Hệ thống điều khiển công nghiệp (ICS) tiếp tục phải đối mặt với những thách thức an ninh mạng ngày càng gia tăng. Các tác nhân đe dọa sử dụng các script độc hại và chiến dịch lừa đảo tinh vi để nhắm mục tiêu vào cơ sở hạ tầng quan trọng, tạo ra những mối đe dọa mạng phức tạp cho hoạt động vận hành. Theo dữ liệu mới từ Quý 2 năm 2025, trong khi tỷ lệ tấn công tổng thể có dấu hiệu giảm nhẹ, các vector tấn công cụ thể như tấn công qua email và tài liệu độc hại đang gia tăng mạnh mẽ.
Những cuộc tấn công này đặc biệt nhắm vào các môi trường công nghiệp, nơi các hệ thống thường kém linh hoạt trong việc cập nhật bảo mật.
Hiện trạng An ninh mạng ICS trong Quý 2/2025
Dữ liệu cảnh quan an ninh mạng mới nhất từ Kaspersky cho thấy 20.5% máy tính ICS đã bị chặn các đối tượng độc hại trong Quý 2 năm 2025. Con số này đại diện cho sự giảm 1.4 điểm phần trăm so với quý trước và giảm 3.0 điểm phần trăm so với Quý 2 năm 2024. Mặc dù có vẻ như tình hình bảo mật tổng thể đã được cải thiện, sự phân bố của các mối đe dọa lại rất không đồng đều trên các khu vực toàn cầu.
Châu Phi ghi nhận tỷ lệ tấn công cao nhất ở mức 27.8%, trong khi Bắc Âu chỉ ở mức 11.2%. Sự chênh lệch khu vực này nhấn mạnh tính phức tạp của các thách thức an ninh mạng ICS. Các yếu tố địa chính trị, mức độ trưởng thành của cơ sở hạ tầng và mức đầu tư vào an ninh mạng đều ảnh hưởng đáng kể đến mức độ phơi nhiễm lỗ hổng.
Trong các ngành dọc, lĩnh vực sinh trắc học nổi lên là ngành bị nhắm mục tiêu nhiều nhất. Ngành này dẫn đầu bảng xếp hạng về số lượng máy tính ICS bị chặn đối tượng độc hại. Các ngành sản xuất truyền thống và năng lượng cũng tiếp tục đối mặt với những mối đe dọa mạng dai dẳng.
Các Vector Tấn công Chính nhắm vào Môi trường Công nghiệp
Trong khi các mối đe dọa từ internet và tấn công qua thiết bị lưu trữ di động giảm ở hầu hết các khu vực, email client đã trở thành một vector tấn công mạng ngày càng nguy hiểm cho môi trường ICS. Tỷ lệ máy tính ICS chặn các mối đe dọa từ email client tiếp tục xu hướng tăng.
Các tài liệu độc hại, phần mềm gián điệp, script độc hại và trang lừa đảo là những danh mục chính của các mối đe dọa mạng lây lan qua email. Xu hướng này đặc biệt đáng lo ngại do mô hình bảo mật “air-gapped” truyền thống của môi trường công nghệ vận hành (OT).
Khi các tổ chức công nghiệp ngày càng tích hợp mạng vận hành của họ với hệ thống IT của doanh nghiệp để tăng hiệu quả và khả năng giám sát từ xa, các vector tấn công dựa trên email tạo ra những con đường mới cho các tác nhân đe dọa. Điều này cho phép chúng xâm nhập vào các hệ thống điều khiển công nghiệp trước đây vốn được cô lập.
Sự phân bố địa lý của các mối đe dọa qua email cũng có sự khác biệt đáng kể, từ 0.80% ở Nga đến 7.23% ở Nam Âu. Điều này cho thấy nhận thức về an ninh mạng, các chương trình đào tạo và triển khai bảo mật email ở mỗi khu vực ảnh hưởng đáng kể đến khả năng chống chịu của tổ chức trước các chiến dịch lừa đảo.
Kỹ thuật Tấn công Xã hội và Chuỗi Tấn công Đa Giai đoạn
Các tác nhân đe dọa ngày càng tận dụng các script độc hại và trang lừa đảo làm vector lây nhiễm ban đầu. 6.49% máy tính ICS đã chặn các mối đe dọa này trong Quý 2 năm 2025, mặc dù có sự giảm nhẹ 0.67 điểm phần trăm so với quý trước.
Những phương pháp tấn công này đại diện cho các kỹ thuật kỹ thuật xã hội tinh vi, được thiết kế để khai thác lỗ hổng con người trong các tổ chức công nghiệp. Bản chất đa giai đoạn của các cuộc tấn công ICS hiện đại thường bắt đầu bằng những nỗ lực lây nhiễm ban đầu này. Kẻ tấn công thiết lập chỗ đứng trong mạng mục tiêu trước khi triển khai phần mềm độc hại giai đoạn tiếp theo.
Các loại phần mềm độc hại phổ biến bao gồm spyware (ảnh hưởng 3.84% máy tính ICS), ransomware (0.14%) và các phần mềm đào tiền mã hóa (0.63% cho tệp thực thi, 0.30% cho web miners). Mối tương quan giữa tỷ lệ lây nhiễm ban đầu và việc triển khai phần mềm độc hại sau đó nhấn mạnh tầm quan trọng của việc ngăn chặn các cuộc tấn công cấp độ đầu tiên này.
Phân tích Các Hình thức Mã độc và Phương thức Lây lan
Các tài nguyên internet bị từ chối (denylisted internet resources) cho thấy mức tăng đáng lo ngại gấp 1.2 lần trong tỷ lệ chặn, đạt 5.91% máy tính ICS. Trong khi đó, tài liệu độc hại tăng gấp 1.1 lần, lên 1.97%. Trong Quý 2 năm 2025, các giải pháp bảo mật của Kaspersky đã chặn phần mềm độc hại từ 10,408 họ malware khác nhau trên các hệ thống tự động hóa công nghiệp.
Mô hình tăng trưởng này cho thấy các tác nhân đe dọa đang điều chỉnh chiến thuật của họ để khai thác các trang web công cộng phổ biến và dịch vụ chia sẻ tệp làm cơ chế phân phối mã độc nhắm vào môi trường công nghiệp. Các phần mềm độc hại tự lây lan, bao gồm worms và virus, tiếp tục gây ra rủi ro đáng kể cho mạng ICS.
Điều này xảy ra bất chấp tỷ lệ phát hiện tổng thể giảm lần lượt là 1.22% và 1.29%. Những mối đe dọa mạng này khai thác các lỗ hổng kiến trúc mạng cơ bản, lây lan qua thiết bị lưu trữ di động, thư mục mạng, tệp sao lưu bị nhiễm và các cuộc tấn công mạng nhắm vào phần mềm lỗi thời như cài đặt Radmin2 cũ.
Sự dai dẳng của các vector tấn công này làm nổi bật thách thức trong việc bảo vệ các mạng công nghiệp phức tạp chứa các hệ thống kế thừa và yêu cầu kết nối đa dạng. Các tác nhân đe dọa đặc biệt nhắm mục tiêu vào những điểm yếu kiến trúc này để di chuyển ngang trong mạng OT. Mục tiêu cuối cùng là leo thang đặc quyền và truy cập các hệ thống điều khiển quan trọng thông qua các kênh liên lạc được thiết lập với cơ sở hạ tầng chỉ huy và kiểm soát (C2).
Malware AutoCAD, dù chiếm tỷ lệ nhỏ hơn ở mức 0.29% các hệ thống bị ảnh hưởng, nhưng minh họa tính chất chuyên biệt của các mối đe dọa mạng nhắm vào quy trình làm việc thiết kế và kỹ thuật công nghiệp. Danh mục này cho thấy cách kẻ tấn công phát triển phần mềm độc hại dành riêng cho ngành để khai thác các hệ sinh thái phần mềm độc đáo phổ biến trong môi trường sản xuất và kỹ thuật.
Sự Khác biệt Khu vực và Nhu cầu Nâng cao An toàn Thông tin
Sự chênh lệch đáng kể trong tỷ lệ phát hiện mối đe dọa theo khu vực cho thấy những khác biệt lớn trong sự sẵn sàng về an ninh mạng ICS toàn cầu. Châu Phi dẫn đầu trong nhiều danh mục mối đe dọa, với các mối đe dọa từ internet ảnh hưởng đến 11.88% hệ thống so với 6.35% của Đông Á. Các mối đe dọa từ thiết bị lưu trữ di động dao động từ 0.04% ở Úc và New Zealand đến 1.77% ở Châu Phi.
Những biến thể này phản ánh sự khác biệt trong đầu tư vào cơ sở hạ tầng an ninh mạng, khung pháp lý và mức độ trưởng thành của cảnh quan mối đe dọa mạng giữa các khu vực địa lý khác nhau. Các tổ chức hoạt động ở những khu vực rủi ro cao hơn phải thực hiện các biện pháp bảo mật mạnh mẽ hơn và duy trì cảnh giác cao độ chống lại các tác nhân đe dọa đang phát triển. Điều này đặc biệt quan trọng khi chúng nhắm mục tiêu vào các hệ thống điều khiển công nghiệp.
Các Biện pháp Bảo vệ ICS Toàn diện
Dữ liệu này nhấn mạnh nhu cầu cấp thiết về việc tăng cường bảo mật email, triển khai các chương trình đào tạo nhân viên tập trung vào nhận diện lừa đảo. Ngoài ra, cần có các chiến lược phân đoạn mạng toàn diện để bảo vệ hệ thống điều khiển công nghiệp khỏi các script độc hại và chiến dịch lừa đảo ngày càng tinh vi. Những mối đe dọa mạng này đang nhắm mục tiêu vào cơ sở hạ tầng quan trọng trên toàn cầu.
Để biết thêm chi tiết về tình hình này, bạn có thể tham khảo báo cáo đầy đủ tại Kaspersky Securelist Industrial Threat Report Q2 2025.
