2026 年情报驱动的主动防御报告

目录 来自合作伙伴的声音3认识作者3执行摘要4简介55G威胁形势6暴露在互联网上的容器6发现7OT网络分析基础9哪些优势吗？9发现10Precursor Technique Families10将OT检测特征映射到MITRE ATT&CK TTPs11威胁 检测事件和特征映射11低容量技术12TTP制图，利用攻击链估算器进行预测分析13修订d过渡13预测攻击链描述14连接OT-SOC框架的桥梁15OT-SOC框架16要点16连贯而有弹性的业务安全交付17Roadmap18融会贯通：19结语从可见性到弹性主动防御20数据方法21暴露于互联网的设备21基于签名的遥测21分析制约因素21分析偏差21关于爱达荷国家实验室22关于Palo Alto Networks22关于西门子22 来自合作伙伴的声音 Adam Robbie，Palo Alto Networks OT威胁研究主管 "作为主要作者领导这一合作项目是一次收获颇丰的合作研究之旅。在Palo AltoNetworks，我们认识到OT威胁的复杂性无法孤立解决。本白皮书汇集了我们合作伙伴组织中最聪明的人才，为我们提供了当今面临的风险和解决方案的全面视角。我要感谢每一位主要作者的奉献精神和合作精神，感谢他们编写了这本有意义的OT威胁研究指南"。 西门子安全服务技术协调高级关键专家Priyanjan Sharma "以合作为基础，在这项工作中担任主要作者，是推进OT安全研究的一次有意义的经历。在西门子，我们深知有效的OT安全需要同时了解对手的行为和工业系统的运行现实，其中可用性、安全性和完整性是最重要的。本白皮书反映了各组织齐心协力，超越理论，取得切实可行、站得住脚的成果的价值。通过与合作伙伴的合作，我们旨在帮助更广泛的社区更好地了解当今的OT威胁，并采用基于现实世界工业限制因素的安全策略。 Scott Bowman，爱达荷国家实验室网络物理系统技术负责人 "作为爱达荷国家实验室网络物理系统的技术负责人和DOE CESER赞助的CyOTE计划的首席分析师，我有机会将国家实验室的研究成果转化为对行业的实际价值，为这份白皮书做出了贡献。作为"攻击链估算器"的产品负责人和创建者，我的工作重点是将严格的、由政府资助的OT研究与资产所有者和运营商面临的运营现实相结合。这项工作中分享的分析细节旨在帮助OT系统运营商和网络安全专业人员在网络入侵的前兆阶段发现对手的行为，从而在破坏性或不安全结果发生之前，在OT环境的边缘或边缘附近实现主动防御"。 认识作者 INL团队 西门子团队 Palo Alto Networks团队 斯科特-鲍曼詹姆斯-切尔科夫尼克萨姆-法南阿莉西亚-霍纳斯 Priyanjan Sharma蒂罗-平克特高拉夫-斯里瓦斯塔瓦马丁-奥托Enrico Lovat Adam RobbieYiheng AnMatthew TennisCecilia Hu刘芳陈占豪Rick Wyble 执行摘要 将保卫战延伸到边缘。在OT环境中，防守就是时间，而边缘为您留住了时间。 Palo Alto Networks、Siemens和Idaho National Laboratory (INL)的联合研究分析了部署在OT环境中的61,000多台防火墙的全球遥测数据，以及20年的历史事件数据。分析表明，工业威胁早在对手进入OT环境之前就已出现并持续存在，从而为检测和破坏创造了一个可衡量的窗口期。 根据爱达荷国家实验室的运营技术环境网络安全（CyOTE™）报告，我们的研究表明，828%的敌方活动发生在长时间的前驱阶段，远在运营影响实现之前，平均停留时间为185天。这个天数表明，如果防御者有效地集中力量，在早期敌方活动和OT影响之间存在着有意义的时间，可以用来降低风险。 同时，传统的工业环境隔绝空气的假设已不再适用。研究发现，暴露在互联网上的独特OT设备和服务增加了332%，目前可在公共互联网上看到近2000万台与OT相关的设备。以往的研究进一步表明，70%以上的OT攻击源于IT环境，在到达工业资产之前会穿越网络边界。 综上所述，这些研究结果表明，早期敌对活动在OT影响的上游就会显现出来，并保持足够长的观察时间，以便进行干预： •利用以边缘为重点的威胁情报，了解对手的活动与OT风险的相关性。威胁情报可提供对暴露的服务、早期技术和访问路径的可见性，这些都是在对手与运行系统互动之前浮现出来的，可帮助组织确定检测和监控的优先级。 •应用预测分析来预测对手活动可能的进展方向。观察到的行为遵循统计上可重复的路径，每个事件都有数百个可观察到的前兆行动，使组织能够预测可能的下一步行动，并将注意力集中在干预最有效的地方。•启用边缘驱动的OT-SOC功能，实现主动防御。通过将威胁情报与网络边缘的预测性洞察力相结合，OT-SOC可以在安全、可用性或运营连续性受到影响之前，在前兆阶段进行干预并破坏攻击。 简介 在最近的一次合作中，Palo Alto Networks OT威胁研究实验室、西门子网络安全研究实验室和爱达荷国家实验室共同研究了工业环境中的威胁和防御策略。例如，每个实体都在操作技术（OT）安全方面拥有独特的专业知识： •Palo Alto Networks防火墙和产品遥测提供了对观察到的攻击面和安全相关活动的大规模洞察。•爱达荷国家实验室的预测分析方法和通过CyOTE分析进行的历史威胁状况研究可识别对手的长期行为和趋势。•西门子贡献了他们在OT-SOC管理服务和最佳实践方面的知识和技能。 在OT环境中进行检测是攻击生命周期的后期阶段，即在敌方已经建立访问权限之后。我们三个实体之间的专有技术形成了一个框架，超越了传统的以IT为中心的安全模式，能够应对与OT相关的独特风险。 在OT环境中进行检测是攻击生命周期的后期阶段，即在敌方已经建立访问权限之后。 在本文中，我们将分享我们的研究成果，即如何将检测和分析转移到网络边缘，以提供更早的可见性，从而实现预测、预防和主动防御，防患于未然。我们研究了可从互联网直接访问的OT设备和服务，以及网络执行点观察到的与OT应用程序和工业协议相关的安全活动。 我们的研究分析了当前和历史数据集，包括2024年对61,000多台OT防火墙的遥测数据。当前数据包括威胁防御签名、被利用的常见漏洞和暴露(CVE)、Palo AltoNetworksWildFire®对恶意软件样本的分析，以及恶意URL和DNS活动。1历史数据来自CyOTE事故研究，时间跨度长达20年。 这些数据集的一个重要发现是，敌方行为的很大一部分历来发生在活动的早期、高度可观察的阶段，远远早于对工业流程的影响。基于网络的遥测技术可提供有关暴露服务和前兆威胁行为的重要信息。但是，仅凭这一点并不能确定对手的意图、特定资产的机会或行动影响。这种担忧凸显了"将战斗引向边缘"的必要性，特别是在最有可能观察到这些早期活动的网络执行点，如防火墙。 被动防御模式强调能见度和探测而不进行直接互动，与之相比，主动防御战略--在防御者的权限范围内实施并以OT安全约束为指导--优先考虑对可观察到的前兆活动做出早期、受控的响应。在OT-SOC框架的支持下，这种方法使组织能够减少不确定性，并尽早采取行动，以降低威胁行为者影响OT系统的风险。 5G威胁形势 从双重角度分析OT威胁最有效：既能看到公共互联网，又能洞察受保护网络内发生的活动。随着工业环境的互联性越来越强，IT和OT之间的区别也越来越模糊，从而扩大了对手的潜在攻击面。通过分析外部暴露和内部遥测，企业可以更全面地了解威胁状况，从而制定更有效的防御策略。 在本节中，我们将从多个层面研究OT威胁，观察Palo Alto NetworksCortexXpanse®在互联网上观察到的与OT相关的攻击面。然后，我们将重点转向在OT网络中观察到的威胁，即防火墙检测到OT相关流量的环境。我们的分析侧重于Palo Alto Networks高级威胁防御遥测，使用基于签名的检测来描述网络内的利用尝试和已知攻击模式。 通过分析外部暴露和内部遥测，企业可以更全面地了解威胁状况，从而制定更有效的防御策略。 暴露在互联网上的容器 Cortex Xpanse分析了来自OT设备和服务的数据，为我们的团队提供了有关其数量、地理分布、应用协议和其他相关元数据的见解。OT设备指的是设备、服务、工业网络设备和系统。2 Cortex Xpanse每天多次扫描整个公共IPv4空间和部分IPv6空间，收集互联网暴露主机的观测数据，以识别暴露的设备、端口和应用程序。这些观测数据经过转换、枚举和指纹识别后，就会形成一张按时间顺序排列的互联网可观测主机、设备和应用服务器地图。收集、转换和分析PB级的数据需要大量的工程设计工作，但最终，只要能连接到互联网，任何人都能看到与本文相同的观察结果。这些研究结果表明，威胁行为者很容易利用OT攻击面。 在本分析中，我们不区分故意配置为暴露于互联网的设备和服务与无意暴露于互联网的设备和服务。 发现 2024年，Cortex Xpanse对接入互联网的OT设备进行了超过11亿次观测，比2023年增长了138%。3根据这些观察结果，1960万台独特的OT设备和服务被采集了指纹，比2023年增加了332%。4这些设备托管在177万个IPv4地址上，比2023年增加了416%。5图1显示了这些设备的大致地理位置。 图2显示了按制造商和产品分列的独特设备。与2023年一样，与楼宇管理系统（BMS）相关并通常与暖通空调和其他系统连接的Tridium Niagara是我们在互联网上观察到的最多的OT应用指纹。 图3显示了每月独特的OT设备数量。有些设备可能使用时间较短或只是零星部署，而有些设备则持续使用时间较长。从图中可以看出，到2023年（未显示）和2024年（已显示），观测到的设备总体呈上升趋势。 图4显示了被确认为OT应用程序或设备网络插座一部分的端口分布情况。TCP端口4911与Niagara FOX安全或FoxS协议相关，而非端口1911上的未加密Fox协议，TCP端口5011与通过TLS的Niagara平台连接相关。6TCP端口3011是Niagara主机的默认管理端口。7UDP端口47808是BACnet的默认端口。 这三个TCP端口都与楼宇自动化和控制有关。如果我们把它们暴露的服务数量加在一起，这三个港口的服务总数大约为428,000项，在总体上排名第三，在特定于OT的港口中排名第一。这一估计与尼加拉是最常被观察到的暴露设备供应商相吻合。 虽然这一使用案例不是本文的重点，但它提出了一个问题，即新安装的设备和暖通空调系统维修是否是所观察到的大部分暴露于互联网的OT设备和服务的原因。新安装和维修通常在北半球的夏季最为频繁，与图3所示的明显高峰一致。 OT网络分析基础 我们的分析基于2000-2022年间公开披露的27起影响OT环境的网络事件的数据集（图5）。通过使用公开来源情报(OSINT)，我们组建了一个跨越多个工业部门和地理区域的多样化语料库。 哪些优势吗？ 所有观测指标都按照MITREATT&CK®for ICS框架进行了归一化处理，并通过CyOTE分析进行了系统审查。该数据集并非旨在详尽无遗地普查OT网络事件。相反，它是近实时分析和决策支持的基础基准。 有关ACE和其他CyOTE工具的更多信息，请访问INL。 通过将公共网络事件数据与MITRE ATT&CK的ICS映射，我们可以量化攻击者最常使用的对抗技术和行为序列。CyOTE研究旨在将网络攻击过程概括为三个阶段： •前体阶段：在攻击过程中，对手正在采取行动，但目标组织尚未采取应对措施。•触发事件阶段：当一系列可观测事件被定性为异常，且目标组织确定这些可观测事件与对手行为（而非系统故障）有关，需要采取网络安全应对措施时。•触发事件后阶段：对手在触发事件后如何继续行动，以及目标组织如何应对。 CyOTE报告的价值在于在您的OT网络安全计划