擁有最高的控制系統網絡安全預算。一種理論認為，大型組織（即擁有更多資源的組織）通常比小型組織在安全之旅中走得更遠。雖然我們認識到，分配足夠資源來提高安全性的小公司面臨的財務挑戰往往更大，但我們也希望指出，同樣的財政限制可能意味著它們抵御和恢

69、復破壞性網絡事件影響的能力較弱。網絡攻擊導致他們的運營長時間關閉的威脅對他們來說可能更為現實，他們的風險管理過程需要考慮到這一點。這種相關性也突顯了針對(CS)2領域的需求，需要考慮通過縮減預算的解決方案和服務從而更好地為較小的客戶服務。Rod LockeFortinet產品管理總監上一財年各組織的(CS)2預算規劃總計超過1000萬美元超過500萬美元超過100萬美元超過50萬美元超過25萬美元超過10萬美元超過5萬美元超過25000美元超過1萬美元低于1萬美元(CS)2AI-KPMG2024控制系統網絡安全年度報告低成熟度 高成熟度 全部(CS)2評估3325%25%6%28%0%0%3%

70、0%3%9%7%12%9%29%7%10%12%9%1%3%MonthlyQuarterlyTwice each yearAnnuallyOnce every two yearsLess often than once every two yearsOnly in response to security incidentsNone performedDont knowOrganizational policy prevents mefrom answering0%5%10%15%20%25%30%35%Low MHigh MFrequency of(CS)2assessments by or

71、ganizations(Low M VS High M)(CS)2評估頻率 高成熟度vs低成熟度不同成熟度水平的項目之間最明顯的差異之一是其控制系統網絡安全評估的頻率。高成熟度項目中有一半至少每季度進行一次評估，而低成熟度項目中有一半以上每年或更低頻進行一次評估。9%的低成熟度項目沒有進行過安全評估，這本身就說明了問題。各組織(CS)2評估的頻率（低成熟度與高成熟度）每月季度每年兩次每年每兩年一次少于每兩年一次僅針對安全事件未執行任何操作不知道組織策略禁止回答低成熟度高成熟度(CS)2AI-KPMG2024控制系統網絡安全年度報告3419%38%11%8%8%5%5%3%9%15%9%36%5

72、%5%7%5%MonthlyQuarterlyTwice each yearAnnuallyOnce every two yearsLess often than once every twoyearsOnly in response to securityincidentsNone performed0%10%20%30%40%End UsersVendorsFrequency of(CS)2assessments by organizations(CS)2評估頻率 終端用戶vs供應商供應商對其安全承擔著與最終用戶不同的責任，因為他們不僅必須保護自己，還必須保護他們的客戶，而客戶通常會授予特

73、權訪問權限以進行持續的監控、維護和更新。我們的團隊很高興看到供應商如此頻繁 地 進 行(CS)2評 估，超 過 三 分 之 二（67.6%）的供應商每年至少進行兩次評估。他們在最終用戶供應鏈中的地位使他們成為攻擊者非常有價值的目標11。終端用戶組織這樣做的頻率較低，評估中最大的單一群體（35.6%）僅每年進行一次評估，的確不那么令人鼓舞。技術、特權人員、攻擊方法和能力都在不斷發生變化，即使使用IPS/IDS（入侵預防/檢測系統），一些受害者也只能在評估活動中發現惡意分子訪問了他們的網絡。更頻繁的評估可以大大減少這種停留時間，從而減少各種潛在的危害。我們建議所有組織，包括終端用戶和供應商，至少每

74、季度評估一次其(CS)2網絡和資產。11.請參閱許多報道2021年太陽風供應鏈攻擊事件的文章中的任何一篇。各組織進行(CS)2評估的頻率每月季度每年兩次每年每兩年一次少于每兩年一次僅針對安全事件未執行任何操作終端用戶供應商(CS)2AI-KPMG2024控制系統網絡安全年度報告3548%71%77%55%87%71%52%42%77%61%65%25%43%54%38%54%56%30%18%51%41%39%Comprehensive(i.e.,end-to-end)Cyber security roles and responsibilitiesInventory of assetsInv

75、entory of external connectivityNetwork architecturePhysical securityReview of 3rd party Assessment of organizational PenetrationTestingReview of business and financial systemsReview of cyber security policies and procedures(anddocumentation)Review of Incident Response Plan(s)Review of security aware

76、ness and training program(s)0%10%20%30%40%50%60%70%80%90%100%Components included in organizations(CS)2assessmentsCybersecurityReview of cybersecurity(CS)2評估內容高成熟度vs低成熟度與安全評估頻率同等重要的是評估的徹底性，如本表所示，高成熟度項目在我們使用的每個指標上都比低成熟度項目進行了更完整的評估，幾乎在每個類別中都至少進行了50%的評估。組織(CS)2評估的組成分布綜合評估（如端到端）網絡安全的角色和責任資產清單外部連接清單網絡架構物理

77、安全性組織滲透測試第三方評估評審審查業務和財務系統審查網絡安全政策和程序（以及文件）事件響應計劃審查安全意識和培訓審查計劃(CS)2AI-KPMG2024控制系統網絡安全年度報告低成熟度高成熟度3636%39%39%24%52%36%33%18%55%33%36%26%58%63%46%69%62%40%21%63%53%49%0%10%20%30%40%50%60%70%80%Comprehensive(i.e.,end-to-end)Cyber security roles and responsibilitiesInventory of assetsInventory of extern

78、al connectivityNetwork architecturePhysical securityReview of 3rd party Assessment of organizational PenetrationTestingReview of business and financial systemsReview of cyber security policies and procedures(anddocumentation)Review of Incident Response Plan(s)Review of security awareness and trainin

79、g program(s)End UsersVendorsCybersecurityReview of cybersecurity policies and procedures(and documentation)Components included in organizations(CS)2assessments(CS)2評估內容終端用戶和供應商一個有趣的發現是，除了綜合評估（終端用戶26%，供應商36%）之外，終端用戶似乎比供應商執行了更多的安全檢查。這表明，雖然終端用戶的評估包括多個重要活動（終端用戶：物理安全62%、網絡架構69%、資產清單63%等）但通常不如供應商或供應商客戶的評估

80、完整。終端用戶可能缺乏所需的端到端的可見性，另外就是，供應商通常處于供應鏈中部，其必須考慮自身供應鏈和應用程序的安全性，以及他們為客戶提供的服務的安全性。該圖表中列出的每一項都解決了一個防止入侵者沿其殺傷鏈前進的關鍵點（或在過程中捕獲他們）。我們建議制定包括所有這些組成部分的計劃，每個計劃都有明確的評估和補救周期。組織(CS)2評估中包含的組成部分綜合評估（如端到端）網絡安全的角色和責任資產清單外部連接清單網絡架構物理安全性組織滲透測試第三方評估評審審查業務和財務系統審查網絡安全政策和程序（以及文件）事件響應計劃審查安全意識和培訓審核計劃終端用戶供應商(CS)2AI-KPMG2024控制系統網

81、絡安全年度報告3768%68%68%39%61%61%55%68%41%46%57%36%30%41%33%52%Develop and implement remediation planCyber security strategy updateCyber security roadmap/initiatives reprioritizationPenetration testingReplace vulnerable control system hardware,software,devices,etc.Procure new security technologiesReplace

82、or upgrade security solutionsAdopt new or improved security processes0%20%40%60%80%Activities carried out/planned in response to findings of(CS)2assessments completed by organizations within the last 12 monthsReplace vulnerable control system hardware,software,devices,etc.Cybersecurity strategy upda

83、teCybersecurity roadmap/initiatives reprioritization(CS)2評估響應高成熟度vs低成熟度為了完成組織(CS)2評估因素的三位一體，我們調查了他們在分析后采取的行動。再次，我們看到高成熟度項目在每項指標上都比低成熟度項目更頻繁地跟進評估結果。尤其是他們在制定和實施補救計劃（低成熟度41.0%vs 高成熟度67.7%）和更換有漏洞的控制系統硬件、軟件、設備等（低成熟度29.5%vs 高成熟度61.3%）這兩方面。盡管在網絡安全基本措施（如網絡隔離、培訓和漏洞修補）上的投資是防止工業網絡的潛在漏洞的關鍵，但要阻止有高度動機且技藝精湛的攻擊者訪問網

84、絡將非常困難。從網絡事件中快速恢復的能力對于最大限度地減少對運營或向消費者供應電力或水等基礎服務的中斷至關重要。應審查常規備份和恢復評估，以提高關鍵或工業系統的網絡彈性。Eddie Toh畢馬威新加坡合伙人兼畢馬威亞太區鑒證技術主管針對各組織在過去12個月內完成的(CS)2評估結果而開展或計劃開展的活動制定并實施補救計劃網絡安全策略更新網絡安全路線圖/舉措重新確定優先次序滲透測試采購新的安全技術替換或升級安全解決方案采用新的或優化的安全流程更換有漏洞的控制系統硬件、軟件、設備等2024(CS)2AI-KPMG控制系統網絡安全年度報告低成熟度高成熟度72%47%53%41%38%81%53%28

85、%0%44%49%41%32%12%28%15%25%6%Internal review of vendor product and/or service risk profileRequire vendor to complete security questionnaireInformal discussions with vendorRequest vendor SOC 2 Type 2 report or ISO27001 certificateIEC62443-4-1 ComplianceTechnical testing(e.g.vulnerability analysis,arc

86、hitecture review,penetration test,etc.)ISA/IEC 62443 part 4-2 and 3-3 requirements capabilities in productsPLC top 20 PLC coding practices for vendors and integratorsproviding products and servicesNone0%20%40%60%80%100%38獲取前的(CS)2風險評估高成熟度vs低成熟度對新設備和/或軟件的風險評估與周期性安全評估不同，必須單獨考慮。正如我們看到具有高成熟度的(CS)2項目的組織更

87、頻繁地進行總體安全評估一樣，我們注意到，他們更有可能進行幾乎所有類型的獲取前風險評估（安全問卷除外）。對于我們的許多受訪者來說，美國監管活動的增加可能是影響合規性的一個因素，但我們認為高成熟度的技術測試率很高（低成熟度為27.9%，高成熟度為81.3%），因為它只提供快照，是對定期安全評估的正向的補充。組織在獲取控制系統產品或服務之前進行的風險評估（高成熟度與低成熟度）供應商產品和/或服務風險概況的內部審查要求供應商填寫安全調查表與供應商進行非正式討論要求供應商SOC類型2報告或ISO27001證書IEC62443-4-1符合性ISA/IEC 62443第4-2和3-3部分產品的要求能力無技術

88、測試（如漏洞分析、架構審查、滲透測試等）Top20 PLC編碼實踐，針對提供PLC產品或服務的供應商和集成商2024(CS)2AI-KPMG控制系統網絡安全年度報告低成熟度高成熟度安全培訓(CS)2意識培訓整合終端用戶402024(CS)2AI-KPMG控制系統網絡安全年度報告這里明顯的問題是，許多終端用戶組織缺乏任何(CS)2意識培訓（16.1%空白）。無論是由IT部門或風險管理計劃所驅動、或是完全由運營或其他設計部門負責，以實現并保持對(CS)2威脅、攻擊方法、漏洞和程序的高度認識，對于管理任何ICS/OT運營環境中的固有風險都至關重要。我們強烈建議每個負責資產/運營的組織實施此類計劃。組

89、織的控制系統安全意識培訓現狀與IT安全意識培訓整合與物理安全培訓整合獨立于IT或物理安全培訓的項目空白（組織沒有控制系統網絡安全意識培訓）39%6%34%16%(CS)2意識培訓整合高成熟度vs低成熟度412024(CS)2AI-KPMG控制系統網絡安全年度報告按成熟度級別分組的數據顯示，只有(CS)2安全計劃處于低成熟度的組織缺乏相關的意識培訓（存在空白的，低成熟度24%，高成熟度0%），而高成熟度組織的大多數同事都接受了整合IT安全和控制系統安全的網絡安全意識培訓。53%0%41%0%31%12%31%24%0%10%20%30%40%50%60%組織的控制系統安全意識培訓現狀與IT安全意

90、識培訓整合與物理安全培訓整合獨立于IT或物理安全培訓的項目空白（組織沒有控制系統網絡安全意識培訓）高成熟度低成熟度(CS)2培訓內容高成熟度vs低成熟度422024(CS)2AI-KPMG控制系統網絡安全年度報告盡管我們在對各種安全項目成熟度級別的描述中沒有包括安全培訓，但從該圖表中可以清楚地看出，高成熟度組織在確保訓練有素的員工隊伍方面投入了更多。這兩組人甚至彼此接近的唯一組成部分是使用印刷材料，這通常被認為不如其他任何一組培訓內容有效。事實上，在模擬（任何）和講師指導培訓等最有效的領域，我們看到了一些最大差異。更多地使用安全意識培訓有效性測試（高成熟度77%，低成熟度54%）能夠使這些公司

91、專注于最有效的方法，并不斷改進其培訓項目。74%55%77%65%32%77%52%39%65%44%38%54%44%16%44%24%36%26%0%10%20%30%40%50%60%70%80%90%組織控制系統安全相關培訓中包含的組成部分低成熟度高成熟度網絡釣魚模擬社會工程模擬安全意識培訓有效性測試事件模擬（桌面演練）事件模擬（真實場景）計算機輔助培訓（CBT）講師指導的培訓印刷材料（海報、傳單、時事通訊等）針對不同用戶群體的培訓項目（如管理、法律、IT、OT等）(CS)2網絡442024(CS)2AI-KPMG控制系統網絡安全年度報告控制系統組件的可訪問性總的來說，這張圖表和后續圖

92、表令人十分擔憂?？刂葡到y中有這么多元素可以從互聯網進行訪問，甚至被控制（低成熟度組織15%的PLC和39%的實時歷史數據庫），這表明攻擊者擁有非常大的攻擊面，并且對這些公司可能造成巨大的影響。我們的一些專家貢獻者指出，必須牢記這些“可訪問”確實揭示了對可訪問性控制和措施的問題。這些系統可能是具有對互聯網開放的端口（例如HMI登錄窗口），具有從互聯網遠程訪問的功能（例如VPN或者RDP），或可以通過暴露在互聯網上的另一臺機器（例如跳板機）訪問，或在跳板機可訪問的網絡上訪問。評估其風險級別時，必須考慮其可訪問性的具體細節和防護控制措施。80%69%85%20%31%15%65%62%74%35%3

93、8%26%63%62%75%37%38%25%60%64%64%40%36%36%73%79%61%27%21%39%0%10%20%30%40%50%60%70%80%90%可從互聯網訪問的組件我們確實感到奇怪的是，在高成熟度組織中，如此多的組件可以通過互聯網進行頻繁控制，就像在低成熟度組織中一樣。事實上，在高成熟度的組織中，服務器、HMI和PLC/IED/RTU更經常以這種方式訪問12。以下圖表繼續顯示了這種模式，顯示了來自業務網絡、供應商/集成商和云的組件可訪問性。12.更成熟的群體對網絡隔離的高投資回報率（75%，請參見高投資回報率圖表高成熟度vs 低成熟度）可能會對此處產生影響。實時

94、歷史數據庫Historian服務器PLC、IED、RTU工作站人機界面（HMI）全部高成熟度低成熟度全部高成熟度低成熟度受監控的受控制的控制系統組件的可訪問性（續）452024(CS)2AI-KPMG控制系統網絡安全年度報告這些反饋表明，如今控制系統的外部訪問很普遍，包括來自企業網絡、供應商和云的訪問。由于IT/OT的融合日益增強，組織必須將控制系統安全視為其整體安全計劃的一部分，而不是一個單獨的領域。這既適用于安全管理程序（根據IEC62443和ISO 27001等標準），也適用于用以保護和監控這些系統的控制措施。在Fortinet的2023年運營技術和網絡安全狀況報告中，受訪者表示，OT安

95、全是幾乎所有組織（95%）首席信息安全官職責的一部分。IT/OT融合的現實也反映在組織對威脅格局的看法中絕大多數組織（77%）認為勒索軟件比OT環境的其他威脅更令人擔憂。Rod LockeFortinet 產品管理總監47%50%52%53%50%48%51%61%51%49%39%49%48%45%56%52%55%44%41%38%40%59%62%60%59%71%57%41%29%43%0%10%20%30%40%50%60%70%80%可從企業網絡訪問的組件PLC、IED、RTU人機界面（HMI）服務器工作站實時歷史數據庫全部高成熟度低成熟度全部高成熟度低成熟度受監控的受控制的控制系

96、統組件的可訪問性（續）462024(CS)2AI-KPMG控制系統網絡安全年度報告59%67%50%41%33%50%59%64%63%41%36%37%51%57%57%49%43%43%53%60%56%47%40%44%62%54%62%38%46%38%0%20%40%60%80%供應商/集成商可遠程訪問的組件65%50%67%35%50%33%63%60%61%38%40%39%58%62%64%42%38%36%54%50%58%46%50%42%67%60%70%33%40%30%0%20%40%60%80%可從云訪問的組件PLC、IED、RTU人機界面（HMI）服務器工作站實時

97、歷史數據庫全部高成熟度低成熟度全部高成熟度低成熟度受監控的受控制的PLC、IED、RTU人機界面（HMI）服務器工作站實時歷史數據庫全部高成熟度低成熟度全部高成熟度低成熟度受監控的受控制的(CS)2管理服務現狀高成熟度vs低成熟度472024(CS)2AI-KPMG控制系統網絡安全年度報告今年的參與者再次表示，高成熟度組織更有可能已經擁有管理服務來處理其網絡安全（高成熟度25.8%，低成熟度16%），或正在通過試點管理服務項目來處理網絡安全（高成熟度25.6%，低成熟度7%）。13%16%6%26%26%21%37%19%7%16%0%5%10%15%20%25%30%35%40%組織控制系統

98、安全的管理服務現狀（高成熟度與低成熟度）無計劃實施控制系統的管理服務計劃在12個月內實施計劃在24個月內實施試點項目運行中已實施管理服務處理控制系統網絡安全低成熟度高成熟度(CS)2管理服務的使用縱向分析482024(CS)2AI-KPMG控制系統網絡安全年度報告轉向使用(CS)2管理服務符合我們多年來向讀者的建議。內部資源的培訓和教育有著無可爭議的意義，但這些都是長期（短期內可能不太確定）的投資。長期以來，(CS)2勞動力中知識淵博、經驗豐富的從業者供應一直不足以滿足快速變化的技術、實踐和控制系統設備日益增長的超連接性的需求。這不可避免地為不斷擴大的(CS)2服務市場提供了動力。我們建議那些

99、擁有足夠資源的公司既要推行內部資源開發計劃，又要利用外部專業知識來滿足保護其資產和運營的迫切需求。我們認為，這是改善其組織長期前景的最佳方法。17%14%30%13%19%23%21%20%12%25%31%11%25%13%20%0%5%10%15%20%25%30%35%組織控制系統安全的管理服務現狀（縱向）202020222023計劃在24個月內實施計劃在12個月內實施試點項目運行中已實施管理服務處理控制系統網絡安全無計劃實施控制系統的管理服務(CS)2技術現狀高成熟度vs低成熟度492024(CS)2AI-KPMG控制系統網絡安全年度報告除了高成熟度組織比低成熟度組更頻繁地使用每種安全

100、技術的總體趨勢外，主動入侵防御系統（高成熟度78.1%，低成熟度36.8%）和被動網絡異常檢測（高成熟度81.3%，低成熟度52.8%）的使用之間的巨大差異也說明，高成熟度公司更有可能在較短的時間內識別和阻止入侵企圖，從而減少對其系統的潛在影響。28%81%63%81%78%44%26%59%54%53%37%32%Unidirectional Gateways/Data DiodesFirewallsNextGen FirewallsPassive Network Anomaly Detection(IDS)Active Intrusion Prevention Systems(IPS)Sa

101、ndboxing0%10%20%30%40%50%60%70%80%90%用于保護組織控制系統資產免受網絡威脅的安全技術單向網關/數據二極管防火墻下一代防火墻被動網絡異常檢測（IDS）主動入侵防御系統（IPS）沙箱低成熟度高成熟度(CS)2網絡監控縱向分析502024(CS)2AI-KPMG控制系統網絡安全年度報告對我們的控制系統網絡的可見性對于保護這些網絡和連接的資產至關重要。盡管OT文化歷來抵制將網絡監控技術引入其環境（可以理解的是，由于這樣做會導致一些運營中斷）。但是，監控工具和技術不斷成熟和改進，人們對其風險收益比的接受度也在提高。令人鼓舞的是，實施(CS)2網絡監控并計劃加強的組織同

102、比在增長，從幾年前的0到今天的17.9%。未計劃實施任何網絡活動監控的組織占比首次降至百分比個位數（9%）。結果表明，未來組織將繼續部署和加強網絡活動監控。2022年未計劃實施監測的組織數量曾激增（19%），最初這被認為是許多組織已進入“全面監控”狀態的跡象；但今年的結果對這一點產生了質疑。我們將繼續探索這個謎題。9%14%19%17%24%18%19%21%8%17%25%10%11%10%17%31%30%0%10%20%30%40%Control system network activity monitoring is notplannedPlanning to implement w

103、ithin 24 monthsPlanning to implement within 12 monthsPilot project is in placeAll control system network activity is monitoredAll control system networks are monitored and weare planning to increase the degree of monitoringwithin the next 18 months組織控制系統網絡活動監控的現狀202020222023隨著運營技術的現代化，當OT系統越來越多地連接到I

104、T系統時，攻擊面會繼續擴大。威脅行為者將繼續應用精密的“戰術、技術和程序”，并利用其來攻擊任何薄弱環節以破壞這些系統。例如，鑒于其功能性，Pipedream是威脅行為者在破壞工業系統方面的能力和日益復雜的一個體現。為了檢測惡意活動并及時應對此類事件，必須對OT、IT、IIOT網絡保持可見性并持續監控。Eddie Toh畢馬威新加坡合伙人畢馬威亞太區法政技術主管試點項目進行中所有控制系統網絡都受到監控，并計劃在未來18個月內提高監控程度所有控制系統網絡活動已被監控計劃在24個月內實施計劃在12個月內實施未計劃進行控制系統網絡活動監控(CS)2可見性終端用戶512024(CS)2AI-KPMG控制

105、系統網絡安全年度報告我們的團隊認為，我們最大的終端用戶受訪者群體（信心有限，有一些盲點43.7%）的信心水平相當現實?？刂葡到y網絡的可見性一直是一個問題，直到最近幾年，具備這一重要能力的工具才得到普及。我們建議我們的讀者，如果尚未實施的，利用這些工具來解決盲點，并為您的(CS)2守衛者提供履行職責所需的基本知識。沒有信心，不知道信心有限，有一些盲點有點自信，定期檢查非常自信，幾乎沒有已知的漏洞100%自信，使用工具持續監控7%5%21%22%44%離線網絡建模是以非侵入方式提供全面網絡可見性的最快、最有效的方法。它有助于準確了解我們致力于保護的網絡環境，而不會中斷運營。通過分析離線環境中的網絡

106、配置、拓撲和安全策略，我們可以深入了解關鍵的通信路徑和覆蓋缺口，否則這些路徑和缺口可能會在實時網絡分析會話中被隱藏。這種方法在快速識別和解決缺乏可見性的區域的同時，保持了網絡的完整性和性能，從而增強網絡對潛在網絡威脅的防御。Robin BerthierNetwork Perception 首席執行官兼聯合創始人組織對網絡上設備、用戶和應用程序可見性的信心水平(CS)2事件(CS)2AI-KPMG控制系統網絡安全年度報告2024(CS)2攻擊響應終端用戶我們的團隊很高興看到資產所有者或運營商（最終用戶）對網絡攻擊事件響應流程的信心水平，58%的人至少有點自信，其中大多數人非?；?00%自信。這比

107、他們對網絡的可見性的信心更足（參照上頁圖表）信心有限，有一些盲點組織對網絡攻擊事件響應流程的信心水平53沒有信心，不知道有點自信，定期檢查非常自信，幾乎沒有已知的漏洞100%自信，使用工具持續監控4%34%25%26%7%(CS)2事件近況縱向分析(CS)2AI-KPMG控制系統網絡安全年度報告2024盡管在過去一年中，經歷50件以上(CS)2事件的受訪者略有上升（從上次報告的5.2%上升到現在的5.8%），但更突出的結果是，回答“無”的受訪者大幅上升（2022年14.8%對比2023年25.4%），而回答“26-50”的受訪者則有所下降（2022年19.4%對2023年10.1%）。希望這體

108、現了持續的保護和復原努力的結果，而不是無視或錯誤反饋。6%10%9%6%20%25%9%14%5%19%9%6%17%15%19%10%4%1%4%9%18%17%17%30%5025101060%）的年齡段是30-50歲。我們傾向于將重點放在運營團隊上，因為他們最直接地與資產/系統打交道，是技術知識和專業技能的重要儲備庫，當他們退休時，這些知識和專業技能也會隨之留下。保持代際儲備，同時與時俱進，對于維護和改進我們控制系統的保護工作至關重要。因此，處于職業生涯中早期的群體，即那些向更資深人員學習的群體，能夠有如此多的代表，是一件好事。16%22%7%10%11%12%8%5%7%10%14%1

109、4%19%7%17%12%4%13%32%20%17%5%4%1%6%12%14%17%17%14%6%11%25-2930-3435-3940-4445-4950-5455-5960 or older0%5%10%15%20%25%30%35%按受訪者組織級別的年齡分布領導行政人員操作運維人員管理層60歲或以上662024(CS)2AI-KPMG控制系統網絡安全年度報告0%6%9%10%36%36%2%0%5%10%15%20%25%30%35%40%完成的最高教育水平或獲得的最高學位38%48%30%14%0%10%20%30%40%50%60%受訪者組織類別參與者的教育情況與前幾年非常相

110、似。受訪者教育水平最終用戶和技術供應商之間的百分比差異幾乎相等（歐盟下降了10個百分點，技術供應商上漲了7個百分點）。系統集成商是今年的一個新類別。所有適用類別都會做統計，因此比例總和遠超過100%。當然，今年還有一個“其他”類別，收到了5%的回復。受訪者所在公司類別高中以下學歷高中或同等學歷（如貿易學校、GED）本科研究生學位拒絕回答上大學但未獲得學歷大專系統集成商終端用戶（使用他人提供的安全服務/技術來保護自身運營和/或資產）安全服務供應商和/或咨詢公司（提供服務以保護他人的控制系統運營/資產）技術供應商（提供硬件/軟件來保護他人的控制系統運營/資產）15%15%15%15%13%13%1

111、2%12%11%11%10%10%10%10%10%10%10%10%8%8%7%7%6%6%6%6%6%6%6%6%6%6%6%6%6%6%5%5%5%5%5%5%5%5%4%4%4%4%4%4%4%4%4%4%4%4%4%4%3%3%3%3%3%3%3%3%0%2%4%6%8%10%12%14%16%受訪者組織所在行業受訪者所在行業（僅限終端用戶）67(CS)2AI-KPMG2024控制系統網絡安全年度報告組織從哪里可以找到保護其(CS)2資產、人員和運營所需的援助？根據我們的受訪者的說法，他們無處不在。內部IT 安全資源（56.2%）的突出響應表明，OT 網絡安全是由大多數組織的IT 團

112、隊推動的，隨之而來的是 IT 安全方法和技術可能被應用于這些環境。制造-印刷及相關支持活動運輸-管道運輸汽車醫院農業配送服務互聯網出版和廣播制造-石油和煤炭產品倉儲制造-食品/飲料交通-軌道藝術、娛樂公司和企業管理制造-金屬制品制造制藥航空航天（包括國防）金融/保險制造-電氣設備、電器和零部件制造-機械通訊制造業-計算機和電子產品專業、科學和技術服務（包括網絡安全服務）行政和支持服務電力輸送天然氣配送石油和天然氣開采數據處理、托管和相關服務制造-化學教育服務水、污水和其他系統政府配電發電受訪者組織規模6819%18%13%15%11%10%13%0%5%10%15%20%25%受訪者決策角色受

113、訪者決策角色僅限終端用戶11%19%44%16%10%0%5%10%15%20%25%30%35%40%45%50%參與控制系統安全相關支出決策的人員角色（僅限終端用戶）在控制系統安全相關支出決策中角色組織勞動力規模的適當估算14%15%36%23%11%0%5%10%15%20%25%30%35%40%非常小型：50000(CS)2AI-KPMG控制系統網絡安全年度報告2024批準財務決策 做出財務決策 影響財務決策建議財務決策無批準財務決策 做出財務決策影響財務決策建議財務決策無受訪者的職務和組織級別694%17%3%8%2%8%3%5%1%3%2%11%6%0%1%2%3%3%7%2%1

114、1%0%2%4%6%8%10%12%14%16%18%與控制系統安全工作相關的受訪者職位首席信息安全官首席安全官（CSO）首席技術官（CTO）首席風險官（CRO）首席運營官（COO）合規官/審計師首席數字官工程師總監副總裁安全經理生產工程經理項目執行負責人項目發起人安全管理員/分析師安全設計工程師IT/OT架構師運營總監或工廠總監ICS OT安全工過程控制工程師ICS/OT安全顧問以上都不是2024(CS)2AI-KPMG控制系統網絡安全年度報告7024%9%16%4%47%受訪人在組織中的級別經理領導人管理層執行運維無受訪者的職務和組織級別（續）2024(CS)2AI-KPMG控制系統網絡安

115、全年度報告71德里克哈普(CS)2AI創始人兼主席年度調查與報告主席、聯合作者derek.harpcs2ai.org本特格利高里-布朗(CS)2AI聯合創始人兼總裁年度調查與報告總監、首席設計師和分析師、聯合作者bengt.gregory-browncs2ai瓦爾特里西(CS)2AI戰略聯盟合作伙伴聯絡員調查設計和報告分析團隊全球OT網絡安全負責人畢馬威國際全球OT網絡安全負責人，畢馬威阿根廷咨詢業務主管合伙人.ar安德魯金特調查設計和報告分析小組(CS)2AI創始研究員瀑布式安全解決方案工業安全副總裁作者兼講師andrew.ginterwaterfall-附錄B：年度報告指導委員會及撰稿人2

116、024(CS)2AI-KPMG控制系統網絡安全年度報告72我們要感謝以下人員為本報告的分析、設計和其他工作所做的貢獻Ana Girdner-Cognite安全副總裁Brent Huston-MicroSolved首席執行官Daryl Haegley-美國國防部控制系統網絡彈性技術總監Mark Bristow-CIPIC MITRE董事Michael Chipley-PMC集團總裁Rees Machtemes-Waterfall安全解決方案工業安全總監Rod Locke-Fortinet集團產品管理總監Steve Mustard-National Automation總裁兼首席執行官Vivek

117、Ponnada-Nozomi Networks技術解決方案總監Anish Mitra-畢馬威印度總監Hossain Alshedoki 畢馬威沙特阿拉伯總監Jayne Goble-畢馬威英國總監Craig Morris-畢馬威澳大利亞總監Joshua Turner-畢馬威日本顧問Brad Raiford-畢馬威美國總監Pablo Almada-畢馬威阿根廷合伙人Thomas Gronenwald-畢馬威德國高級經理Marko Vogel-畢馬威德國合伙人Eddie Toh-畢馬威新加坡合伙人Sarah Puzewicz-畢馬威德國高級助理Valentin Steinforth 畢馬威德國網絡安

118、全顧問2024(CS)2AI-KPMG控制系統網絡安全年度報告附錄C：關于(CS)2AI732024(CS)2AI-KPMG控制系統網絡安全年度報告愿景使命目標通過促進控制系統網絡安全對等網絡和發展，加強全球關鍵基礎設施。一個支持對等組織并支持其基層努力的國際組織。專業網絡全球聯盟專業發展社區外聯領導機會(CS)2AI是一個快速發展的全球非營利協會，在全球擁有3,4000名會員。全球首屈一指的非營利勞動力發展組織，支持負責確?？刂葡到y安全的各級專業人員。我們為會員提供幫助會員的平臺，促進有意義的同行交流，繼續進行專業教育，并以各種方式直接支持網絡安全專業發展。作為(CS)2Al的成員，您加入了

119、一個由控制系統網絡安全從業人員組成的全球社區，他們有動力在這個高度關鍵和重要的領域改善和發展個人和專業。(CS)2AI提供了一個場所，用于點對點連接、與領先的行業專家進行小組互動、分享經驗、挑戰和最佳實踐，以及開發和發展所需的資源。探索越來越多的獨家(CS)2Al會員機會，旨在幫助您在職業生涯中達到更高的水平。如果您還不是國際控制系統網絡安全協會的活躍成員，我們邀請您今天就參與進來，加入我們的會員互助活動。我們的協會有很多方式可以作為全球成員、發言人、教師、導師、合作伙伴、貢獻者、委員會成員、(CS)2AlFellow或研究參與者做出貢獻。全球范圍內的點對點網絡https:/www.cs2ai

120、.org附錄D：報告發起人742024(CS)2AI-KPMG控制系統網絡安全年度報告一級贊助商KPMGFortinet Waterfall 安全解決方案OpscuraNetwork Perception 三級贊助商五級贊助商Bridewell六級贊助商752024(CS)2AI-KPMG控制系統網絡安全年度報告網絡安全和數據保護咨詢服務主管合伙人畢馬威中國電話：+86(21)2212 3637郵箱：張令琪郝長偉網絡安全和數據保護咨詢服務合伙人畢馬威中國電話：+86(10)8508 5498郵箱：李振網絡安全和數據保護咨詢服務總監畢馬威中國電話：+86(21)8508 5397郵箱：鄔敏華網絡

121、安全和數據保護咨詢服務總監畢馬威中國電話：+86(21)2212 3180郵箱：黃芃芃網絡安全和數據保護咨詢服務合伙人畢馬威中國電話：+86(21)2212 2355郵箱：宋智佳網絡安全和數據保護咨詢服務總監畢馬威中國電話：+86(21)2212 3306郵箱：周文韜網絡安全和數據保護咨詢服務合伙人畢馬威中國電話：+86(21)2212 3149郵箱：本刊物經畢馬威國際授權翻譯，已獲得原作者及成員所授權。本刊物為畢馬威國際發布的英文原文“Control System Cybersecurity Annual Report 2024”（“原文刊物”）的中文譯本。如本中文譯本的字詞含義與其原文刊物不一致，應以原文刊物為準所載資料僅供一般參考用，并非針對任何個人或團體的個別情況而提供。雖然本所已致力提供準確和及時的資料，但本所不能保證這些資料在閣下收取時或日后仍然準確。任何人士不應在沒有詳細考慮相關的情況及獲取適當的專業意見下依據所載資料行事。2024 畢馬威華振會計師事務所(特殊普通合伙)中國合伙制會計師事務所及畢馬威企業咨詢(中國)有限公司 中國有限責任公司，均是與畢馬威國際有限公司(英國私營擔保有限公司)相關聯的獨立成員所全球組織中的成員。版權所有，不得轉載。在中國印刷。畢馬威的名稱和標識均為畢馬威全球組織中的獨立成員所經許可后使用的商標。