Gartner发布CPS安全2024年预测：安全形势动荡的四大向量

随着威胁形势、自动化和人工智能采用的步伐以及供应商形势不断快速发展，我们为安全和风险管理领导者提供了四项预测，以规划 2024 年及以后 CPS 安全的未来发展方向。

主要发现

随着人工智能的采用加速增加网络物理系统（ CPS）的“智能”并提高生产和关键任务能力，可能会出现更多不同类型的攻击，但也将增加攻击面并为更复杂的攻击提供机会。更大的速度。
新部署的 CPS 将越来越多地使用常规 IP 流量进行通信，而不再依赖 BacNet、Fieldbus 或 Modbus 等专有网络协议。专用 LTE、5G 和 LoRaWAN 技术的使用也将加速，从而对普渡大学现有的基于模型的安全措施（如防火墙和非军事区）提出挑战。
支持 GPS 的 CPS 的部署以及5G 和卫星通信的增长将加速跟踪互联资产位置的需求，并将推动供应商添加新的安全功能。
近年来，CPS 保护平台市场的特点是并购活动活跃。Gartner预计这一趋势将持续下去，因为对初创企业的投资会减少，而最终用户会倾向于选择数量较少但功能更强的供应商。

建议

专注于降低 CPS 安全风险的安全和风险管理 (SRM) 领导者应该：

让团队做好准备，应对人工智能带来的增强 CPS 安全性的机会，以及攻击者可能利用的额外安全问题。在这方面，威胁建模将成为越来越重要的学科。
创建一个策略，允许从当前的 ISA95 标准架构过渡到未来大量 CPS将与外界进行双向通信。相应地开发威胁模型和缓解步骤。
评估您的组织部署依赖于地理定位的机器人、无人机或半/自主 CPS 的安全注意事项。
考虑快速变化的市场格局。投资于单独的硬件、软件和专业服务的组合会带来高昂的成本，而越来越多可用的以平台为中心的工具为整合安全功能提供了机会。

战略规划假设

到 2027 年，政府建议和基于人工智能的新型攻击将促使 65% 的组织采用 CPS 威胁建模，而目前这一比例还不到 25%。
到2027 年，移动 CPS 将比 2023 年增加 25%，这使得地理定位成为关键的安全问题和要求。
到2028 年，75% 的最终用户将必须更新其基于 Purdue 模型的架构，以适应使用 IP、云或私有、基于移动网络的通信的 CPS。
到 2028 年，40% 的现有 CPS 保护平台供应商将被收购、合并或无法在竞争中生存，从而影响买家的定价条款。

分析

需要知道什么

对于负责确保CPS安全的领导者和团队来说，动荡的时代即将到来。虽然过去五年是关于认识和理解不断增长的威胁、现有资产和网络、尝试新工具以及测试更集成的治理，但未来五年可能会看到威胁格局、技术架构和供应商社区发生巨大变化。

——彼得·德鲁克经常引用的一句话

“动荡时期最大的危险不是动荡，而是动荡。” 就是按照昨天的逻辑行事。”

当谈到 CPS 安全性时，许多 Gartner 调查显示，昨天的逻辑包括：

防火墙规则由工程团队部署，安全团队很少参与，随着时间的推移，由于业务需求优先于安全控制，导致出现偏差和变化。
采用内部普渡模型架构，但没有安全远程访问、第三方物理访问资产或安全无线通信的策略。
部署旨在模仿 IT 流程的 CPS 漏洞管理策略。
资产发现活动几乎没有后续补救措施。
供应商追求工业生产线中的资产安全，却忽视了旁边激增的所有机器人和半自主系统。

在所有依赖 CPS 的行业中，例如公用事业、制造、餐饮服务、医疗保健或运输，世界正在迅速变化。例如：

根据美国数十亿美元的 2021 年基础设施投资和就业法案 (IIJA)，大多数新投资都将依赖 CPS，而网络安全投资是许多努力的核心。
在关键公用事业中，在部署安全解决方案的资源方面，“富人”和“穷人”之间的差距越来越大。
西门子和微软最近宣布了一项联合计划，以测试用于控制制造机械的 GPT 支持模型。
Fortune Business Insights 预计，全球工业自动化市场将从 2022 年的 2058.6 亿美元增长到 2029 年的 3950.9 亿美元（复合年增长率 [CAGR] 为 9.8%）。
GLG Insights 估计，电子行业的机器人五年前可能售价 15,000 美元，现在成本不到 6,000 美元。
Gartner 预测，“到 2027 年，超过 70% 的企业将使用行业云平台来加速其业务计划，而 2023 年这一比例还不到 15%。”
Gartner 调查显示：

o 71% 的制造商正在试点、实施或使用自主设备（例如机器人、自动导引车 [AGV] 和自主移动机器人 [AMR]），作为其智能工厂计划的重要组成部分。

o 71% 的制造商正在试点、实施或使用人工智能。到 2025 年，65% 的全球制造商将投资边缘人工智能，作为其支持物联网的超级自动化战略的一部分，而 2022 年这一比例还不到 10%。

这些变化将在长期以来被视为稳定状态的 CPS 安全环境中造成动荡，其中“OT”通常代表“旧技术”。这些更改将需要新的逻辑来处理（参见图 1）：

随着 CPS 不断倍增、相互连接以及与企业 IT 系统的连接，以及人工智能变得无处不在，技术部署的复杂性比以往任何时候都高。
随着越来越多的 SRM 领导者参与 CPS 安全，架构和治理面临挑战。
宏观经济趋势和最终用户偏好导致供应商市场压力。
对新安全特性、功能和工具的需求不断增长。

图 1：网络物理系统安全的主要动荡向量

战略规划假设

预测是 Gartner 对未来立场的陈述。这项研究强调了 Gartner 与 SRM 领导者相关的预测，他们越来越多地承担着保护传统企业 IT 环境之外的互联资产的任务（见图 2）。

图 2：Gartner 2024 年网络物理系统安全动荡预测

战略规划假设：到 2027 年，政府建议和新颖的基于 AI 的攻击将促使 65% 的组织采用 CPS 威胁建模，而目前这一比例还不到 25%。

主要发现：

CPS 支撑所有生产和关键任务环境，特别是在资产密集型组织和关键基础设施领域。这些环境越来越多地受到网络攻击，因为勒索软件勒索者（许多人被用作民族国家的代理人）试图通过破坏运营和影响底线来迫使受害者付费。
从 Industroyer2 到 BlackEnergy3，再到 Triton/Trisys 和 PIPEDREAM，专门针对工业环境的恶意软件数量在过去五年中不断增加。拥有大型进攻性网络团队的国家可能会使用人工智能来进一步开发和持续部署新的变体，每个变体都有独特的足迹。
在许多针对间谍和知识产权的网络攻击中，CPS 的技术图纸已被泄露。这些绘图现在可以输入 GenAI 模型并与攻击框架相关联，以加速和增强有针对性的攻击活动。
人工智能增强机器人的研究进展非常迅速，工业数字化转型工作将越来越多地利用这些功能。
美国国土安全部在其 2024 年威胁评估报告中表示，“恶意网络行为者已开始测试人工智能开发的恶意软件和人工智能辅助软件开发的能力——这些技术有潜力实现更大规模、更快、更高效和更具规避性的网络攻击——针对包括管道、铁路和其他美国关键基础设施在内的目标。敌对政府正在开发其他可能破坏美国网络防御的人工智能技术，包括支持恶意软件攻击等恶意活动的生成式人工智能程序。”

市场影响：

这些事态发展是不可预测的，并且会影响多个角度，而且往往是同时影响。例如：

正如上述国土安全部报告所证明的那样，攻击者已经在努力使用人工智能开发和测试新的攻击向量。
行业信息共享和分析中心 ( ISAC)可能希望进一步聚合威胁情报数据并加速信息共享，因为攻击者使用人工智能将针对某一行业某个组织的成功攻击快速复制到其他组织。这些类型的信息和警报交换中心对于最终用户来说将变得更加重要。
CPS 制造商已经在评估如何将人工智能嵌入到他们的产品中。考虑到现有产品历来缺乏对设计/默认安全性的关注，并且披露的漏洞也相应增加，原始设备制造商并没有良好的安全记录。基于人工智能的功能的增加将引起新的审查，并且由于 CPS 支撑着所有关键基础设施，因此它们将成为攻击者更有吸引力的目标。
威胁研究人员和 CPS 安全供应商将试图通过披露新的人工智能威胁和漏洞并将基于人工智能的功能嵌入到其解决方案中，在竞争日益激烈的市场中赢得声誉并脱颖而出。这将引发一系列“猫捉老鼠”的公告，加剧当前的恐惧、不确定性和怀疑（FUD）气氛，并导致市场进一步混乱。
在内部，SRM 领导者必须帮助定义和部署人工智能安全和安全护栏，因为人工智能的使用渗透到企业的各个方面，包括通常存在 CPS 的生产和关键任务环境。

建议：

继续投资 CPS 安全工具，并推动过去的资产发现工作，以利用市场上不断增长的特性和功能套件。
让您的团队了解人工智能的安全优势，并寻找利用它们的机会。例如，人工智能可以帮助：

o 加强漏洞检测

o 减少误报

o 提供补救援助

o 使用上下文信息丰富安全警报

o 查找威胁检测中的异常值

让您的团队了解人工智能可能带来的安全问题，并做好相应的准备。例如，人工智能可用于加速：

o 数据泄露/渗漏/中毒/操纵

o 供应链攻击

o 模型训练篡改

o 对抗模型重复

o 冒充攻击（即冒充远程维护人员）

o 超自动化攻击的规模和速度足以压倒防御，包括从 IT 网络传播到 OT 网络

考虑到越来越多的政府建议和框架，建立适合您的定制环境的 CPS 威胁建模规则。

战略规划假设：到 2027 年，移动 CPS 将比 2023 年增加 25%，使地理定位成为关键的安全问题和要求。

主要发现：

对于医疗保健（医疗设备）、采矿（远程采矿设备）、交通运输（铁路车辆、船舶、飞机等）等行业的最终用户来说，一个主要的痛点已经围绕着了解资产的精确位置。
在新冠大流行期间，各行业加速推进自动化。据自动化推进协会称，北美公司 2022 年订购了 44,196 台机器人，比 2021 年增长了 11% 。10其中许多机器人被设计用于在工作现场或工厂车间从一个地方移动到另一个地方。
自动导引车 (AGV) 曾经沿着埋在地板中的电线行驶。现在，自主移动机器人（AMR）配备了 GPS、视觉和迭代学习系统，因此它们可以在遇到障碍时自动调整程序。
从安全运营到最后一英里物流，商业无人机运营正在全球范围内加速发展。随着新的远程 ID 规则的生效以及新的通信模式实现集群操作和实时跟踪，这些独特的 CPS 的安全问题将成为首要问题。
正如美国国防部最近在其“复制器”计划中宣布的那样，即使在国防等传统上发展缓慢的行业，地缘政治力量也在推动部署数千个大规模生产的自主系统。
支持 GPS 的 CPS 的部署以及 5G 和卫星通信的增长将加速跟踪互联资产位置的需求，并将推动供应商扩大其覆盖范围。

市场影响：

GPS 干扰、欺骗和远程资产设备冒充正开始成为核心安全问题，SRM 领导者需要加强威胁管理实践来解决这些问题。
随着移动 CPS 技术的扩散所带来的威胁不断增加，安全问题也随之而来，安全和风险领导者的职责范围将继续扩大。这将越来越多地包括机器人、无人机和自主系统，超越当前对静态工业中心资产的关注。
基于平台的解决方案的一大好处是能够随着最终用户需求和市场力量的发展而添加特性和功能。例如，CPS 保护平台供应商已经在被动方式之外添加了新的资产发现向量，以及消除摩擦和复杂性的新部署选项，以及衡量漏洞风险并进行补救的新方法。在移动 CPS 加速部署的推动下，对地理定位的需求将成为一项必需功能。
这也将为新的安全选项打开大门（例如，根据操作位置对设备进行分段）。

建议：

评估您的组织部署依赖于地理定位的机器人、无人机或半/自主 CPS 的安全注意事项。
如果您需要地理定位，请与您的 CPS 保护平台供应商联系，了解他们是否考虑在其产品路线图中添加功能。

战略规划假设：到 2028 年，75% 的最终用户将必须更新其基于普渡模型的架构，以适应使用 IP、云或私有、基于移动网络的通信的 CPS。

主要发现：

新部署的 CPS 将使用常规 IP 流量进行通信，不再依赖 BacNet、Fieldbus 或 Modbus 等专有网络协议。这将允许使用 4G、5G、LoRaWAN 技术，这些技术将挑战依赖传统防火墙和非军事区 (DMZ) 的现有安全架构。
越来越多地使用内置安全性的工业物联网 (IIoT) 平台意味着设备将能够直接与基于云的优化平台进行通信，以进一步提高生产过程的有效性和效率。几十年来关于分割和禁止从生产环境到外界的外部沟通的规则将成为一个障碍。
工厂优化和安全之间由安全引起的摩擦将需要新的安全架构概念来满足两者的需求并以降低的成本进行生产，同时保持适当的保护级别。

市场影响：

资产密集型行业发现自己常常无法再用完全相同的型号更换损坏的设备。这些机器的制造商已经拥抱未来，并用“智能”机器（例如智能泵、智能阀门）取代了其目录中的现有机器。对于资产运营商来说，让事情变得更加复杂的是车间机器人时代的到来。

虽然智能机器最初将完全执行其破碎的前辈所做的事情，但随着时间的推移，资产运营商将希望利用新安装资产的“智能”功能。首先将控制设备的 PLC 和 RTU 中嵌入的逻辑移至智能资产本身。因此，已有 30 年历史的普渡大学模型的 0 级和 1 级之间的界限将开始消失。

下一步是智能资产将数据从内置智能传感器发送到工厂优化平台。该平台可能位于本地或云端，但它很可能不会与智能资产位于同一领域。因此，数据必须通过 DMZ 南北传输，或者使用基于 DIN 机架的 4G 或 5G 调制解调器形式的本地突破。由于此流量仅出站（单向），因此不会构成威胁。单向网关将在这里发挥重要作用。

工厂优化平台将揭示进一步优化生产流程和进一步消除瓶颈的方法。这将需要更改位于设施 0 级和 1 级的设备中的逻辑或设定点。

最初，CPS 资产所有者会回避让算法直接在生产环境中进行更改。在垂直行业尤其如此，因为配置错误可能会发生危及生命的事件，例如石油和天然气、公用事业、核能等。此外，从安全角度来看，还考虑从外部源到生产环境的入站流量风险很大。

因此，这些更改将由人员使用3 级主控制室的人机界面 (HMI) 或工程工作站 ( EWS ) 进行。

然而，随着时间的推移，CPS 资产所有者将对这些优化的结果更有信心，并将认为人机交互是最大的风险。逐步的转变将开始，实际上，工厂优化算法将被允许直接对智能设备进行更改，双向流量将成为常态。

届时，（智能）设备将通过 4G、5G、LoRaWan 或类似技术与优化平台进行双向通信，普渡模型的级别将变得过时。

建议：

创建一个长期战略，允许从当前标准架构（根据 ISA95 标准）到未来大量 CPS将与外界进行双向通信的滑行路径。
对设备和安全团队进行有关此场景的教育。
重新考虑依赖当前现状的大型投资，因为一旦部署新技术，现状可能就不再是现状。

战略规划假设：到 2028 年，40% 的现有 CPS 保护平台供应商将被收购、合并或无法在竞争中生存，从而影响买方定价条款。

主要发现：

近年来，CPS 保护平台市场的特点是并购活动活跃。我们预计这种整合趋势将持续下去，并购样本清单包括：

o 思科于 2019 年收购了 Sentryo

o Tenable 于 2019 年收购了 Indegy

o Dragos 于 2019 年收购了 NexDefense

o Hexagon AB 于 2020 年收购 PAS

o 微软于 2020 年收购 CyberX

o Claroty于 2022 年收购Medigate

o Forescout 于 2018 年收购了 SecurityMatters ，并于 2022 年收购了 CyberMDX

o 霍尼韦尔于 2023 年收购 Scadafence

o 罗克韦尔自动化于 2023 年收购 Verve Industrial

安全专业人士的购买趋势表明，他们更倾向于选择更少的供应商，但更多的功能。这有利于较大的参与者将 CPS 安全性作为更广泛的解决方案集的一部分。
2020 年至 2022 年间，来自风险投资或私募股权投资者的投资交易数量预计将在 2023 年持续放缓。这一趋势，加上 CPS 安全预算监管的加强，将给依赖投资者资金的独立纯参与者带来进一步压力并受到较长销售周期的影响更大。
广泛的安全参与者，包括微软和亚马逊 AWS 等超大规模企业，对 CPS 安全性表现出越来越大的兴趣。这导致了新能力的出现以及技术和商业合作伙伴关系的建立，这可能会导致收购。这一趋势将增加独立 CPS 安全参与者的压力，并影响市场，有利于大型解决方案提供商的影响力不断增强。
合作伙伴示例列表包括：

o 艾默生和罗克韦尔集成 Dragos CPS 威胁检测功能以支持

o Crowdstrike 和 Dragos 宣布双边数据源

o Mandiant与 Nozomi合作，利用人员和工具来支持网络物理基础设施取证分析和事件响应服务

o 西门子将Claroty平台集成到其硬件系统中

市场影响：

整合的特点是大型参与者的 CPS 安全市场份额增加，并将影响较小的、专业的独立 CPS 安全供应商的商业生存能力。这将决定当前独立 CPS安全参与者的数量减少 40% 。这将在未来两到三年内对 CPS 安全买家有利，因为平台参与者的竞争加剧可能会压低价格。

随着许多企业的 IT 安全和 CPS 安全活动继续进行某种程度的融合，预计支持整个企业安全的集中监控和警报功能的紧密集成功能将带来一些优势。

然而，市场的显着整合对于安全从业者来说并不总是一件好事，因为供应商的竞争压力减弱，往往会向买家提供不太优惠的条件。此外，独立提供商通常可以灵活地更加动态地响应不断变化的用户需求，而更广泛的供应商通常面临着满足复杂的多产品组合需求的挑战。

建议：