世界上最复杂的威胁参与者行动速度更快，活动更隐蔽，并且将目标对准了现代社会的心脏：操作技术 (OT) 和关键基础设施。现实严峻：许多勒索软件、高级持续性威胁 (APT) 和网络犯罪集团已超越数据窃取，旨在造成物理中断甚至破坏。在业务需求驱动下，IT 与 OT 的融合创造了一个庞大且高风险攻击面。武器化漏洞 (CVE) 正以极快速度被利用，通常在披露后几天甚至几小时内。
本博客融合了 IBM X-Force 的一线情报以及在 2025 年数据泄露成本调查中新发现的与 OT 相关的泄露数据。
在 IBM 的《2025 年数据泄露成本报告》中，我们的研究合作伙伴波耐蒙研究所分析了超过 6,485 起泄露事件。在这些组织中，15% 表示事件影响了其 OT 环境，而在该群体中，近四分之一 (23%) 报告称事件导致其 OT 系统或设备受损。
组织因数据泄露而遭受 OT 环境影响并不令人意外。近年来已有众多案例表明，威胁参与者对各行业的 OT 运营造成了破坏：
现代对手的技术复杂性和持久性，带来了同时、多向量破坏的潜在可能，并对人身安全、法规遵从性（如 CIP、NIST CSF、IEC 62443）产生连锁影响，侵蚀公众对关键基础设施的信任。
当今的对手比以往任何时候都更加多样化、专业化和激进，融合了国家资源、网络犯罪创新和黑客行动主义的机会主义。他们的攻击策略在不断演变，新的组织和联盟与老牌参与者联手，威胁着全球的关键基础设施。
试图造成运营中断的威胁参与者正在瞄准一小部分漏洞，这些漏洞主要影响面向边界的设备，如 VPN 集中器、远程桌面网关和 OT 协议转换器。这些 CVE 一旦被武器化，就能为攻击者提供未经身份验证的远程代码执行、根级别设备控制能力，并且通常允许直接绕过传统的身份验证和访问控制机制。由于设备运行时间要求、供应商补丁延迟或资产可见性差距，许多此类漏洞在关键环境中仍未修补，从而放大了其运营影响。
此外，IT 与 OT 的融合、远程管理工具的激增以及与第三方供应商的整合，为攻击者创造了新的横向移动路径。被入侵的供应链合作伙伴或第三方集成商被利用为可信的入口点；暴露的供应商远程访问服务和配置不当的防火墙进一步削弱了静态分区的效果。对手利用受信的 IT/OT 桥梁、不安全的现场设备，甚至维护笔记本电脑，来直接访问过程控制网络和安全系统。这种不断演变的攻击面使得传统的边界安全模型不再足够，凸显了动态网络监控、持续资产发现和威胁情报驱动架构的必要性。
来自 X-Force 漏洞数据库的数据显示，2025 年上半年已披露了 670 个可能影响 OT 环境的漏洞，其中 11% 的 CVSS 严重性评级为“严重”（CVSS 分数在 9.0-10.0 之间）。此外，五分之一的严重漏洞 (21%) 已公开了漏洞利用代码。
今年已有一些严重 OT 漏洞被利用的显著案例：
这些实例说明，及时了解哪些漏洞可能处于威胁参与者的关注范围内至关重要。X-Force 评估了各类在线论坛、市场、电报频道、聊天室及讨论内容，揭示了 2025 年上半年被提及最多的、可能影响 OT/ICS 环境的 CVE。 这些洞察可为各组织的补丁管理策略提供参考。
在 2025 年上半年披露的、可能影响 OT 的前十大被提及 CVE 中，90% 已被主动利用，其中 70% 已被高级持续性威胁 (APT) 组织主动利用。例如，被提及最多的 CVE-2025-0282，据报告已被 UNC5221（一个“疑似与中国有关的间谍行为者”）利用。该漏洞可使未经身份验证的攻击者，在存在漏洞的 Connect Secure VPN 设备后方的内部网络中获得初始立足点。攻击者随后可横向移动到网络中，并可能影响工业控制系统。被提及次数第二多的漏洞 CVE-2025-31324，据报道已被 Chaya_004（一个“中国威胁参与者”）主动利用。该漏洞影响 SAP NetWeaver Visual Composer，可能允许攻击者远程执行代码。许多工业组织利用SAP进行企业资源规划 (ERP) 和供应链管理 (SCM)，这些系统可能与 OT 系统直接交互或对其产生间接影响。
2025 年将是 OT 与关键基础设施安全的关键之年。动机明确的国家级对手、快速演变的勒索软件生态，以及对少量高影响漏洞的持续利用汇聚在一起，暴露了传统 OT 环境中的根本性弱点。攻击者如今已能常规性地绕过传统边界防御，通过利用供应链入侵、窃取特权凭证和横向渗透，以达到使业务瘫痪甚至危及安全关键设施的后果。
这种威胁态势要求组织从根本上重新思考 OT 风险的管理方式。网络安全必须超越合规性检查和打勾式的形式化控制，转向一种由情报驱动、且针对特定行业的防御模式。生存之道已不再仅仅是防止初始入侵；它要求快速的检测、有效的遏制和富有韧性的恢复，而这所有一切，都必须建立在管理层持续参与和董事会层级治理的基础之上。
2026 年及未来的运营弹性，将取决于组织能否正确设定漏洞修复优先级、模拟真实攻击场景、实施分层控制，并将网络安全责任从控制室贯穿至董事会。这关乎生存之本：服务连续性、法规遵从、物理安全与公众信任，均依赖于一套主动适应、灵活演进的 OT 网络防御策略。我们建议各组织审视以下建议：
1. 超级优先级：补丁管理
2. 将威胁映射至所在行业
3. 像对手一样进行红队演练
4. 分层防御，而非“打勾式安全”
5. 董事会层级支持与真实场景测试
