卡巴斯基邢翰充:智能安全运营中心 (SOC) 对IT和OT融合至关重要
勇砺商业评论 曾宪勇
“卡巴斯基工业控制系统(ICS)应急响应团队最新数据显示,亚太地区关键区域的ICS计算机持续面临大量网络攻击。”卡巴斯基亚太区董事总经理邢翰充(Adrian Hia)透露道,在2025年第一季度,在ICS计算机上拦截到恶意对象的百分比全球排名方面,东南亚位列全球第二,中亚位列第三,南亚位列第六。
8月5日,卡巴斯基在越南岘港举办了2025年网络安全大会。会上,来自卡巴斯基的官方数据表明,独立管理信息技术(IT)和运营技术(OT)的时代已经结束。随着亚太地区数字化转型进程加速,使曾经相互隔离的IT和OT领域日益融合。这种融合带来了新的网络安全漏洞,唯有通过更智能、多层级的防御体系才能应对。
亚太地区一直引领着全球数字化转型。该地区各行业广泛采用自动化技术、实时数据系统和互联基础设施,IT与OT系统的深度融合已成为提升运营效率和商业成果的关键驱动力。
另一方面,这种融合也带来了新的网络安全风险。随着IT和OT系统之间界限的模糊,攻击面扩大,为该地区的组织带来了新的挑战。
亚太地区成为病毒检测比例最高的地区之一
就拦截到恶意对象的ICS计算机总体百分比而言,2025年第二季度,亚太地区达到23%,比全球平均水平20.54%高出近3%。
2025年第二季度,亚太地区石油和天然气行业的ICS计算机拦截了一波新的网络钓鱼攻击。此次攻击中,已知的间谍软件家族如FormBook、AgentTesla和Noon被直接附加到电子邮件中。所有这些攻击均被卡巴斯基解决方案成功拦截。
卡巴斯基ICS CERT数据还显示,亚太地区是病毒检测比例最高的地区之一,是全球平均水平的2到3倍。尽管病毒通常被认为是传统威胁,但在疫情爆发时,它们可能导致运营中断,而且无疑会增加维护成本。
2025年第二季度,受病毒威胁影响最大的亚太地区行业包括电力能源、建筑自动化、石油与天然气、制造业以及工业控制系统(ICS)工程与集成。
2025年第二季度,工业控制系统(ICS)遭受病毒攻击最严重的国家包括:越南、阿富汗、中国、孟加拉国、巴基斯坦、缅甸、老挝、柬埔寨、印度尼西亚和尼泊尔。
IT和OT融合需要智能安全运营中心(SOC)
为应对亚太地区关键基础设施面临的日益严峻的网络安全威胁,卡巴斯基呼吁构建以智能安全运营中心(SOC)为核心的多层级网络安全防护框架。
在演示中,Hia解释说,这个框架始于预防,使用威胁情报工具,例如品牌保护、威胁溯源引擎和入侵迹象,在威胁发生前识别潜在风险。
第二级别的防护聚焦于通过高级威胁检测工具实现全面保护,包括终端检测与响应(EDR)、托管检测与响应(MDR)以及扩展检测与响应(XDR)平台。其中一些解决方案现在同时支持IT和OT环境。这些解决方案旨在跨混合基础设施检测、遏制和响应威胁。
为了保护工业企业免受各种威胁,卡巴斯基专家提出以下六大建议:
一、定期对OT系统进行安全评估,以发现并消除可能存在的网络安全问题。
二、及时更新企业OT网络的关键组件;一旦在技术上可能,立即应用安全补丁或实施补救措施,这对于防止可能因生产过程中断而造成数百万美元损失的重大事故至关重要。
三、通过建立和加强团队的事件预防、检测和响应技能,提高对新型和先进恶意技术的响应能力。为IT安全团队和OT人员提供专门的OT安全培训是帮助实现这一目标的关键措施之一。
四、部署专用解决方案——针对工业企业,卡巴斯基提供了一套独特的生态系统,可无缝整合专业级OT技术、专家知识与宝贵实践经验。作为该OT生态系统的基石,卡巴斯基工业网络安全 (KICS)提供高级资产清点、安全审计及扩展威胁与异常检测功能,并能跨分布式基础设施灵活扩展。
五、对于保护工业和企业环境重叠区域的业务,可以使用像卡巴斯基Next XDR 专家版这样的综合解决方案,它支持包括与第三方解决方案无缝交互在内的运营场景,从而增强调查和响应能力。
六、建立一个统一的安全运营中心 (SOC),能够同时监控 IT 和 OT 系统。这包括高级解决方案和服务,例如 SIEM、威胁情报以及帮助分析师识别工业威胁的培训课程。这些措施有助于建立明确的事件响应程序,同时应对业务和运营技术威胁。
“当安全事件发生时,响应能力至关重要。每一分钟的延迟都可能意味着经济损失。我们观察到,亚太地区企业正日益依赖事件应急响应、漏洞评估、渗透测试和网络攻防演练等专业服务,以最大限度降低损失并实现快速恢复。要真正保护IT与OT的融合环境,必须通过集成SIEM系统和实时威胁情报的智能化安全运营中心(SOC),将这些防护层级有机整合。这类系统提供全域可视化监控与协同响应能力,使安全团队能够全面掌控IT/OT混合环境中的威胁态势,”Hia解释说。
他补充说,随着IT与OT融合进程在未来数年持续加速,亚太地区的网络安全策略必须继续发展,弥合这两个领域之间的差距,以确保运营安全并在日益互联的世界中确保弹性。(曾宪勇)