近年來，由於攻擊者對客製化系統和遺留系統缺乏了解，營運技術(OT) 網路攻擊相對溫和。但種種跡象表明，攻擊者對工業機器的興趣和攻擊手段正日益增長，他們可能即將對工業機器造成更嚴重的破壞。

十年前，世界似乎正步入一個網路攻擊更危險的新時代。俄羅斯入侵了烏克蘭的電網，以色列和美國破壞了伊朗的一座核子設施。攻擊者將目標對準了水壩和製造工廠，這些網路活動造成了現實世界的後果，有時甚至危及生命。

最終，這種攻擊並未發展成一種趨勢。Orange Cyberdefense 的首席安全工程師 Ric Derbyshire表示，原因在於攻擊者缺乏「流程理解」。即使他們最終成功入侵了關鍵的 OT 系統，也對這些系統一竅不通。

但某些證據表明，這種情況可能不會持續太久。下個月在舊金山舉行的 RSAC 2026 大會上，Derbyshire將發表演講，演示一旦攻擊者掌握了 OT 技術，並開始實施他所謂的“以植物為食”的攻擊，將會造成多麼嚴重的後果。

當今OT網路攻擊現狀

2020年代初期，針對營運技術（OT）系統的網路攻擊激增，其數量級遠超過以往任何時期。然而，這幾乎完全是由基於IT系統的勒索軟體和敲詐勒索攻擊蔓延而來。Derbyshire解釋說：由於多種原因，針對IT的勒索軟體正在影響OT。例如，這可能是由於IT環境內部的融合，導致OT無法脫離IT環境而正常運行。或者，IT或OT安全團隊對安全控製或網絡架構完全缺乏信任，因此他們主動關閉OT系統或切斷連接，以阻止（IT攻擊的）蔓延。就像殖民管道一樣。

當攻擊者偶然入侵關鍵系統時，他們可能懶得利用，或者根本不知道如何充分利用。去年四月發生在挪威西部一座水壩的攻擊就是一個例子。Derbyshire回憶說：「在那次攻擊中，他們找到了連接到互聯網的人機界面（HMI）的默認憑證。他們成功入侵後，只是隨意點擊了一些基本功能。他們使用了運營技術（OT）環境的功能，但使用方式非常粗糙。他們根本沒有了解這個環境的工作原理。這很可怕，他們本來可以做壞事，但最終他們只是沒有壞事。」

相較之下，IT 領域即使是水平高於平均水平的駭客，也對他們所處理的技術非常熟悉，以至於他們只需使用合法的工具和被感染系統的功能即可執行完整的網路攻擊——這種技巧通常被稱為「借力打力」（living-off-the-land, LotL）。

借力打力（Living-off-the-Plant）

在OT環境下，LotL會是什麼樣子？

Derbyshire認為，僅僅了解管道和電線是如何連接的是不夠的，你需要了解整個整體情況。實體過程，運營技術如何在此基礎上進行控制、監控和自動化，網絡架構如何在此基礎上進行，網絡安全控制如何在此基礎上進行，以及人們如何與所有這些進行交互。

拋開概念上的理解，任何特定的營運技術（OT）環境都存在具體細節。企業IT網路鮮有例外，但一個全新的消費品製造廠和一個使用了半世紀的水處理系統看起來卻截然不同。事實上，即使是較老的設施，也可能存在許多難以預測的系統。Derbyshire以他當地的水處理公司為例，解釋說該公司在廣闊的地理區域內擁有多個獨立的設施，這些設施的建設時間各不相同。

有些可能是上世紀80年代的，有些可能是本世紀初的，有些可能是2020年代的，它們的架構會根據當時的最佳方案而有所不同。它們會使用不同時期特定的技術，這些技術可能沒有更新，因此一切都會不一樣。

Derbyshire補充道：僅僅從抽象的技術層面理解職業治療是不夠的，你必須深入了解你想要影響的實體環境是如何運作的。

透過對營運技術 (OT) 工作原理的全面理解，以及對特定 OT 網站運作方式的深入了解，新的威脅載體便會浮出水面，它們可以像 LotL 攻擊滲透 Windows 或 Linux 系統一樣巧妙地融入作業系統。例如，Derbyshire計劃在 RSAC 大會上展示攻擊者如何利用西門子專有的可程式邏輯控制器 (PLC)通訊協定 S7comm 進行攻擊。他將展示攻擊者如何透過操縱 S7comm 中經常被忽略的配置字段，洩露敏感資料並跨裝置發動攻擊。他稱之為「絕對令人費解」。

Derbyshire的論點有一個出人意料的含義，那就是「隱藏式安全」的概念或許仍然適用於OT運營商。因為歸根結底，每個OT網路都是由特定且有時難以預料的過時技術拼湊而成的獨特組合。

Derbyshire認為，絕對不應該依賴隱蔽式安全策略，但它確實可以發揮作用。如果你能讓對手無法了解你的環境，就能讓他們無法確定攻擊將如何成功。這樣一來，他們就會在你的網絡中潛伏更長時間，等待更久，這就能為你爭取更多時間來發現他們，並開始恢復。

另一方面，他警告說，攻擊者可以利用許多資源來更好地了解OT產品，無論是教科書、聊天機器人，甚至是直接從二手市場購買PLC。找到這些冷門的東西仍然需要一些投入或時間，但這從來都不是不可能，而且只會變得越來越容易。他舉例說，2023 年的 CyberAv3ngers 攻擊活動涉及 Unitronics PLC：「OpenAI 發布了一份報告，其中提到，『我們看到這些人與 ChatGPT 通信，（除其他事項外）索要默認用戶名和密碼。』他們開始質疑『這個協議是如何工作的？』也並不奇怪」。