《GoUpSec：2023工控安全产品及服务购买决策参考（202页）.pdf》由会员分享，可在线阅读，更多相关《GoUpSec：2023工控安全产品及服务购买决策参考（202页）.pdf（202页珍藏版）》请在三个皮匠报告上搜索。

1、目录前言.1宝牧科技.12博智安全.16长扬科技.26烽台科技.34国舜股份.46国泰网信.52六方云.74珞安科技.91木链科技.106齐安科技.138融安网络.146赛宁网安.156双湃智安.160天地和兴.165网藤科技.172星阑科技.178中电安科.1821前言前言：工控安全迎来引爆点，创新是第一驱动力工控系统是国家关键信息基础设施的重要组成部分，同时也是关键基础设施网络攻击的重点目标。随着互联网在工业控制系统中的广泛应用，针对工业控制系统的各式网络攻击事件日益增多，尤其在电力、石油、铁路运输、燃气、化工、制造业、能源、核应用等相关领域的关键网络一直都是全球攻击者的首选目标。近年来，

2、随着全球地缘政治冲突加剧、网络犯罪规模化、以及中美对抗导致的工控网络安全风险不断升级，关键基础设施保护成为全球各国政府网络安全战略、政府预算与法规标准的关注重点。2022 年，中美分别以立法形式推动关键基础设施安全防护，从资金、标准、法规三个维度推动跨部门协作，在整体设计和实施阶段为工控安全市场提供支持。2023 年，两化融合、IT/OT 融合为特征的工业数字化革命已经打开了工控安全威胁的潘多拉盒子，工控系统安全态势和策略正在从“以 OT 网络为中心”向“以资产为中心”过渡，攻防技术“军备竞赛”正在快速升级。可以预见，随着相关法规和市场需求的就绪，2023 年全球和中国工控安全市场将迎来引爆点

3、，进入高速发展期。2工控安全面临的独特挑战与痛点与其他网络安全领域相比，工控安全有着巨大差异和独特性，其中较为突出和典型的四个独特挑战如下：1.行业用户对影响业务连续性的安全方案容忍度低2.工控系统设备厂商安全性的高度不透明给漏洞管理和安全运营带来巨大挑战3.IT/OT 融合、物理网络空间攻击面进一步扩大4.工控安全专业人员严重短缺根据 Dragos 和 Honeywell 的 2022 年度工控安全报告，当前全球工业基础设施客户最常见的四大痛点分别是：1.工控系统环境内部缺乏可见性，80%的工控系统 OT 网络可见性有限。（比2021 年减少了 6%）2.半数工控系统在网络分段方面存在问题。

4、（比 2021 年减少了 27%）3.53%的工控系统在其 OT 网络中建立了未公开或不受控制的连接。（比2021 年减少了 17%）4.54%的工控系统 IT 和 OT 之间缺乏用户管理分离。（比 2021 年增加了10%）3工控系统存在五大系统性安全风险2022 年 6 月 GoUpSec 在国内首次报道了 Forescout 的“冰瀑漏洞”报告，该报告曝光 10 家 OT 供应商产品中的 56 个高危漏洞，给工控系统市场投下一枚重磅炸弹。报告指出，主流工控系统产品在设计层面存在根本性的重大安全问题。通俗来说就是：工控系统（包括一些工控安全方案）的安全设计从根上就是烂透了。全球主流工控系统

5、厂商产品不安全设计导致的漏洞比比皆是（下图）：“冰瀑漏洞报告”披露的漏洞中超过三分之一(38%)可导致凭据失窃，21%可导致固件篡改位，14%可导致远程代码执行。不安全设计问题的主要例证是与未经4身份验证的协议相关的九个漏洞，报告还发现了大量糟糕的身份验证方案，这些方案在实施后表现出低于标准的安全控制。“冰瀑漏洞报告”暴露了全球工控系统设备普遍存在的五大系统性安全风险：1.大量通过安全认证的工控系统设备依然存在已知安全漏洞：受冰瀑漏洞影响的工控系统产品中有 74%通过了某种形式的安全认证，报告的大多数问题应该在深入的漏洞发现过程中相对较快地发现。导致此问题的因素包括有限的评估范围、不透明的安全

6、定义以及对功能测试的关注。2.由于缺乏 CVE 漏洞编号，工控系统风险管理变得复杂：仅知道设备或协议不安全是不够的，资产所有者还需要知道这些组件存在安全漏洞的原因才能做出有效的风险管理决策。不安全设计导致的问题并不总是能够分配CVE，因此经常被忽视。3.存在大量设计不安全的供应链组件：OT 供应链组件中的漏洞往往不会被每个受影响的制造商报告，这导致了风险管理的困难。攻击者通过本机功能在一级设备上获得 RCE 的三种主要途径是：逻辑下载、固件更新和内存读/写操作。大多数工控系统都不支持逻辑签名，并且大多数设备(52%)将其逻辑编译为本机机器代码。这些系统中有 62%接受通过以太网下载固件，而只有