一项对该行业的研究发现,超过四分之三的制造组织在其系统中存在未修补的高严重性漏洞。SecurityScorecard 的新遥测显示这些组织中的高严重性漏洞逐年增加。SecurityScorecard 的联合创始人兼首席执行官称到 2022 年观察到 76% 的制造组织在 IP 地址上发现了未打补丁的 CVE 漏洞,我们的平台属性归于这些组织。2022 年,其中近 40% 的组织(包括金属、机械、电器、电气设备和运输制造)遭受了恶意软件感染。几乎一半 (48%) 的关键制造组织在安全评级平台上获得了“C”和“F”之间的排名。该平台包括十组风险因素,包括 DNS 健康状况、IP 信誉、Web 应用程序安全、网络安全、泄露的信息、黑客攻击、端点安全和修补节奏。针对制造商的网络攻击的严重性值得注意。其中许多事件都涉及勒索软件,威胁行为者通常以犯罪集团的形式开始通过敲诈勒索来赚钱。虽然勒索软件问题是全球性的,但我们已经看到越来越多的针对关键基础设施的攻击来自民族国家行为者,以追求各种地缘政治目标。同时,Dragos 和 IBM X-Force 团队的事件响应调查压倒性地表明,最热门的运营技术 (OT) 目标是制造业,而现在攻击这些组织的主要武器是勒索软件。“民主化”的网络安全俄罗斯等老练的国家资助的参与者瞄准了美国各地的几个不同的关键基础设施组织,从医疗保健到能源再到电信。在全球范围内,政府已经在采取措施加强网络安全。以美国 《2022 年关键基础设施网络事件报告法》为例,该法案要求关键基础设施向 DHS 的网络安全和基础设施安全局 (CISA) 报告某些网络事件。
其他机构,如联邦能源监管委员会、证券交易委员会和财政部,也正处于为其监管管辖范围内的实体制定规则的不同阶段。政策制定者应该继续与行业合作,以更深入、持续地了解直接影响公民基本服务或美国整体经济的组织和行业的安全态势。一种更加民主化、集成化和协作性的网络安全弹性方法可以提供全球威胁态势的持续可见性并召集公共和私营部门,这对于保护世界关键基础设施至关重要。政府和行业之间更好的信息共享是关键。
