2025年5月，美國當(dāng)局警告稱黑客正在針對石油天然氣領(lǐng)域的工業(yè)控制系統(tǒng)發(fā)起攻擊。來自CISA、FBI、能源部和環(huán)保署的聯(lián)合警告詳細(xì)說明了攻擊者如何探測監(jiān)控和數(shù)據(jù)采集(SCADA)網(wǎng)絡(luò)，尋找薄弱認(rèn)證和錯誤配置的遠(yuǎn)程連接。

這些攻擊并不復(fù)雜，但其規(guī)模和隨之而來的警報洪流令人擔(dān)憂。安全團隊被傳感器數(shù)據(jù)淹沒，無法確定哪些警報顯示了真正的危險。這一刻清楚地暴露了一個日益嚴(yán)重的困境：旨在保護工業(yè)系統(tǒng)的工具產(chǎn)生的噪音多于洞察。

警報疲勞時代

運營技術(shù)(OT)環(huán)境——運行工廠、電網(wǎng)和管道的工業(yè)控制系統(tǒng)——正承受著越來越大的壓力，因為今年生效的歐盟NIS2指令收緊了網(wǎng)絡(luò)風(fēng)險和事件報告規(guī)則。美國CISA的類似指導(dǎo)敦促公用事業(yè)公司映射和監(jiān)控每個連接的資產(chǎn)。然而，他們部署的傳感器和系統(tǒng)越多，產(chǎn)生的警報就越多，安全團隊的資源就越分散。

Radiflow公司首席執(zhí)行官Ilan Barda在接受采訪時解釋說："由于法規(guī)、供應(yīng)鏈要求和攻擊事件的突出報道，人們對OT安全的認(rèn)識正在快速增長，越來越多的組織正在考慮部署此類解決方案。當(dāng)中型組織部署這樣的解決方案時，他們往往缺乏適當(dāng)?shù)臏?zhǔn)備來加固設(shè)備和網(wǎng)絡(luò)，以及調(diào)整安全基線，因此部署的工具會產(chǎn)生大量警報。"

這些警報落在分析師身上，而他們經(jīng)常缺乏深度的OT專業(yè)知識。Barda補充說："這些新型警報的處理往往分配給現(xiàn)有的資質(zhì)較低的團隊。"結(jié)果形成了一個悖論，IT團隊有了更多的可見性但缺少清晰度。許多防護者將時間花在追蹤低優(yōu)先級通知上，同時錯過了真正攻擊的微妙前兆。

羅克韋爾自動化最近的一份預(yù)測很好地抓住了這種緊張關(guān)系，指出"在2025年，AI將越來越多地用于OT安全，包括異常檢測、行為分析、漏洞管理以及安全自動化和編排。"然而，隨著AI深入工業(yè)堆棧，專家警告它既是補救措施也是風(fēng)險。

教AI理解上下文

Barda告訴我："OT安全的主要挑戰(zhàn)是被分配處理警報的人員缺乏專業(yè)知識。AI可以在兩個方面協(xié)助安全分析師：一是相關(guān)性，旨在回答警報在特定工業(yè)環(huán)境背景下是否相關(guān)的問題。另一個是優(yōu)先級：在我的特定工業(yè)環(huán)境背景下，與此警報相關(guān)的攻擊鏈的可能業(yè)務(wù)影響是什么?"

在Radiflow的方法中，算法在每個設(shè)施的獨特流程上進行訓(xùn)練，然后與公共威脅情報源相關(guān)聯(lián)，以確定哪些異常最重要。Barda說："在每個設(shè)施環(huán)境上訓(xùn)練并與公共威脅數(shù)據(jù)相關(guān)聯(lián)的AI工具幫助分析師專注于關(guān)鍵內(nèi)容。"

Radiflow在今年10月德國IT-SA博覽會上發(fā)布的新Radiflow360平臺應(yīng)用了這一原理——為中型工業(yè)公司統(tǒng)一資產(chǎn)發(fā)現(xiàn)、風(fēng)險分析和異常檢測。該平臺內(nèi)置AI分析師助手，反映了使用自動化來消除警報噪音并簡化OT安全操作的更廣泛轉(zhuǎn)變。

這種轉(zhuǎn)變——從檢測一切到理解重要內(nèi)容——可能使安全既可擴展又可持續(xù)。Barda聲稱，將上下文風(fēng)險分析與檢測相結(jié)合可以在資源方面實現(xiàn)"1:10的優(yōu)化"。但他也警告AI并非完美無缺。"AI工具基于部分和不準(zhǔn)確的信息往往會產(chǎn)生幻覺，準(zhǔn)確性較低。因此AI發(fā)現(xiàn)應(yīng)該由人來驗證，"他說。換句話說，人類專業(yè)知識仍然是自動化的調(diào)節(jié)器。

來自現(xiàn)場的現(xiàn)實檢驗

對于富士通的網(wǎng)絡(luò)安全產(chǎn)品經(jīng)理Martin Hill來說，許多OT系統(tǒng)從未設(shè)計為連接到互聯(lián)網(wǎng)。"它們是為可靠性而建造的，不是為了安全，"他說。"現(xiàn)在，隨著組織將這些系統(tǒng)連接到IT網(wǎng)絡(luò)以提高效率，他們發(fā)現(xiàn)了以前不是關(guān)注點的漏洞。"

Hill看到了進步，但也看到了差距。"我們看到從被動到主動策略的轉(zhuǎn)變，"他說。公司正在投資網(wǎng)絡(luò)分段、24/7監(jiān)控以及符合NIS2和IEC 62443的合規(guī)性。但根據(jù)Hill的說法，挑戰(zhàn)仍然在于"IT和OT群體往往說不同的語言——一個專注于數(shù)據(jù)，另一個專注于正常運行時間和安全。"

結(jié)果是對自動化的謹(jǐn)慎擁抱。"AI有其作用——特別是在監(jiān)控和異常檢測方面——但采用緩慢且不均勻，"他說。"一些組織正在擁抱AI以領(lǐng)先于威脅，而其他組織只在事件發(fā)生后才采取行動。這不是關(guān)于追逐技術(shù)——而是關(guān)于以實用、可擴展且與業(yè)務(wù)優(yōu)先級一致的方式保護運營。"

雙刃劍

AI的矛盾性貫穿整個行業(yè)。羅克韋爾自動化網(wǎng)絡(luò)安全服務(wù)全球能力經(jīng)理Vicky Bruce在2025年9月Solutions Review的評論中說："一方面，它幫助安全團隊更早發(fā)現(xiàn)威脅、自動化響應(yīng)并減少停機時間。另一方面，它為網(wǎng)絡(luò)攻擊者提供了發(fā)起更有針對性、更有說服力和更具破壞性攻擊的工具——通常在幾秒鐘內(nèi)。"

與此同時，可見性——任何AI系統(tǒng)的基礎(chǔ)——仍然不完整。運營技術(shù)網(wǎng)絡(luò)安全聯(lián)盟執(zhí)行董事Tatyana Bolton最近告訴聯(lián)邦新聞網(wǎng)絡(luò)："大多數(shù)行業(yè)還沒有進行OT資產(chǎn)清單。所以他們甚至不知道自己擁有什么。"沒有這個基線，最聰明的算法也只能做出有根據(jù)的猜測。

Barda同意上下文至關(guān)重要，但堅持認(rèn)為進步是可見的。"AI肯定會使OT安全更易管理，為威脅和警報提供更多上下文，使經(jīng)驗較少的分析師能夠處理它們，并改進基于風(fēng)險的警報優(yōu)先級排序，從而減少所需的SOC資源，"他說。"在可預(yù)見的未來，這些工具仍需要人類監(jiān)督。"

通往韌性之路

跨行業(yè)中，從警報到答案的轉(zhuǎn)變正在重塑網(wǎng)絡(luò)防護者對韌性的思考。AI的承諾不是取代人類分析師，而是幫助他們看到全局——實時鏈接漏洞、業(yè)務(wù)影響和運營上下文。

Barda相信這種融合最終將彌合IT和OT之間的歷史鴻溝。"OT安全中的AI工具在彌合IT和OT之間的差距方面非常有用，"他說。"這些工具使IT專業(yè)人員能夠更好地理解OT威脅和警報，并提高OT網(wǎng)絡(luò)的安全級別。"

不過，前方的道路仍然崎嶇。隨著成本上升和合規(guī)截止日期的臨近，AI可能會有所幫助，但它不會知道一切。運行現(xiàn)代生活的系統(tǒng)在保護自身方面正在變得更好，但進步的真正測試可能是人們是否能學(xué)會足夠信任它們，而不完全交出控制權(quán)。

Q&A

Q1：什么是OT安全?為什么現(xiàn)在這么重要?

A：OT(運營技術(shù))安全是指保護工廠、電網(wǎng)、管道等工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全。隨著歐盟NIS2指令等新法規(guī)生效，以及工業(yè)系統(tǒng)越來越多地連接到網(wǎng)絡(luò)，OT安全變得至關(guān)重要。這些系統(tǒng)原本為可靠性而非安全性設(shè)計，現(xiàn)在面臨越來越多的網(wǎng)絡(luò)威脅。

Q2：AI如何解決OT安全中的警報疲勞問題?

A：AI通過兩個關(guān)鍵方面解決警報疲勞：相關(guān)性分析和優(yōu)先級排序。AI工具在每個設(shè)施的環(huán)境上訓(xùn)練，結(jié)合公共威脅情報數(shù)據(jù)，幫助分析師識別哪些警報真正重要，哪些只是噪音。這樣可以將資源優(yōu)化達(dá)到1:10的比例，讓經(jīng)驗較少的分析師也能有效處理OT威脅。

Q3：使用AI進行OT安全有什么風(fēng)險和限制?

A：AI在OT安全中是雙刃劍。雖然它能幫助更早發(fā)現(xiàn)威脅和自動化響應(yīng)，但也可能基于不完整信息產(chǎn)生誤判。同時，AI工具也為攻擊者提供了更強大的攻擊手段。因此，AI發(fā)現(xiàn)仍需要人類驗證，人類專業(yè)知識在可預(yù)見的未來仍是不可替代的。