文章总结： 本文提出OT网络安全应从传统基于概率的风险评估转向可信度新框架，该框架通过定性判断攻击场景的合理性，聚焦最坏后果、攻击者动机和技术路径分析。文章强调跨学科协作评估、构建具体攻击场景及优先投资降低后果的防御措施（如网络隔离、备份恢复）的实践路径，以应对国家级APT等低频高影响威胁。 综合评分： 85 文章分类： 解决方案,技术标准,安全建设,威胁情报,漏洞分析

OT网络安全的新思考专题 | 第四篇：OT网络安全新概念——可信度

原创

安帝科技 安帝科技

安帝Andisec

2026年6月23日 11:53 北京

在小说阅读器读本章

去阅读

在工业控制系统（ICS/OT）网络安全领域，风险评估始终是基石。传统的模型依赖于一个经典公式：风险 = 后果 × 可能性。然而，在面对国家支持的高级持续性威胁（APT）或可能造成物理世界毁灭性后果的攻击时，这个模型的局限性日益凸显——“可能性”究竟如何计算？一个从未发生过的事件，其可能性是零吗？

基于工业安全专家Andrew Ginter（Waterfall Security）与Kenneth Titlestad（Omny）的前沿讨论[1][2]，一个名为“可信度”（Credibility）的新概念正在成为应对高端OT安全挑战的更有效思维框架。本文将从概念内涵、比较优势、实践路径三个层面，结合当前行业共识与最佳实践，系统阐述这一概念框架的理论基础与应用价值。

一

何为“可信度”？

“可信度”（Credibility）是一个定性判断，用于评估某个网络攻击场景是否“合理可信”。它并非一个计算出的概率数字，而是一种基于经验、知识和现有证据的专业评估。其核心是回答一个问题：“根据我们所知，相信这种攻击会发生是合理的吗？”这一概念包含几个关键内涵。

（一）后果驱动

评估始于识别最坏情况后果。安全团队首先需要问：“如果关键系统被攻破，最坏能发生什么？（例如，火灾、爆炸、大规模停电、有毒物质泄漏）”，然后再判断导致这种后果的攻击路径是否可信。这一思路与当前行业最佳实践完全一致。文献[4]（AnzenOT, 2026）明确指出：“更佳的起点是：‘如果这个系统被攻破，实际上会发生什么？’——生产影响、安全风险、环境后果、财务损失。”文献[3]（Nozomi Networks）亦强调，在OT环境中风险评估完全聚焦于后果，包括物理安全、环境和运营连续性[3]。

（二）动态演进

威胁的可信度并非一成不变。随着真实事件的发生，原先被视为“理论”的威胁会迅速变为“可信”威胁。例如，在2017年Triton攻击（针对安全仪表系统）发生之前，许多人认为此类攻击可能性极低；但事件发生后，它立即成为一个公认的、可信的极端威胁。文献[5]（Honeywell, 2024）也印证了这一观点：“OT威胁格局不断变化——今天不是问题的事情，明天可能会成为问题”[5]。

（三）关联动机

评估必须考虑攻击者的动机与目标。一个复杂且成本高昂的国家级攻击，针对一个小型市政水务系统可能是不可信的，但针对首都的电网或国防相关设施则是高度可信的。这与文献[4]中强调的“使用行业特定的威胁背景”完全一致：“水厂和汽车工厂的威胁概况、架构和监管压力是不同的。将它们视为可互换的，必然导致通用化的结果。”

二

可信度 vs. 可能性

在高频、低影响的常规事件（如普通勒索软件）中，基于历史数据的“可能性”模型仍然有效。但在低频、高影响的尖端攻击领域，“可信度”提供了更清晰的视角。

| | | | | — | — | — | | 特征 | 可能性（Likelihood） | 可信度（Credibility） | | 本质 | 定量，试图计算一个概率数字。 | 定性，是一种基于专业知识的合理性判断。 | | 基础 | 依赖于历史数据、统计模型，假设事件是随机发生的。 | 依赖于专家判断、威胁情报、事件分析，承认攻击是有意图的。 | | 适用场景 | 高频、低影响的常规事件。 | 低频、高影响的高级/尖端攻击（如国家级的破坏性攻击）。 | | 核心问题 | “这件事发生的统计概率有多大？” | “相信这件事会发生是合理的吗？” | | 局限性 | 对极端事件缺乏数据，计算出的概率无意义或具误导性。 | 是主观判断，不同专家可能意见不同，需留有误差边际。 |

讨论揭示，高端攻击不是随机的。它们由坚定的对手执行，会持续尝试直到成功。因此，对于被盯上的目标，“可能性”概念失效了，而“可信度”更好地捕捉了这种定向性和意志性。

值得特别指出的是，文献[6]（Dale Peterson, 2026）通过“绝对风险降低”与“相对风险降低”的辨析，为这一观点提供了定量层面的支撑。该文以OT微隔离为例指出，即便某安全控制可将攻击造成严重后果的可能性降低80%（相对风险降低），但若OT系统被攻破的年概率仅为0.1%，则其对整体风险的绝对降低仅为0.08%。Peterson进一步指出：“虽然过去二十年来OT系统被攻破的年概率一直维持在0.1%这样的小数字，但这一情况随时可能改变，且我们缺乏可靠数据”[6]。这一分析有力地说明：在低频高影响事件领域，依赖历史概率的决策模型不仅数据匮乏，而且其计算出的“微小概率”极易误导防御资源的配置方向。

三

为何“可信度”更具实践意义？

采纳“可信度”框架，对于提升OT安全水平具有多重意义。

（一）解决数据匮乏难题

对于毁灭性网络事件，幸存的案例极少，缺乏统计基础。“可信度”允许专家在数据缺失的情况下进行有效评估，摆脱了“无法计算故忽略”的陷阱。文献[4]指出：“传统的框架会问‘这次攻击的可能性有多大？’在OT环境中，这往往是最无力的问题。可靠的概率数据非常稀疏，环境独特，威胁活动无法清晰地映射到历史平均值。”

（二）符合攻击的本质

它承认了APT攻击的非随机性，迫使防御者以“假定被入侵”的心态去思考，从而部署更深度的防御策略，如网络隔离、非可黑技术（如单向安全网关）和后果驱动的“皇冠珠宝”保护。

（三）改善与高层的沟通

董事会和高管难以理解“0.001%概率”的含义，但他们深刻理解“问责制”和“不可接受的后果”。用“这是一个可信的威胁，可能导致［灾难性后果］”来沟通，能直接关联到其法律责任和商业责任，更有效地争取资源和支持。文献[4]也强调了这一点：“将风险用业务术语量化——安全谈漏洞，运营谈正常运行时间，财务谈成本和风险敞口。如果你的评估无法桥接这些语言，就无法驱动投资。”

（四）符合国际标准演进

文献[3]在讨论OT与IT风险评估的差异时指出，在OT环境中“你总是在为最糟糕的一天做规划——什么样的灾难性事件可能影响成千上万的人？”[3]这一思路与国际标准IEC 62443-3-2所支持的“仅后果分析”及关注“最坏情况后果”的方法高度一致，标志着行业规范正朝着“可信度”的方向演进。

（五）应对未来威胁

在面对AI赋能攻击等新兴威胁时，基于过去数据的模型会迅速过时。专家讨论[1][2]指出，未来可能出现集成AI、能自主策划并执行物理破坏的自动化攻击工具。“可信度”框架更具适应性，能基于对技术能力的理解来判断新型攻击是否“合理可信”，从而要求部署相应的“合理防御”。

四

如何落地“可信度”评估？

要真正在实践中运用“可信度”这一概念，不能仅停留在理念层面，必须建立一套可操作的评估流程。综合行业专家的最佳实践[3][4][5][6][7]，一个可行的路径是基于场景的跨学科协作评估。

（一）组建跨学科评估小组

正如文献[7]（Joe Weiss, 2026）所强调的，OT网络安全风险评估必须打破工程与网络安全之间的壁垒。Weiss在其发表于《IEEE Computer》杂志2026年6月号的论文《Packets and Process: What Network Security and Engineering Get Wrong About Each Other》（与New Orleans污水与供水委员会CIO Darrell Eilts博士合著）中指出，网络安全的关注点在网络协议和漏洞，而工程师关注的是过程安全、设备容限和操作后果[7]。若不懂物理过程，网络安全评估就无法理解一个漏洞的真正杀伤力。Weiss引用安全工程领域权威Ross Anderson的定义指出，“安全工程是关于构建在恶意行为、错误或意外面前依然保持可信赖的系统”[7]，这一界定本身就超越了单纯防范“可能性”的范畴。

文献[3]也印证了这种多维视角的必要性，其资产风险评分综合了漏洞风险、告警风险、通信风险、设备风险、资产关键性和补偿控制五个因素[3]，这需要不同领域专家的共同输入。

（二）构建并评估具体攻击场景的“可信度”

小组应基于组织的关键业务流程，构建一系列“如果……会怎样？”的场景，包括借鉴已知的真实事件。文献[4]建议“改编真实事件——美国殖民管道（Colonial Pipeline）、Triton、Oldsmar”[4]。对每个场景的可信度进行评估时，需回答以下问题：

1、威胁行为体动机与能力是否匹配？ 攻击者是否有能力、资源和动机对我们实施此类攻击？

2、技术路径是否存在且可利用？ 攻击所依赖的脆弱性（如配置缺陷、协议弱点、物理访问点）是否存在？是否可以被利用来产生所描述的物理后果？文献[7]特别指出，对Modbus、CANBus、DNP3、GOOSE等控制协议的大量讨论聚焦于协议本身的脆弱性，而“对其被攻破后可能导致的安全、可靠性、环境和生产后果，关注则少得多”[7]。

3、现有补偿控制是否足以使其不可信？ 我们部署的纵深防御措施是否能够有效阻断攻击？

在构建场景时，文献[7]提出了一个重要警示：网络安全的传统关注范围存在盲区。该文指出，“当网络事件主要通过网络安全视角来定义时，整个控制系统事件可能会从视野中消失”[7]。文中以2005年3月23日的BP德州炼油厂爆炸为例说明：该事故源于错误的过程测量值导致操作员决策失误，造成灾难性后果，但“防火墙日志和网络监控系统都无法识别导致错误操作决策的故障液位指示”[7]。尽管该事件并非网络攻击所致，但它有力证明了：并非所有会导致物理灾难的操作信息异常都存在于以太网的可观测范围内。传感器级篡改、串行通信操纵、模拟仪表问题以及基于物理的攻击（如Aurora发电机攻击）均可能发生在以太网监控架构之外[7]。这一案例极大地增强了“可信度”评估的现实紧迫性——若评估仅依赖网络可见性，将遗漏一批最可能产生毁灭性后果的场景。

（三）优先投资于降低后果的防御措施

基于最终结果的评估，其最终目的是指导行动。文献[6]提供了一个关键的决策框架：在已将OT系统入侵可能性压至极低的前提下，应优先投资于能够直接降低攻击成功后所造成后果的“合理防御”措施。例如：

强化备份与恢复能力，以加速业务恢复。文献[6]明确指出：“备份、编排以及任何能加速恢复的解决方案，都是明确无误的降低后果的措施。”[6]

部署监测与检测系统，但应明确其首要价值。文献[6]指出，监测与检测在降低后果方面的价值“不太明确，其最强有力的论据在于：这些系统中的数据将通过提供方向和保障来辅助恢复，确保攻击已被根除”[6]。

从工程侧入手，通过工艺设计改进、安全仪表系统（SIS）的合理配置等手段，增强过程本身的物理弹性。文献[7]所引用的Sinclair Koelemij的观点极具启发性：“关键问题不仅在于如何防止入侵，更在于如何在预防措施失效后限制损害”[7]。

通过这些步骤，“可信度”就从一个抽象概念，转化为一个由跨学科团队执行、基于具体场景、并最终指向高价值防御措施的可落地的风险管理框架。

结论

OT网络安全的战场正在演变。防御者面临的不再是概率游戏，而是来自坚定对手的可信威胁。从传统的、数据依赖的“可能性”模型，转向更具洞察力和实效化的“可信度”框架，是一场必要的范式转变。

它迫使安全团队、工程师和管理者聚焦于真正重要的后果，进行更坦诚、更具战略价值的对话，并最终投资于能够真正抵御可信威胁的合理防御措施。文献[3]指出，OT利益相关方“不需要一个数字，只需要向老板展示一条下降的曲线，表明风险随时间在降低，这意味着我们的网络安全项目正在起作用”[3]——而“可信度”框架正是指向这条下降曲线的正确路标。在保障社会关键基础设施安全的使命中，这是一个更成熟、更负责的风险管理之道。

参考文献：

[1]  Waterfall Security. (n.d.). Credibility not likelihood (Episode 140) AudiopodcasttranscriptAudiopodcasttranscript. OT Cybersecurity Insights Center. Retrieved from https://waterfall-security.com/ot-insights-center/ot-cybersecurity-insights-center/credibility-not-likelihood-episode-140/

[2]  Ginter, A., & Titlestad, K. (n.d.). Credibility not likelihood AudiopodcastepisodeAudiopodcastepisode. The Industrial Security Podcast. Retrieved from https://www.spreaker.com/episode/credibility-not-likelihood-the-industrial-security-podcast–66588112

[3]  Nozomi Networks. (n.d.). How do you assess, calculate and prioritize cyber risk in OT? Retrieved from https://www.nozominetworks.com/cybersecurity-faqs/how-do-you-assess-calculate-and-prioritize-cyber-risk-in-ot

[4]  King, S. (2026, February 26). 10 best practices for OT cyber-physical risk assessment. AnzenOT. Retrieved from https://www.linkedin.com/pulse/10-best-practices-ot-cyber-physical-risk-assessment-stuart-king-nsd5f/

[5]  Honeywell. (2024, June). Operational technology (OT) cybersecurity risks: Could that really happen? Retrieved from https://www.honeywell.com/us/en/news/2024/06/could-that-really-happen-operational-technology-cyber-risks

[6]  Peterson, D. (2026, June 2). Absolute and relative risk reduction. Retrieved from https://dale-peterson.com/2026/06/02/absolute-and-relative-risk-reduction/

[7]  Weiss, J. (2026, June 3). Engineering and network security: The missing link in cyber-physical risk management. Control Global. Retrieved from https://www.controlglobal.com/blogs/unfettered/blog/55381500/cyber-physical-security-the-collaboration-between-engineering-and-cybersecurity-disciplines

往期精选

安帝科技丨ANDISEC

北京安帝科技有限公司是新兴的工业网络安全能力供应商，专注于网络化、数字化、智能化背景下的工业网络安全技术、产品、服务的创新研究和实践探索，基于网络空间行为学理论及工业网络系统安全工程方法，围绕工业网络控制系统构建预防、识别、检测、保护、响应、恢复等核心能力优势，为电力、水利、石油石化、轨道交通、烟草、钢铁冶金、智能制造、矿业等关键信息基础设施行业提供安全产品、服务和综合解决方案。坚持IT安全与OT安全融合发展，坚持产品体系的自主可控，全面赋能客户构建“业务应用紧耦合、用户行为强相关、安全风险自适应、网络弹性稳增强”的主动防御和纵深防御相结合的安全保障体系。

点击“在看”鼓励一下吧

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安帝Andisec 安帝科技 安帝科技《OT网络安全的新思考专题 | 第四篇：OT网络安全新概念——可信度》