关键基础设施遭受攻击：从乌克兰电网战争看工业IT/OT安全

战争从不局限于战场。自2022年俄罗斯全面入侵乌克兰以来，遭受最持续攻击的目标不是军事基地或武器库，而是能源基础设施——变电站、天然气管道、发电厂和输电线路被导弹、无人机和网络攻击反复打击，目标是冻结平民生活，瓦解关键系统。

对乌克兰以外的安全专业人员来说，将这视为遥远的地缘政治问题很有诱惑力。但现实并非如此。攻击乌克兰电网使用的技术——鱼叉式网络钓鱼、凭据窃取、SCADA操控、擦除器恶意软件——具有普遍适用性。这些技术已被改造并用于欧洲、中东和东南亚能源基础设施的攻击。如果您的组织运营工业控制系统、SCADA环境或任何IT/OT融合网络，乌克兰的攻击剧本就是您的威胁模型。

本文梳理乌克兰电网十年攻击史的实战教训，并结合中国等保2.0和关键信息基础设施安全保护条例，提供可落地的SOC和ICS安全行动建议。

中国企业的监管背景：等保2.0与关键信息基础设施保护

进入正题之前，先梳理中国企业面临的监管环境。

网络安全等级保护2.0（等保2.0） 即GB/T 22239-2019，于2019年正式实施。对于工业控制系统，等保三级及以上要求企业实现安全区域边界防护、安全计算环境、集中管理等控制措施。工业控制系统安全扩展要求（附录）专门规定了针对SCADA、DCS、PLC环境的安全技术和管理要求，包括工业协议审计、工控网络隔离和工控设备漏洞管理。

关键信息基础设施安全保护条例（2021年） 进一步明确了能源、交通、水利、金融、公共服务、电子政务等领域关键信息基础设施运营者的义务，包括：年度安全检测评估、重大网络安全事件24小时内向公安部报告、以及供应链安全审查要求。

工业互联网安全框架 由工业和信息化部发布，专门针对工厂智能化、工业互联网场景中的OT安全，强调IT/OT融合环境下的纵深防御和态势感知能力建设。

中国工业企业面临的核心挑战与乌克兰电力公司如出一辙：IT安全基础相对完善，但OT环境的日志收集、监控覆盖和应急响应能力严重不足。乌克兰的教训清晰表明，这一空白对任何攻击者都是可利用的漏洞，不仅限于国家级威胁。

十年攻击史：乌克兰电网作为真实实验场

2015年——史上首次网络攻击导致实体断电

2015年12月23日，攻击者远程访问乌克兰三家电力分销公司的控制系统，手动触发基辅和伊万诺-弗兰科夫斯克地区约30个变电站的断路器，超过20万用户断电。攻击者使用BlackEnergy恶意软件，通过针对Windows系统的鱼叉式网络钓鱼邮件投递，随后从IT网络横向渗透到隔离不足的ICS环境。

Sandworm组织还对一家公用事业公司的客服中心发起DoS攻击，阻断协调响应——这一细节揭示此次攻击的目标与其说是物理破坏，不如说是瘫痪和心理冲击。

所用手法并不复杂。 凭据复用、长期侦察，以及作为"刻意例外"为供应商远程访问设置的SSH隧道，共同构成了攻击入口。

2016年——Industroyer：直接操控工业协议的恶意软件

2016年12月，同一攻击组织部署了Industroyer（又称CRASHOVERRIDE）——史上首个能以原生工业控制协议通信的恶意软件，支持IEC 101、IEC 104、IEC 61850和OPC DA。它无需通过操作员的SCADA界面即可直接操控远程断路器。配套的擦除器组件删除了固件和配置数据，将恢复时间从数小时延长至数周。

关键不在于2016年攻击的规模，而在于它展示的能力。 理解工业协议的恶意软件是可复用的攻击基础设施，可以针对全球任何使用相同设备的设施重新部署。

2022年至2025年——消耗战与威胁地理扩散

2022年2月全面入侵后，攻击从精准打击转向消耗战模式。实物导弹无人机打击与持续网络攻击相结合，乌克兰发电能力从战前约38GW降至2024年中期的12GW。

2025年12月，Electrum威胁组织——即2015年和2016年乌克兰攻击的幕后黑手——攻击了波兰的分布式能源资源（DER）基础设施。这是有记录以来首次直接针对风力发电、太阳能和热电联产资产的大规模网络攻击，造成多个站点视图丢失、控制丧失和拒绝服务状态。

战略含义不言而喻： 攻击者已从集中式SCADA系统演进到攻击电网分布式边缘，那里的安全控制更弱、补丁周期更长、可见性更低。

适用于所有工业环境的五大教训

教训一：边界防护远远不够

2015年的攻击者通过鱼叉式钓鱼邮件入侵——与大多数企业网络攻击的初始入侵路径完全相同。进入IT网络后，由于IT/OT隔离不当，他们得以横向移动到OT环境。当攻击者持有合法凭据时，互联网边界防火墙毫无作用。

SOC团队的应对措施： 采用"假设已被攻破"的安全姿态。关键问题不是攻击者能否进入，而是您是否能在IT到OT的横向移动产生运营影响之前检测到它。SIEM必须对两个环境都有可见性，检测逻辑必须对ICS相邻系统的异常访问进行标记，即使使用的是合法凭据。

教训二：IT/OT融合带来共担风险

现代工业环境中，SCADA、PLC和HMI越来越多地与IT网络连接，用于监控、远程访问和ERP集成。这种融合在业务上必要——同时也是乌克兰公用事业公司脆弱的根本原因。为供应商远程访问设置的"刻意例外"SSH隧道成了攻击入口。

SOC团队的应对措施： 进入OT环境的每条合法远程访问路径都是潜在攻击载体。必须对这些路径进行日志记录、监控并设置行为告警。固件变更、异常SCADA登录和带外ICS协议流量都是高价值检测信号。

教训三：协议感知检测不可或缺

Industroyer成功的原因在于它使用了合法SCADA系统所用的相同协议——IEC 104、Modbus、DNP3。标准IT安全工具无法区分恶意ICS流量和正常ICS流量，因为它们不理解这些协议。

SOC团队的应对措施： ICS/OT环境需要OT专用检测能力——能原生解析工业协议的专用OT监控工具，或针对PLC日志、HMI事件流和SCADA审计记录异常模式构建的定制Wazuh解码器。通用SIEM规则不够用。

教训四：恢复能力是安全控制手段

在2015年和2016年的两次攻击中，乌克兰操作员不得不进行人工操作——驾车前往变电站手动合闸——因为远程恢复被攻击者封堵。2016年的擦除器组件删除了固件和配置数据，将恢复时间从数小时延长至数周。

SOC团队的应对措施： OT环境的事件响应计划必须包含离线恢复程序。ICS配置、固件镜像和网络拓扑文档应离线存储、定期针对恢复场景进行测试，并确保OT人员在主动攻击期间无需IT支持也能访问和执行。

教训五：攻击者的适应速度快于防御方的补丁

2025年12月对波兰DER基础设施的攻击是攻击者演进的最有力证据。在摸清集中式SCADA环境的防御后，Electrum组织转向攻击安全态势薄弱的边缘目标——小型可再生能源资产、边缘控制器，那里的监控覆盖几乎为零。

SOC团队的应对措施： 威胁导向防御需要追踪攻击者的演进，而不仅仅是响应过去的事件。订阅ICS专项威胁情报——Dragos WorldView、CISA ICS公告、CERT/CC工控公告——并将新兴TTP定期映射到自身资产清单，现已成为基础实践。

将攻击链映射到MITRE ATT&CK for ICS

flowchart TD
    A["初始访问\n鱼叉钓鱼 / 凭据窃取\nMITRE T0817, T0886"] --> B["执行\nBlackEnergy / Industroyer\n部署到IT端点\nMITRE T0853"]
    B --> C["横向移动\n经未监控远程访问\nIT到OT渗透\nMITRE T0812"]
    C --> D["信息收集\nOT网络侦察\nSCADA拓扑映射\nMITRE T0840, T0888"]
    D --> E["抑制响应\n客服中心DoS\nICS固件擦除\nMITRE T0804, T0838"]
    E --> F["影响\n断路器操控\n电网断电\nMITRE T0831"]
    A -.->|"Wazuh端点\n和邮件规则"| G["SOC检测层"]
    C -.->|"OpenSearch\n横向移动告警"| G
    D -.->|"定制ICS\n解码器规则"| G
    F -.->|"DFIR-IRIS\n自动创建案例"| H["事件响应\nDFIR-IRIS + Shuffle SOAR"]
    G --> H