据Skybox security称，尽管在过去三年中都遭受了破坏，但关键基础设施（CNI）组织中的大多数IT和安全领导人都低估了网络威胁的规模。

网络安全供应商Skybox Security对美国、英国、德国和澳大利亚179名运营技术（OT）安全决策者进行了调查，其中大部分来自制造业、能源和公用事业行业收入达10亿美元或以上的公司。

该研究发现，尽管83%的CIO和CISO在过去36个月内遭受过此类事件，但73%的CIO和CISO“非常有信心”他们的组织明年不会遭受OT违规。

引人注目的是，只有37%的实际工厂经理有类似的信心，这突显了高级决策层的看法与现实之间的脱节。

三分之一（34%）的受访者似乎过度依赖保险作为安全“策略”，声称这是一个足够的解决方案。

然而，一些人确实认识到网络威胁不断升级。五分之二（40%）的人表示，供应链/第三方网络访问是他们的三大安全风险之一，但不到一半（46%）的人表示他们的组织有适用于OT的第三方访问策略。

技术复杂性也给受访者带来了沉重压力：78%的受访者表示，多供应商环境使保护组织变得更具挑战性，而一半(48%)的受访者抱怨跨OT和IT环境的架构脱节。

另有40%的人表示IT-OT融合是前三大风险。随着传统OT技术的连接性增强，它将暴露于能够利用未修补系统的基于internet的威胁。补丁在OT工具包上可能会有问题，因为大部分补丁都是任务关键型的，并且与遗留应用程序和操作系统存在兼容性问题。

Skybox安全研究实验室威胁情报负责人Sivan Nir认为，与2020年上半年相比，新的OT漏洞增加了46%。

他补充道：“尽管漏洞和最近的攻击不断增加，但许多安全团队并未将OT安全作为公司的首要任务。原因何在？令人惊讶的发现之一是，一些安全团队人员否认自己易受攻击，但承认受到了破坏。”。

“尽管有相反的证据，但人们相信他们的基础设施是安全的，这导致安全措施不足。”

(来源：GoUpSec)

(原文链接：https://mp.weixin.qq.com/s/0GVxDLcJAAnCvp3rx3kazQ)