提供保护才能蓬勃发展：应对日益增长的网络安全威胁

关键基础设施的制造商、运营商以及公用事业单位面临越来越多、更复杂的网络安全威胁。随着商品化恶意软件和先进技术为威胁实施者提供新攻击能力，攻击不断发展变化。

网络攻击的动机仍然主要为了经济利益，但是民族国家行为者越来越多地参与其中，并且各种威胁行为者发起的越来越多的攻击针对工业控制空间。

有效的网络安全需要及时了解最新威胁、实时盘点资产、提高威胁检测能力、确保设备和仪器具有最新的防御措施、修补和更新系统以及提高事件响应能力。此外，政策和程序、员工技能提升和定期培训都是网络安全的关键方面，应该遵循基于风险的方法来部署前述措施以保护关键系统。

对于希望释放工业物联网 (IIoT) 潜力的制造商，网络安全是一个重大关切事项。人们都了解对有效网络安全的需求，但是业内对该主题的了解并不多。设计和实施 IIoT 技术需要新技能和网络安全专业知识。如果没有安全地实施和维护，新解决方案可能会引入新的威胁媒介。

发现漏洞

在制造业中，具有更高资本支出成本的工程解决方案导致公司不愿意更新系统且变更速度缓慢。没有通过深度防御方法打补丁或进行良好防护的过时系统最容易受到攻击。

对于希望释放工业物联网 (IIoT) 潜力的制造商，网络安全是一项重大关切

用户为了应对已识别的威胁和攻击而采取行动。用户必须对这些行动设定优先级并制定路线图。这包括在生命周期内为其组织中的所有人员、流程和技术实施和定期测试事件响应、备份/恢复计划。即使是像用户帐户管理这样简单的事情，也必须处理每个用户从最初获得授权到他们离开组织的生命周期。

IT 和 OT 利益相关者之间越来越需要协作以实施有助于组织数字化转型的新系统和服务。 在制定网络安全战略时，IT 和 OT 利益相关者必须了解彼此的优势以及如何在保持高度安全级别的同时实现业务目标。

每种专业知识都带来不同的东西，IT 拥有高度标准化流程，而 OT 拥有更工程化的解决方案。需要审查两个利益相关者的目标并确定要求以避免缺漏和运营风险。自动化供应商可以通过提供分层的安全控制、程序和服务组合来提高系统安全性并帮助最终用户为网络安全评估设定优先级，从而更成功地安全部署系统。

组织必须在控制系统项目的前端工程和设计过程中考虑网络安全。网络安全防御通常是在以后添加的，这样做的成本更高，而且很少像在项目中构建网络安全那样有效。这被称为“左移”概念。设计安全，加上相应的网络风险分析，应包括对安全功能和控制的审查以确保其有效应对日益增强的网络威胁形势。

为了支持网络安全计划的商业理由，可以将评估用作降低风险的指标，代表迄今为止实施的网络计划的进展以及通过部署额外网络保护而提供的潜在保护。证明网络安全能力合理的一个好方法是通过“左移”概念，其中每花费 1 欧元主动安全费用就等于超过 60 欧元的被动安全费用。

如果确实发生攻击，应对攻击的正确方法是制定一个记录良好且经过实践的事件响应计划。简而言之，如果没有网络安全功能、控制和深思熟虑的计划，就无法顺利应对攻击。

文化问题

网络安全未成为公司文化的一部分时，公司员工会通过导致漏洞的无意行为造成重大的网络风险。无处不在的网络安全文化可降低来自外部和内部威胁的风险。提升员工有关新技术和相关网络安全的技能有助于营造网络安全文化。

简而言之，如果没有网络安全功能、控制和深思熟虑的计划，就无法顺利应对攻击。

为员工创造培训机会以提高他们的技术和网络安全能力至关重要。提高技能需要时间，但教育员工自觉接受网络安全责任和问责制是一个良好的开端。如果网络安全不再是别人的责任，人们自然会问更多的问题，并与那些有专业知识的人合作，以防止意外的后果。

网络安全需要的不仅仅是技术。网络安全需要改变行为和文化。整个公司对网络安全的“原因”和“方法”牢记于心，这对于推动有意义的行为改变至关重要。因此，重要的是建立一种涵盖人员、流程和技术的网络安全文化。