1、IBM 商業價值研究院對標洞察工業物聯網安全之旅游行業 保護旅游運營安全 kYkZpWfZeXaXrUoYuZ8OdN6MtRmMtRsQeRpPpRiNtQpPbRpOnRxNoPtMMYmOoM要點IIoT 的優勢伴隨著高成本 許多旅游服務提供商采用工業物聯網 (IIoT) 解決方案來管理復雜的運營，但在旅游公司中，仍有三分之一的網絡安全事件與 IIoT 有關。如果不采取充分的保護措施，旅游運營就很容易遭受網絡攻擊， 造成災難性的后果。 遺留系統中未修復的漏洞是一個巨大風險 許多旅游公司依賴于舊的工業控制系統，而其中一些系統存在著嚴重的軟件漏洞。由于這些系統難以更新，因此存在固有的安全隱患

2、，但旅游公司仍舊會將 IIoT 設備接入到這些系統中，以供運營應用使用，包括旅客所用的一些應用。十種控制措施與實踐有助于改善網絡彈性我們的研究揭示了一些特定的安全控制措施和 AI 驅動型實踐，這些措施和實踐可幫助公司調整其預防、檢測和響應功能，更好地在如何快速響應、緩解 IIoT 相關網絡攻擊并從中恢復方面做好自身定位。 作者：Lisa-Giane Fisher、Greg Land、Eric Maass、Julian Meyrick、Gerald Parham 和 Steve Peterson雖然由于 COVID-19 危機的出現導致全球游客及旅游服務人員的數量有所減少，但針對航空領域的威脅活

3、動卻依然如故。舊金山國際機場披露的、發生在 2020 年 3 月的一次數據泄露便是其中一個示例。據報道，該攻擊是由俄羅斯的國家贊助黑客組織 Dragonfly 實施的。1 該組織通常以關鍵基礎架構領域的組織為攻擊目標，目的是從事偵察攻擊、內網漫游和網絡間諜等活動。2如何維持并保護關鍵基礎架構，例如旅游服務和運輸公司所共享的基礎架構，一直都是挑戰。與 COVID-19 相關的擔憂給公司的安全性、靈活性和連續性計劃帶來了前所未有的壓力。 旅游行業肯定會從 COVID-19 疫情中恢復過來，但卻永遠無法免疫網絡攻擊。若要克服這一全球性挑戰，就需要適應性，以及創新的安全和風險管理實踐。對于惡意攻擊者而

4、言，旅游業是一個極具吸引力的目標。該行業為支持運營而對信息技術 (IT) 產生的依賴、與第三方供應商集成的普遍需求，加上旅游服務供應鏈的全球范圍和一體化集成， 這些都意味著一個廣泛、 多元化的攻擊面。隨著該行業越來越依賴支持自動化的 IIoT 平臺和數據服務，一些新的漏洞已開始顯現。對這些平臺和服務的使用增加了非授權訪問專有數據和關鍵系統，進而破壞物理資產的可能性。 無論是由網絡犯罪分子出于經濟動機而執行，還是由國家出于政治動機而執行，針對旅游行業的成功攻擊都可能導致嚴重的連鎖反應，影響旅游服務總體需求，進而影響整個全球經濟。隨著攻擊向量的成倍增加，以及關鍵漏洞在短期內即被加以利用，受攻擊的風

5、險呈指數級增長，通常都是快速發生且沒有先例可循。2001 年 9 月 11 日美國遭受的攻擊之所以如此嚴重，其中一個因素便是攻擊者具備躲避多種安全協議的能力，同時又編排了多個攻擊向量。此次攻擊僅財產損失就近 1,000 億美元，經濟損失總額估計高達 2 萬億美元。31 2 68% 的旅游企業高管表示 DDoS 攻 擊 是 他 們 所 面 臨 的 最 大 IIoT 相關威脅。 59% 的安全領導者已經調整了他們的事件響應計劃，以處理針對已受損 IIoT 組件的行動方案，相比其他公司，此占比只有 34%。2 倍 安全領導者檢測、響應 IIoT 相關事件及破壞并從中恢復的速度至少比其他公司快 2 倍

6、。 隨著生態系統的增多，公司變得更加易受攻擊。此外，整個行業的持續創新使旅游服務生態系統有可能繼續擴展和演變。為了面向未來做好準備，旅游服務組織應著重于在當下提升其網絡彈性。我們的研究和分析揭示了十種安全控制措施和AI 驅動型實踐，它們可以對 IIoT 網絡安全性能產生積極影響。它們結合了來自 IBM IoT 安全研究部門的互聯網安全中心 (CIS) 關鍵安全控制措施和 AI 驅動型實踐。6 在本報告中，我們就旅游服務公司如何將其實施為雙階段方法的一部分提供了一些建議，旨在幫助他們改善其 IIoT 網絡安全態勢和彈性：第 1 階段：定義和實施 IIoT 網絡安全戰略和計劃，然后專注于高效的保護

7、和預防控制措施和實踐，以此方式建立強大的防御基礎。第 2 階段：運用高效的檢測、響應和恢復控制措施，并運用構建和測試自動響應功能的實踐，以此方式規?；瘜崿F旅游服務安全自動化。56% 57% 65% 71% 47% 48% 49% 49% 21%* 35% 41% 對于惡意攻擊者而言，旅游業是一個極具吸引力的目標。IIoT 技術對于旅游業而言： 喜憂參半 旅游公司已開始在整個運營過程中廣泛采用 IIoT 技術。這方面的示例不勝枚舉，幾乎涵蓋了航空公司和地面運輸運營的各個方面，以及許多旅游服務機構、旅游運營商和相關旅游服務中介的銷售、營銷和客戶服務等各個方面。這些旅游服務組織對相關的網絡安全風險以

8、及可用于緩解這些風險的功能的成熟度和有效性究竟有多少程度的了解，目前尚不清楚。為了更好地了解某些組織比其他組織更安全、更具網絡彈性的原因，IBM 商業價值研究院 (IBV) 與牛津經濟研究院合作，對來自 11 個地區的 300 個旅游服務和運輸組織的 IT 和運營技術 (OT) 領導者進行了調研，其中有 75 家是旅游服務組織。受訪的領導者都是在其組織中負責 IIoT 部署和環境的安全性保障（見“調研方法”部分）。我們的調研結果證實了 IIoT 技術正在各種功能領域中被迅速采用。許多公司已開始在其供應鏈和物流流程中運用這些技術 - 用于車隊管理、 預測性維護和位置管理 （見圖 1） 。圖 1旅

9、游服務運營中如何運用 IIoT 技術車隊管理預測性維護位置智能/管理資產（如材料、產品、集裝箱）跟蹤貨物裝卸資產/設備監控倉庫和庫存管理機器/工業自動化自動化工作流設施管理（包括安全保護）能源管理來源：IBM 商業價值研究院 2019 年對標調研。* 標星數據表示樣本數量較少 (n20)，這種數據從統計學上來講是不可靠的， 但與其余受訪數據相比， 可以將它們視為指向性數據。問：貴組織如何在運營中運用 IoT 技術？請選擇所有的適用項。3 10% 12% 15% 20% 6% 7% 8% 9% 4% 4% 5% 用于同云解決方案交互的移動設備應用 許多旅游服務公司都在繼續部署 IIoT 技術，但

10、并未以相同的速度對其進行安全保護。不過，企業高管普遍對在運營、公司 IT 和 IIoT 網絡之間流動的信息的安全性感到擔憂。據受訪旅游服務公司稱，網關及網關相關連接幾乎占了他們最易受攻擊 IIoT 組件的“半壁江山”（見圖 2）。圖 2旅游服務 IIoT 部署中最易受攻擊的組件網關設備與網關之間的通信網關與 IoT 平臺之間的通信設備和傳感器IoT 平臺設備和傳感器上的數據基于云解決方案和 IoT 平臺構建的應用網關上的數據存儲在云端的數據用于同云解決方案交互的移動設備來源：IBM 商業價值研究院 2019 年對標調研。問：貴組織已部署的 IoT 解決方案中最易受攻擊的組件是什么？請選擇一項。

11、4 將物理環境監視和控制系統連接到互聯網等公共網絡可能會帶來風險，尤其是當這些系統未根據更廣泛的安全性管理策略進行安全保護時。潛在風險包括數據泄露對個人造成的影響，以及消費者信任度下降等。盡管旅游服務公司可能已經意識到了這些風險，但許多公司仍舊繼續以高于安全保護速度的步伐部署 IIoT 技術。由此產生的配置和控制缺口就會被攻擊者所利用。幾乎有三分之二的受訪高管表示，他們至少具備提供支持 IIoT 的新產品和服務的能力，但只有一半的受訪高管表示，他們能夠以安全的方式提供此類產品和服務。這些調研結果再次印證了運營基礎架構安全保護方面存在差距所帶來的風險。我們要求受訪者對各種網絡安全風險進行評估，并

12、根據各個風險的可能性和潛在影響打分（見圖 3）。以下各節將探討旅游企業高管最關注的一些風險：旅客數據暴露 旅游服務高管將旅客數據暴露視為其所面臨的最大兩個 IIoT 網絡安全風險之一。除了造成公關責任外，數據泄露也可能會帶來重大的財務責任。舉例來說，2019 年，一家大型航空公司發生數據泄露，違反了一般數據保護條例 (GDPR），并導致 500,000 名客戶受到影響，被罰款 2.3 億美元。由于安全控制不力，各種個人信息遭到攻擊，包括登錄信息、支付卡信息、旅游服務預訂詳細信息以及姓名和地址信息等。該筆罰款占該航空公司年總收入的 1.5%，是英國信息專員辦公室因數據泄露而開出的最高罰款單。7損

13、害旅游品牌聲譽和公眾信心 除了潛在的數據泄露和運營中斷外，針對旅游行業的網絡攻擊一旦成功還可能會導致人身傷害和死亡。對公司聲譽的負面影響可能是不可逆轉的影響。違反監管要求且可能遭受罰款可能的環境損害或災難 5% 36% 旅客數據暴露損害旅游品牌聲譽和公眾信心知識產權盜用 16% 24% 24% 39% 44% 45% 運營中斷或宕機旅客和員工的個人安全受威脅15% 13% 29% 36% 由于所連接 IT 和 OT 系統的復雜性而導致可視性/可控性下降 12% 37% 設備配置、變更或補丁的未授權篡改9% 35% 由于物理輸出被操控而導致設備損壞 7% 41% 不僅品牌在現有客戶中的信譽會受到

14、損害，潛在業務和客戶關系也會受到不可挽回的損害。這也無怪乎受訪者將對品牌和公眾信賴的影響視為其所面臨的兩個最大 IIoT 相關風險之一。知識產權 (IP) 盜用 許多旅游公司已投入了大量的資金來建立品牌資產和專有知識產權，以實現自身優勢。商標、地理標志（認證標志、集體標志或特殊制度）、工業品外觀設計，以及專利、版權和圖 3得分最高的 IIoT 網絡安全風險商業機密等其他形式的 IP 都是企業競爭優勢的來源。旅游企業高管們已經認識到 IP 盜用可能會影響他們的未來增長，而且將其視為第三大 IIoT 安全風險。 運營中斷或宕機 15% 的旅游企業高管將運營中斷視為極高的風險。2016 年，舊金山的

15、輕軌系統遭受了惡意軟件攻擊。黑客強占了代理機構電子郵件和后臺計算機系統，要求使用比特幣來交換他們捕獲的代理機構數據。8非常高 高 來源：IBM 商業價值研究院 2019 年對標調研。問：下列各種 IoT 網絡安全風險在貴組織中發生的概率是多少？如果發生的話，將會對貴組織造成什么樣的影響？按 1 到 5 分對每種風險的發生概率和影響進行打分，其中：1 分 = 非常低；2 分 = 低；3 分 = 中等；4 分 = 高；5 分 = 非常高。5 11% 40% 洞察：基于數據列出的安全領導者 安全領導者中既有旅游服務公司，也有運輸公司。在受訪的 300 家公司中，有 59 家屬于安全領導者，其中有 2

16、3 家來自旅游行業。這些安全領導者在以下三個指標方面被評為表現最佳的前 20%：1. IIoT 網絡安全所代表的網絡安全預算所占百分比。2. 安全控制措施解決的已知 IIoT 漏洞所占百分比。3. 響應 IIoT 網絡安全事件并從中恢復所需的周期時間。在本次調研中，“安全領導者”一詞是指符合條件的所有 59 家公司，其中包括 23 家旅游服務公司；但凡是提及“所有其他公司”，則是指其他 241 家旅游服務公司和運輸公司。亞特蘭大市交通部門也曾遭受過一次勒索軟件攻擊，該攻擊導致該部門服務中斷了數個月，恢復成本高達 260 萬美元。9 對于物流運營商而言，整個卡車車隊也可能會因病毒攻擊路線規劃系統

17、而陷于癱瘓。旅客和員工的個人安全受威脅13% 的旅游企業高管表示，旅游者和員工受到安全威脅的風險也非常高。 即使交通信號燈的時間進行幾秒鐘的更改，也可能會導致人身傷害或死亡。對機械或電氣設備（如鐵路信號控制設備）的篡改，也可能會造成類似的結果。舉例來說，波蘭羅茲市的一名 14 歲波蘭人改裝了一個電視遙控器，并用它更改了鐵路軌道點。結果造成四輛列車出軌，導致 12 人受傷。10 改善 IIoT 安全性的雙階段方法 利用我們的調研數據，我們基于受訪者的 IIoT 網絡安全預算、 安全控制措施所解決的已知漏洞以及響應和恢復時間，確定了我們稱之為 “安全領導者” 的一組公司 （見側邊欄 “洞察：基于數

18、據列出的安全領導者”）。我們發現安全領導者更有可能全面評估 IIoT 網絡安全風險，而且非常了解緩解風險所需的網絡安全功能。這些公司在安全 KPI 方面的表現更好，并且在自己組織的漏洞管理功能可以保護他們免受最新威脅的影響方面更有信心。他們也更有可能將安全控制措施視為高效的安全推動和保護因素。11 不過，真正使安全領導者與眾不同的在于他們的網絡彈性：他們能夠以至少兩倍于其他公司的速度檢測和響應 IIoT 相關事件并從中恢復。6 建立強大的防御基礎IIoT 網絡安全規范化建立 IIoT 網絡安全旅游服務計劃，并組建跨職能旅游服務安全團隊。限制對旅游服務提供商網絡的訪問并控制它們相互之間的數據流1

19、. 專注于邊界防御。2. 限制和控制網絡端口、協議、服務。3.實施惡意軟件防御。限制對設備和數據的訪問4. 控制管理特權的使用。5.開列授權資產和非授權資產 （設備和其他硬件等）的清單。6. 展持續的漏洞評估和補救。來源：IBM 商業價值研究院分析結果。大規模實現旅游服務安全自動化建立、管理并測試旅游服務事件響應計劃和流程7. 定義和管理旅游服務事件響應計劃，并將其作為安全管理計劃的一部分。8. 開展旅游服務滲透測試和紅組演練，以發現防御缺口和計劃響應中的不足。 實現檢測、補救、響應和恢復流程的自動化9. 運用高級網絡安全監控和分析功能進行事件檢測和補救。10. 運用高級行為分析來進行端點攻擊

20、/泄露的檢測和響應。 持續改善 整合新知識、新經驗和新發現，并根據需要進行調整。我們建議采用雙階段的方法來改善 IIoT 網絡安全態勢和彈性。我們的研究表明，這種表現在很大程度上受互聯網安全中心 (CIS) 關鍵安全控制措施以及許多旅游服務公司所采用的更高級的、由 AI 驅動的實踐所影響。12 此類措施和實踐共有 10 種，每一種都與保護和預防或檢測、響應和恢復這幾種安全功能中的某一種有關。我們建議將這些高效的控制措施和實踐作為雙階段方法的一部分予以實施，以改善 IIoT 網絡安全態勢和彈性（見圖 4）。 為 IIoT 建立強大的防御基礎第一階段由三個指令構成。第一個指令用于促進建立 IIoT

21、 網絡安全戰略和計劃，該戰略和計劃應與組織更廣泛的 IT 和 OT 風險與安全框架保持一致。第二和第三個指令用于指導高效保護和預防控制措施和實踐及其相關技術的運用，以增強防御能力。圖 4有助于改善 IIoT 網絡安全態勢和彈性的雙階段方法。7 41% 11% 41% 15% 洞察：IIoT 風險管理框架安全和治理框架的組合（如美國國家標準和技術研究院 (NIST) 關鍵基礎架構網絡安全框架及 ISO/IEC 27000-1），可用作以下措施的基礎：識別關鍵數據、資產和安全邊界。識別 IIoT 系統、已連接的生產環境及人員資產中的漏洞。建立并定制風險管理框架。評估風險，然后制定并執行風險減緩計劃

22、。確保對最緊迫的安全計劃的投資并溝通這些計劃的進度。實現可接受的風險水平與業務目標和合規要求之間的平衡。13IIoT 網絡安全規范化。借助有效的 IIoT 網絡安全旅游服務計劃，旅游服務公司便能夠定義、管理和更新所需的 IIoT 網絡安全工具、流程和技能。41% 的安全領導者已經建立了此類計劃，而只有 15% 的其他公司建立了此類計劃（見圖 5）。對于和 IIoT 相關的風險，應將其作為旅游服務組織更廣泛安全風險管理框架的一部分加以解決（見側邊欄“洞察：IIoT 風險管理框架”）。首先評估風險并對其進行優先排序。然后使用跨 IT 和 OT 學科的通用風險方法，確保它們的可視性并在企業級對其進行

23、管理。定期進行風險評估，以識別 IIoT 環境（包括所連接的 ICS）中的漏洞。記錄并執行緩解計劃。圖 5IIoT 網絡安全規范化已制定了正式的 IIoT 網絡安全計劃組建了跨職能安全團隊安全領導者 所有其他公司來源：IBM 商業價值研究院 2019 年對標調研。問：哪項描述最能體現貴組織對 IoT 網絡安全的了解？問：為減緩 IoT 網絡安全風險，貴組織對以下運營方法的實施程度如何？注：圖 5-9 所示為選擇了“4 = 正在實施”和“5 = 已完全實施”的公司所給出的回答。8 如今，惡意軟件會進行定制化，以達到影響 IIoT 設備和平臺的目的。如圖所示，41% 的安全領導者已認識到，跨職能協

24、作可以幫助旅游服務組織更清楚地了解 IIoT 系統、公司 IT 系統與運營設備之間的差異（見圖 5）。通過組建由來自 IT 安全、工程、運營、控制系統等部門及安全供應商的人員組成的跨職能旅游服務安全團隊，旅游服務公司便可充分利用 IT 和 OT 專業知識，對安全控制措施進行適當的優先排序，實現最佳的風險減緩。14限制對旅游服務提供商網絡的訪問并控制它們相互之間的數據流。IIoT 設備會生成大量數據，而這些數據會自然地流經公司和受保護程度較小的 IIoT 網絡。定義角色和權限，限制對這些網絡的訪問以及控制流經這些網絡的數據流，對于維持一致的安全態勢至關重要。關于這一點，三種高效的控制措施可為您提

25、供幫助。1.專注于邊界防御。我們的調研結果顯示，這種控制措施對 IIoT 網絡安全性能的影響最大。它針對的是檢測、預防和糾正跨不同信任級別的網絡之間的信息流，重點針對的是安全性遭受損害的數據。使用隔離戰略使 IIoT 組件保持在其自己的區域中或在其自己的獨立網絡中運行的安全領導者數量，是采用此類實踐的其他公司的兩倍（見圖 6）。15 這種實踐有助于減輕信任度較低的 IIoT 網絡會對更安全的公司 IT 網絡所造成的負面影響。 2.限制和控制網絡端口、協議和服務。在本次調研中，積極定義并執行 IIoT 設備在其運營環境中可能使用的端口、協議和服務的安全領導者數量，是采用此類實踐的其他公司的兩倍多

26、（見圖 6）。由于某些設備可能會實施不使用公司網絡的通信協議（如藍牙），因此充分了解每種設備采用的協議（即哪些協議與組織的安全策略相符），有助于顯著減小漏洞窗口。組織應測試 IIoT 設備，以評估它們對不符合預期的消息傳遞的敏感性。16 3.實施惡意軟件防御。如今，惡意軟件和漏洞利用程序會進行定制化，以達到影響 IIoT 設備和平臺的目的。組織應制定戰略來控制整個組織中多個位置惡意代碼的安裝、傳播和執行。同時還應持續監控 IIoT 設備信息（更新和數據）流動所經過的網關，以檢測惡意軟件，或將觀察到的活動與已知、合法的計劃中活動相關聯。 圖 6限制對網絡的訪問并控制它們相互之間的數據流。已實施了

27、邊界防御 已對網絡端口、協議和服務進行了限制和控制已實施了惡意軟件防御安全領導者 所有其他公司來源：IBM 商業價值研究院 2019 年對標調研。問：為減緩 IoT 網絡安全風險，貴組織對以下關鍵安全控制措施的實施程度如何？9 15% 36%23% 51%45% 68%具有關鍵系統訪問權限的員工通常是惡意黑客的目標。限制對設備和數據的訪問。對網絡訪問和數據流進行管理，只能算是進行了一半的防御。 另一半的防御則是要對設備和數據 （在用、 動態及靜態）進行的訪問管理。三種高效的安全控制措施可幫助您實現這一目標。4. 控制管理特權的使用。有權訪問關鍵系統的員工通常會因為惡意或無意的行為給企業網絡安全

28、帶來最大威脅。因為與外部的惡意黑客相比，這些員工擁有更多的信息和關鍵基礎架構訪問權限，因此經常成為網絡攻擊的目標。安全領導者在維持敏感數據訪問的控制框架，以抵御此類攻擊方面要優于其他組織（見圖 7）。圖 7限制對設備和數據的訪問對管理權限的使用進行了控制開列授權資產和非授權資產（設備和其他硬件等）的清單持續執行漏洞評估和補救安全領導者 所有其他公司 來源：IBM 商業價值研究院 2019 年對標調研。問：為減緩 IoT 網絡安全風險，貴組織對以下關鍵安全控制措施的實施程度如何？10 有效的安全程序會限制特權訪問，記錄有權訪問敏感功能/數據的人員，并監控整個公司網絡中所有用戶的活動。對于旅游行業

29、來說，存在著一個特殊的風險，即負責管理 IIoT 設備的技術人員使用共享帳戶。在不安全地區部署 IIoT 資產也會帶來另一個風險。若要在整個運營生命周期中加強控制，應考慮采用更多自適應方法，例如限制物理訪問；限制管理權限；提供更具細粒度的基于角色的權限。175.開列授權資產和非授權資產 （設備和其他硬件等） 的清單。28% 的旅游企業高管表示，非授權資產和設備的可視性是確保其 IIoT 部署安全的最大挑戰之一。非授權 IIoT 設備和網絡（即“影子 IIoT”的示例）會在組織傳統安全策略的監控下運行，使其難以被檢測出。識別并分析所有 IIoT 端點，將其添加到資產清單中并對其進行監控，有助于解

30、決這一問題。僅提供對授權設備的訪問，同時阻止對已確定的非授權設備和不受管理設備的訪問。6.開展持續的漏洞評估和補救。IIoT 設備和工業控制系統（包括監督控制和數據采集 (SCADA) 系統）中的缺陷和安全漏洞，使得旅游服務公司容易受到傳播分布式拒絕服務 (DDoS) 攻擊惡意軟件的僵尸網絡（如 Mirai、Aidra、Wifatch 和 Gafgyt）的攻擊。18 旅游企業高管表示，在他們遭受的所有網絡安全事件中，有 33% 的攻擊為 DDoS 攻擊。68% 的受訪者將這些攻擊稱為與 IIoT 相關的最大威脅。因此，組織應定期安排漏洞評估，以識別配置不正確的 IIoT 設備，以便管理員刪除或

31、重新配置這些設備。在運營環境中進行主動漏洞掃描會破壞系統的穩定性。如果自動掃描不適用的話，則應執行被動監控。11% 32%*16% 42%10% 37%19%* 4%* 59% 34% 大規模實現旅游服務安全自動化一旦建立了 IIoT 網絡安全防御基礎，便可在下一個階段中基于該基礎通過遵循兩個指令來構建安全。這兩個指令包括剩余的四個高效檢測、響應和恢復控制措施和實踐，它們支持自動、自適應響應功能的部署。建立、管理并測試旅游服務事件響應計劃和流程。有助于針對事件和數據泄露做出快速、動態且有組織的響應的技術和流程至關重要。以下所述的高效組織控制措施可幫助您解決流程方面的問題：7.定義和管理旅游服務

32、事件響應計劃，并將其作為安全管理計劃的一部分。59% 的安全領導者已經調整了他們的事件響應計劃，以解決針對易受攻擊 IIoT 組件的行動方案，而在其他公司中，這么做的公司占比只有 34%（見圖 8）。定期對計劃進行測試的 IR 團隊能夠進一步增強響應能力。執行數據泄露模擬，以識別在發生數據泄露時要激活的流程、人員和工具。使用生態系統內部的共享資源，如擁有市場短缺專業技能的 ICS/SCADA 安全專家。公司還可以通過涵蓋與任務關鍵型 IIoT 平臺相關的業務中斷和勒索要求的網絡保單來降低風險敞口。 然而， 我們的調研結果顯示，購買了網絡保險的旅游服務公司屈指可數。 8.開展旅游服務滲透測試和紅

33、組演練。此類演練有助于您更詳細地了解 IR 計劃的有效性。紅組是一群道德黑客，他們的職責是模擬網絡攻擊，以便安全領導者對其 IR 計劃進行壓力測試，找出差距并進行相應調整。滲透測試有助于發現臨時漏洞，并維持與安全策略和數據隱私法規的合規性。 我們發現，有 19% 的安全領導者正在實施此類進攻性防御策略，而在其他公司中，采用此類做法的比例只有 4%（見圖 8） 。 在 IIoT 環境中， 掃描錯誤可能會嚴重影響業務運營，因此必須加以考慮并解決。 圖 8建立、管理并測試旅游服務事件響應計劃和流程已定義并管理了事件響應計劃已開展了滲透測試和紅組演練安全領導者 所有其他公司來源：IBM 商業價值研究院

34、 2019 年對標調研。問：為減緩 IoT 網絡安全風險，貴組織對以下關鍵安全控制措施的實施程度如何？11 25%* 5%* 39% 6%* 實現檢測、補救、響應和恢復流程的自動化采取更好的保護和預防實踐并不能保證絕對的安全。惡意攻擊者會不斷開發滲透系統的新方法。由于關鍵的網絡安全技能通常都供不應求，因此必須借助自動化機制來檢測和補救數據泄露。以下所述是兩種可幫助組織實現這一目標的高效人工智能方法：9.運用高級網絡安全監控和分析功能進行事件檢測和補救。為了實時了解整個運營環境中的 IIoT 信息，39% 的安全領導者（7% 的其他公司）已建立了綜合性安全遙測功能，此類功能可自動收集、集成和分析

35、來自所有可能監控點的數據。這些數據包括系統日志、網絡流、端點數據、云使用情況和用戶行為數據等；借助這些數據，旅游業安全運營 (SOC) 團隊便可快速了解警報的情境信息，并區分誤報和真實警報。借助主動的方法，SOC 團隊可以分析從內部 IIoT 數據中提取的信息以及外部來源的威脅情報數據，并運用機器學習來預測攻擊者的下一步行動。10.對端點進行高級行為分析數據泄露檢測和響應?？梢栽谄髽I級別上運用支持 AI 的威脅檢測，以發現異常的用戶活動并對風險進行優先排序。25% 的安全領導者已部署了利用機器學習的用戶行為分析功能（見圖 9）。他們在借助機器學習實現自適應模型自動化成為“常態”方面也處于領先地

36、位，這使他們能夠跟蹤這些正常行為簽名并標記可能暗示新威脅的異?；顒?。12 IIoT 代表了 IT 和 OT 解決方案集的融合，其中許多解決方案是在網絡安全進入人們的視野之前設計的。這就增加了復雜性并引入了一系列獨特的風險。借助將安全作為運營不可或缺的一部分的 IIoT 安全戰略，旅游服務公司可以從這些新技術中受益，而不會給公司（或員工和旅游者的福祉）帶來風險。圖 9實現檢測、補救、響應和恢復流程的自動化運用高級網絡安全監控/分析功能進行事件檢測和補救運用高級行為分析來進行端點攻擊/泄露的檢測和響應安全領導者 所有其他公司來源：IBM 商業價值研究院 2019 年對標調研。問：為減緩 IoT 網

37、絡安全風險，貴組織對以下基于人工智能 (AI) 及分析的方法的實施程度如何？您的旅游服務組織能否保護關鍵基礎架構？您如何確保 IIoT 安全實踐與貴組織的企業風險管理框架保持一致？您如何將安全工具和管理流程集成到貴組織的安全框架和運營流程當中？從某種程度上來說，這是否是您在整個運營生命周期中保持可視性、透明性和問責制的一種方式？您如何增加隔離來優化安全性較低的 IIoT 網絡的隔離？您如何加強事件響應計劃，使其在壓力下更容易執行？您如何預防威脅影響、減少業務中斷并構建快速從攻擊中恢復的功能？行動指南 有助于提升網絡彈性的雙階段方法 為 IIoT 建立強大的防御基礎。將 IIoT 網絡安全控制措

38、施和實踐及其相關技術整合到總體 IIoT 安全戰略中。然后專注于增強保護和預防功能。IIoT 網絡安全規范化。建立 IIoT 網絡安全旅游服務計劃。組建跨職能旅游服務安全團隊。限制對旅游服務提供商網絡的訪問并控制它們相互之間的數據流。專注于邊界防御。限制和控制網絡端口、協議和服務。實施惡意軟件防御。限制對設備和數據的訪問?？刂乒芾硖貦嗟氖褂?。開列授權資產和非授權資產（設備和其他硬件等）的清單。開展持續的漏洞評估和補救。一旦建立了防御基礎之后，大規模實現旅游服務安全自動化。將 IIoT 網絡安全整合到旅游服務安全運營中，使您的組織能夠快速有效地應對與 IIoT 相關的事件和數據泄露：建立、管理并

39、測試旅游服務 IIoT 事件響應計劃和流程。定義和管理旅游服務 IIoT 事件響應計劃，并將其作為安全管理計劃的一部分。開展滲透測試和紅組演練，以發現防御能力和計劃響應中的不足。惡意攻擊者不斷開發滲透系統的新方法，而且網絡安全技能常常處于供應短缺的狀態。大規模部署自動化的自適應響應功能：實現檢測、補救、響應和恢復流程的自動化。運用高級網絡安全監控和分析功能進行事件檢測和補救。運用高級行為分析來進行端點攻擊/泄露的檢測和響應。13 關于作者Lisa-Giane Fisher Lisa-Giane Fisher 目前擔任 IBM 商業價值研究院在中東及非洲所開展對標調研的負責人。她負責并購和安全對

40、標調研，還與 IBM 行業專家合作開發和維護行業流程框架。Lisa 目前居住在南非。Greg Land Greg (James) Land 目前擔任 IBM 酒店與旅游相關服務細分領域的全球總監。在整個 25 年的職業生涯中，Greg 一直浸淫在旅游服務行業，曾擔任過戰略咨詢師、顧問和高管。他曾與多家全球航空公司、 旅游技術提供商和酒店企業開展過合作，在數字化轉型方面積累了獨到的見解。Greg 目前常駐紐約。Eric Maass Eric Maass 目前擔任 IBM Security Services 戰略與新興技術總監，負責領導該組織產品組合（包括高級安全技術和新興安全技術）的業務和投資戰

41、略。作為安全行業的一名資深人士，他在商業、國防和情報等領域積累了大約 20 年的公司和啟動經驗。Eric 曾是一家云安全初創公司的創始人兼首席技術官，該公司于 2014 年被 IBM 收購。Eric 目前居住在大紐約地區。14 Julian Meyrick julian_ Julian Meyrick 負責 IBM Security 的全球安全戰略風險與合規和云安全實踐。Julian 的工作是幫助客戶針對他們所面臨的網絡業務風險制定安全戰略。他還特別負責就網絡安全對業務的潛在影響向董事會提供建議。Julian 目前居住在倫敦。Gerald Parham Gerald Parham 目前擔任 I

42、BM 商業價值研究院全球安全與 CIO 主管。Gerald 負責針對整個網絡產品組合開展研究 - 探索戰略、安全運營、風險、身份、隱私和信任之間的關系。他在執行領導、研究、創新和知識產權開發方面擁有 20 多年的經驗。Gerald 目前居住在南加州。Steve Peterson Steve Peterson 目前擔任 IBM 商業價值研究院全球旅游服務和運輸主管。Steve 曾編寫過眾多行業研究報告，自 1998 年以來一直擔任旅游服務行業的戰略顧問。他的研究報告在 IBM 全球客戶中備受歡迎，而且在業界和大眾媒體中廣受贊譽。Steve 目前居住在丹佛。調研方法IBV 與牛津經濟研究院合作，對

43、負責所在組織 IIoT 環境和部署安全的 300 位 IT 和 OT 高管進行了調研，其中有 75 位來自旅游服務行業，225 位來自運輸行業，所有這些受訪者所在組織均已部署了 IIoT 應用來支持供應鏈和物流。受訪者包括來自除中東及非洲之外所有主要地區的高管（首席執行官、首席技術官、首席信息安全官、首席運營官、首席風險官）、IT 主管和副總裁以及業務線經理和內部審計經理。本次調研所代表的行業包括深海、沿海和大湖水上運輸；一般貨運；鐵路運輸；非定期航空運輸；定期航空運輸。每種運輸方式（陸運、航空、水運）各占總樣本的三分之一。為了確定一些公司更加安全、更具網絡彈性的原因，我們通過在線調查分兩個部

44、分對其 IIoT 網絡安全性能和成熟度進行了對標調研：1) 我們詢問了受訪組織識別和保護其自身免受 IIoT 相關網絡安全風險而部署的功能，以及他們檢測、響應事件并從中恢復的能力。2) 我們收集了成本、 周期時間、質量和效率指標，以衡量風險和事件管理功能的有效性。我們分兩部分對受訪者的回答進行了分析。首先，我們基于三個關鍵績效指標 (KPI) 計算了每個公司的平均分數：IIoT 網絡安全所代表的網絡安全預算所占百分比、安全控制措施解決的已知 IIoT 漏洞所占百分比、通過安全控制解決的已知 IIoT 漏洞的百分比以及響應 IIoT 網絡安全事件并從中恢復所需的周期時間。通過這種方法我們將安全領

45、導者確定為績效指標達到 80% 的那些公司。其次，為了了解 20 個 CIS 關鍵安全控制措施和 6 個 AI 驅動型實踐中哪些措施和實踐對 KPI 的影響最大，我們進行了回歸分析，按影響力對所有 26 個因素進行了排名。前 10 名是影響力高于平均水平的因素。所有數據（無論是財務數據還是其他數據）均為受訪者自己報告的數據。15 選對合作伙伴，駕馭多變的世界 在 IBM，我們積極與客戶協作，運用業務洞察和先進的研究方法與技術，幫助他們在瞬息萬變的商業環境中保持獨特的競爭優勢。 IBM 商業價值研究院 IBM 商業價值研究院 (IBV) 隸屬于 IBM Services，致力于為全球高級商業主管

46、就公共和私營領域的關鍵問題提供基于事實的戰略洞察。 了解更多信息 欲獲取 IBM 研究報告的完整目錄，或者訂閱我們的每月新聞稿，請訪問： IBM 商業價值研究院中國網站，免費下載研究報告: https:/ IBM 商業價值研究院相關報告 Hahn、Tim、Marcel Kisch 和 James Murphy 合著。 “充滿威脅的網絡：保護面向工業和公用事業企業的物聯網”。 IBM 商業價值研究院。2018 年 3 月。https:/ Serio 和 Ben Stanley 合著?！捌囆袠I工業物聯網：實施迅速，保護滯后”。 IBM 商業價值研究院。2018 年 8 月。https:/ Fis

47、her、Cristene Gonzalez- Wertz 和 Peter Xu 合著?！半娮有袠I的工業物聯網：補齊短板，取得成功”。IBM 商業價值研究院。 2018 年 10 月。https:/ Gonzalez-Wertz、 Lisa-Giane Fisher 和 Mark Holt 合著?！瓣P注公用事業網絡安全缺陷：從東拼西湊防線，轉變為成竹在胸，安心無憂”。IBM 商業價值研究院。2019 年 1 月。 https:/ Muncaster, Phil. “San Francisco Airport Attack Linked to Russian State Hackers.” Inf

48、ormation Security Magazine. April 2020. https:/www.infosecurity- san-francisco-airport-attack/ 2 “DragonFly: Energy sector attacks.” IBM X-Force Exchange. https:/ Dragonfly-Energy-Sector-Attacks-d4cf1567963a2cdbd24fa e1fbff27111 3 Riedel, Bruce. “Al Qaedas 9/11 Obsession.” Brookings. July 15, 2011.

49、https:/www.brookings.edu/opinions/ al-qaedas-911-obsession/ 4 Bonderud, Douglas. “Loco Motives? Hacker Attacks Could Derail Train Cybersecurity, Researchers Say.” IBM Security Intelligence. January 12, 2016. https:/securityintelligence. com/loco-motives-hacker-attacks-could-derail- train-cybersecuri

50、ty-researchers-say/ 16 5 Alvarez, Michelle. “Industry Overview Critical Infrastructure (Basic Needs).” IBM Managed Security Services (MSS). March 25, 2015. https:/ mss/html/en_US/support_resources/pdf/industry_ overview_crit_infra_3-25-2015.html?cm_mc_uid=4877659 0151015659713589&cm_mc_sid_50200000=

51、529790015 67332373470&cm_mc_sid_52640000=66539761567332 373474 6 “CIS Controls.” Center for Internet Security. https:/www. cisecurity.org/controls/; Hahn, Tim, and JR Rao. “IoT Security: An IBM Position Paper.” Watson IoT. IBM. October 2016. https:/ iot-security. For direct link to paper, go to http

52、s:/www-01. WWW12379USEN 7 Lunden, Ingrid. “UKs ICO fines British Airways a record 183M over GDPR breach that leaked data from 500,000 users.” Techcrunch. July 8, 2019. https:/techcrunch. com/2019/07/08/uks-ico-fines-british-airways-a-record-183m-over-gdpr-breach-that-leaked-data-from-500000-users/ 8

53、 Rodriguez, Joe Fitzgerald. “Alleged Muni hacker demands $73,000 ransom, some computers in stations restored.” San Francisco Examiner. November 28, 2016. https:/ 9 Newman, Lily Hay. “Atlanta Spent $2.6M to Recover From a $52,000 Ransomware Scare.” Wired. April 23, 2018. https:/ Baker, Graeme. “Schoo

54、lboy hacks into citys tram system.” The Telegraph. January 11, 2008. https:/www.telegraph.co.uk/news/worldnews/1575293/Schoolboy-hacks-into-citys-tram-system.html11 該數據點表示安全領導者對其 IIoT 網絡安全功能的相對信心。該數據點樣本數量較少 (n20)，因此從統計學上來講是不可靠的，但與其余受訪數據相比，可以將它們視為指向性數據。12 “CIS Controls.” Center for Internet Security.

55、 https:/www. cisecurity.org/controls/; Hahn, Tim, and JR Rao. “IoT Security:An IBM Position Paper.” Watson IoT. IBM. October 2016. https:/ direct link to paper, go to https:/ “National Institute of Standards and Technology (NIST) Risk Management Framework.” NIST Computer Security Resource Center web

56、site. https:/csrc.nist. gov/projects/ risk-management/risk-management framework-(rmf)-overview; “NIST Special Publication 800-series General Information.” NIST Information Technology Laboratory. https:/www.nist.gov/itl/nist special-publication-800-series-general-information; “ISO/IEC 27000 family -

57、Information security management systems.” International Organization for Standardization. https:/www.iso.org/ isoiec-27001-information-security.html 14 Hahn, Tim, Marcel Kisch, and James Murphy. “Internet of threats: Securing the Internet of Things for industrial and utility companies.” IBM Institut

58、e for Business Value. March 2018. https:/ thoughtleadership/iotthreats/ 15 “CIS Controls Internet of Things Companion Guide.” Center for Internet Security. July 27, 2019. https:/www.cisecurity. org/white-papers/cis-controls-internet-of-things- companion-guide/ 16 Ibid. 17 Ibid. 18 “IBM X-Force Threa

59、t Intelligence Index 2019.” IBM Security. February 2019. https:/ threat-intelligence 關于對標洞察對標洞察致力于就重要的業務話題及相關技術話題為企業高管提供洞察。洞察根據針對績效數據的分析結果及其他對標調研結果而得出。要了解更多信息，請聯系 IBM 商業價值研究院：。 Copyright IBM Corporation 2020 IBM Corporation New Orchard Road Armonk, NY 10504 美國印刷2020 年 4 月IBM、IBM 徽標及 是 International

60、Business Machines Corporation 在世界各地司法轄區的注冊商標。其他產品和服務名稱可能是 IBM 或其他公司的商標。Web 站點 上的“Copyright and trademark information”部分中包含了 IBM 商標的最新列表。本文檔截至最初公布日期為最新版本，IBM 可隨時對其進行修改。IBM 并不一定在開展業務的所有國家或地區提供所有這些產品或服務。本文檔內的信息“按現狀”提供，不附有任何種類的（無論是明示的還是默示的）保證，包括不附有關于適銷性、適用于某種特定用途的任何保證以及非侵權的任何保證或條件。IBM 產品根據其提供時所依據的協議的條款和條件獲得保證。本報告的目的僅為提供通用指南。它并不試圖代替詳盡的研究或專業判斷的運用。由于使用本出版物對任何組織或個人所造成的損失，IBM 概不負責。本報告中使用的數據可能源自第三方，IBM 并不獨立核實、驗證或審計此類數據。此類數據使用的結果均為“按現狀”提供，IBM 不作出任何明示或暗示的聲明或保證。國際商業機器中國有限公司 北京朝陽區北四環中路 27 號 盤古大觀寫字樓 25 層 郵編：100101 01030801CNZH-01 17