近期,一起针对民生关键基础设施的APT攻击再次敲响网络安全(885459)警钟:美国大型水务运营商Cal Water遭遇定向网络入侵,覆盖200万居民供水服务体系,核心内网运维数据、用户敏感信息惨遭泄露。
不同于以往直接破坏工控系统的攻击,本次攻击隐蔽性极强,黑客长期潜伏、逐步横向渗透,而事故根源并非企业缺少安全防护设备,而是当下绝大多数政企都存在的安全运营结构性短板。
01
事件客观复盘:
美国大型水务公司APT入侵全过程
事件基本概况
2026年6月11日,知名APT组织Handala公开宣称入侵美国加州头部水务企业Cal Water,并对外放出5G(885556)B泄露数据包佐证攻击成果。
Cal Water作为当地核心民生关基单位,为加州100个社区、共计200万居民提供服务,下辖7大片区供水运维站点,承担城市供水、管网运维、水费计费全流程业务,一旦工控系统被攻陷,将直接引发全城停水等重大公共安全事件。
完整攻击链路
02
透过攻击看本质:
关基行业四大核心安全短板
本次攻击全程无复杂黑客武器,攻击者精准抓住企业资产看不清、漏洞管不住、资产漏洞两张皮的核心漏洞,这也是国内水务、能源(850101)、交通、政务等关基行业的共性治理痛点:
资产底数不清,公网暴露资产失管失控
企业IT、业务、工控网络相互割裂,无统一全域资产台账,外勤专用业务系统(长期公网暴露)、临时运维类影子资产无人纳管;缺少常态化自动巡检机制,高危暴露资产长期无人发现,持续敞开网络攻击入口。
资产与漏洞完全割裂,风险研判脱离实际场景
传统安全工具仅单独扫描漏洞,不会关联资产属性、暴露面、业务重要程度。即便扫描出高危漏洞,也无法识别该漏洞是否可从公网可触达、是否靠近工控边界,高风险漏洞被盲目降级,长期搁置,不予处置。
安全工具烟囱化,海量无效告警淹没真实风险
漏洞扫描、防火墙、工控安全监测等设备独立运行,数据无法互通联动,告警重复、冲突、误报量大。运维人员无法快速核验漏洞可利用性,真正可被黑客远程攻击的高危漏洞,被海量无效告警掩盖。
漏洞整改无闭环,无资产联动复盘机制
漏洞处置只关注漏洞本身,不与对应资产责任人绑定,缺少修复复测、逾期督办、全链路审计流程。行业整体漏洞修复闭环率不足30%,同类漏洞反复复发,持续留存攻击缺口。
当下多数机构一味采购安全设备,单纯堆砌防护能力,反而进一步加剧数据孤岛,让资产与漏洞割裂问题愈发严重,无法从根源抵御此类定向APT攻击。
03
治本防御思路:贴合Gartner CTEM理念,资产漏洞一体化融合治理
本次入侵始于资产暴露,发端于高危漏洞,恶化于缺乏闭环整改,单点边界防护、独立漏洞扫描均无法解决根源问题。行业主流Gartner CTEM(持续威胁暴露面管理)理念,以资产为核心,联动漏洞全生命周期(883436)管理,持续收敛全网攻击面,依托现有存量安全能力即可解决本次事件全部痛点,无需新增安全硬件:
全域资产统一测绘,弥补资产盲区
汇聚全网多源安全资产数据,构建统一IT+OT资产全景视图,7×24小时自动识别公网暴露资产、影子资产,替代人工巡检,从源头提前收敛黑客侦察路径。
资产联动漏洞核验,清洗告警噪音
结合资产外网暴露状态、工控关联属性,对所有漏洞告警进行真实可利用性穿透式核验,自动过滤无效告警,精准锁定可直接被远程利用的高危漏洞。
修复窗口期风险隔离,填补防护空白
针对暂时无法停机修复的高危资产漏洞,联动漏洞无效化设备生成虚拟补丁,快速阻断攻击路径,使漏洞虽然留存但无法被攻击者利用,规避整改空窗期入侵浸风险。
资产价值驱动风险排序,精准分配运维人力
依托资产业务等级、网络位置自动划分风险优先级,优先处置外联工控、公网暴露的核心资产漏洞,避免运维人力浪费在低风险内网资产上。
资产绑定漏洞闭环处置,提升整改合规率
以资产为载体发起漏洞整改工单,明确责任人和整改时限,修复后自动复测核验,全流程操作留痕审计,切实提升漏洞闭环修复率,同时满足关基保护、等保合规审计要求。
04
写在最后:
守城之道,不在兵多,在治理有方
网络攻击门槛持续走低,APT定向攻击不再依赖复杂漏洞利用,转而专攻企业资产不明、漏洞失管、治理碎片化等薄弱环节,水务、能源(850101)等民生关键基础设施已成黑客首要目标。
安全建设早已告别“堆设备、加工具”的传统阶段,一味扩容安全产品,只会加重数据孤岛和运维压力。
立足CTEM持续暴露面管理思路,打通资产与漏洞的数据壁垒,盘活现有全部存量安全能力,实现看得见资产、辨得清风险、管得住漏洞、追得到闭环,才是关基网络安全(885459)长效防御的核心路径。
重磅预告
盛邦安全(688651)即将推出天枢·资产漏洞融合治理平台(RayMatrix)——不是安全工具,而是帮助您整合现有能力,构建适应新时代网络安全(885459)格局、以资产为核心的安全运营体系。敬请期待!
