黑客越来越多地利用漏洞来入侵关键基础设施系统。IBM X-Force 的数据显示，去年其响应的安全事件中，70%发生在关键基础设施领域，其中超过四分之一是通过漏洞利用实现的。

IBM X-Force 战略威胁分析经理 Michelle Alvarez 表示：“过去一年，我们观察到攻击手段持续转向身份攻击，尤其是在关键基础设施领域。虽然黑客倾向使用被盗凭证直接登录，但鉴于这些系统依赖旧技术、补丁更新滞后，漏洞利用依然是主要入口。”

她补充道：“防御方被大量待修补的漏洞压得喘不过气，黑客自然不会放过这个机会。”

接受CSO调查的其他安全厂商也认同：漏洞问题正严重威胁电力、水务、交通、电信和金融等关键系统的安全。

Huntress 的安全运营高级经理 Dray Agha 指出：“如今黑客越来越依赖漏洞利用来快速、悄无声息地入侵系统。钓鱼和盗号依旧常见，但我们看到越来越多攻击先瞄准身份，再渗透到基础设施。”

应用安全测试公司 Sparrow 的首席运营官 James Lei 补充：“黑客策略已发生转变，不再局限于钓鱼或凭证填充等老套手段，而是将矛头指向那些本不该暴露于互联网的系统漏洞。”

VPN、防火墙、老旧 Web 服务器若未及时打补丁或仍运行过时固件，都是热门入口。不安全的物联网设备与工业控制系统（OT）也日益成为攻击目标。

Barrier Networks 董事总经理 Ian McGowan 指出：“大多数关键基础设施攻击并非利用高深的 0day 技术，而是简单粗暴地攻击那些我们日常运维难以管好的基本问题。”

Censys 威胁研究员 Himaja Motheram 也表示：“虽然传统软件漏洞仍在被利用，但关键问题在于大量暴露在公网、缺乏访问控制的关键系统，这才是真正的威胁。”

Sparrow 的 Lei 更指出，许多水处理系统、医疗影像系统甚至没有启用身份认证，或仍使用默认/弱口令：“这种情况下黑客根本不需要漏洞，只要登录就能控制系统。”

“问题的根源不仅是某类漏洞，而是系统性暴露和敏感系统可轻易被接入，这些系统根本不该直接暴露于网络。”

IBM X-Force 发现，去年暗网上被提及最多的 10 个 CVE 漏洞中，有 4 个与国家支持的攻击组织相关。这些漏洞利用代码在多个论坛上被广泛交易，成为攻击电网、医疗网络和工业系统的新武器。

报告指出，财政动机驱动的黑客与国家级黑客之间的信息共享现象愈发明显，这也说明企业应加强暗网监测，将其纳入补丁管理策略的一部分，以便提前识别潜在威胁。

被 IBM 点名的 10 个漏洞中，有一半影响边缘设备，且全部被列入了美国 CISA 的“已知被利用漏洞（KEV）”目录。

Tenable 高级研究工程师 Scott Caveza 解释道：“这些设备往往承担关键任务，维护需要停机计划，因此即使暴露高危漏洞，也往往难以及时打补丁。”

黑客还会瞄准老旧操作系统和工业控制系统中的漏洞，这些系统通常因为停机代价高，补丁更新周期极长，是理想的攻击目标。

IBM 的 Alvarez 指出：“这些系统一旦被入侵，黑客就有可能接管关键控制，干扰或破坏基础服务运行。”

攻击关键基础设施的案例正快速累积，许多攻击都通过漏洞利用实现初始渗透。

例如，2024 年 2 月，美国政府警告称，中国国家支持的黑客组织已入侵多个关键基础设施网络，涵盖通信、能源、交通和水务等领域，且维持了长时间的潜伏访问。

这些攻击由“Volt Typhoon”组织主导，常通过 Fortinet、Citrix、Cisco 等厂商的网络设备漏洞实现初始突破。

美国情报机构警告称，Volt Typhoon 正在为一旦中美发生重大冲突时实施“瘫痪打击”做准备。

2023 年 6 月的 MOVEit Transfer 零日漏洞事件就是经典的供应链攻击案例，多个医疗与政府系统遭遇勒索攻击。

另一个案例是 CyberAv3ngers 在 2023–2024 年间对美国水务系统的攻击。该组织与伊朗伊斯兰革命卫队（IRGC）有关，攻击目标是广泛部署的 Unitronics 可编程逻辑控制器（PLCs）。

Trend Micro 产品管理总监 Bharat Mistry 指出：“他们通过暴露的接口与薄弱配置入侵系统，篡改人机界面，甚至在德州一起事件中远程操控了水泵和警报器。”

CyberArk 的安全研究员 Andy Thompson 指出，当前对关键基础设施最大的威胁是可用性的破坏，2021 年“Colonial Pipeline”勒索事件就是典型。

该事件最初因 VPN 凭证被盗引发，但漏洞未及时修补、缺乏多因素认证，才导致攻击快速升级。最终影响东海岸燃油供应，造成恐慌性抢购和严重油荒。

面对不断升级的威胁局势，专家呼吁，防守方必须改变应对策略。

Armis 欧洲网络风险官 Andy Norton 认为：“传统安全方法已无法应对现代攻击风险。老旧的点状产品和孤立的安全机制无法防御如今高度复杂、AI 驱动的攻击模式。但很多组织还未适应这种变化。”

他强调：“组织应摒弃‘出了事再修补’的思维，转向以预防为主的安全架构，从源头消除漏洞风险。”

IBM 全球网络安全服务合伙人 Mark Hughes 补充："企业需要跳出临时防护心态，更加注重前置防御措施，比如加强认证管理、补齐 MFA 漏洞、开展实时威胁狩猎，尽早发现潜伏攻击。"