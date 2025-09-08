标签
安全 计算和服务器 IT 基础设施

操作技术威胁态势：来自 IBM X-Force 的洞察

在工业制造中心工作的操作技术专家

本文由  Jeff Kuo 和  Kelsey Oliver 参与贡献。

世界上最复杂的威胁参与者行动速度更快，活动更隐蔽，并且将目标对准了现代社会的心脏：操作技术 (OT) 和关键基础设施。现实严峻：许多勒索软件、高级持续性威胁 (APT) 和网络犯罪集团已超越数据窃取，旨在造成物理中断甚至破坏。在业务需求驱动下IT 与 OT 的融合创造了一个庞大且高风险攻击面。武器化漏洞 (CVE) 正以极快速度被利用，通常在披露后几天甚至几小时内。 

本博客融合了 IBM X-Force 的一线情报以及在 2025 年数据泄露成本调查中新发现的与 OT 相关的泄露数据。

重要结论

  • 在今年数据泄露成本报告所研究的组织中，15% 经历过影响其 OT 环境的网络安全事件。在这些组织中，近四分之一报告称事件损坏了其 OT 系统或设备。这些事件平均造成 456 万美元的损失——略高于全球平均水平（444 万美元）。
  • 来自 X-Force 漏洞数据库的数据发现，在 2025 年上半年披露的 670 个可能影响 OT 的漏洞中，近一半 (49%) 的 CVSS 严重性评级为“严重”或“高危”。五分之一的“严重”漏洞拥有公开可用的漏洞利用代码。

OT 泄露的成本

在 IBM 的《2025 年数据泄露成本报告》中，我们的研究合作伙伴波耐蒙研究所分析了超过 6,485 起泄露事件。在这些组织中，15% 表示事件影响了其 OT 环境，而在该群体中，近四分之一 (23%) 报告称事件导致其 OT 系统或设备受损。

两个饼图展示了运营技术 (OT) 环境安全事件的调查结果。第一张图表显示，15% 的组织经历了安全事件，85% 的组织没有经历安全事件。第二张图表突出显示，23% 的安全事件对 OT 系统或设备造成了损害，77% 的事件未造成损害。图表采用紫色和蓝色扇区呈现，数字标签清晰明了。

组织因数据泄露而遭受 OT 环境影响并不令人意外。近年来已有众多案例表明，威胁参与者对各行业的 OT 运营造成了破坏：

  • 持续的电网不稳定和协同变电站故障：
    攻击者正成功利用针对 ICS 的特定恶意软件、协议操纵（如 IEC 104 和 DNP3 协议）以及远程访问漏洞利用，导致多站点电网中断和停电，通常需要人工恢复电网，并影响数百万公用事业客户。
  • 对水处理、能源生产和制造运营的持续入侵：
    威胁参与者通过操纵 SCADA 和可编程逻辑控制器 (PLC) 环境来干扰核心 OT 流程，干扰化学品投加、流量调节和自动安全控制，从而导致生产减速、环境事件或工厂人员面临危险状况。
  • 全球供应链和关键物流的广泛中断：
    勒索软件和破坏性恶意软件活动使自动化仓库、分销中心和运输管理系统瘫痪，延误货物运输，中止即时制造，并使组织面临下游的经济和声誉损失。

现代对手的技术复杂性和持久性，带来了同时、多向量破坏的潜在可能，并对人身安全、法规遵从性（如 CIPNIST CSFIEC 62443）产生连锁影响，侵蚀公众对关键基础设施的信任。

OT 漏洞态势

当今的对手比以往任何时候都更加多样化、专业化和激进，融合了国家资源、网络犯罪创新和黑客行动主义的机会主义。他们的攻击策略在不断演变，新的组织和联盟与老牌参与者联手，威胁着全球的关键基础设施。

试图造成运营中断的威胁参与者正在瞄准一小部分漏洞，这些漏洞主要影响面向边界的设备，如 VPN 集中器、远程桌面网关和 OT 协议转换器。这些 CVE 一旦被武器化，就能为攻击者提供未经身份验证的远程代码执行、根级别设备控制能力，并且通常允许直接绕过传统的身份验证和访问控制机制。由于设备运行时间要求、供应商补丁延迟或资产可见性差距，许多此类漏洞在关键环境中仍未修补，从而放大了其运营影响。

此外，IT 与 OT 的融合、远程管理工具的激增以及与第三方供应商的整合，为攻击者创造了新的横向移动路径。被入侵的供应链合作伙伴或第三方集成商被利用为可信的入口点；暴露的供应商远程访问服务和配置不当的防火墙进一步削弱了静态分区的效果。对手利用受信的 IT/OT 桥梁、不安全的现场设备，甚至维护笔记本电脑，来直接访问过程控制网络和安全系统。这种不断演变的攻击面使得传统的边界安全模型不再足够，凸显了动态网络监控、持续资产发现和威胁情报驱动架构的必要性。

来自 X-Force 漏洞数据库的数据显示，2025 年上半年已披露了 670 个可能影响 OT 环境的漏洞，其中 11% 的 CVSS 严重性评级为“严重”（CVSS 分数在 9.0-10.0 之间）。此外，五分之一的严重漏洞 (21%) 已公开了漏洞利用代码。

两张饼图展示了 OT 环境漏洞的相关数据。第一张图表按 CVSS 评分对漏洞分类，展示了低、中、高及关键级别的占比。第二张图表突出显示了带有公开漏洞利用代码的关键漏洞占比，标记为 21%。图表采用不同深浅的蓝色和紫色进行区分。

今年已有一些严重 OT 漏洞被利用的显著案例：

  • 2025 年 5 月，威胁参与者利用了 Erlang/OTP SSH 守护进程中的一个严重远程代码执行漏洞（CVE-2025-32433），该漏洞允许未经身份验证的用户运行任意命令。大约 70% 的攻击尝试针对 OT 防火墙和环境
  • 荷兰 NCSC 证实，攻击者自 2025 年 5 月初以来，在公开披露之前，一直在利用 Citrix NetScaler ADC 和 Gateway 产品中的一个严重漏洞 CVE-2025-6543 作为零日漏洞。这使得攻击者能够部署 Web Shell，建立持久性访问，并可能破坏关键部门的 VPN 和远程访问网关。
  • 2025 年 5 月，钢铁制造商 Nucor 在发生一起网络安全入侵事件后，暂停了多处设施的生产。此次入侵涉及对其内部 IT 系统的未授权访问，公司出于预防采取了关停措施。尽管该事件被归类为以 IT 为中心，但其造成的干扰直接影响到了工业运营，突显了 IT 与 OT 领域之间的紧密耦合。

这些实例说明，及时了解哪些漏洞可能处于威胁参与者的关注范围内至关重要。X-Force 评估了各类在线论坛、市场、电报频道、聊天室及讨论内容，揭示了 2025 年上半年被提及最多的、可能影响 OT/ICS 环境的 CVE。 这些洞察可为各组织的补丁管理策略提供参考。

一张条形图直观呈现了 2025 年上半年最常被提及的 10 个可能影响 OT/ICS 环境的 CVE。图表突出显示了 CVE 标识符（如 CVE-2025-0228 和 CVE-2025-3124），提及次数在 75 至 1830 次之间。水平条形图代表每个 CVE 的提及次数，凸显其相对重要性。

在 2025 年上半年披露的、可能影响 OT 的前十大被提及 CVE 中，90% 已被主动利用，其中 70% 已被高级持续性威胁 (APT) 组织主动利用。例如，被提及最多的 CVE-2025-0282，据报告已被 UNC5221（一个“疑似与中国有关的间谍行为者”）利用。该漏洞可使未经身份验证的攻击者，在存在漏洞的 Connect Secure VPN 设备后方的内部网络中获得初始立足点。攻击者随后可横向移动到网络中，并可能影响工业控制系统。被提及次数第二多的漏洞 CVE-2025-31324，据报道已被 Chaya_004（一个“中国威胁参与者”）主动利用。该漏洞影响 SAP NetWeaver Visual Composer，可能允许攻击者远程执行代码。许多工业组织利用SAP进行企业资源规划 (ERP) 和供应链管理 (SCM)，这些系统可能与 OT 系统直接交互或对其产生间接影响。

超越检测：应对现代威胁的新一代防御

2025 年将是 OT 与关键基础设施安全的关键之年。动机明确的国家级对手、快速演变的勒索软件生态，以及对少量高影响漏洞的持续利用汇聚在一起，暴露了传统 OT 环境中的根本性弱点。攻击者如今已能常规性地绕过传统边界防御，通过利用供应链入侵、窃取特权凭证和横向渗透，以达到使业务瘫痪甚至危及安全关键设施的后果。

这种威胁态势要求组织从根本上重新思考 OT 风险的管理方式。网络安全必须超越合规性检查和打勾式的形式化控制，转向一种由情报驱动、且针对特定行业的防御模式。生存之道已不再仅仅是防止初始入侵；它要求快速的检测、有效的遏制和富有韧性的恢复，而这所有一切，都必须建立在管理层持续参与和董事会层级治理的基础之上。

2026 年及未来的运营弹性，将取决于组织能否正确设定漏洞修复优先级、模拟真实攻击场景、实施分层控制，并将网络安全责任从控制室贯穿至董事会。这关乎生存之本：服务连续性、法规遵从、物理安全与公众信任，均依赖于一套主动适应、灵活演进的 OT 网络防御策略。我们建议各组织审视以下建议：

1. 超级优先级：补丁管理

  • 如同业务存续所系般进行修补——事实正是如此。优先修复正被主动利用的漏洞。将 CISA 的已知被利用漏洞 (KEV) 目录、MITRE 框架、威胁情报源和供应商公告作为你的“待办清单”。
  • 若修补延迟，则实施网络分段、应用程序白名单，并加强对 OT/ICS 异常活动的监控。

2. 将威胁映射至所在行业

  • 考虑获取针对组织的战略威胁评估，以基于所处行业和地理运营位置，了解最可能影响自身环境的威胁。
  • 利用 MITRE ATT&CK for ICS 矩阵和行业 ISAC 警报（例如  E-ISACMFG-ISACWater-ISAC），映射与自身业务相关的战术、技术和程序。

3. 像对手一样进行红队演练

  • 不要只测试泛泛的“恶意软件爆发”。开展逼真的红队/桌面推演，模拟真实世界的对手和场景，无论是电网操纵、生产停止，还是勒索软件双重勒索。
  • 模拟内容包括：

4. 分层防御，而非“打勾式安全”

  • 隔离 IT 与 OT 网络，使用防火墙、隔离区、单向网关。
  • 在工程工作站上强制执行多重身份验证 (MFA)、定期更换凭证并禁止共享登录。
  • 投资于 OT 异常检测和被动深度数据包检测技术，并制定清晰的事件响应预案。

5. 董事会层级支持与真实场景测试

  • 将 OT 安全视为高管层的当务之急：OT 风险不仅是 IT 部门的问题——它是核心业务与安全问题。2025 年，董事会层级的参与和高管领导在这一领域不容妥协。基于真实的对手场景，在高度沉浸式的体验中测试您的网络危机管理运作。

Think 时事通讯

您的团队能否及时捕获下一个零日？

加入安全领导者的行列，订阅 Think 时事通讯，获取有关 AI、网络安全、数据和自动化的精选资讯。快速访问专家教程和阅读解释器，我们会将这些内容直接发送到您的收件箱。请参阅 IBM 隐私声明

您的订阅将以英语提供。每份时事通讯都包含取消订阅链接。您可以在此处管理订阅或取消订阅。更多相关信息，请参阅我们的 IBM 隐私声明

https://www.ibm.com/cn-zh/privacy