AI正在改变工业安全：从警报疲劳走向智能答案

2025年5月，美国当局警告称黑客正在针对石油天然气领域的工业控制系统发起攻击。来自CISA、FBI、能源部和环保署的联合警告详细说明了攻击者如何探测监控和数据采集(SCADA)网络，寻找薄弱认证和错误配置的远程连接。

这些攻击并不复杂，但其规模和随之而来的警报洪流令人担忧。安全团队被传感器数据淹没，无法确定哪些警报显示了真正的危险。这一刻清楚地暴露了一个日益严重的困境：旨在保护工业系统的工具产生的噪音多于洞察。

警报疲劳时代

运营技术(OT)环境——运行工厂、电网和管道的工业控制系统——正承受着越来越大的压力，因为今年生效的欧盟NIS2指令收紧了网络风险和事件报告规则。美国CISA的类似指导敦促公用事业公司映射和监控每个连接的资产。然而，他们部署的传感器和系统越多，产生的警报就越多，安全团队的资源就越分散。

Radiflow公司首席执行官Ilan Barda在接受采访时解释说："由于法规、供应链要求和攻击事件的突出报道，人们对OT安全的认识正在快速增长，越来越多的组织正在考虑部署此类解决方案。当中型组织部署这样的解决方案时，他们往往缺乏适当的准备来加固设备和网络，以及调整安全基线，因此部署的工具会产生大量警报。"

这些警报落在分析师身上，而他们经常缺乏深度的OT专业知识。Barda补充说："这些新型警报的处理往往分配给现有的资质较低的团队。"结果形成了一个悖论，IT团队有了更多的可见性但缺少清晰度。许多防护者将时间花在追踪低优先级通知上，同时错过了真正攻击的微妙前兆。

罗克韦尔自动化最近的一份预测很好地抓住了这种紧张关系，指出"在2025年，AI将越来越多地用于OT安全，包括异常检测、行为分析、漏洞管理以及安全自动化和编排。"然而，随着AI深入工业堆栈，专家警告它既是补救措施也是风险。

教AI理解上下文

Barda告诉我："OT安全的主要挑战是被分配处理警报的人员缺乏专业知识。AI可以在两个方面协助安全分析师：一是相关性，旨在回答警报在特定工业环境背景下是否相关的问题。另一个是优先级：在我的特定工业环境背景下，与此警报相关的攻击链的可能业务影响是什么？"

在Radiflow的方法中，算法在每个设施的独特流程上进行训练，然后与公共威胁情报源相关联，以确定哪些异常最重要。Barda说："在每个设施环境上训练并与公共威胁数据相关联的AI工具帮助分析师专注于关键内容。"

Radiflow在今年10月德国IT-SA博览会上发布的新Radiflow360平台应用了这一原理——为中型工业公司统一资产发现、风险分析和异常检测。该平台内置AI分析师助手，反映了使用自动化来消除警报噪音并简化OT安全操作的更广泛转变。

这种转变——从检测一切到理解重要内容——可能使安全既可扩展又可持续。Barda声称，将上下文风险分析与检测相结合可以在资源方面实现"1:10的优化"。但他也警告AI并非完美无缺。"AI工具基于部分和不准确的信息往往会产生幻觉，准确性较低。因此AI发现应该由人来验证，"他说。换句话说，人类专业知识仍然是自动化的调节器。

来自现场的现实检验

对于富士通的网络安全产品经理Martin Hill来说，许多OT系统从未设计为连接到互联网。"它们是为可靠性而建造的，不是为了安全，"他说。"现在，随着组织将这些系统连接到IT网络以提高效率，他们发现了以前不是关注点的漏洞。"

Hill看到了进步，但也看到了差距。"我们看到从被动到主动策略的转变，"他说。公司正在投资网络分段、24/7监控以及符合NIS2和IEC 62443的合规性。但根据Hill的说法，挑战仍然在于"IT和OT群体往往说不同的语言——一个专注于数据，另一个专注于正常运行时间和安全。"

结果是对自动化的谨慎拥抱。"AI有其作用——特别是在监控和异常检测方面——但采用缓慢且不均匀，"他说。"一些组织正在拥抱AI以领先于威胁，而其他组织只在事件发生后才采取行动。这不是关于追逐技术——而是关于以实用、可扩展且与业务优先级一致的方式保护运营。"

双刃剑

AI的矛盾性贯穿整个行业。罗克韦尔自动化网络安全服务全球能力经理Vicky Bruce在2025年9月Solutions Review的评论中说："一方面，它帮助安全团队更早发现威胁、自动化响应并减少停机时间。另一方面，它为网络攻击者提供了发起更有针对性、更有说服力和更具破坏性攻击的工具——通常在几秒钟内。"

与此同时，可见性——任何AI系统的基础——仍然不完整。运营技术网络安全联盟执行董事Tatyana Bolton最近告诉联邦新闻网络："大多数行业还没有进行OT资产清单。所以他们甚至不知道自己拥有什么。"没有这个基线，最聪明的算法也只能做出有根据的猜测。

Barda同意上下文至关重要，但坚持认为进步是可见的。"AI肯定会使OT安全更易管理，为威胁和警报提供更多上下文，使经验较少的分析师能够处理它们，并改进基于风险的警报优先级排序，从而减少所需的SOC资源，"他说。"在可预见的未来，这些工具仍需要人类监督。"

通往韧性之路

跨行业中，从警报到答案的转变正在重塑网络防护者对韧性的思考。AI的承诺不是取代人类分析师，而是帮助他们看到全局——实时链接漏洞、业务影响和运营上下文。

Barda相信这种融合最终将弥合IT和OT之间的历史鸿沟。"OT安全中的AI工具在弥合IT和OT之间的差距方面非常有用，"他说。"这些工具使IT专业人员能够更好地理解OT威胁和警报，并提高OT网络的安全级别。"

不过，前方的道路仍然崎岖。随着成本上升和合规截止日期的临近，AI可能会有所帮助，但它不会知道一切。运行现代生活的系统在保护自身方面正在变得更好，但进步的真正测试可能是人们是否能学会足够信任它们，而不完全交出控制权。

Q&A

Q1：什么是OT安全？为什么现在这么重要？

A：OT（运营技术）安全是指保护工厂、电网、管道等工业控制系统的网络安全。随着欧盟NIS2指令等新法规生效，以及工业系统越来越多地连接到网络，OT安全变得至关重要。这些系统原本为可靠性而非安全性设计，现在面临越来越多的网络威胁。

Q2：AI如何解决OT安全中的警报疲劳问题？

A：AI通过两个关键方面解决警报疲劳：相关性分析和优先级排序。AI工具在每个设施的环境上训练，结合公共威胁情报数据，帮助分析师识别哪些警报真正重要，哪些只是噪音。这样可以将资源优化达到1:10的比例，让经验较少的分析师也能有效处理OT威胁。

Q3：使用AI进行OT安全有什么风险和限制？

A：AI在OT安全中是双刃剑。虽然它能帮助更早发现威胁和自动化响应，但也可能基于不完整信息产生误判。同时，AI工具也为攻击者提供了更强大的攻击手段。因此，AI发现仍需要人类验证，人类专业知识在可预见的未来仍是不可替代的。