全方位整合與自動化網路資安領導廠商 Fortinet®(NASDAQ:FTNT)於(22)日發布《2025年OT與網路資安現況調查報告》(2025 State of Operational Technology and Cybersecurity Report),針對全球超過 550 位橫跨製造、能源、交通等關鍵基礎設施產業的 OT 專業人士進行調查。
調查結果指出,全球企業組織的 OT 資安成熟度顯著進步,且對 OT 安全的重視度大幅提升,並且採用整合型安全管理平台的比例大幅提高。Fortinet 進一步為企業組織提出最佳實踐建議,助力企業組織加強整體資安態勢。
Fortinet 台灣區總經理吳章銘表示:「身處半導體、AI 等產業的核心位置,台灣的企業組織應更重視 OT 安全。防禦威脅之外,更需確保安全營運、使產品資安符合國際越來越嚴謹的法規。我們觀察到,優先投入 OT 安全的組織在遭遇資安為威脅時,所受到的影響明顯下降。因此從組織最高管理層到第一線人員,每個人都應有意識、也有能力保護 OT 系統、守護關鍵營運。」
Fortinet《2025年OT與網路資安現況調查報告》四大關鍵發現:
- ● OT安全重視度大幅提升,超過九成組織納入最高管理層職責:全球有越來越多企業,計畫將領導企業網路安全的任務,納入資安長(CISO)或其他高階管理層的職責中。隨著這項責任不斷向高階管理層級轉移,OT 安全也升級為董事會層面中備受注目的議題。目前有超過半數(52%)的受訪企業組織指出,已由資安長或安全長(CISO/CSO)直接負責 OT 安全。且有 95% 受訪企業組織表示,已將此職責轉移至最高管理層職級(C-suite角色)。此外,計劃在未來 12 個月內,將 OT 資安劃入資安長職責範圍內的企業組織數量,相較於 2024 年的 60%,已增至 80%。
- ● OT資安成熟度顯著進步,營運中斷情況比例降至42%:組織自評 OT 資安成熟度,在今年有顯著進步。有 26% 受訪企業組織表示,建立了可視化與網路分段機制(第1級),且大多數企業自評資安成熟度,處於存取與識別階段(第2級)。報告亦指出,資安成熟度和攻擊頻率之間存在相關性,成熟度較高的組織(第4級以上)發現遭攻擊的頻率較少,或更能處理如網路釣魚這類較低複雜度的攻擊。然而,某些攻擊策略,像進階持續性威脅(APT)與 OT 惡意軟體等難以偵測,資安成熟度不高的組織,可能沒有適當的安全解決方案來察覺它們的存在。整體而言,雖然近半數企業組織遭受網路攻擊的影響,但入侵對組織的影響正在下降。造成營收受損的營運中斷情況,其比例已由 52% 下降至 42%。
- ● 過半數組織至少遭遇一次資安事件,網路釣魚、勒索軟體與專攻OT的威脅仍存在:雖然 OT 資安成熟度提升,OT 系統依舊是駭客時常攻擊的目標。根據報告最新發現,50% 的受訪組織至少遭遇過一次資安事件。攻擊者持續利用網路釣魚、惡意軟體,以及 AI 驅動的攻擊手法來找到營運系統的漏洞。其中,勒索軟體仍是長久以來的威脅之一。對勒索贖金或國家利益為目標的攻擊者來說,製造業都成為首要目標,因其生產延誤能為攻擊者迅速變現。Fortinet《2025全球資安威脅報告》指出,製造業占所有針對性的攻擊事件的 17%,高於其他產業。
- ● 整合型管理策略與減少資安供應商,降低風險與複雜性:資安成熟度不僅關乎流程,也與架構息息相關。如今越來越多 OT 團隊已減少其資安供應商的數量,在 2025 年,已有 78% 的組織僅採用四家以下的 OT 資安供應商,彰顯了企業組織走向策略性整合管理的趨勢。而這樣的精簡化架構正展現出其成效。採用整合型平台安全架構的組織,其可視性更強、事件分類更快,並且顯著減少了資安事件。Fortinet 客戶在 IT/OT 環境部署統一安全解決方案後,資安事件減少 93%,應變效率提升 7 倍。
攻擊進化、安全法規更嚴謹,組織應持續加強OT資安態勢
隨著企業組織資安成熟度日益提升並更認真看待 OT 安全,它們正投入更多努力來因應合法合規性的變化。2025 年,有 66% 的受訪組織認為,五年內相關法規將會增加。調查指出,企業組織除了提升資安成熟度之外,實行基本網路安全規範、紮實培訓及資安意識,也顯著降低商業電子郵件詐騙發生。
為協助企業組織完善鞏固 OT 資安環境,Fortinet 建議企業組織採用以下最佳實踐來加強資安態勢:
- 部署網路分段措施:抵禦攻擊,需要一個強化的 OT 環境,並在各存取點部署強健的網路策略控制,這樣的架構可以從打造網路區域或分段開始。ISA/IEC 62443 等標準明確要求進行分段,以在 IT 與 OT 網路之間以及 OT 系統之間實施控制。安全團隊應評估整體複雜性,並運用具有集中管理功能的平台。
- 建立OT設備的可視性與補償控制:組織需清楚掌握 OT 網路中所有裝置,並為關鍵或易受攻擊的設備,量身打造保護性補償控制。包括協定感知網路策略、系統間交互分析與端點監控。
- 導入OT專屬威脅情報與安全服務:OT 安全取決於對風險的即時偵測和精確分析。平台化安全架構應導入 AI 驅動的威脅情報,並確保納入 OT 專屬資訊,以即時抵禦新興威脅、攻擊變體和判斷風險。
- 將OT納入安全營運(SecOps)及事件回應規劃:組織應朝 IT/OT 安全營運的方向發展,然而由於 OT 和IT環境存在一些差異,如獨特的設備類型、OT 環境漏洞影響關鍵營運的更廣泛後果等,因此 OT 須成為安全營運及事件回應規劃的具體考量因素之一。組織應制定涵蓋 OT 環境的回應劇本,促使 IT、OT 和生產團隊更好地協作,以共同評估網路與生產風險。這也能確保資安長具備適切的意識、優先順序、預算以及人員分配。
- 採用平台化安全架構:組織採用的資安供應商過多將導致安全架構過於複雜,降低了可視性、造成安全團隊的負擔。然而基於平台的安全策略,可以幫助組織整合供應商、簡化架構。具備 IT 網路和 OT 環境的特定功能安全平台,能協助組織提升資安效能並達到集中管理與自動化防護。
Fortinet 2025 年再度榮獲 OT 資安產業分析與策略機構 Westlands Advisory 評選為《2025 IT/OT 網路防護平台導航報告(IT/OT Network Protection Platform Navigator 2025)》的整體領導者,並在「策略方向」與「平台能力」兩大評比指標中皆獲得最高排名,進一步鞏固其作為推動網路與資安融合的全球資安領導者地位。Fortinet的OT 安全平台具備獨特優勢,能夠在單一平台中提供從端到端的網路分段、OT 設備與網路可視性、網路區隔與微分段、到進階威脅防護的全面能力,並支援集中管理與自動化操作。
該平台深度整合至 Fortinet 安全織網中,不僅提升整體資安韌性與生產穩定性,也大幅縮短部署時間、簡化營運流程,進一步協助企業組織因應不斷演進的網路威脅,強化關鍵基礎設施與 OT 環境防護。
