安全期刊20250707
发布时间:
2025-07-09
来源:
作者:
访问量:
黑客可利用变电站漏洞攻击继电保护器造成大规模停电
印度石化巨头OPaL遭受WorldLeaks勒索软件攻击
全球多款ICS设备暴露数量上升,可被黑客利用入侵工业控制系统
黑客以石油邮件为诱饵传播Snake Keylogger
伊以冲突引发网络战,80+黑客组织攻击以色列基础设施
黑客组织Scattered Spider利用社会工程渗透航空系统
漏洞利用仍然是勒索攻击的首要攻击路径
近六成工业组织缺乏OT/IoT威胁检测能力
黑客可利用变电站漏洞攻击继电保护器造成大规模停电
近期谷歌旗下的Mandiant发布报告,警告称网络攻击者可能利用电网变电站中的网络化继电保护器设备漏洞实施跳闸,从而引发大规模停电。继电保护器作为高压输电线与低压配电线之间的“控制中枢”,能够在20毫秒内检测并响应故障,例如接地短路或电流异常。Mandiant的模拟攻击实验发现,许多本地变电站网络存在不安全远程访问通道,为黑客入侵提供了机会。
尽管变电站外观类似传统封闭系统,但实际上是高度网络化的“网络-物理融合”环境,其中大量实时数据在本地与远程之间交互。而继电保护器作为自动化核心设备,承担着故障检测、跳闸执行和数据记录等多重任务,也因此成为攻击者眼中的关键目标。
Mandiant指出,当前全球范围内的变电站、公用事业设施普遍存在一系列系统性漏洞,如继续使用未加密的Telnet协议、出厂默认密码未更换、设备缺乏基础防火墙防护等。这些老旧配置和安全疏忽,为黑客远程控制继电保护器留下了通道。
攻击者可借助开源情报(OSINT)识别电力工程人员、查找暴露在互联网上的远程网关及默认凭据。识别设备后,黑客会分析其运行的服务(如Telnet、HTTP、FTP、MMS等),获取设备型号、固件版本等关键信息。随后攻击者可能利用默认账号登录继电器界面,甚至获取完全控制权限,进而修改继电逻辑、重写报警机制,或直接执行跳闸指令。
如果继电器具备较强的访问控制,攻击者还可能使用正当工程工具(如DIGSI、acSELerator、PCM600)通过已感染的工程师工作站打开继电器配置工程,从而实现间接操控。此外部分继电器存在未公开或硬编码的后门账户,尤其是通过Telnet服务暴露的厂商调试接口,更加剧了安全风险。
报告指出,俄罗斯黑客多次成功攻击乌克兰电网,造成区域性停电。美国近年来虽然尚未遭遇此类网络攻击,但发现有黑客组织渗透多个关键基础设施系统,显然意图是在预先部署攻击。美国官员也在近期发出警告,指出伊朗相关组织正在瞄准关键基础设施,要求行业“保持警惕”。
继电保护器制造商(包括西门子、ABB、施耐德电气、GE等)虽然已在新产品中增加角色访问控制、审计日志、密码锁定等功能,但Mandiant指出,多数运营商在部署中关闭了这些功能或未正确配置,导致设备暴露于攻击面前。
更严重的是,部分继电器的固件存在设计缺陷或“隐藏功能”,例如未记录的维护模式或测试账户。这些隐蔽入口在缺乏检测机制的情况下,极难防范,一旦被黑客利用,几乎等于拥有系统“主控权”。
在实现安全升级方面,电网设备面临较大挑战。与IT系统不同,变电站设备更新周期极长,往往以10年或20年计。引入现代安全协议(如SSH代替Telnet)或强身份验证机制,意味着必须增加额外的计算资源与网络带宽,而这对传统强调“低延迟、确定性”的电力系统是个结构性冲击。
Mandiant建议电网运营方从以下几个方面加强防护:网络隔离与访问控制,严格划分管理域与控制域,部署防火墙、VPN或零信任架构,限制Telnet、FTP等弱协议的开放范围。账户安全治理,全面更换设备默认密码,实施基于角色的账户权限分配,并启用失败登录次数限制机制。安全事件告警配置,对继电保护器设定实时告警逻辑,如配置项更改、报警屏蔽等,能及时发现异常行为。资产清单与脆弱性管理,清晰记录继电器设备型号、固件版本与通信配置,定期进行漏洞扫描和安全评估。工程工具管理,控制使用继电器配置软件的终端权限,防止其被黑客通过工作站进行横向渗透。
电网保护系统的安全不应“事后补丁”,而应在系统设计阶段就植入。只有从架构上建立“安全即默认、安全即设计”的理念,才能真正阻止继电保护器被滥用所造成的系统性风险。
2025年6月28日,印度大型石化企业ONGC Petro Additions Limited(OPaL)遭受WorldLeaks勒索软件攻击,次日事件被公开披露。OPaL是印度能源行业的重要组成部分,在古吉拉特邦运营一座大型一体化石化园区,生产HDPE、LLDPE、聚丙烯等关键化工产品。此次网络攻击事件已被发布至勒索软件团伙的泄露页面,引发业内广泛关注。
泄露页面显示,OPaL内部敏感数据疑似遭到窃取,包括涉及公司运营细节、员工信息和其他潜在商业机密。攻击中检测到多种信息窃取型恶意软件的活动迹象,包括Raccoon、RedLine、Azorult等,表明攻击者通过这些工具在受害系统中窃取信息。这些恶意软件通常用于抓取浏览器存储的凭证、系统信息、文件内容等关键数据。
尽管泄露页面上未提供可供下载的文件或截图,但相关描述表明,一批涉密信息已落入勒索方之手,或将用于勒索、威胁或被公开披露。此外还有四家第三方机构被指可能直接或间接受此攻击影响,进一步扩大了事件波及范围。
目前尚未披露攻击源头及勒索团伙的具体身份,但事件显示OPaL的IT基础设施面临严重威胁,尤其是在涉及工控网络、员工信息保护与供应链管理方面。此次攻击不仅对OPaL的运营构成潜在干扰,也再次突显能源与基础设施行业面临的高风险网络威胁态势。
全球多款ICS设备暴露数量上升,可被黑客利用入侵工业控制系统
2025年6月,互联网资产搜索公司Censys公布了一项最新研究,分析了2025年上半年四类工业控制系统(ICS)设备在互联网上的暴露情况。这些设备包括Unitronics Vision可编程逻辑控制器(PLC)、Orpak SiteOmat系统、Red Lion工业设备,以及Tridium Niagara框架,均曾被伊朗黑客团体盯上,存在安全隐患。研究特别聚焦于这些工业设备的可见性变动与潜在威胁环境。
Censys从2025年1月至6月,以每两周为频率,对上述设备在互联网上的暴露数量进行了跟踪。Unitronics Vision PLC的暴露数量从1,622台上升至1,697台,增幅为4.5%。该类设备多部署在澳大利亚,其次为美国和以色列,部分欧洲国家也有分布。Orpak SiteOmat是唯一一个暴露数量下降的设备,从158台降至123台,减少约24.9%。尽管整体数量较少,但其仍集中在智利、土耳其和美国。
Red Lion工业设备的暴露数量从2,453台增加至2,639台,增长7.3%。其中73%暴露设备在美国,其次为法国、加拿大、英国和澳大利亚。Tridium Niagara框架的增长最明显,从39,371台增长至43,167台,涨幅为9.2%。该设备广泛用于楼宇自动化系统,在美国暴露最多,加拿大和欧洲也较为常见。
这些设备普遍存在于运营商网络或消费级ISP网络上,如Verizon的CELLCO-PART、COMCAST、TELUS、Telstra等,而较少部署在专业云平台中。
Censys强调,Unitronics与Orpak SiteOmat系统出厂默认配置即含有弱密码或默认凭证,且这些信息可通过互联网轻易获得。攻击者可通过公开渠道下载用户手册或技术文档,获取登录信息,进而控制设备。研究人员指出,即便这些设备没有被明确作为国家级攻击目标,运营商仍应更改默认凭证并避免将设备直接暴露至公网。
这项研究发布时正值美国国土安全部(DHS)在6月22日发布有关伊朗核设施空袭后的网络威胁预警,指出亲伊朗黑客团体可能加大对关键基础设施(如水、电系统)的攻击力度。随后美国安全机构也发布通告,提醒与以色列有关联的国防工业企业注意潜在风险。
在过去的案例中,Unitronics设备曾成为攻击目标。2023年11月,伊朗背景黑客组织CyberAv3ngers声称对Unitronics HMI展开网络攻击,干扰系统运行、阻止运营商连接,同时在界面上留下反以色列的信息。Unitronics设备在澳大利亚尤为常见,其中大多数托管于Telstra(ASN-TELSTRA)网络;美国地区大多集中在Verizon旗下的CELLCO-PART网络上。
Orpak SiteOmat的暴露虽然有所减少,但美国仍托管最多的接口,其中分布较为分散,包括ATT-INTERNET4、COMCAST-7922等网络,约存在于60多个自治系统(AS)中。Red Lion的设备多数部署于美国,且常出现在CELLCO-PART网络中。其他国家如法国电信(France Telecom)、加拿大的TELUS和澳大利亚的Telstra网络也有分布。
Tridium Niagara虽然目前未被直接攻击,但CyberAv3ngers曾通过OpenAI工具检索其默认密码与使用情形,显示其已成为潜在关注目标。该设备主要暴露在CELLCO-PART、COMCAST-7922和AMAZON-02网络,其中AMAZON云服务平台上部署的工业设备数量令人意外。
研究发现,威胁行为者通常利用开源情报(OSINT)来识别目标系统,包括搜索暴露的远程接口、默认口令、设备型号等。一旦锁定目标,攻击者会利用弱认证或默认配置,远程控制设备。Red Lion、Tridium、Unitronics等设备常出现FTP、Telnet、HTTP服务暴露等弱点。Orpak和Unitronics更因为使用默认账号和端口(如Telnet)成为“低门槛”攻击入口。
这些设备大多用于电力、石油、制造等关键基础设施行业,且部分部署在工厂、加油站、楼宇自动化控制中。攻击者一旦成功控制这些系统,可能造成生产中断、环境泄露甚至安全事故。
Censys研究指出,制造商在设备出厂时不应设置默认通用密码,或应强制用户首次登录修改密码。同时应提供部署指南,建议运营商关闭不必要的服务接口、限制远程访问权限、采用虚拟专网(VPN)或跳板机等保护措施。
运营商方面,若短期内无法更新设备或迁移至加密通信协议,至少应通过以下方式减小暴露面:限制公网访问,采用虚拟网段隔离;强制更换默认密码,使用强认证机制;对登录失败次数进行限制,启用密码重试锁定;启用访问日志和安全事件告警,监控系统配置变更;优先配置基于角色的访问控制(RBAC);将关键设备从消费级网络中迁出,部署于专属或加固型网络环境中。
该研究再度印证,美国是全球工业控制系统暴露最多的国家,其ICS安全态势依旧严峻。尽管Tridium Niagara系统数量最多,但其楼宇自动化属性决定了攻击价值未必最高;相较而言,Unitronics和Red Lion等设备一旦被控制,更容易造成严重运营干扰或设施损毁。
Censys警告称,在当前地缘政治紧张背景下,伊朗相关威胁行为者已具备意图、能力和路径对暴露的ICS设备展开攻击。企业和政府单位应强化安全意识,将密码管理、网络隔离、资产可视化、远程访问控制等作为常态化管理措施。工业网络安全不应依赖“默认安全”假设,而应从设计阶段开始内建防护能力。
一项高级网络钓鱼攻击近期被曝光,该攻击利用源自俄罗斯的Snake Keylogger恶意软件,结合合法的Java调试工具绕过安全检测机制,针对全球范围内的组织实施数据窃取。此次攻击由恶意软件即服务(MaaS)模式支持,显示出网络犯罪分子在利用受信任系统组件方面的战术进化。
攻击主要通过鱼叉式钓鱼邮件进行,邮件伪装成与石油产品销售相关的商业通信,尤其在霍尔木兹海峡地缘政治紧张背景下,对能源行业组织具有较高诱惑力。邮件附件为压缩文件,内含重命名为石油文档的jsadebugd.exe,一个合法但此前未被用于恶意目的的Java调试工具。
该恶意软件通过DLL侧加载技术加载恶意代码,先调用合法的jli.dll,然后将Snake Keylogger注入合法的InstallUtil.exe进程中,确保操作难以察觉。其最突出的规避技术之一是将恶意代码植入名为concrt141.dll的DLL文件中,并将其插入标准MZ文件头之前。这种方式绕开了传统签名检测机制,隐藏了恶意行为。
在感染目标系统后,Snake Keylogger会修改注册表项SOFTWARE\Microsoft\Windows\CurrentVersion\Run,以实现系统重启后仍能持续运行。同时它还会将组件复制至%USERPROFILE%\SystemRootDoc目录,以进一步提高隐蔽性。
恶意软件具备强大的信息窃取功能,可从Chrome、Firefox、Microsoft Outlook、FileZilla等40多种主流应用程序中提取凭证与敏感信息,并通过如reallyfreegeoip.org这类合法网站获取受害设备的系统与地理位置信息。
窃取的数据最终通过SMTP协议发送至攻击者控制的电子邮箱,实现外泄。此次攻击显示出威胁行为者对系统架构、操作系统组件及传统检测机制的深度理解,进一步加剧了全球关键行业面临的网络安全威胁。安全专家呼吁组织加强对受信任二进制的行为监控、改进邮件附件检测策略,并部署多层次安全架构以提升检测与响应能力。
2025年6月,以色列对伊朗军事和核设施发动空袭后,伊朗与以色列之间的紧张局势急剧升级,引发了前所未有的网络战行动浪潮。据安全研究机构披露,超过80个黑客组织在短时间内发起协同攻击,波及18个关键基础设施领域,成为近年来最广泛的黑客行动之一。
此次网络攻势由亲伊朗和亲巴勒斯坦的黑客团体主导,目标包括以色列政府系统、能源设施、金融机构、国防承包商等。攻击手段多样,从DDoS攻击、勒索软件部署、数据窃取,到工业控制系统(ICS)入侵和心理战等,手段日趋复杂,影响范围极为广泛。
知名黑客团体如GhostSec、Mr Hamza、Dark Storm Team和Arabian Ghosts公开声称对多起攻击负责,入侵对象涵盖水处理设施、卫星通信系统、司法系统、警察系统、紧急响应机制及多个政府网站。研究人员指出,这些攻击已超越传统网页篡改层面,具备深入控制物理系统、瘫痪基础设施的能力。
一个显著趋势是黑客团体之间出现前所未有的协同合作。他们共享攻击工具、情报资源,形成战略联盟,大大提升了攻击效率和破坏力。此外,许多组织还针对不同目标制定特定战术,有的使用APT攻击,有的则依靠公开工具,形成“低门槛+高打击”的复合攻击模式。
在所有攻击目标中,工业控制系统和运营技术(OT)环境成为重灾区。GhostSec宣称,成功入侵100多台Modbus PLC设备、40套Aegis 2水控制系统及8套Unitronics控制器,这些设备多用于电力、水务和制造行业。其还攻破了10台VSAT卫星通信设备,显示出对ICS/SCADA网络架构的深入了解。
攻击中使用的恶意工具日益专业化,包括GhostLocker勒索软件、GhostStealer数据窃取框架,以及集成了擦除器(wiper)功能的IOControl后门程序。IOControl具有AI辅助漏洞研究能力,内嵌模块可专门攻击ICS系统,是针对关键基础设施定制的高危工具。
黑客组织还部署了多种“毁灭性”恶意程序,如Windows平台的Hatef、Linux环境的Hamsa、以及此前用于攻击伊朗系统的Meteor、Stardust、Comet等擦除软件家族,用于快速破坏被攻陷系统。
DDoS攻击方面,黑客广泛使用Abyssal DDoS V3工具和Arthur C2僵尸网络进行协调攻击。这种高效、成体系的攻击模式已经模糊了传统“黑客行动”和“国家级网络战”之间的界限,给国际社会带来了更大归属判断和地缘政治升级风险。
这场由地缘冲突触发的大规模网络战,不仅仅是一场黑客秀,更突显了当今全球关键基础设施在面对高度组织化、资源丰富的网络攻击面前的脆弱性。随着工业系统、卫星通信和基础服务越来越多地连接互联网,未来类似的联合攻击行动恐将更加频繁,网络安全的“战场化”趋势愈发明显。
黑客组织Scattered Spider利用社会工程渗透航空系统
美国联邦调查局(FBI)近期发布警告,臭名昭著的网络攻击组织Scattered Spider正在扩大攻击目标,将航空行业纳入其攻击范围。FBI表示正在与航空及相关行业合作伙伴联手应对,积极为受害企业提供技术支持和处置协助。
Scattered Spider依赖于高度成熟的社会工程攻击手法,通常通过冒充员工或承包商欺骗IT服务台,以获得对目标系统的访问权限。这些攻击手法通常可以绕过多因素认证(MFA)机制。例如攻击者可能诱骗服务台人员将未经授权的MFA设备添加到被入侵的账户中,从而达成入侵目的。
FBI指出,该组织还擅长攻击第三方IT服务供应商,从而间接进入大型目标组织。这些攻击手法最终可能导致数据窃取、勒索以及勒索软件的投放。安全公司Palo Alto Networks旗下的Unit 42也证实该组织已对航空行业发起攻击。Unit 42的Sam Rubin警告说,企业应对可疑MFA重置请求保持高度警惕,尤其是那些看似来自高级管理层的请求。
Google旗下的Mandiant也证实,近期在航空与交通领域出现多起类似攻击案例,其攻击模式高度符合Scattered Spider的特征。Mandiant建议,企业应立即审查并加强IT服务台的身份验证流程。在进行诸如添加手机号码、重设密码、配置MFA设备或提供员工身份信息等操作前,必须先核实对方真实身份。
Scattered Spider的高成功率,在于其对“人”的精确洞察和操控。与传统依赖技术漏洞的攻击不同,它更倾向于操控流程中的人类环节。即使组织部署了MFA等防线,攻击者仍然可以通过令人信服的伪装信息,欺骗IT人员,从而获取系统访问权限。这种攻击方式并不依赖蛮力入侵,而是短时间内建立“足够信任”来实现渗透,尤其在处理紧急请求或高压场景中更容易得手。
Scattered Spider与多个已知威胁团体有关联,如Muddled Libra、Octo Tempest、Oktapus、Scatter Swine、Star Fraud和UNC3944。该组织最初因SIM卡交换攻击而闻名,现已发展出涵盖社会工程、服务台钓鱼、内部人员渗透等多种初始访问手段的混合攻击模型。
安全公司Halcyon指出,Scattered Spider是现代勒索软件威胁的重大演变体,其攻击结合深度社会工程技巧、技术手段与快速双重勒索能力。攻击者通常在数小时内完成渗透、建立持久访问、窃取敏感数据、禁用系统恢复机制,并最终部署勒索软件攻击本地和云端系统。
该组织特别危险之处在于其混合攻击模型,结合了长期规划与突发式升级操作。攻击者会利用社交媒体、公开数据泄露信息等开展长期侦察,精准模仿被攻击者的言行和身份信息。这种将社会工程与云基础设施破坏相结合的混合威胁形式,往往能长期潜伏在目标网络之中而不被察觉,直到发动致命一击。
Scattered Spider属于一个松散组织Com(又称Comm),该组织也涵盖LAPSUS\$等其他攻击团体。Unit 42指出,该组织自2021年起在Discord、Telegram等通信平台上活跃,成员来自多种背景,其松散而流动的结构使其难以彻底瓦解或打击。
ReliaQuest在最新报告中披露,Scattered Spider于上月底针对某机构的首席财务官(CFO)发起一次精密攻击。攻击者事前已完成详细侦察,掌握CFO的出生日期和社保号后四位,在该机构公开登录门户中成功冒充登录账户,并致电IT服务台请求重置MFA。
随后攻击者借助CFO的账户完成多项攻击步骤,包括枚举Entra ID中的高权限账户、组与服务主体,以获取权限提升和长期控制;探索SharePoint文档平台,定位敏感文件与企业架构细节,以定制化攻击路径;利用CFO的凭证入侵Horizon虚拟桌面平台,并通过社会工程继续控制两名其他用户账户;攻破VPN系统,确保持续远程访问;恢复已弃用虚拟机并创建新实例,访问VMware vCenter基础设施,关闭关键生产域控制器并提取NTDS.dit数据库;入侵CyberArk密码保险库,提取1400多条机密;分配管理员权限至被控制账户;使用工具ngrok在虚拟机上设置持久通道;在被检测后,迅速删除Azure防火墙策略规则组,故意瘫痪业务系统,展开“焦土策略”。
在攻击过程中,Scattered Spider与受害机构的应急响应团队爆发控制权争夺战,争夺Entra ID的Global Administrator权限。最终由微软出面,才恢复系统控制权。
现代社会工程攻击已不仅是钓鱼邮件那么简单,而是发展为完整的身份威胁行动剧本。攻击者有详尽流程可依,能在极短时间内快速突破各类防线。从SIM卡劫持、语音钓鱼到权限提升,Scattered Spider展示出当路径清晰时,其攻击速度与精准度极为可怕。
对于企业而言,应对之道不在于一味采购新工具,而是首先优化内部流程,尤其是服务台验证和账户恢复流程。凡是依赖人工决策的身份验证场景,必须进行全面审查与强化。
Unit 42的研究员Alexa Feminella与James Xiang指出,“Scattered Spider揭示了企业身份安全的核心问题,对人工工作流程的过度依赖。攻击者正是利用人类信任机制,绕过了技术防线,成功渗透核心系统。组织应立即评估并加固身份验证流程,降低人为失误引入的风险。”
Scattered Spider展现出网络攻击团体在社会工程、权限控制和混合攻击手段上的高度成熟。对于高度依赖远程工作、云服务和第三方IT服务的现代企业来说,这种新型攻击模式构成了前所未有的威胁。唯有从流程、意识与技术多维度入手,才能有效提升防御力,降低类似攻击带来的业务中断与数据安全风险。
2025年《全球勒索软件现状报告》显示,漏洞利用已连续第三年成为勒索攻击的首要技术根本原因,占据32%的攻击路径。这项由Sophos发布的研究基于来自17个国家、共计3,400名IT与网络安全专业人员的调查反馈,全面反映了全球组织在勒索软件攻击面前的脆弱性与应对现状。
尽管受害组织为恢复支付的平均成本高达153万美元(不含赎金),报告指出一些防御能力的提升初现端倪,受攻击后被加密数据的比例已从去年的70%下降至今年的50%。然而研究也揭示,成功的勒索攻击背后往往不仅仅是单一漏洞,而是多个操作性弱点的叠加。平均每起事件包含2.7个“促成因素”,其中最常见的三项分别是:网络安全专业能力缺失(40.2%)、未知的安全漏洞(40.1%)和安全人力资源不足(39.4%)。
Sophos指出,漏洞利用作为攻击路径不仅反映了攻击者的技术成熟度,也暴露出组织在补丁管理、资产盘点、漏洞评估与应急响应流程上的薄弱环节。攻击流程通常从扫描面向互联网的资产开始,重点关注Web应用程序、VPN网关与远程桌面服务等高风险接口。一旦成功入侵,攻击者便通过植入后门账户、部署远控工具或更改系统配置等方式建立持久性访问权限,从而为后续的数据加密与勒索行动打下基础。
大型企业成为攻击者的重点目标。报告指出,员工规模在3,001至5,000人的公司,其数据加密率达到65%,而小型企业因系统结构简单、防御路径更短,在封堵攻击时反而展现出更强的弹性。
经济损失方面,尽管平均赎金金额有所下降(2025年为132万美元,较去年下降34%),但系统修复、业务中断、舆情应对及内部调查等综合恢复成本仍对受害组织构成沉重负担。部分企业的修复过程持续数周,甚至数月,严重影响运营连续性。
在面对持续演进的勒索威胁时,报告建议企业应强化漏洞管理机制,包括定期进行资产与漏洞扫描、提高补丁更新频率、建立多维度的威胁检测体系、以及增强员工的钓鱼邮件识别与响应能力。
此外由于部分攻击持续时间长、潜伏性强,企业应尽早部署入侵检测系统(IDS)与异常行为分析(UEBA)工具,以在攻击早期发现可疑行为。加强跨部门的应急演练与高层参与度,也被视为提升组织整体安全韧性的重要抓手。
Forescout Technologies联合Takepoint Research发布的《2025全球工业网络安全基准报告》揭示了当前全球工业企业在面对IT、OT和IoT环境下所面临的关键安全挑战、治理困境与应对趋势。报告收集了来自236位OT与自动化领导者的调查反馈,覆盖制造、能源、公用事业等多个关键基础设施领域,分析其在加速数字化背景下的网络安全成熟度、威胁感知能力和应对策略。
报告指出,57%的组织正在使用三种以上的工具分别监控其IT、OT和IoT系统,导致可视化割裂、响应延迟、流程复杂,降低整体安全效率。49%的受访者表示漏洞优先级判定是最耗时的环节,44%表示风险缓解最为消耗资源。可见在多工具并存的现实下,漏洞管理与风险处置愈发困难。
近60%的组织坦言他们在OT和IoT环境下的威胁检测能力“不自信”,仅有14%表示“非常有信心”。63%的组织需要30天以上才能完成威胁处置,37%的组织需要超过90天,仅3%能在一周内完成修复。这种长期的威胁暴露窗口为攻击者留足了操作空间,也反映了检测机制、响应流程和人力储备上的明显不足。
此外报告指出,当前外部威胁的主要来源并非国家级黑客,而是供应链攻击和网络犯罪组织,分别由50%的受访者列为首要关注点。相比之下,仅有8%的企业担忧国家级行为体,9%关注零日漏洞,这表明大多数组织更关注会带来直接运营干扰的现实威胁。
内部问题同样严重。52%的组织表示遗留系统和补丁管理漏洞是当前最大挑战;50%认为网络可视化和分段能力不够;48%将第三方连接和“影子IT”视为核心风险。许多工业环境仍存在基本安全卫生不到位的情况,过时的资产无法及时修补,未经授权的设备可能长期处于未监控状态。
在当前安全能力方面,44%的组织将“设备和风险的实时可视化”视为最大优势,22%认为“与高管沟通安全态势”最为突出。然而,仅有11%认为自动化能力是其强项,只有5%提及使用威胁情报,这反映出多数组织仍未能建立战略性、前瞻性的防御体系,更多依赖基础态势感知。
在组织策略方面,45%的受访者认为“改进指标和关键绩效指标”将大幅提升风险管理水平,其次是“统一可视化平台”(24%)。额外数据源和自动化分别只有16%和15%的支持率,这种倾向显示企业对已有数据的处理能力不足,而非数据本身短缺。
此外报告指出,组织之间普遍缺乏高效的指标追踪机制。25%的受访者表示无法准确跟踪修复所需时间。这种协调与沟通的缺失,进一步拉长了处置周期,也加剧了安全管理的滞后性。工业领域特有的维修窗口、验证要求也使得自动化修补策略难以推广,提升了对人工流程的依赖。
报告也提出了解决方案,自动化虽不能覆盖全部任务(如PLC自动打补丁风险过高),但可在漏洞优先级判断等环节节省大量人工时间;此外采用统一平台整合IT与OT安全视图,可减少告警疲劳和可视化盲区。
在治理方面,报告建议组织需采用更成熟的治理模型,包括设定关键绩效指标(KPI),制定阶段性提升路径图,并将安全目标与业务战略紧密对齐。同时应强调数据的上下文理解与行动力,即“数据多不等于能用好”,需要将收集到的威胁信息转化为具体防御动作。
此外当前OT安全团队人员短缺严重,报告指出这是延迟响应的关键原因。因此建议组织投资于自动化、安全即服务(MSS)方案,以及更合理的任务分配机制以优化资源利用。
工业领域正处于一个安全转型的关键阶段。数字化程度不断提高使得工业系统日益暴露在互联风险下,传统的手工管理流程与多工具堆叠无法满足当前威胁形势。统一安全视图、提升检测能力、优化响应流程、增强指标体系建设与治理规范,是工业组织在迈向高级安全成熟度过程中的必要路径。
上一条:
下一条:
相关信息
