制造业正在成为 OT 攻击的主要目标

过去两年,制造业在 OT 安全领域的处境发生了明显变化。根据 Claroty 2026 年发布的 CPS 安全研究报告,制造业已连续第二年成为网络物理系统(CPS)攻击事件中受影响最多的行业,超过了能源和水务等传统意义上的"关键基础设施"。Nozomi Networks 的 OT/IoT 安全报告也显示,制造业相关的安全告警在 2025 年同比增长了数个百分点。

这个趋势并不令人意外。制造业的 IT/OT 融合程度在所有行业中排名靠前——工厂的 MES 系统与 ERP 打通,产线数据实时上传到云端分析平台,远程运维通道连接着供应商和设备厂商。融合带来了效率提升,但也意味着攻击面在扩大。勒索软件团伙已经意识到,攻击一家工厂的 OT 系统比攻击其 IT 系统更容易迫使企业支付赎金——因为停机的代价是以分钟计算的。

三个核心挑战

挑战一:资产可见性不足

很多制造企业的安全团队对 OT 网络中到底有多少设备、运行什么固件版本、存在哪些已知漏洞,缺乏完整的视图。传统的 IT 资产管理工具无法识别 OT 设备,而 OT 环境中的设备类型繁多——PLC、HMI、SCADA 服务器、工业交换机、传感器——每种设备的通信协议和管理方式都不一样。

这种可见性缺失直接导致了安全策略的"盲区"。你无法保护你不知道存在的东西。Claroty 和 Nozomi Networks 等平台的核心能力之一就是被动资产发现——通过监听 OT 网络流量,在不干扰生产的情况下自动识别设备类型、厂商、型号和固件版本。

挑战二:补丁管理的结构性困境

OT 环境的补丁管理远比 IT 环境复杂。首先,很多工控设备的补丁需要在独立的测试环境中验证兼容性后才能部署——一个未经测试的补丁可能导致 PLC 程序异常或 HMI 通信中断。其次,部分老旧设备的厂商已经停止安全更新,企业只能通过网络分段和访问控制来缓解风险。第三,气隙环境(Air-Gapped)限制了补丁的在线分发方式。

Replil 等 OT 专用补丁管理平台正在尝试解决这些问题。通过 OT Patch Sandbox 自动化测试能力,在隔离环境中模拟补丁对工控系统的影响,降低补丁部署导致停机的风险。同时,针对气隙环境提供离线补丁包分发方案,满足关键基础设施的网络隔离要求。

挑战三:安全团队的 OT 技能缺口

IT 安全人员通常不了解 OT 协议(如 Modbus、DNP3、S7comm、OPC UA),而 OT 工程师对网络安全的了解有限。这种技能错位导致安全策略的制定和执行效率不高。一些企业开始通过 Fortinet 的 FortiGate Rugged 系列等支持 OT 协议深度解析的设备,在 IT/OT 边界部署安全策略,降低对人员 OT 专业知识的依赖。

2026 年的几个趋势信号

趋势一:从 OT 安全到 CPS 安全的范式迁移。2025 年,行业分析机构首次发布 CPS 保护平台魔力象限,将工业控制系统、医疗设备、楼宇自动化等统称为"网络物理系统"安全。这个概念的扩展反映了行业对 OT 安全边界的重新认知——安全保护的对象不再是孤立的工控网络,而是所有连接物理世界的数字系统。

趋势二:AI 正在改变攻防两端。攻击侧,AI 降低了针对 OT 环境的攻击门槛,非国家行为者开始将目光投向关键基础设施。防御侧,Claroty 推出了 Claire AI 安全助手,能够基于对 OT 设备的深度理解自动执行安全动作——但它强调的是"约束下的安全",即每个动作都经过设备运行状态校验,避免安全操作本身导致生产中断。

趋势三:合规推力持续加强。IEC 62443、NIS2、NERC CIP 等合规框架对 OT 资产清单的细粒度要求越来越高。企业不仅需要知道"有哪些设备",还需要知道"每个设备运行什么固件版本、是否存在已知漏洞、是否符合安全基线"。这对资产管理和漏洞治理能力提出了更高的要求。

企业应对路径建议

基于以上行业现状,制造企业可以从以下几个方面着手提升 OT 安全水平:

OT 安全建设不是一蹴而就的工程。先建立可见性,再做优先级排序,然后逐步补齐测试能力和自动化水平——这是当下比较务实的路径选择。

本文内容参考 Claroty 2026 年 CPS 安全研究报告、Nozomi Networks OT/IoT 安全报告、IEC 62443 标准文档及行业公开数据撰写。如需了解更多 OT 安全方案,欢迎联系 VISBAT 维思贝特。