根据卡巴斯基ICS CERT(工业控制系统网络应急响应小组)的一份新报告,在2025年第一季度,全球有21.9%的ICS计算机1阻止了恶意对象。区域差异显著——北欧地区拦截率最低(10.7%),而非洲地区高达29.6%。从2024年第四季度到2025年第一季度,阻止到恶意对象的ICS计算机比例均有所增加,其中俄罗斯增加了0.9个百分点、中亚增加了0.7个百分点、南亚增加了0.3个百分点、西欧增加了0.2个百分点、北欧增加了0.1个百分点,南欧增加了0.1个百分点。
各行业面临的威胁
生物识别领域成为受攻击最多的行业(28.1%的ICS计算机上拦截到恶意对象),其次分别为楼宇自动化系统(25%)、电力设施(22.8%)、建筑设施(22.4%)、工程设备(21.7%)、石油天然气设施(17.8%)和制造业(17.6%)。
主要的威胁来源
2025年初,运营技术(OT)面临的网络威胁态势依然复杂多变,通过互联网传播的威胁仍是OT计算机的主要风险源(10.11%的ICS计算机拦截了此类威胁),其次为电子邮件客户端(2.81%)和可移动存储介质(0.52%)。
恶意对象的类别
拦截到的恶意对象中最普遍的类别是恶意脚本和钓鱼页面,以及被列入黑名单的互联网资源。
· 在ICS计算机上拦截到被列入黑名单资源的百分比方面,非洲(6.21%)、俄罗斯(5.6%)和中亚(5.5%)是排名最高的三个地区。黑名单资源是卡巴斯基网络安全解决方案阻止访问的恶意网站和服务。这些资源被威胁方用来传播恶意软件和网络钓鱼攻击,并用来充当命令和控制基础设施。
· 在ICS计算机上拦截到恶意文档比例最高的三个地区分别为南欧(4.02%)、拉丁美洲(3.3%)和中东(2.7%)。攻击者主要通过钓鱼邮件附件传播恶意文档,以此作为入侵计算机的初始手段。这类文档通常包含漏洞利用程序、恶意宏指令以及恶意软件链接。
· 在ICS计算机上拦截到恶意脚本和钓鱼页面比例最高的三个地区为南欧(10.31%)、非洲(10.14%)和中东(9.58%)。攻击者利用脚本实现多种恶意目的:收集信息、追踪用户活动、将浏览器重定向至恶意网站,以及向用户系统或浏览器植入各类恶意软件(包括间谍软件、静默的加密货币挖矿工具、勒索软件等)
· 在ICS计算机上拦截到间谍软件比例最高的三个地区为非洲(7.05%)、南欧(6.52%)和中东(6.25%)。绝大多数间谍软件攻击的最终目的是窃取资金,但这类恶意程序也被用于网络间谍等针对性攻击。此外,间谍软件还常被用来窃取投递其他类型恶意软件(如勒索软件、静默挖矿软件)所需的信息,并为针对性攻击做准备。
· 在ICS计算机上拦截到勒索软件比例最高的三个地区为东欧(0.32%)、中东(0.3%)和非洲(0.25%)。
· ICS计算机上拦截到Windows可执行文件类挖矿程序比例最高的三个地区为中亚(1.72%)、俄罗斯(1.04%)和东欧(0.85%)。除北欧地区外,其他区域的拦截率均有所上升,其中增长最快的是东南亚、非洲和中亚地区。
· 在ICS计算机上拦截到蠕虫比例最高的三个地区为非洲(3.65%)、中亚(2.79%)和中东(1.99%)。
· 在ICS计算机上拦截到病毒比例最高的三个地区为东南亚(8.68%)、非洲(3.87%)和东亚(2.85%)。
“随着工业数字化的不断推进,ICS环境正面临前所未有的网络威胁挑战。此次分析表明,攻击者正利用多种复杂手法入侵工业系统,其中不乏利用合法工具进行隐蔽渗透的案例。对于工业企业而言,传统边界防护已难以应对日益多样化的攻击路径,必须建立持续检测与响应能力。同时,我们建议企业加强对OT与IT安全的融合管理,提升人员的安全意识和专业技能,从整体上构建更具弹性的工业网络安全防线。” 卡巴斯基大中华区总经理郑启良表示。
“由于互联网仍然是ICS计算机威胁的主要来源,2025年第一季度,通过互联网传播的恶意软件攻击ICS计算机的比例自2023年初以来首次上升。来自互联网的主要威胁类别包括列入黑名单的互联网资源、恶意脚本和钓鱼页面。恶意脚本和钓鱼网页是用于初始感染 ICS 计算机的主要恶意软件类别,它们是间谍软件、加密货币挖矿程序和勒索软件等下一阶段恶意软件的投放工具。基于互联网的对 ICS 攻击的增加凸显了对高级威胁检测的迫切需要,以应对复杂的恶意软件攻击活动,”卡巴斯基ICS CERT负责人Evgeny Goncharov评论说。
为了确保OT计算机免遭各类威胁的侵害,卡巴斯基专家建议:
· 定期对OT系统进行安全评估,以发现并消除可能存在的网络安全问题。
· 建立持续的漏洞评估和分类,作为有效的漏洞管理流程的基础。专用解决方案,如卡巴斯基工业网络安全可以成为高效的助手和独特可操作信息的来源,这些信息在公开领域并不完全可得。
· 及时更新企业OT网络的关键组件;一旦在技术上可能,立即应用安全补丁或实施补救措施,这对于防止可能因生产过程中断而造成数百万美元损失的重大事故至关重要。
· 使用诸如卡巴斯基Next EDR 专家解决方案,及时检测复杂威胁,对事件进行调查和有效的修复。
· 通过建立和加强团队的事件预防、检测和响应技能,提高对新型和先进恶意技术的响应能力。为IT安全团队和OT人员提供专门的OT安全培训是帮助实现这一目标的关键措施之一。
2025年第一季度ICS威胁的完整报告请参阅这个链接。
