SANS研究所第四次年度ICS网络安全调查报告显示，许多工业控制系统（ICS）的安全从业人员认为，ICS行业的风险等级较高，ICS安全从业人员日益重视勒索软件和嵌入式控制器带来的风险。

调查分析

什么威胁最大？各大机构的ICS安全专家接受调查时向SANS表示，44%的人认为是无法自我保护的设备，24%的人认为是嵌入式控制器、43%的人认为是内部威胁（包括意外故障），40%的人认为是外部威胁（例如国家攻击者和激进黑客），35%的人认为勒索软件和其它勒索企图威胁最大。

担心勒索软件的ICS安全专家显著增加

过去一年，勒索软件频繁霸占头条，工业系统面临的风险诸多，理论攻击场景以及WannaCry这类恶意软件就是最好的证明。因此，担心勒索软件的ICS安全专家数量相比前一年SANS调查的数据翻了近一番。

SANS在报告中表示，虽然勒索软件主要感染商业操作系统（例如Windows，Linux），但这些系统被集成到ICS环境，再加上ICS依赖的设备也在运行这些操作系统，从而扩大了勒索软件对ICS的有效性和覆盖面。公共已知的行动影响迄今为止不多，但今后可能会更多，尤其出现了针对ICS/SCADA的勒索软件。

近期的ICS入侵事件似乎让越来越多人意识到嵌入式控制器和控制系统应用面临的风险。近四分之一的调查对象认为，控制器的风险最大，而仍有许多人认为运营商业操作系统的计算机风险和影响最大。

ICS相关预算比例增加

超过三分之二的调查对象认为，ICS面临的威胁大；近一半的调查对象表示，他们的ICS安全预算相比2016财年有所增加。接下来的18个月中，20%或更多组织机构已经提供预算对控制系统进行安全评估或审计，以提高这些系统的可见性，加强安全意识培训，并采用异常和入侵检测工具。

在员工数量超过1000的组织机构中，其中2.6%表示2017财年用于控制系统安全的预算超过1000万美元；而其中6%表示预算介于100万美元至1000万美元之间。另一方面，2.6%的大型企业承认它们根本没有ICS安全预算。

人员培训预算竟然减少

SANS指出，用于培训并认证工作人员（实施和维护控制系统安全）的预算大幅下降，从2016年的34%下降到2017年26%。 这部分预算减少并非是因为招聘受过培训的员工或从外部聘用顾问。这些举措的预算减少到14%，低于前10大预算举措。威胁级别不断提升，再加上攻击面扩大，这就要求技能专业人员出面解决这些风险，在暴露和风险因素增多的当口，员工培训预算减少这种现象有违直觉。

40%的系统安全管理人员并不“专业”

当被问及控制系统是否被感染或渗透，40%的调查对象了解的情况与实际不符，这可能是他们对运营技术（OT）网络缺乏了解，这说明这些人维护的系统可能已经遭遇入侵。

不同系统遭遇的攻击差别较大

近12%的调查对象表示，控制系统过去一年遭遇感染或渗透。虽然大多数调查对象不了解系统遭遇入侵的次数，或他们最多只发现五次这类事件，一些调查对象则报告称遭遇的此类事件超过50起。