Skip to content Skip to navigation Skip to footer

最新消息

Fortinet 發布《2022 OT 與網路安全現況調查報告》: 93% 的 OT 企業組織過去 12 個月內至少被入侵一次, 捍衛 OT 資安刻不容緩

台北訊 - 2022年7月21日
-

 

Fortinet 台灣團隊

全方位整合與自動化網路資安領導廠商 Fortinet®(NASDAQ:FTNT)今(20)日公布《2022 OT資安與網路安全現況調查報告[1]》(2022 State of Operational Technology and Cybersecurity Report),報告顯示,93%的營運科技(Operational Technology,OT)企業組織在過去12個月中至少被入侵一次,更有近八成(78%)的受訪者表示,過去一年內曾經歷三次甚至更高頻率的資安事件,較 2021 年[2]增加 15%。OT業者面臨的常見入侵手法包括惡意軟體(44%)、網路釣魚(41%)、駭客入侵(39%)與行動裝置的資安漏洞(37%)等。

Fortinet 台灣區總經理吳章銘表示:「隨著全球疫情逐漸緩和,台灣過去幾年於智慧製造的耕耘即將斬獲成果,其中 OT 業者的資安防護能力將會是台灣邁向智慧製造全新時代的關鍵。根據工研院2021年的調查 [1],200 人以上製造業的資安發展阻力中,前三大挑戰分別是內部技術能量不足、公司對於資安投資報酬率缺乏了解,以及內部員工缺乏資安意識,這也與 Fortinet 今年全球 OT 和網路安全報告的結果不謀而合。OT 安全已引起了企業領導層的注意,然而組織內缺乏的安全性設計的可程式邏輯控制器 (Programmable Logic Controller;PLC)、持續面臨的資安攻擊、缺乏可視化的 OT 活動,以及不斷增加的 OT 連網數量,都是企業現正面對的嚴酷挑戰。這也是為何將 OT 與 IT 的融合至關重要。」

Fortinet《2022 OT 與網路安全現況調查報告》的四大發現包括:

一、OT 活動可視化程度低,安全性風險陡增

Fortinet 報告顯示,97% 的全球組織認為 OT 在其整體安全風險中扮演著重要角色。然而,今年僅有 13% 的受訪組織實現所有 OT 活動的可視化,且僅有 52% 的組織能夠從安全營運中心(Security Operation Center,SOC)中追蹤所有 OT 活動。報告也指出,缺乏集中的可視化會導致組織的 OT 安全風險增加、安全性降低。


全球OT組織企業可視化程度低,僅有13%的受訪者實現所有OT活動的可視化

二、OT 資安入侵事件會大幅影響企業生產力,重則危及整體維運

Fortinet 報告發現,93% 的 OT 組織在過去 12 個月內至少經歷過一次入侵,78% 的組織則有遭受超過三次的入侵。由於這些入侵事件,近50% 的組織營運面臨中斷,不僅大幅影響生產力,其中還有 90% 的入侵事件需要數小時或更長時間才能恢復服務。此外,三分之一的受訪者也認為,因資安入侵事件導致的資料外洩、財產損失、合規性質疑,甚至是品牌價值也將受到影響。

93%的OT組織在過去12個月內至少經歷過一次入侵

三、企業內的 OT 安全權責不明,僅 15% 表示應由資安長負責

根據 Fortinet 的報告,OT 安全管理主要由總監或經理等人員負責,如工廠營運總監或製造營運部經理。只有 15% 的受訪者表示資安長(Chief Information Security Officer,CISO)需對其組織的 OT 安全負責,較去年下降 2%。今年有高達 33% 的受訪者表示,網路工程總裁應對 OT 安全負責,其次為營運科技總監或網路安全經理(25%)、資訊長(19%)、技術長(6%)與營運長(1%)。

15%的受訪者表示資安長需對其組織的OT安全負責

四、OT 安全成熟度逐步提升,但許多組織中仍然存在安全漏洞

當被問及其組織的 OT 安全狀況的成熟度時,只有 21% 的組織達到了第 4 級,意即組織可落實協調(Orchestration)與自動化(Automation)。值得注意的是,與其他地區相比,拉丁美洲和亞太地區達到 4 級的比例更高,超過 70% 的組織擁有成熟 OT 安全維運的水準。與此同時,這些組織在使用多種 OT 安全工具時也面臨挑戰,進而使他們在 OT 安全程度方面形成差距。該報告發現,絕大多數組織使用 2 至 8 個不同供應商提供的工業設備,並且有同時 100 到 10,000 個設備同時運行,增加維運的複雜度。

與其他地區相比,拉丁美洲和亞太地區中有70%的組織擁有成熟OT安全維運的水準

企業高層開始重視 OT 的重要性

Fortinet《2022 OT 與網路安全現況調查報告》的報告中顯示,隨著 OT系統漸漸成為網路犯罪份子的目標,企業的高層領導者(C-level leaders)也開始意識到保護 OT 環境以分散組織風險的重要性。工業系統已成為一個重要的風險因素,主因為這些 OT 環境原本與IT和企業網路呈現實體隔離(air-gapped)狀態,但現在 OT 與 IT 這兩個基礎設施正普遍走向整合。在工業系統隨時隨地皆可連網的時代,組織的攻擊面(Attack Surface,攻擊面)也會隨之增加,因而促使全面保護其工業控制系統(Industrial Control System,ICS)的行動應運而生,同時強化監控和資料蒐集系統(Supervisory Control And Data Acquisition,SCADA)的需求。

克服 OT 安全挑戰的最佳實踐

Fortinet的《2022 OT資安與網路安全現況調查報告》提出解決 OT 系統漏洞並加強其整體安全狀態的方法,包含:

  • 建立零信任安全存取,防止資料外洩:越來越多的工業系統具備連網的能力,零信任的應用解決方案可確保沒有適當憑證和存取權的使用者、設備或應用程式,接觸到公司內重要的數位資產。為了推進 OT 安全工作,零信任的應用可以進一步抵禦內部和外部的威脅。
  • 落實 OT 活動的集中可視化:集中且端到端的OT可視化組織強化安全的關鍵。根據Fortinet的報告,過去一年有 6% 的模範組織沒有任何 OT 資安入侵事件,而他們集中可視化的完成度是曾有入侵事件的同行的三倍以上。
  • 整合資安工具和不同供應商的工業設備,完整 OT 安全防護網:為降低管理的複雜度,並達到所有 OT 活動的可視化,組織們應力求在與最少的供應商合作的情況下整合 OT 和 IT 技術,以減少攻擊面、改善安全性。
  • 佈署網路存取控制功能(Network Access Control,NAC):過去一年中,較少受到資安入侵的組織多數都擁有「以角色為基礎之存取控制功能(Role-based NAC)」,確保只有經過授權的「個人」才能存取富有重要數位資產的特定系統。

Fortinet 安全織網全方位保護 OT 環境

Fortinet 十多年來持續保護能源、國防、製造、食品和運輸等關鍵基礎設施領域的 OT 環境。透過 Fortinet 安全織網Fortinet Security Fabric),企業可將安全性設計應用至複雜的基礎架構中,藉由其高效率、不中斷的特性來確保 OT 環境合規且持續受到保護。

Fortinet 兩大工業資安年度盛會 8月開跑,開創台灣企業資安新局

工業 4.0 的浪潮下,OT 業者在數位化轉型上,面臨技術瓶頸、缺乏 IT 人才、以及對 IT/OT 資安整合擔憂等挑戰。Fortinet 今年將於 8 月 3 日盛大舉辦 Fortinet 2022 Secure OT Summit 安全營運高峰會,匯集 Siemens、Yatec、Schneider、Claroty等業界權威,帶大眾領略 Fortinet 解決方案如何在 OT 環境中脫穎而出。此外,Fortinet 也將參與 8 月 24 日至 27 日的台北國際自動化大展,分享 Fortinet 如何助力台灣 OT 業者找到企業最適切的資安部署方式、建立起強大的安全防護架構。

活動資訊

  • Fortinet 2022 Secure OT Summit安全營運高峰會
    • 活動時間:2022年8月3日(三)
    • 活動地點:新竹豐邑喜來登大飯店
    • 報名方式:請點此報名

  • 台北國際自動化大展:
    • 活動時間:2022年8月24日(三)- 8/27(六);9:30 AM ~ 5:00 PM (最後一日參觀至4:00PM)
    • 活動地點:台北南港展覽館二館一樓攤位編號: Q1224
    • 報名方式:請點此報名

 

備註:

[1]《2022 OT與網路安全現況調查報告》,該報告來自2022年3月對全球500多名OT專業人士進行的一項調查,特別針對來自OT使用率高的產業領域的從業人員,包含製造、運輸和物流及醫療保健業等。

[2]《2021 OT與網路安全現況調查報告》,Fortinet,2021

[3]《供應鏈資訊安全管理強化教戰守則》,經濟部工業局,2021

 

參考資料

關於 Fortinet ( www.fortinet.com/tw )

Fortinet(NASDAQ: FTNT)致力保護全球大型企業、服務供應商和政府組織的資安防禦,為客戶提供完整的可視性與控制力,以因應日趨擴大的攻擊範圍,並滿足今日與未來不斷增長的效能需求。唯有Fortinet安全織網(Security Fabric)能解決最嚴苛的資安挑戰,為網路、應用程式、多雲或邊緣環境中的數位基礎架構提供滴水不漏的資料防護。Fortinet的資安設備出貨量在全球排名第一,深受全球超過50萬客戶的信任。Fortinet  NSENetwork Security ExpertProgram 網路資安培訓計畫,免費為全球民眾提供界最完整的資安培訓課程。Fortinet 於 2020 年在 Gartner 網路防火牆(Network Firewalls)魔力象限與廣域網路邊緣(WAN Edge)基礎架構魔力象限皆被評選為領導者。如欲瞭解更多資訊,請至 Fortinet 台灣官網YouTubeLINE@Fortinet部落格 與 FortiGuard 實驗室

 

FTNT-O

Copyright © 2022 Fortinet, Inc. All rights reserved. The symbols ® and ™ denote respectively federally registered trademarks and common law trademarks of Fortinet, Inc., its subsidiaries and affiliates. Fortinet’s trademarks include, but are not limited to, the following: Fortinet, the Fortinet logo, FortiGate, FortiOS, FortiGuard, FortiCare, FortiAnalyzer, FortiManager, FortiASIC, FortiClient, FortiCloud, FortiCore, FortiMail, FortiSandbox, FortiADC, FortiAI, FortiAP, FortiAppEngine, FortiAppMonitor, FortiAuthenticator, FortiBalancer, FortiBIOS, FortiBridge, FortiCache, FortiCam, FortiCamera, FortiCarrier, FortiCASB, FortiCenter, FortiCentral,FortiConnect, FortiController, FortiConverter, FortiCWP, FortiDB, FortiDDoS, FortiDeceptor, FortiDirector, FortiDNS, FortiEDR, FortiExplorer, FortiExtender, FortiFone, FortiHypervisor, FortiInsight, FortiIsolator, FortiLocator, FortiLog, FortiMeter, FortiMoM, FortiMonitor, FortiNAC, FortiPartner, FortiPortal, FortiPresence , FortiProtect, FortiProxy, FortiRecorder, FortiReporter, FortiScan, FortiSDNConnector, FortiSIEM, FortiSDWAN, FortiSMS, FortiSOAR, FortiSwitch, FortiTester, FortiToken, FortiTrust, FortiVoice, FortiVoIP, FortiWAN, FortiWeb, FortiWiFi, FortiWLC, FortiWLCOS, and FortiWLM. 

  

所有其它提及之商標各歸其擁有者所有。Fortinet並未獨立驗證本處第三方機構所做之聲明或認證,亦不為此處任何聲明背書。即使本文載有相反規定,此處任何內容均不構成Fortinet的保證、擔保、契約、具約束力的規範或其他具約束力的承諾,也不構成與具約束力的承諾和效能有關的任何意向指示。此處的規範資訊可能僅屬於某些環境。本新聞稿可能包含涉及不確定性和假設性的前瞻性聲明,例如與技術發佈有關的聲明等。我們透過 www.sec.gov 送交給美國證券交易委員會的文件中提及的情況變化、產品發佈延遲或其他風險可能會導致結果與本新聞稿中明示或暗示的結果有重大差異。若不確定性獲得實現或此類假設證明為不正確,結果可能與此類前瞻性聲明與假設所明示或暗示的結果有實質差異。所有非歷史事實以外之陳述即可視為前瞻性陳述。Fortinet沒有義務更新任何前瞻性聲明,並明確聲明不承擔此義務