paloalto2026 年情报驱动的主动防御报告

与 目录来自合作伙伴的声音 3认识作者 3执行摘要 4简介 55G威胁形势 6暴露在互联网上的容器 6发现 7网络分析基础 9哪些优势吗？ 9发现 10PrecursorTechniqueFamilies 10将检测特征映射到MITRE11威胁检测事件和特征映射 11低容量技术 12TTP制利用攻击链估算器进行预测分析 13修订d过渡 13预测攻击链描述 14连接OT-SOC框架的桥梁 15框架 16要点 16连贯而有弹性的业务安全交付 1718融会贯通19结语从可见性到弹性主动防御 20数据方法 21暴露于互联网的设备 21基于签名的遥测 21分析制约因素 21分析偏差 21关于爱达荷国家实验室 22关于22关于西门子 22来自合作伙伴的声音"PaloAdamRobbie"Palo我要感谢每一位主要作者的奉献精神和合作精神，感谢他们编写了这本有意义的tokT作OT威胁研究指南"。我要感谢每一位主要作者的奉献精神和合作精神，感谢他们编写了这本有意义的OT安全研究的一次有意义界工业限制因素的安全策略。的运行现实，其中可用性、安全性和O统合作，我们旨在帮助更广泛的社区更好地了解当今的OT的界工业限制因素的安全策略。ScottBowman，爱达荷国家实验室网络物理系统技术负责人作重点是将严格的、由政府资""作重点是将严格的、由政府资""OT实相结合。这项工作中分享的分析O产所系统运营商和网络安全专业人在OT而在破坏性或不安全结果发生之前，OT认识作者PaloAltoNetworks团队认识作者AdamRobbieYihengAnMatthewTennisCeciliaHu刘芳RickWyble

西门子团队PriyanjanSharma蒂罗-平克特高拉夫-斯里瓦斯塔瓦马丁-奥托EnricoLovat

INL团队斯科特-鲍曼詹姆斯-切尔科夫尼克萨姆-法南阿莉西亚-霍纳斯执行摘要将保卫战延伸到边缘。在OT环境中，防守就是时间，而边缘为您留住了时间。PaloAltoNetworks、SiemensIdahoNationalLaboratory(INL)OT环境61,00020OT环境之前就已出现并持续存在，从而为检测和破坏创造了一个可衡量的窗口期。根据爱达荷国家实验室的运营技术环境网络安全（CyOTE™）报告，我们的研究表明，82.8%的敌方活动发生在长时间的前驱阶段，远在运营影响实现之前，平均停留时间为185天。这个天数表明，如果防御者有效地集中力量，在早期敌方活动和OT影响之间存在着有意义的时间，可以用来降低风险。OT设备和332%2000OT表明，70%OTIT环境，在到达工业资产之前会穿越网络边界。综上所述，这些研究结果表明，早期敌对活动在OT影响的上游就会显现出来，并保持足够长的观察时间，以便进行干预：利用以边缘为重点的威胁情报，了解对手的活动与OT风险的相关性。威胁情报可提供对暴露的组织确定检测和监控的优先级。应用预测分析来预测对手活动可能的进展方向。最有效的地方。启用边缘驱动的OT-SOC功能，实现主动防御。结合，OT-SOC可以在安全、可用性或运营连续性受到影响之前，在前兆阶段进行干预并破坏攻击。国国家实验室共同研究了loAtoNtrk实验室和爱达荷

OT）安全方面PaloAltoNetworks防火墙和产品遥测提供了对观察到的攻击面和安全相关活动的大规模洞察。长期行为和趋势。CyOTE分析进行的历史威胁状况研究可识别对手的西门子贡献了他们在OT-SOC管理服务和最佳实践方面的知识和技能。 O限

在OT环境中进行检测心的安全模式，能够应对与OT相关的独特风险。

IT 议相关的安全活OOT联网直接访问的，享现预测、预防御，于未然。研议相关的安全活OOT(CVE)、PaloCyOTE20测数据。当前数据包括威胁防御签名、被利用的常见漏洞和暴202461,000OT防火墙的遥NetworksWildFire(CVE)、PaloCyOTE20测数据。当前数据包括威胁防御签名、被利用的常见漏洞和暴

简介引向边缘 "将战"的必要性，特别是在最有可能观察到这些早期活动的网络执行点，如防火墙。但是，仅工业流程的影响是基于方络的遥很技术部分供有发暴露服务和前兆威高度为要信简介引向边缘 "将战"的必要性，特别是在最有可能观察到这些早期活动的网络执行点，如防火墙。范围内范围内实施并以调能见度和探测而不进行直接互动，与之相比，主动防御战略--OT系统的风险。O-COT系统的风险。Unit42的。环境的互联性OOTPaloAlto通过分析外部暴露和内部ITT环境的互联性OOTPaloAltoOTOTCortexXpanse®在互联网上观察到的与OTloAtoNtrkOTOT暴露在互联网上的容器rtxXas议我们的团队提供了有关其

工业网络设备和系统。2

OT设备指的是设备、服务、5G威胁形势rtxXas、IP4Iv枚务器地图。收集、转换和分析P表明，威胁行为者很容易利用OT5G威胁形势在本分析中，我们不区分故意配置为暴露于互联网的设备和服务与无意暴露于互联网的设备和服务。设备衡量标2otxpanse对接入互联网的OT设备进行了超过1.1亿次观测，比2023年增长了138%3

41960OT2023332%177万个IPv4地址上，比2023年增加了1960OT2023332%688,840655,036631,112488,609419,06819,633,628杭州曼谷独特的设备米兰新加坡理查森伦敦东京阿什伯恩悉尼深圳法兰克福北京按独特OT设备划分的城市4,467,6223,650,7351,001,970957,445922,598658,363521,700518,552487,971450,888427,283402,615加拿大西班牙香港巴西意大利新加坡英国日本澳大利亚德国中国美国按独特OT设备分列的国家图1.2024年1960万台独特OT设备的地理分布情况TridiumNiagaraOT2通空调和其他系统连接TridiumNiagaraOT4,298,9111,860,834710,019525,840392,912328,368156,5234,298,9111,860,834710,019525,840392,912328,368156,523135,25366,081SIMATICS7触摸控制-耶格尔EcoStruxureBuilding...WAGOKontakttechnikWAGOKontakttech...西门子XL网络控制器智能触摸人...霍金韦尔施耐德电气0MVu楼宇自动化NicheStack网络服务器运营商InterNicheTechnol...Miniserver智能家居工业控西门子网络服务器TracerSC燃油监控系富兰克林电动加油系统洛酮子菲德尔克斯1MSIMATICioLogik网络服务器西门子监控系统Optergy网络服务器Optergy莫克分布式控制系统2MAvigilon公司数字电ABBTLS-4XX-3M系列SunnyWebBox数据记录器维德特WebCTRL自动逻辑SMA太阳能不安全Saia4百万电子合并记录计数产品加拉制造商线性500万oos4513观测到的设备总体呈上升趋势3显示了每月独特的OT而有到222观测到的设备总体呈上升趋势TCP4显示了被确认为OTTCP5011与通过 的Niagara平台连接相关。认端口。1911Fox协议，TCP7UDP47808BACnet5011与通过 的Niagara平台连接相关。认端口。1911Fox协议，TCP7UDP47808BACnet

2月 3月 42月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月1月150万100万4.0M13503.0M250万2.0M141,21199,45886,54866,30352,21944,10342,05030,15320,910详细的OT端口列表443808443501150280801614780849113011448188090444444381100018081232110443800020256240496008888308,8843011203,193166,1944911160,29447808914,087141,211161139,0275028080十大加时赛端口99,45844380844350111,969,656的服T的服T3加拉是最常被观察OT的港口中排名第一。这一估计与尼是所观察到的大部分暴露于互联网的OT新安装34517252(OSINT)，我们组建了一个跨越多个工业部门和地理区域的多样化语料库。通过使用公开20-202227OT环境的网络事件的数据集（5(OSINT)，我们组建了一个跨越多个工业部门和地理区域的多样化语料库。2020202020152010攻击年份20052000WannaCry殖民埃坎斯RyukNotPetyaJBSS.A.PEMEX挪威海德鲁公司Conti新合作社海福克斯ConfickerBTC堪萨斯州水孟买SQLSlammer沙2蒂森克虏伯钢厂控克SolarWinds：Nonransom攻击赎金攻击图5.2000-2022年影响OT的高曝光率网络攻击哪些优势吗？所有观测指标都按照MITREATT&CK®forICS框架进行了归一化处理，并通过CyOTE分析进行了基础基

数据集并非旨在详尽无遗地普查OT网络事件。相反，它是近实时分析和决策支持的OT网络分析基础OT网络分析基础有关有关ACE和其他CyOTE工具的更多信息，请访问INL。2026年情报驱动的主动防御报告 9通过将公共网络事件数据与MITREATT&CK的ICS映射，我们可以量化攻击者最常使用的对抗技术和行为序列。CyOTE研究旨在将网络攻击过程概括为三个阶段：前体阶段：在攻击过程中，对手正在采取行动，但目标组织尚未采取应对措施。触发事件阶段：当一系列可观测事件被定性为异常，且目标组织确定这些可观测事件与对手行为（而非系统故障）有关，需要采取网络安全应对措施时。触发事件后阶段：对手在触发事件后如何继续行动，以及目标组织如何应对。CyOTEOT知的对手行为。后果事件发生。它是以威胁为依据的主动防御措施的基础，既能加强战略风险管理，又能加强行动准备。事件，涵盖 430个前兆可观事件，涵盖 430个前兆可观在这27起事件中，我们编目了14039个可观测 ，其中82.8%发生在高后果事13种独特技术，其中205个可观测事件被归类为高度可感知事件。8察事件并将其流传这些发现强调了一个值得注意和令人鼓舞的观点。也就是说，从理论上讲，大相关搜索），以检测这SE察事件并将其流传PrecursorTechniqueFamilies这些数据突出显示了五个主要的前体技术系列：通过脚本执行通过本地应用程序接口执行(C2)通过远程系统发现在这些活动中，CLIAPI在这些活动中，CLIAPI

9PowerShellPowerShell5.0Windows日志转发到SE9PowerShellPowerShell5.0INLOTsr35月2026年情报驱动的主动防御报告 10OTApp-ID类可识别穿越防火墙的现在，我们将重点转向网络安全设备观察到的与工业应用流量相关的威胁检测事件。基于OTApp-ID类可识别穿越防火墙的25%20%15%10%5%伪装0%远程服务0.03%点和标签识别0.03%窃取业务信息0.04%命令行界面0.32%标准应用层协议0.09%0.47%拒绝服务3.48%网络连接枚举利用面向公众的漏洞应用17.89%远程系统信息发现21.84%21.31%本地系统数据窃取24.80%暴力攻击25%20%15%10%5%伪装0%远程服务0.03%点和标签识别0.03%窃取业务信息0.04%命令行界面0.32%标准应用层协议0.09%0.47%拒绝服务3.48%网络连接枚举利用面向公众的漏洞应用17.89%远程系统信息发现21.84%21.31%本地系统数据窃取24.80%暴力攻击未经授权的命令信息由于这些检测来自基于网络的0行动影响或所涉及的具体工业资产。成功利用、10假设，图6MTEA&K了观察到的(I)述维力业控制系统的威胁情景产生影响。如何对涉及工10威胁检测事件和特征映射您将看到更多的背景信息，以及对每种战术、以下技术和相应的签名映射不是1:1您将看到更多的背景信息，以及对每种战术、蛮力(EnterpriseT1110)

图6.从OT网络内检测到的特征中映射出的顶级TTP为者希望获取有效的账户凭证作为访问手段。针对SSSTP行为者希望获取有效的账户凭证作为访问手段。负"负""技术，它代表了向控制设备发出指令的能力。具体来说，请求的尝试。

DNP3等SCADA协议发送未经授权的命令信息和写入将将e421数据来自本地系统（ICST0846）现场设备读取配置和控制值的尝试。SCADA远程系统信息发现（ICST0846）和网络连接枚举（ICST0844）这些技术共同体现了网络制图和侦察的能力。该功能与以下签名相关联：Nmap类型的活动。RPCPortmapper请求。尝试远程访问，收集系统和配置信息。Windows服务和网络共享的专用工具。影影响远程代码执行IT拒绝服务（

(RCE)缺陷、跨站脚本(XSS)和目录遍历尝试。ICST0833）SSIP、DNSHTTP/2低容量技术其余的技术都是在较小的体积下观察到的：C2标准应用层协议（ICST0874C2及请求头中ICS3）：HTTP流量中嵌入的恶意有效载荷以设备签识别（IS88Modbus设备识别件传输的签名ICS0890）：FTPREST命令进行规避性文的连接。（ICST0865）：ICCP协议建立HTTP响应流量中的规避技术。伪装（ICST0822）：HTTP响应流量中的规避技术。MITREATT&CKTTPMITREATT&CK的到的事件以(C)MITREATT&CKTTPMITREATT&CK的CPOTTTPACENIETK的ISTTPsACE中的一个微服务，它可以确定反复出现的起点初始访问技术。确定反复出现的结束状态影响技术。从选定的初始访问技术中生成前向攻击链。从选定的影响技术中生成反向攻击链。OTOTEOTOT

ACE为您提供主动能力，。 概率概率A性见解时，必须了解该模型是如何开发的以及它代表了什么。ACE的过渡告质量方面差异很大。因此2报自身的业务环境加以完善和调整。

实践中，ACE提供了一个以数据为依据的起点，各组织可以根据史的攻击链模式如何与商业检测技术相辅相成TRL）4级，正在考虑未来的技术转让。为了探索基于历一A重要。该工具是美国能源部下属爱达荷国家实验室开发的和西门子启动了首次联合分析，作为这项研究工O史的攻击链模式如何与商业检测技术相辅相成TRL）4级，正在考虑未来的技术转让。为了探索基于历TACE派生的转换概率的一致性。型概述了最可能的后续行为。最后，最右边一栏确定了每个""渡模表1.探测遥测和预测分析TET据预测分析(CyOTEACE)*顶级技术攻击链第步攻击链第2步攻击链第3步冲击技术暴力攻击：凭据访问T0859）T0886）T0867T08265个9的可用性T0855T0864T0822操纵控制T0882T0829失去视野*研究结果来自历史和观察数据。适用性和结果可能因环境而异。预测攻击链描述1。ACE马尔科夫前兆行为，以及为什A安全战略和分析更加成熟。OT的网络路径1：基于证书的横向流动和业务关闭用性损失（T0826），表示受控流程中断或关键运行时资产瘫痪。攻击链会通过远程服务（T0886）和侧向工具传输（T0867）继续发展。该序列的建模最终状态是可路径2：通过外部和瞬态访问直接操纵流程网络资产（T0864）时触发。ACE模型估计，一旦建立了这个立足点，对手就会绕过传统的IT侦查，该路径说明了从初始访问到流程干扰的高速升级过程。检测到外部远程服务（T0822）或引入瞬时此非授权令信息(05控制（T0831）用性损失（T0826），表示受控流程中断或关键运行时资产瘫痪。攻击链会通过远程服务（T0886）和侧向工具传输（T0867）继续发展。该序列的建模最终状态是可路径2：通过外部和瞬态访问直接操纵流程网络资产（T0864）时触发。ACE模型估计，一旦建立了这个立足点，对手就会绕过传统的IT侦查，该路径说明了从初始访问到流程干扰的高速升级过程。检测到外部远程服务（T0822）或引入瞬时此非授权令信息(05控制（T0831）T0859路径3：行动间谍和盲目控制T0882T0813）结束，即敌方成功阻止合法操作员的命令，导致设施无法监控和管理。集有助于窃本地系统数据(T03)可绝控制（拒绝查看（T0815）和丢失查看（T0829）T0882T0813）结束，即敌方成功阻止合法操作员的命令，导致设施无法监控和管理。连接OT-SOC框架的桥梁通过CTloAloNtrk的保护性行动，需要针对工业环境量身定制的组织能力、流程和技术。。然而，要将早期可见性转化为通过将防御架构与前兆活动相结合，该研究弥补了威胁洞察与可操作OT对手的行为。的模式PlltewrsO-通过将防御架构与前兆活动相结合，该研究弥补了威胁洞察与可操作OT对手的行为。OT-SOC框架提供了这种能力。okiOT-SOC框架提供了这种能力。C

声誉和信任。ITSOCITSOC

SOC可以保护人的生命，确保生产的连续性，并维护企业的OT-SOC框架OT-SOC框架SOCIMSSSOCIMSS效探测威胁OT与企业SOCITOT攻击。路线图务实的分阶段方法：›遭受攻击在有限的厂区进行基线和试点SOC。›OT›遭受攻击在有限的厂区进行基线和试点SOC。›OTIT›遭受攻击成熟到自动化、人工智能分析和跨站威胁搜索。关键绩效SLAOTCERT持续改进事故后审查SOC-SOCSOCOT-SOC问责制OT-SOC责任OT-SOC问责制OT-SOC责任连贯而有弹性的业务安全交付IT-SOCRes.IT-SOCRes.7-IT-SOCRes.IT-SOCRes.深度数据日志背景信息。衡量/深度数据日志背景信息。衡量/关键绩效指标、ITOT传输状态、防火墙允许/拒绝事件、文件传输活动完整性检查、NTPT间的完整性SLAMTTDMTTR、三级业务 用服务日志收集备份和、OTIDS传感二级控制本地历史记录、批处理/配方服务器、OPC网络分路/协议传感器和执行器I/O、OT-SOC持续改进周期--政策和程序审查的常和百分比以及D、录收集和远程访问和配置变更问责制横向移动以及补丁或配置篡改管理设、转发日志摄取、日期件升级的MTTD、OT一起演练ITterprise安全环境、OT曝光前的IT/En(EDR)IT/OT口SOCDMZ3.54/5级企业 服务 被动服务 主动式 合规性 恢复0/1级业务有效的纵深防御：合规性业务调整安全第一逻辑变逻辑变S5SIEMSOARIT/OT威胁至关重要。职能之间通过建立高保真警报的结构化双向移和关联-OISC分层结构可实现安全的事件联合SITTIT/OT威胁至关重要。IT/OTSOC-SOC服务类别--7IT/OTSOC-SOC服务类别----MTTDMTTRSLA通过应用OT-SOC框架，组织可以在以下方面提高绩效：通过离线备持续的复原力。业网络Roadmap进加强下一个阶段：变-们的路线图可确保早期务优先级的深思熟虑的持续改进加强下一个阶段：立分通过开展基线安盘点或开始建

--最好是通过--工厂的非关键部分进行受控试点让团队在不危及运营的情况下证明价值、测试--工作流程并完善方法。IT-SOC站威胁猎杀SA遭区域部署SE(ISIT-SOC站威胁猎杀SA-O持续增OT-SOC功能可通过使用一种分两个阶段、以威胁为导向的方法，得出了优化OT日志收集的策略。然P"TTP的检测要求"MT&KTs然P"TTP的检测要求系统的日志最大限度HistorianHMISCADA服务器以及跳转主机/备用主机等PocoIpg系统的日志最大限度HistorianHMISCADA服务器以及跳转主机/备用主机等产进行详尽的收集。

SOC对最有可能发生的端到端攻击序列的检测范围，而无需对所有资融会贯通：融会贯通：