全球与区域趋势

卡巴斯基工业控制系统网络应急响应团队（ICS CERT）的最新报告揭示了2025年第二季度工业自动化系统网络威胁形势中既令人鼓舞又令人担忧的趋势。

整体而言，本季度20.5%的ICS计算机遭遇了恶意对象拦截，较2025年第一季度下降1.4个百分点，较2024年同期下降3.0个百分点。

尽管下降表明在减少暴露方面取得进展，但区域差异和不断演变的攻击技术凸显出运营技术（OT）环境持续面临的风险。

全球范围内，遭遇威胁拦截的ICS计算机比例从北欧的11.2%到非洲的27.8%不等。除澳大利亚、新西兰和北欧外，大多数地区的感染尝试较上季度有所下降。这种地理差异凸显了基础设施成熟度、补丁采用和攻击者关注点的不同。

行业特定发现

在所有受调查行业中，2025年第二季度遭遇恶意对象拦截的ICS计算机比例均有所下降。然而，生物识别行业的暴露率位居各行业之首，反映了身份和认证系统的高价值特性。

尽管整体下降，恶意活动的广度仍然显著：本季度卡巴斯基在OT网络上拦截了来自10,408个不同家族的恶意软件。

威胁来源与感染途径

基于互联网的威胁仍然是OT环境最常见的攻击向量，包括受感染的网站、恶意下载和被污染的云服务。

2025年第二季度，5.91%的ICS计算机被阻止访问拒绝列表互联网资源，这一增长与流行文件共享平台上托管的恶意代码有关。恶意文档也略有增加，在1.97%的系统上被检测到。

电子邮件传播的威胁持续增长。携带恶意附件、间谍软件和脚本的网络钓鱼消息在ICS入侵中的占比不断增加，除俄罗斯外所有地区的比率都在上升。与此同时，来自可移动存储和网络文件夹的威胁持续下降，达到自2022年第二季度以来的全球最低水平。

恶意软件类别

• 间谍软件在3.84%的ICS计算机上被拦截（下降0.36个百分点）
• 勒索软件出现在0.14%的系统上（下降0.02个百分点）
• 可执行矿工在0.63%的系统上被检测到（下降0.15个百分点）
• 网页矿工急剧下降至0.30%，为自2022年第二季度以来的最低比率

自传播恶意软件（如蠕虫和病毒）也有所下降，仅在略高于1%的ICS系统上被拦截。通常用于窃取或破坏工业设计文件的AutoCAD定向恶意软件下降至0.29%，为自2022年第二季度以来记录的最低值。

整体形势

虽然整体感染率下降表明防御取得进展，但威胁的多样性——涵盖数千个恶意软件家族——证明了攻击者的持久性和适应性。

ICS和OT环境仍然具有吸引力，因为它们支撑着全球的关键基础设施、制造业、能源和工业运营。电子邮件攻击的增加也表明，攻击者继续转向社会工程和网络钓鱼以绕过其他技术防御。

此外，2025年9月影响npm包的Shai-Hulud蠕虫事件凸显了当认证和发布控制薄弱时，可蠕虫化恶意软件在生态系统中传播的速度有多快。对于修补和停机都很困难的工业系统来说，风险甚至更高。

缓解策略

工业组织的防御者应考虑采取以下措施：

• 采用抗网络钓鱼的电子邮件保护措施，如沙箱、高级附件扫描和域认证（DMARC、SPF、DKIM）
• 限制ICS资产的互联网暴露，并在OT和IT环境之间实施严格的网络分段
• 部署可移动媒体控制措施，持续扫描与蠕虫和信息窃取程序相关的恶意软件家族
• 使用行为检测、威胁情报源和为ICS环境调整的异常检测来加强监控和可见性
• 为认证采用安全默认设置，包括远程管理接口的多因素认证（MFA）

2025年第二季度ICS CERT的发现突显了一个悖论：整体感染率下降，但攻击者通过电子邮件、恶意文档和社会工程不断创新仍然毫不留情。

对于关键基础设施运营商来说，这意味着警惕性不能减弱。专注于网络钓鱼弹性、互联网隔离和高级监控的主动防御策略对于保护为现代工业提供动力的OT系统至关重要。