online & web resolution aid

항상 고객사와 소통하는 오라인포


> 오라人 > 국제보도자료

[PRNewswire] 중요 인프라 조직의 83%가 보안 침해를 당한 것으로 2021년 사이버

등록일 2021.11.12 조회수550
[PRNewswire] 중요 인프라 조직의 83%가 보안 침해를 당한 것으로 2021년 사이버
보안 연구에서 밝혀져

- 공급망 및 제3자 위험이 OT (Operational Technology) 에 대한 주요 위협으로 부각
- 보도 자료 요약
- 지나친 과신, 향후 침해 예고: CIO 및 CISO의 73%는 내년에 OT 침해를 당하지 않을 것을 "매우 확신" 한다고 응답
- 사이버 보안은 여전히 사후적인 고려 사항일 뿐: 응답자의 40%가 사이버 보험이 충분한 해결책이 된다고 생각
- 복잡성으로 인해 보안 위험 증가: 응답자의 78%가 멀티벤더 기술 복잡성으로 인해 어려움을 겪고 있다고 답변

(새너제이, 캘리포니아주 2021년 11월 12일 PRNewswire=연합뉴스) 스카이박스 시큐리티(Skybox Security)[ ] 사의 새로운 연구 조사에 따르면, 지난 36개월 동안 운영 기술(OT) 사이버 보안 침해 피해를 입은 기업은 조사 대상 기업의 83%에 달하는 것으로 나타났다. 또한 이 조사에서 기업이 사이버 공격의 위험을 과소평가하고 있는 것으로 드러났는데, 응답한 최고정보책임자(CIO)와 최고정보보안책임자(CISO)의 73%가 내년에 자사가 OT 보안 침해를 입지 않을 것을 "매우 확신"한다고 답변한 바 있다.

Skybox Security 창업자인 기디 코헨(Gidi Cohen) CEO는 "기업들만이 OT에 의존하는 것이 아니라 일반 대중 또한 에너지와 물을 포함한 중요한 서비스를 제공받기 위해 이 기술에 의존하고 있습니다. 하지만 불행히도 사이버 범죄자들은 중요한 인프라 보안이 일반적으로 취약하다는 사실을 너무나 잘 알고 있어서, OT에 대한 랜섬웨어 공격이 성공을 거둘 가능성이 매우 높다고 믿고 있습니다."라며 "악이 무관심 속에서 더 크게 번성하는 것과 마찬가지로, 우리가 아무런 조치도 취하지 않는다면 랜섬웨어 공격은 계속해서 OT 취약성을 악용할 것입니다."라고 말했다.

OT에 대한 사이버 보안 위험이 심각하게 과소평가 됨[ ]이라는 제목의 이 새로운 연구는 네트워크 복잡성, 기능 사일로, 공급망 위험 및 취약성을 개선할 수 있는 옵션의 제한 등 OT 보안이 직면하고 있는 힘든 싸움에 대해 밝혀내고 있다. 사이버보안 위협 행위자는 이러한 OT 약점을 이용하여 개별 기업에 위해를 가할 뿐만 아니라 공중 보건, 안전 및 경제를 위협한다.

2021년 연구의 주요 내용은 다음과 같다:

- 기업들은 사이버 공격의 위험을 과소평가하고 있다. 전체 응답자의 56%가 내년에 자사의 OT가 보안 침해를 당하지 않을 것을 "매우 확신"한다고 답변했다. 그러면서도 응답자의 83%는 또한 지난 36개월 동안 자사의 OT 보안 침해 사례가 적어도 한 건 이상 있었다고 답변했다. 이러한 시설의 중요성에도 불구하고 보안 관행이 취약하거나 아예 없는 경우가 많다.
- 최고정보보안책임자의 인식은 현실과 괴리되어 있다. 응답한 최고정보책임자(CIO)와 최고정보보안책임자(CISO)의 73%가 내년에 자사의 OT가 보안 침해를 당하지 않을 것을 "매우 확신"한다고 답변했다. 이는 같은 질문에 대해 사이버 공격의 영향을 직접 경험한 공장 관리자 중 37%만이 "매우 확신"한다고 응답한 것과 대비된다. 일부는 자사의 OT 시스템이 취약하다고 믿기를 거부하는 반면, 다른 사람들은 다음 침해가 코앞에 다가왔다고 한다.
- 규제 준수는 보안과 동일하지 않다. 현재까지 규제 준수 표준은 보안 사고를 예방하는 데 불충분한 것으로 입증되고 있다. 규제 및 요건을 준수하는 것이 모든 응답자의 가장 공통된 최우선 관심사로 나타났다. 최근 중요 인프라에 대한 공격을 고려해 볼 때 규제 준수 요건은 계속 증가할 것으로 보인다.
- 복잡성은 보안 위험을 증가시킨다. 응답자의 78%는 멀티벤더 기술로 인한 복잡성이 자사의 OT 환경을 보호하는 데 어려움을 가중시킨다고 답변했다. 또한 전체 응답자의 39%는 보안 프로그램을 개선하는 데 가장 큰 걸림돌은 중앙 부서의 조율된 감독 없이 개별 사업부에서 의사결정이 이뤄지는 것이라고 말했다.
- 일부는 사이버 책임 보험으로 충분하다고 생각한다. 응답자의 34%는 사이버 책임 보험이 충분한 해결책이 되는 것으로 생각한다고 답했다. 하지만, 사이버 책임 보험은 설문 응답자들의 3대 관심사 중 하나인 랜섬웨어 공격으로 치루게 되는 값비싼 "사업 손실"에는 적용되지 않는다.
- 노출 및 경로 분석은 사이버 보안의 최우선 과제이다. 설문에 응답한 CISO 및 CIO의 45%가 실제 노출을 파악하기 위해 환경 전반에 걸쳐 경로 분석을 수행할 수 없다는 것이 3대 보안 문제 중 하나라고 답변했다. 또한 CISO 및 CIO는 OT 및 IT 환경 전반에 걸쳐 일관성없이 구성되어 있는 아키텍처(48%)와 IT 기술의 융합(40%)이 자사가 직면하고 있는 3대 보안 리스크 중 두 가지에 해당된다고 말했다.
- 기능 사일로는 프로세스 갭과 기술 복잡성을 유발한다. CIO, CISO, 설계자, 엔지니어 및 플랜트 매니저 모두 OT 인프라 보안과 관련하여 해결하여야 할 가장 중요한 과제 중 하나로 기능 사일로를 꼽고 있다. OT 보안 관리는 팀 스포츠와 같다. 같은 팀 선수들이 서로 다른 플레이 북에 따라 경기에 임하면 함께 승리하기 어렵다.
- 공급망 및 제3자 리스크는 주요 위협 요인이다. 응답자의 40%는 네트워크에 대한 공급망/제3자 액세스가 최상위 3대 보안 위험 중 하나라고 답변했다. 그럼에도 불구하고 자사가 OT에 적용되는 제3자 액세스 정책을 보유하고 있다고 답변한 응답자는 46%에 불과했다.

본 연구 조사 결과를 뒷받침하는 발언 인용

- 나비스타(Navistar)사 정보 보안 관리자 로버트 린치(Robert Lynch): "CISO 중 일부는 자사의 보안망이 이미 뚫렸음에도 불구하고 아직 이를 파악하지 못했기 때문에 잘못된 자신감을 가질 수 있습니다. 때때로 해커들은 그들의 발판을 마련하기 위해 오랜 기간 동안 그곳에 잠적해있습니다. 악한 자들의 솜씨가 워낙 탁월하기 때문에, 자사의 보안망이 안전하다고 자신 있어 하는 것은 위험합니다."
- 스카이박스(Skybox) Research Lab 위협 인텔리전스 부서장 시반 니르(Sivan Nir): "당사의 위협 인텔리전스 분석에 따르면 새롭게 발견된 OT 취약성이 2020년 상반기에 비해 46% 증가[ ]한 것으로 나타났습니다. 하지만 이러한 취약성의 증가와 최근의 공격에도 불구하고 다수의 보안 팀이 OT 보안을 기업의 우선순위에 두고 있지 않습니다. 그 이유는 무엇일까요? 놀라운 발견 중 하나는 일부 보안 팀 직원이 자사의 보안이 취약하다는 사실은 부인하면서도 보안이 침해당했다는 것은 인정한다는 것입니다. 반대되는 증거에도 불구하고 자사의 보안 인프라는 안전하다는 잘못된 믿음은 OT 보안을 위한 조치가 불충분하게 된 결과를 초래했습니다."

더 상세한 내용을 보려면 전체 연구보고서를 다운로드하십시오.[ ]

본 연구는 미국, 영국, 독일 및 호주의 OT 보안 의사 결정권자 179명의 응답을 포함하고 있습니다. 제조, 에너지 또는 유틸리티 산업에서 매출이 10억 달러 이상인 기업이 응답자의 대다수(152)를 차지합니다.

Skybox Security 소개
전 세계에서 가장 규모가 크고 보안을 중시하는 500개 이상의 대기업이 동적으로 변화하는 보안 공격 지표면 환경에서 앞서가는 데 필요한 통찰력과 안전보장을 위해 Skybox를 사용하고 있습니다. Skybox는 단지 데이터와 정보만을 제공하는 데 그치지 않습니다. Skybox는 각 기업에 적절한 규모와 속도로 인텔리전스와 컨텍스트를 제공하여 고객이 추측에 의존하지 아니하고 정보에 입각한 의사결정을 내릴 수 있도록 지원합니다. 당사의 통합 보안 상태 관리 플랫폼은 완벽한 가시성, 분석 및 자동화를 제공하여, 고객의 조직 전체에 걸쳐 보안 취약성을 신속하게 매핑하여 우선순위를 정하고 문제를 개선할 수 있도록 합니다. 공급업체에 구애받지 않는 플랫폼은 모든 기업 및 클라우드 환경에서 보안 정책, 조치 및 변경 프로세스를 지능적으로 최적화합니다. 기업의 보안 팀은 Skybox를 사용하여 자사 보안 시스템의 안전을 보장받으며 가장 전략적인 비즈니스 이니셔티브에 집중할 수 있습니다.

우리는 Skybox입니다. 더 많이 보호하고 더 적게 제한하십시오.

Skybox 국내 총판 연락처
영업: 송창선 이사, 010-2331-2120,
기술: 박상욱 팀장, 010-9000-6873,

2021 스카이박스시큐리티(주) All rights reserved. Skybox Security 및 Skybox Security 로고는 미국 및/또는 기타 국가에서 Skybox Security, Inc.의 등록 상표 또는 상표입니다. 기타 모든 상표는 각 해당 소유주의 자산입니다. 제품 사양은 사전 고지 없이 언제든지 변경될 수 있습니다.

사진 -
Skybox Security research finds that organizations with OT environments underestimate the risk of a cyberattack. (PRNewsFoto/Skybox Security)

로고 -
Skybox Security logo

출처: Skybox Security

83% of critical infrastructure organizations suffered breaches, 2021 cybersecurity research reveals

- Supply chain and third-party risk is a major threat to operational technology
- News summary
- Overconfidence foreshadows future breaches: 73% of CIOs and CISOs "highly confident" they will not suffer an OT breach in the next year
- Cybersecurity is still an afterthought: Cyber insurance is considered a sufficient solution by 40%
- Complexity increases risk: 78% of respondents challenged by multivendor complexity

SAN JOSE, Calif., Nov. 12, 2021 /PRNewswire/ -- A new research study by Skybox Security [ ] found that 83% of organizations suffered an operational technology (OT) cybersecurity breach in the prior 36 months. The research also uncovered that organizations underestimate the risk of a cyberattack, with 73% of CIOs and CISOs "highly confident" their organizations will not suffer an OT breach in the next year.

"Not only do enterprises rely on OT, the public at large relies on this technology for vital services including energy and water. Unfortunately, cybercriminals are all too aware that critical infrastructure security is generally weak. As a result, threat actors believe ransomware attacks on OT are highly likely to pay off," said Skybox Security CEO and Founder Gidi Cohen. "Just as evil thrives on apathy, ransomware attacks will continue to exploit OT vulnerabilities as long as inaction persists."

The new research, Operational technology cybersecurity risk significantly underestimated [ ], unearths the uphill battle that OT security faces - comprised of network complexity, functional silos, supply chain risk, and limited vulnerability remediation options. Threat actors take advantage of these OT weaknesses in ways that don't just imperil individual companies - but threaten public health, safety, and the economy.

Key takeaways from the 2021 study include:

- Organizations underestimate the risk of a cyberattack
Fifty-six percent of all respondents were "highly confident" their organization will not experience an OT breach in the next year. Yet, 83% also said they had at least one OT security breach in the prior 36 months. Despite the criticality of these facilities, the security practices in place are often weak or nonexistent.

- CISO disconnect between perception and reality
Seventy-three percent of CIOs and CISOs are highly confident their OT security system will not be breached in the next year. Compared to only 37% of plant managers, who have more firsthand experiences with the repercussion of attacks. While some refuse to believe their OT systems are vulnerable, others say the next breach is around the corner.

- Compliance does not equal security
To date, compliance standards have proven insufficient in preventing security incidents. Maintaining compliance with regulations and requirements was the most common top concern of all respondents. Regulatory compliance requirements will continue to increase in light of recent attacks on critical infrastructure.

- Complexity increases security risk
Seventy-eight percent said complexity due to multivendor technologies is a challenge in securing their OT environment. In addition, 39% of all respondents said that a top barrier to improving security programs is decisions are made in individual business units with no central oversight.

- Cyber liability insurance is considered sufficient by some
Thirty-four percent of respondents said that cyber liability insurance is considered a sufficient solution. However, cyber liability insurance does not cover costly "lost business" that results from a ransomware attack, which is one of the top three concerns of the survey respondents.

- Exposure and path analysis are top cybersecurity priorities
Forty-five percent of CISOs and CIOs say the inability to conduct path analysis across the environment to understand actual exposure is one of their top three security concerns. Further, CISOs and CIOs said disjointed architecture across OT and IT environments (48%) and the convergence of IT technologies (40%) are two of their top three greatest security risks.

- Functional silos lead to process gaps and technology complexity
CIOs, CISOs, Architects, Engineers, and Plant Managers all list functional silos among their top challenges in securing OT infrastructure. Managing OT security is a team sport. If the team members are using different playbooks, they are unlikely to win together.

- Supply chain and third-party risk is a major threat
Forty percent of respondents said that supply chain/third-party access to the network is one of the top three highest security risks. Yet, only 46% said their organization as a third-party access policy that applied to OT.

Supporting quotes

- Navistar, Inc., Information Security Manager Robert Lynch: "Some CISOs could have false confidence because even though they've already been breached, they have not identified this yet; sometimes hackers are there for a long period establishing their foothold. It is dangerous to be confident as the bad guys are so good."

- Skybox Security Research Lab Threat Intelligence Lead Sivan Nir: "Our threat intelligence shows that new vulnerabilities in OT were up 46% [ ] versus the first half of 2020. Despite the rise in vulnerabilities and recent attacks, many security teams do not make OT security a corporate priority. Why? One of the surprising findings is that some security team personnel deny they are vulnerable yet admit to being breached. The belief that their infrastructure is safe - despite evidence to the contrary - has led to inadequate OT security measures."

To learn more, download the full research study [ ].

The research study included responses from 179 OT security decision-makers in the U.S., U.K., Germany, and Australia. The majority of the respondents (152) were from companies with $1B or more in revenue within the manufacturing, energy, and utility industries.

About Skybox Security
Over 500 of the largest and most security-conscious enterprises in the world rely on Skybox for the insights and assurance required to stay ahead of dynamically changing attack surfaces. At Skybox, we don't just serve up data and information. We provide the intelligence and context to make informed decisions, taking the guesswork out of securely enabling enterprises at scale and speed. Our unified security posture management platform delivers complete visibility, analytics, and automation to quickly map, prioritize, and remediate vulnerabilities across your organization. The vendor-agnostic platform intelligently optimizes security policies, actions, and change processes across all corporate and cloud environments. With Skybox, security teams can focus on the most strategic business initiatives while ensuring that enterprises remain protected.

We are Skybox. Secure more, limit less.

Media & analyst contact
영업: 송창선 이사, 010-2331-2120,
기술: 박상욱 팀장, 010-9000-6873,

2021 Skybox Security, Inc. All rights reserved. Skybox Security and the Skybox Security logo are either registered trademarks or trademarks of Skybox Security, Inc., in the United States and/or other countries. All other trademarks are the property of their respective owners. Product specifications subject to change at any time without prior notice.

Photo -
Skybox Security research finds that organizations with OT environments underestimate the risk of a cyberattack. (PRNewsFoto/Skybox Security)

Logo -
Skybox Security logo (PRNewsfoto/Skybox Security)

Source: Skybox Security

[편집자 주] 본고는 자료 제공사에서 제공한 것으로, 연합뉴스는 내용에 대해 어떠한 편집도 하지 않았음을 밝혀 드립니다.

출처 : PRNewswire 보도자료