2020年上半年工业互联网安全态势综述.pdf

2020 年上半年工业互联网 安全态势综述 2020 9前 言 2020 20202020 年上半年工业互 联 网安全态 势 综述 一、上半 年工业 互联网 安 全态势 2020 年上半年， 我国工业 互联网 安全态势 整体平 稳， 未 发现重大 网络安 全事件， 但恶意 网络行为 持续活 跃，对 工业 控制系统 及设备 的攻击持 续增多 、 受攻击 的行业 范围广， 工 业互联网 安全形 势严峻。 （ 一 ） 我 国 工 业互 联 网 相 关 恶 意网 络 行 为 的 次 数呈 现 增 加 趋 势 ， 安 全 隐患 突 出 。2020 年 1 月 1 日至 2020 年 6 月 30 日， 国 家工业 互 联网安全 态势感 知与风险 预警平 台持续对 全 国 136 个主要工 业互联网 平台、10 万多家工 业企 业、900 多 万 台 联 网 设 备 进 行 安 全 监 测 ， 累 计 监 测 发 现 恶 意 网 络 行 为 1356.3 万次，涉 及 2039 家企业。 其中， 攻击方 式 以异常 流 量、 非法外 联、 僵尸网络 三类为 主， 均超 过300 万次， 累计 占恶意行 为总数 的 81% ，恶意 网络 行为排 名 见图 1 。与此同 时， 异常 流量中 包含大量 扫描、 嗅探行为 ， 表明 当前针对 工 业互联网 的网络 攻击大部 分为实 施攻击前 的信息 搜集， 安全 隐患不容 忽视。图1 工业互 联网恶 意网络行 为 （ 二 ） 工 业 互 联网 网 络 攻 击 主 要集 中 于 基 础 性 行业 ， 疫 情 期 间 医 疗 相 关行 业 成 关 注 重 点。 当前针 对工业 互联网的 恶 意网络行 为持续 活跃， 主 要集中 于制造业 等基础 性行业， 仅 计 算 机 、 通 信 和 其 他 电 子 设 备 制 造 业 遭 受 攻 击 次 数 就 将 近 288 万次。疫情 期间， 医 药制造 、医疗器 械服务 、纺织等 疫 情相关行 业遭受 恶意网络 行为数 量较 2019 年有所上升， 但 已随疫情 好转而 持续走低 ， 从 1 月占全部 工业企 业恶意网 络 行为的 38.9% 降至 6 月占比 10.4% ，上半年 工业 企业及重 点 行业恶意 网络行 为态势 如 图 2 所 示。 图 2 工 业互联 网恶 意网络行 为态势 图 4364253 3558594 3058019 1341167 779793 170494 70141 54676 45962 22514 0 500000 1000000 1500000 2000000 2500000 3000000 3500000 4000000 4500000 5000000 恶 意 行为类 型TOP10三） 来自境外 的 扫描攻 击 次 数不 断 攀 升 ， 部 分物 联 网 设 备 权 限 长 期 被控 制 。 我境内工 业互联网 遭受境 外攻击占 比 接近 5 成 ，多个 境外 IP 段对我国工业互 联网 企 业进行长 期 的扫描嗅 探、 尝 试攻击以 及外联 通信， 主 要 境外 攻击来源 恶 意行为变 化趋势 如图 3 所示 。 此 外， 监测 发现僵 尸网络 行为 305 万 起，控制端近 7 成位于境 外 ，其中 经研判 分析的僵 尸 网络 事件 共 121 起，以 Mirai 家 族为主， 占总量 32.2% 。境 内部分物 联网设 备 存在持 续与境 外通信的 行为 ， 存在被用 于 发动DDoS 攻击 的 潜在风险 。 图3 攻击来 源恶意 行为变化 趋势 （ 四 ） 工 业 互 联网 安 全 威 胁 信 息通 报 处 置 机 制 初步 建 立 ， 疫 情 期 间 发 挥 重要 作 用 。 截至 2020 年 6 月 30 日， 累计研判 威胁信 息 424 例，其中 包括 152 家疫情物资生产 、 医药制造 相关企 业感染僵 尸网络 或木马后 门 ， 69 家医疗机 构 0 500000 1000000 1500000 2000000 1 月 2 月 3 月 4 月 5 月 6 月 攻击来源 恶意行 为 变化趋势 境内 境外存 在 远 程 代 码 执 行 、 任 意 文 件 写 入 等 高 危 漏 洞 。 与 此 同 时 ， 按照 公共 互联网 网络安全 应急处 置机制完 成通报 处置 119 例， 其中包括 疫情重 点医院 、 医疗 器械 制造企业 等相关 单位 55 例 。 （ 五 ） 联 网 工 业 设 备 漏 洞 数 量 多、 级 别 高 ， 潜 在 威 胁 不 容忽视。 截至 2020 年 6 月 30 日 ， 累计监 测发现 联网工控 设 备漏洞隐 患 946 个， 其 中高危 漏 洞 385 个， 中 危漏 洞 472 个， 中、 高危漏 洞 占漏 洞总数 的 90.6% 。 漏洞隐患 类型将 近 20 种， 主 要 为 缓 冲 区 堆 溢 出 、 设 计 缺 陷 、 非 法 授 权 和 跨 站 脚 本 等 ， 占漏洞隐 患总量 的 63.2% ，漏洞 危害等级 和漏洞 类型分布 如 图 4 所示 。 部分 漏洞存在 公开利 用代码， 被攻击 者获取后 可 轻易 取得 设备控 制权限， 存在较 大安全风 险。 图 4 联网工 控设备 漏洞隐患 危害等 级 分布 和漏 洞隐患 类 型 图 （ 六 ） 联 网 工 业 设备 及 系 统 “ 带 病 运行 ” 情 况 普 遍 存 在， 被攻击门槛低。 上半年发 现的 946 个漏洞共 涉及 212 个工业 设备及 控制系 统 ，包括 人机交 互 接口（HMI ）、 企业资 源计 划系统 （ERP ） 和 可编程逻 辑控制 器 （PLC ） 等， 占总 数的 92% 。 这些漏洞 主要 在 2011 年-2013 年间 对外发 布 ， 表 明当前存 在大量老旧 工业控 制系统或 设备， 未及时升 级或更 新补丁， 存 在较大安 全风险 ， 更容易 遭受黑 客的攻击 ， 会影 响电力、 制 造等行业 ，对基 础设施安 全形成 较大威胁 。 （七）多个 0DAY 漏 洞被 爆 出 ，给 我 国 工 业 互 联网 造 成 严重安全隐患。 工业互联 网设备 和控制系 统越来 越多地被 挖 掘存在 0DAY 漏 洞，如某 工控厂 商 PLC 设备存在 一系列未 公开的 0DAY 漏 洞， 近 万台正 在 产线上使 用的工 控设备受 此 漏 洞 威 胁 。 恶意 用 户 无 需 任 何 权 限 即 可 访 问 这 些 管 理 接 口 ， 黑客可通 过删除 安全访问 限制后 直接控 制 PLC ， 远程修改 其 中的各种 配置信 息， 导致 系统故 障、 停产 ， 甚 至 引发安全 生 产事故， 安全隐 患 突出。 （ 八 ） 勒 索 软 件对 工 业 互 联 网 威胁 加 剧 ， 安 全 事件 频 繁 曝出。 勒索病毒 通过互通 的 工业 网络 在站 与站之 间、 供 应链 上游与下 游之间 造成大面 积传播 ， 在汽车 、 能 源 、 制造业 等 重要领域 均爆出 相关安全 事件， 后果影响 严重。 某国际知 名 汽车公司 遭勒索 软件重创 ， 引 起 其计算机 服务器 和相关网 络 毁损以及 电子邮 件无法使 用， 对 部分产线 和业务 运作造成 影 响。 美国某 芯片 制造商 遭 Maze 勒索软件 攻击， 造成 10.3GB 的会计和 财务信 息泄漏。 欧洲某 能源系统 商遭到 SNAKE 勒 索软件攻 击，导 致其内 部 IT 网 络 中断。 （ 九 ） 车 联 网 领域 成为网络攻击 新趋向， 大 量 用户 数 据 和 个 人 隐 私 面 临泄 露 风 险 。 随着 车联网 智 能化和 网联化的 不断 推进 ， 该领域 安全威胁 事件日 益剧增。2020 年 5 月， 英国 谢菲尔德 市爆发 大规模道 路通行 记录数据 泄露事 件，约 860 万条记录 道路通 行数据被 泄露； 同月， 匿 名黑客 从交警登 记 处获取超 过 1.29 亿俄罗斯 车主的 数据， 并 将其暴 露在“暗网” 上以获取 加密货 币。 英国 某媒体 调查报告 披露， 汽车行业 两 大巨头公 司的两 款畅 销车 存在严 重安全漏 洞， 黑 客可利用 该 漏洞发动 攻击， 窃取车主 的个人 隐私信息 甚至操 控车辆。 （ 十 ） 安 全 投 资融 资 活 跃 ， 推 动工 业 互 联 网 安 全产 业 快 速发展。 随着工 业互联网 政策的 持续利好 ， 网络 安全关注 度 持续上升 ， 工业 互联网安 全市场 投融资高 涨 ， 奇 安信、 启 明 星辰、 六方云 等 安全企业 积极推 进 工业互 联网安 全技术研发 突破， 红杉 资本、 盈动资本 等专业 投资机构 等相继 发力布局 。 根据网上 公开信 息统计， 2020 年 上半年 国 内累计 投融资事 件 26 起， 投融资规 模 达 15 亿 元。 其中工业互 联网安 全、数据 安全、 云安 全等 领域成 为 2020 年上半年市 场投融 资热点 ， 上 半年国内 网络安 全投融资 领域分 布 情况 图 5 所示 。图 5 国内投 资领域 分布情况 二、下半 年工业 互联网安 全态势 预判 （ 一 ） “ 新 基 建 ” 下 的 工 业 互 联网 面 临 安全新 挑战 。 随 着 人 工 智 能 、5G 等 新 一 代 信 息 技 术 和 机 器 人 等 高 端 装 备 与 工业互联 网融合 应用， 设 备联网 、 企业上 云加速 安全风险 传 导延展， 网络攻 击面从边 界向核 心不断扩 大， 推 动工业互 联 网安全防 护工作 逐步向动 态协同 转变， 安全风 险 挑战进一 步 升级。 （ 二 ） 恶 意 网 络行 为 将 有 增 无 减。2020 年上半年， 源于 境外的攻 击不断 增多， 包 括持续 性嗅探扫 描、 僵 尸网络远 控 等， 预计 下半年 该 趋势将 延续 。 从监测角 度看， 僵尸网络 控 制端与境 内被控 端可能通 过加密 传输信息 ， 监 测 难度将大 幅 增加。 来自 境外 IP 对我 国工业 互 联网进行 长期、 持续、 广泛的嗅探扫 描 ，需 引起关注 。 （三）0DAY 漏 洞数 量 将 进 一 步 提高 ， 漏 洞 影 响 范围 将 进 一步扩大。2020 上半年 CNVD 新 增的工业 控制系 统漏洞数 量达到 315 个 ， 广泛涉及 制造业 、 能源 、 交通 、 医 疗等行业 ， 仅上半年 的 数量 已达到 2019 年全 年 新增数 量 的 76.3% ， 下半 年 0DAY 漏洞数 量将会持 续增加 ， 行业分 布依 旧 广泛。 从 工 业企业角 度看 ， 工控设备 中不仅 存在老旧 且利用 门槛低的 漏 洞， 更 存在曝 出 0DAY 漏 洞的风 险 ， 企业 安全防 护面 临挑战。 （ 四 ） 工 业 互 联网 数 据 安 全 将 成为 企 业 亟 待 应 对的 关 键 问 题 。 工业互联网数据种 类和保 护需求多 种多样 ， 设计、 生 产、 操控 等各类 数据分布 在 云平 台、 用户 端、 生 态端等多 种 设施上， 目前单 点、 离散 的数据 保护措施 难以有 效保护工 业 互联网数 据安全 。 工业互 联网承 载着事关 企业生 产、 社会 经 济乃至国 家安全 的重要工 业数据 ， 一旦被 窃取 、 篡改或流 动 至境外， 将对国 家安全造 成严重 威胁。 （ 五 ） 工 业 互 联 网 安 全 融 合 应 用 解 决 方 案 将 不 断 涌 现 。 安全厂商 纷纷积 极探索 5G 、 大数 据、 人工 智能 、 区 块链等新 兴技术在 工业互 联网安全 解决方 案中的应 用。 例 如， 某厂 商 推出 AI 安全 免 疫系统 ， 通过流 量 监测 、 结合机 器学习和 人 工智能算 法， 为 每 个设备 和用户 建立起各 自的健 康模型， 形 成 新型 威 胁感知 方案。 工 业互联 网产业联 盟将持 续编制 工 业互联网 安全典 型解决方 案 ， 不 断探索与 新兴技 术的融合为企业部 署安全 防护措施 提供可 参考的模 式。 （ 六 ） 跨 部 门 、 跨 行 业 、 跨 平 台 的 威 胁 信 息 通 报处 置 机 制将协同推进。 随着越来 越多的 设备联网 、 企业 上云， 企 业 很难进行 单独的 防御， 行 业及地 方主管部 门、 工 业互联网 企 业、 设备 提供商 、 安全服 务商等 需要建立 协同机 制， 共同 应 对来自各 领域的 安全威胁 与挑战 。 工业 互联网 本报告由 工业和 信息化部 网络安 全管理局 指导 ， 由中国 信息通信 研究院 和工业互 联网产 业联盟共 同完成 。 国家 工业 信息安全 发展研 究中心、 中国电 子技术产 业发展 研究院、 中 国电子技 术标准 化研究院 、 中 国 工业互联 网研究 院以及六 方 云、 绿盟 、 启明 星辰、 东 方国信 、 特变电 工、 亚 鸿世纪、富 士康、 树 根互联 、 和利时、顶象 、 徐工信 息、 恒 安嘉新等 多 家企事业 单位 对 本报告的 编写 提 供了大力 支持