| 渗透初期 | 权限获取 | 权限维持 | 逃避 | 发现 | 横向渗透 | 信息搜集 | 命令与控制 | 响应告警阻断 | 零感知过程执行 | 影响力 |
| 历史操作记录收集 | 变更计划状态 | 程序劫持捆绑hook | 可执行程序免杀 | 控制装置识别 | 默认凭证 | 自动收集 | 常用端口 | 激活固件更新模式 | 暴力I/O | 财产损失 |
| 会话劫持 | 命令行界面接口 | 模块固件 | 阻断主机告警 | I/O模块发现 | 远程服务利用 | 信息存储库中的数据 | 连接代理 | 告警抑制 | 程序状态更改 | 拒绝服务攻击 |
| 获取工程师工作站控制权 | 通过API执行 | 执行文件下载 | 伪装 | 网络连接枚举 | 外部远程服务 | 检测运行模式 | 标准应用层协议 | 阻止命令信息 | 伪装白名单利用 | 丧失公信力 |
| 常用软件漏洞攻击 | 用户图形界面 | 项目文件感染 | 设备伪装(Badusb等) | 网络服务扫描 | 程序组织单位域组(POUs) | 检测程序状态 | 阻止消息报告 | 修改控制逻辑 | 损失可用性 | |
| 外部远程服务利用 | 中间人攻击 | 系统固件 | 后门Rootkit | 网络嗅探 | 远程文件复制 | I/O映像镜像 | 阻止串行COM | 修改默认参数 | 失控工厂 | |
| 互联网开放设备利用 | 程序组织单位(POUs) | 后门用户账号 | 劫持欺骗 | 远程系统发现 | 有效账号 | 位置识别定位 | 数据销毁 | 模块固件植入 | 生产力和收入损失 | |
| 可以动介质摆渡攻击 | 文件劫持利用 | 程序集注册表等白利用 | 串行连接枚举 | 监控流程状态 | 拒绝服务 | 执行文件远程加载利用 | 安全性损失 | |||
| 鱼叉式钓鱼攻击 | 脚本编写 | 节点标记识别 | 设备重启/关机 | 正常设备伪装 | 可用性损失 | |||||
| 生态供应链攻击 | 用户权限获取 | PLC等设备上载程序 | 操作I/O镜像 | 服务停止 | 丧失设备控制权 | |||||
| 无线网攻击 | 角色识别 | 修改警报设置 | 消息劫持欺骗 | 丧失工厂控制权 | ||||||
| 屏幕截图 | 修改控制逻辑 | 未授权访问利用 | 信息丢失数据泄露 | |||||||
| 程式下载 | ||||||||||
| Rootkit后门 | ||||||||||
| 系统固件白名单利用 | ||||||||||
| 程序集注册表等白利用 | ||||||||||