2019 IT、OT一体化工业信息安全态势报告.pdf_报告吧baogao8.com-

资源描述

工业控制系统安全国家地方联合工程实验室 2020.3 IT/OT 一体化工业信息安全态势报告（ 2019）主要观点中国工控系统互联网暴露数量呈现明显增长趋势。根据 Positive Technologies研究数据，中国暴露在互联网上的工控设备数量跃居第三。工控设备的内生安全设计已经成为迫切任务。勒索病毒仍然是工业互联网安全的最大挑战。在 2019 年工业应急响应安全事件中，病毒攻击仍然是工业企业遭受失陷的主要原因，其中，病毒多为“永恒之蓝”蠕虫变种、挖矿蠕虫。病毒攻击的主要目标是工业主机，然而工业主机基本处于裸奔状态，因此，工业企业应落实工业主机的安全防护。三级协同的 “ 工业互联网安全技术保障平台 ” 建设将全面提升工业互联网安全保障水平。平台基于 “监测 -响应 ”的技术路线进行建设实施，有助于工业生产的长期可靠、稳定运行。采购可信任第三方远程、驻场或托管式工业安全运营服务不仅可以在威胁发现、风险预测、处置响应、追踪溯源等方面大幅度提高工业企业网络安全防护能力，还可以减少人力资源投入、降低工业企业安全运营成本。省级或行业级工业互联网安全技术保障平台应以服务工业用户为首要目的，为接入企业提供有价值的安全运营服务。摘要截止到 2019 年 12 月， CNVD 收录的与工业控制系统相关的漏洞高达 2306 个， 2019 年新增的工业控制系统漏洞数量达到 413 个，基本和 2018 年持平，工业控制系统漏洞数据居高不下，形式依然比较严峻。漏洞成因多样化特征明显，技术类型多达 30 种以上。在 CVE、 NVD、 CNVD、 CNNVD 四大漏洞平台收录的工业控制系统漏洞中，高危漏洞占比 57.3%，中危漏洞占比为 35.5%，中高危漏洞占比高达 92.8%。在收录的工业控制系统安全漏洞中，多数分布在制造业、能源、水务、商业设施、石化、医疗、交通、农业等关键基础设施行业。根据 Positive Technologies 研究数据显示，当前全球工控系统联网暴露组件总数量约为 22.4 万个，同比去年增长 27%。中国工控系统互联网暴露数量呈现明显增长趋势，由 6223 个增长到 16843 个，增长比例高达 2.7 倍，排名全球第三。 2019 年工业控制系统常见漏洞为缓冲区溢出漏洞、拒绝服务漏洞、访问控制漏洞、跨站脚本漏洞、未授权访问漏洞、远程代码执行漏洞。 2019 年，工业安全应急响应中心处理的工业安全事件中，勒索病毒仍然是工业互联网安全的最大挑战。关键词：工业互联网安全漏洞；工业互联网安全威胁；安全漏洞；推进建议目录研究背景 . 1 第一章工业互联网安全现状分析 . 2 一、工业互联网安全漏洞分析 . 2 二、工控系统互联网暴露原因 . 5 三、工控系统互联网暴露总数持续攀升 . 6 第二章 2019 工业互联网安全工作进展 . 8 一、工业互联网安全重要文件 . 8 二、工业安全标准体系建设 . 10 第三章工业互联网安全威胁 . 13 一、 2019年新公开工业控制系统严重漏洞 . 13 第四章工业安全应急响应典型案例 . 17 一、某工业集团入网前 CONFICKER、 FAKEFOLDER病毒处置 . 17 二、某大型制造企业遭受 WANNAMINE3.0及 “永恒之蓝 ”勒索病毒攻击 . 18 三、某钢铁企业智能工厂改造前 “永恒之蓝 ”勒索变种病毒处置 . 18 四、某化工集团遭受蠕虫病毒攻击 . 19 第五章工业互联网安全推进建议 . 21 附录一工业控制系统安全国家地方联合工程实验室 . 23 附录二 2019 工业互联网安全重大事件 . 24 1 研究背景工业控制系统安全国家地方联合工程实验室（以下简称“联合实验室”）于 2017 年、 2018 年已发布 IT/OT 一体化工业信息安全态势报告，总结分析 IT/OT 融合带来的新挑战，给出工业信息安全建议和展望。为给政府部门、科研机构和工业企业提供参考和借鉴，工业控制系统安全国家地方联合工程实验室（以下简称联合实验室）编撰了 IT/OT 一体化工业信息安全态势报告（ 2019）。本报告综合参考 CVE、 NVD、 CNVD、 CNNVD 四大公开漏洞平台发布的漏洞信息，分析工业互联网安全风险态势。此外，本报告分析暴露在互联网上的工控组件和安全威胁，给出应急响应典型案例，最后提出工业互联网安全推进建议。最后，希望本报告能够帮助读者对工业互联网安全有一个更加全面、前沿的认识。 2 第一章工业互联网安全现状分析一、工业互联网安全漏洞分析本节主要以联合实验室漏洞库收录的工业控制系统相关的漏洞信息为基础，综合参考了 Common Vulnerabilities & Exposures（ CVE）、 National Vulnerability Database（ NVD）、中国国家信息安全漏洞共享平台（ CNVD）及国家信息安全漏洞库（ CNNVD）所发布的漏洞信息，从工控漏洞的年度变化趋势、等级危害、漏洞类型、漏洞涉及行业、漏洞设备类型等方面分析工业控制系统的安全威胁态势及脆弱性。本报告中的工控漏洞风险评估方法，基于通用漏洞评分系统，将可见性、可控性、漏洞利用目标服役情况等体现工控安全特性的指标纳入量化评估范围。该方法使用改进的工控漏洞风险评估算法，既可以生成工控漏洞的基础评分、生命周期评分，也可以用于安全人员结合实际工控安全场景的具体需求以生成环境评分。根据中国国家信息安全漏洞共享平台最新统计，截止到 2019 年 12 月， CNVD 收录的与工业控制系统相关的漏洞高达 2306个， 2019年新增的工业控制系统漏洞数量达到 413个，基本和 2018 年持平，工业控制系统漏洞数据居高不下，形势依然比较严峻。 CNVD 工控新增漏洞年度分布如下所示：图 1: 2000-2019 年 CNVD 收录的工控系统漏数量分布图在 2019 年， Common Vulnerabilities & Exposures（ CVE）、 National Vulnerability Database 3 （ NVD）、中国国家信息安全漏洞共享平台（ CNVD）及国家信息安全漏洞库（ CNNVD）四大漏洞平台收录的漏洞信息共达到了 690 条漏洞，漏洞成因多样化特征明显，技术类型多达 30 种以上。其中，缓冲区溢出漏洞（ 105）、拒绝服务漏洞（ 90）和访问控制漏洞 (75)数量最为常见。 2019 年工控系统新增漏洞类型分布如下：图 2: 2019 年四大漏洞库平台收录的工控系统漏洞类型分布图攻击者可以利用多样化的漏洞获取非法控制权、通过遍历的方式绕过验证机制、发送大量请求造成资源过载等安全事故。实际上，无论攻击者利用何种漏洞造成生产厂区的异常运行，均会影响工控系统组件及设备的可用性和可靠性。在四大漏洞平台收录的工业控系统漏洞中，高危漏洞占比 57.3%，中危漏洞占比为 35.5%，中高危漏洞占比高达 92.8%。在信息安全技术标准中定义：漏洞可以容易地对目标对象造成严重后果为高危漏洞，工业控制系统又多应用于国家关键基础设施，一旦遭受网络攻击，会造成较为严重的损失。 4 图 3: 2019 年四大漏洞库平台收录的工控系统漏洞危险等级图在收录的工业控制系统漏洞中，涉及到的前八大工控厂商分别为西门子（ Siemens）、施耐德（ Schneider）、研华（ Advantech）、摩莎（ Moxa）、趋势科技（ TRENDnet）、三菱（ Mitsubishi）、欧姆龙（ Omron）、和友讯（ D-Link）。漏洞涉及主要厂商情况如下图所示：图 4: 2019 年四大漏洞库平台收录的工控设备厂商漏洞数据统计图需要说明的事，虽然安全漏洞在一定程度上反映了工控系统的脆弱性，但不能仅通过被报告的厂商安全漏洞数量来片面判断比较厂商产品的安全性。因为一般来说，一个厂商的产品越是使用广泛，越会受到更多安全研究者的关注，因此被发现安全漏洞的可能性也越大。 5 某种程度上来说，安全漏洞报告的厂商分布，更多程度上反映的是研究者的关注度。在收录的工业控制系统安全漏洞中，多数分布在制造业、能源、水务、商业设施、石化、医疗、交通、农业、信息技术、航空等关键基础设施行业。一个漏洞可能涉及多个行业，在 690 个漏洞中，有 566 个漏洞涉及到制造业，也是占比最高的行业。涉及到的能源行业漏洞数量高达 502 个。制造业和能源行业工控漏洞较多，应加强这两个行业工业安全建设。漏洞行业分布图如下：图 5: 2019 年四大漏洞库平台收录的工控漏洞涉及行业分布图二、工控系统互联网暴露原因随着云计算、物联网、大数据技术的广泛应用，工控系统已渐渐从最初的封闭状态向开放状态改变，工业控制系统越来越多的采用通用硬件和通用软件，工控系统的开放性与日俱增，暴露在互联网上的工业控制系统设备越来越多，安全形式日益严峻。工控系统在互联网上的暴露问题是工业互联网安全的一个基本问题。所谓“ 暴露，是指我们可以通过互联网直接对某些与工控系统相关的工业组件，如工控设备、协议、软件、系统等，进行远程访问或查询。造成工控系统暴露的主要原因之一是 “ 商业网络（ IT）” 与 “ 工业网络（ OT） ” 的不断融合。 IT 与 OT网络的连通在拓展了工业控制系统发展空间的同时，也带来了工业控制系统网络安全问题。近年来，企业为了管理与控制的一体化，实现生产和管理的高效率、高效益， 6 普遍推进生产执行系统，实现管理信息网络与控制网络之间的数据交换，实现工业控制系统和管理信息系统的集成。如此一来，如果未能做好必要的分隔管控工作，就会导致原本封闭的 OT系统，通过管理系统与互联网互通、互联后，面临从互联网侧传播进来的各类网络攻击风险。工控系统的直接连接到互联网，也称为“ 暴露 ”在互联网上，这个问题要一分为二的来看待：一方面，某地区工控系统在互联网上暴露的越多，往往说明该地区工业系统的信息化程度越高，工业互联网越发达；而另一方面，暴露的比例越大，也往往意味着工控设备将直接面对来自互联网的威胁，在工业互联网安全建设中，工控设备的内生安全设计已经成为迫切任务。三、工控系统互联网暴露总数持续攀升为了收集在互联网上具有可访问性的工业控制系统组件，美国安全公司 Positive technologies采用被动方式，使用可公开访问的引擎： Shodan（ shodan. io）、 Google、 Censys （ censys. io）对全球工业系统进行了搜索。其中， Shodan 和 Censys可搜索工业服务器、路由器、专用摄像头等设备的联网情况。根据 Positive Technologies 研究数据显示：当前全球工控系统联网暴露组件总数量约为 22.4 万个，同比去年增长 27%。将可通过互联网访问的工业控制系统组件（工控设备、协议、软件、工控系统等）数量按照国家进行分类，美国联网的工控设备暴露情况最为严重，达到 95661 个，其次为德国，联网工控组件达到 21449 个，相比去年而言，中国工控系统互联网暴露数量呈现明显增长趋势，由 6223 个增长到 16843 个，增长比例高达 2.7 倍，排名第三。全球各国工控系统联网组件暴露数量及分布情况如下图。 7 图 6: 世界各国工控系统联网组件暴露数量分布图美国和德国联网设备在全球排名前两位，美国遥遥领先，同时也证实了美国工业突飞猛进的发展。德国联网的工控设备排名全球第二，工业发展迅速。 2015 年，中国国务院颁布了印发中国制造 2025 、关于积极推进“互联网 +”行动的指导意见； 2016 年，印发关于深化制造业与互联网融合发展的指导意见；推进信息化与工业化的深度融合，促进在工业互联网综合集成应用； 2017 年，印发关于深化“互联网 +先进制造业”发展工业互联网的指导意见； 2019 年，印发加强工业互联网安全工作的指导意见的通知，中国布局工业互联网，工业得到进一步发展，这也是中国工控系统组件联网暴露数量攀升到全球第三的原因。 8 第二章 2019 工业互联网安全工作进展一、工业互联网安全重要文件 1）工业互联网综合标准化体系建设指南 2019 年 3 月，为发挥标准在工业互联网产业生态体系构建中的顶层设计和引领规范作用，推动相关产业转型升级，加快制造强国和网络强国建设步伐，工业和信息化部、国家标准化管理委员会共同组织制定工业互联网综合标准化体系建设指南。该建设指南从从工业互联网产业发展实际出发，运用综合标准化的理念和方式，着力构建重点突出、协调配套、科学开放、融合创新的工业互联网标准体系，加快基础共性、总体性、安全、应用等重点领域标准的制定和实施，促进工业互联网产业持续快速健康发展。 2）网络安全漏洞管理规定（征求意见稿） 2019 年 6 月，为贯彻落实中华人民共和国网络安全法，加强网络安全漏洞管理，保证网络产品、服务、系统的漏洞得到及时修补，提高网络安全防护水平，工业和信息化部发布网络安全漏洞管理规定（征求意见稿）。中华人民共和国境内网络产品、服务提供者和网络运营者，以及开展漏洞检测、评估、收集、发布及相关竞赛等活动的组织（或个人 ,应当遵守本规定。 3）水利网络安全管理办法（试行） 2019 年 8 月，为确保水利信息化规划建设同步落实网络安全等级保护制度，明确运行阶段网络安全责任，强化监督检查和责任追究，有效保障水利网络安全，水利部组织编制了水利网络安全管理办法（试行）。办法包括总则、网络安全规划建设、网络运行安全、监测预警与应急处置、监督考核与责任追究、附则共六章。办法指出，水利网络安全遵循“积极利用、科学发展、依法管理、确保安全”的方针，建立及时发现漏洞、及时有效处置漏洞和严格责任追究三套机制，确保水利信息化规划建设同步落实网络安全等级保护制度，明确运行阶段网络安全责任。 4）加强工业互联网安全工作的指导意见 9 2019 年 8 月，为加快构建工业互联网安全保障体系，提升工业互联网安全保障能力，促进工业互联网高质量发展，推动现代化经济体系建设，护航制造强国和网络强国战略实施，工信部、教育部、国家能源局等十部委联合发布加强工业互联网安全工作的指导意见。意见中包括推动工业互联网安全责任落实、构建工业互联网安全管理体系、提升企业工业互联网安全防护水平、强化工业互联网数据安全保护能力、建设国家工业互联网安全技术手段、加强工业互联网安全公服务能力、推动工业互联网安全科技创新与产业发展七大主要任务。同时，意见指出，到 2025 年，制度机制健全完善，技术手段能力显著提升，安全产业形成规模，基本建立起较为完备可靠的工业互联网安全保障体系。 5）关于促进网络安全产业发展的指导意见（征求意见稿） 2019 年 9 月，为应对互联网、大数据、人工智能和实体经济深度融合伴生的新风险，积极应对 5G、工业互联网、下一代互联网、物联网等新技术新应用带来的新挑战，工信部组织编写关于促进网络安全产业发展的指导意见（征求意见稿）。意见中强调着力突破网络安全关键技术，积极创新网络安全服务模式，合力打造网络安全产业生态，大力推广网络安全技术应用，加快构建网络安全基础设施。通过以上多个方面加强 5G、下一代互联网、工业互联网、物联网、车联网等新兴领域网络安全威胁和风险分析，大力推动相关场景下的网络安全技术产品研发。加强工业互联网、车联网、物联网安全管理，督促指导相关企业采取必要的网络安全技术措施。重点围绕工业互联网、车联网、物联网新型应用场景，建设网络安全测试验证、培训演练、设备安全检测等共性基础平台。支持构建基于商用密码、指纹识别、人脸识别等技术的网络身份认证体系。 6）工业大数据发展指导意见（征求意见稿） 2019 年 9 月，为推进工业大数据发展，逐步激活工业数据资源要素潜力，不断提升数据治理和安全保障能力，工业和信息化部发布工业大数据发展指导意见（征求意见稿）意见中强调到 2025 年，工业大数据资源体系、融合体系、产业体系和治理体系基本建成，形成从数据集聚共享、数据技术产品、数据融合应用到数据治理的闭环发展格局，工业大数据价值潜力大幅激发，成为支持工业高质量发展的关键要素和创新引擎。 7）工业互联网企业网络安全分类分级指南（试行）（征求意见稿） 2019 年 12 月，为贯彻落实加强工业互联网安全工作的指导意见，推动工业互联网 10 安全责任落实，对工业互联网企业网络安全实施分类分级管理，提升工业互联网安全保障能力和水平，工业和信息化部发布工业互联网企业网络安全分类分级指南（试行）（征求意见稿）。依据企业属性，工业互联网企业主要包括三类： 1，应用工业互联网的工业企业（简称 “联网工业企业），主要涉及原材料工业、装备工业、消费品工业和电子信息制造业等行业； 2.工业互联网平台企业（简称 “平台企业 ”，主要指对外提供工业互联网平台等互联网信息服务的企业）； 3.工业互联网基础设施运营企业，主要包括基础电信运营企业和标识解析系统建设运营机构。二、工业安全标准体系建设建立健全工业控制系统信息安全标准体系对工业信息安全建设具有重要的指导意义。通过工业信息安全标准体系的建设，可有效提高对工业信息安全风险的管控能力，通过与等级保护等工作接续起来，使得工业信息安全管理更加科学有效。同时，信息安全标准体系的建立将使得企业安全实施水平与国际先进水平接轨，从而加快工业控制系统信息安全的落实。为了充分发挥生产、管理、科研、应用等各方面在各个行业、产业、企业、组织、机构的标准化工作中的作用，广泛开展信息安全领域的标准化工作， 2002 年，中国通信标准化协会（ CCSA）成立。 2016 年，经国家标准化管理委员会批准成立全国信息安全标准化技术委员会（以下简称 “信安标委 ”， TC260）。信安标委是在信息安全专业领域内，从事全国标准化工作的技术工作组织，负责全国信息安全标准化的技术归口工作。另有全国电力系统管理及其信息交换标准化技术委员会（ TC82）、全国电力监管标准化技术委员会（ TC296）、全国工业过程测量和控制标准化技术委员会（ TC124）共同推动工业控制系统信息安全标准工作。 2019 年 5 月，网络安全等级保护制度 2.0 标准信息安全技术网络安全等级保护基本要求、信息安全技术网络安全等级保护测评要求、信息安全技术网络安全等级保护安全设计技术要求国家标准正式发布， 2019 年 12 月 1 日实施。等保 2.0 扩展了网络安全保护的范围，提高了对关键信息基础设施进行等级保护的要求，并且针对不同保护对象的安全目标、技术特点、应用场景的差异，采用了安全通用要求与安全扩展要求结合的方式，以更好地满足安全保护共性化与个性化要求，提升了等级保护的普适性与可操作性。同时，对 11 工业控制系统提出了安全扩展要求，以适用工业控制的特有技术和应用场景特点。安全拓展要求主要针对物理环境安全、网络和通信安全、设备和计算安全、安全建设管理和安全运维管理提出了具体的标准。 2019 年 6 月，国家标准信息安全技术工业互联网平台安全要求及评估规范征求意见稿发布。工业互联网平台作为工业互联网的核心，由数据采集体系、工业 PaaS 平台和应用服务体系三大核心要素构成，是实体经济全要素连接的枢纽、资源配置的中心和智能制造的大脑。本标准对工业互联网相关组织开展安全防护工作提出了安全控制措施，可为工业互联网平台建设、运维、技术研发等方面安全防护工作提供规范性指导。 2019年 7月，国家标准电力信息系统安全等级保护实施指南正式实施。为规范电力信息系统安全等级保护实施的流程、内容和方法，加强电力信息系统的安全管理，防范网络攻击对电力信息系统造成的侵害，保障电力系统的安全稳定运行，依据国家和行业有关政策，制定此标准。该标准由国家能源局提出，由全国电力监管标准化技术委员会 (SAC/TC296)归口。 2019 年 8 月，国家标准信息安全技术工业控制系统网络审计产品安全技术要求发布。随着工业化与信息化的深度融合，来自信息网络的安全威胁正逐步对工业控制系统造成极大的安全威胁，通用安全审计产品在面对工业控制系统的安全防护时显得力不从心，因此急需要一种能应用于工业控制环境的安全审计产品对工业控制系统进行安全防护。 2019 年 8 月，国家标准信息安全技术工业控制网络监测安全技术要求及测试评价方法发布。应用于工业控制环境的网络监测产品与通用网络监测产品的主要差异体现在：通用网络监测产品主要针对互联网通用协议进行分析和响应，应用于工业控制环境的网络监测产品除了能够分析部分互联网通用协议外，还具有对工业控制协议的深度解析能力，而无需对工业控制系统中不会使用的通用协议进行分析。应用于工业控制环境的网络监测产品可能有部分组件需部署在工业现场环境，因此比通用网络监测产品具有更高的环境适应能力。应用于工业控制环境的网络监测产品比通用网络监测产品具有更高的可用性、可靠性、稳定性。 2019 年 8 月，国家标准信息安全技术工业控制系统漏洞检测产品技术要求及测试评价方法发布。工业控制系统漏洞检测的目的是检查和分析系统的安全脆弱性，发现可能被入侵者利用的漏洞，并提出防范和补救措施，工业控制系统漏洞检测产品可以用于离线环境、工业控制系统试运行期间或工业系统维修期间，能够对工业控制系统中的工业控制设备、通信设备、安全保护设备以及工业控制软件等进行自动检测，发现存在的漏洞。 2019年 8月，国家标准信息安全技术工业控制系统产品信息安全通用评估准则发 12 布。该标准定义了工业控制系统产品信息安全评估的通用安全功能组件和安全保障组件集合，规定了工业控制系统产品的安全要求和评估准则。该标准适用于工业控制系统产品安全保障能力的评估、产品安全功能的设计、开发和测试。 2019年 8月，国家标准信息安全技术工业控制系统安全检查指南发布。该标准制定的目的是为了指导我国国家关键基础设施中相关工业控制系统行业用户开展工业控制系统信息安全自评工作，掌握工业控制系统信息安全总体状况，及时有效发现工业控制系统存在的问题和薄弱环节，进一步健全工业控制系统信息安全管理制度，完善工业控制系统信息安全技术措施，提高工业控制系统信息安全防护能力，为国家对重点行业工业控制系统信息安全检查等工作提供支撑，为实现更安全的工业控制系统并在其内部进行有效的风险管理提供帮助。 2019年 8月，国家标准信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求发布。应用于工业控制环境的网络安全隔离与信息交换系统与通用网络安全隔离与信息交换系统的主要差异体现在：通用网络安全隔离与信息交换系统除了需具备基本的五元组过滤外，还需要具备一定的应用层过滤防护能力。用于工业控制环境的网络安全隔离与信息交换系统除了具有通用网络安全隔离与信息交换系统的部分通用协议应用层过滤能力外，还需要具有对工业控制协议应用层的过滤能力；结合工业控制环境中当前的信息安全防护技术水平，以及信息安全防护不得影响系统功能的正常运行，通用网络安全隔离与信息交换系统所要求的强制访问控制要求还不能够适应于工业控制环境；工业控制环境下的网络安全隔离与信息交换系统比通用网络安全隔离与信息交换系统具有更高的可用性、可靠性、稳定性等要求。 2019年 8月，国家标准信息安全技术工业控制系统专用防火墙技术要求发布。应用于工业控制环境的防火墙与通用防火墙的主要差异体现在：通用防火墙除了需具备基本的五元组过滤外，还需要具备一定的应用层过滤防护能力，用于工业控制环境的防火墙除了具有通用防火墙的部分通用协议应用层过滤能力外，还具有对工业控制协议应用层的过滤能力；用于工业控制环境的防火墙比通用防火墙具有更高的环境适应能力；工业控制环境中，通常流量相对较小，但对控制命令的执行要求具有实时性，因此，工业控制防火墙的乔吐量性能要求可相对低一些，而对实时性要求较高；工业控制环境下的防火墙比通用防火墙具有更高的可靠性、稳定性等要求。 13 第三章工业互联网安全威胁一、 2019 年新公开工业控制系统严重漏洞（一）缓冲区溢出漏洞缓冲区溢出（ buffer overflow）是一种非常普遍、非常危险的漏洞，在各种操作系统、应用软件中广泛存在。利用缓冲区溢出漏洞进行攻击，可以导致程序运行失败、系统宕机、重新启动等后果。更为严重的是，可以利用它执行非授权指令，甚至可以取得系统特权，进而进行各种非法操作。如 2019 年 12 月，研华（ Advantech）公司发布通报称， DiagAnywhere Server 软件存在高危漏洞。 Advantech DiagAnywhere Server 缓冲区溢出漏洞（ CVE-2019-18257）威胁预警： CVSS v3 9.8 （高危漏洞）风险评估：成功利用该漏洞，可能允许远程执行代码。受影响的产品： DiagAnywhere 服务器版本 3.07.11 及更低版本漏洞解决方案：用户可关注该链接，掌握漏洞修复方案：（二）拒绝服务漏洞拒绝服务漏洞是指可以实现拒绝服务攻击（ Denial of Service， DOS）的漏洞。 DOS 攻击的目的是使计算机或网络无法提供正常的服务。利用拒绝服务漏洞进行攻击，攻击者往往不需要具有很高的攻击带宽，有时只需要发送 1 个数据包就可以达到攻击目的。如 2019 年 7 月，西门子（ Siemens）公司发布通报称， Siemens SIPROTEC 5 和 Siemens DIGISI 5 存在高危漏洞。 Siemens SIPROTEC 5 和 Siemens DIGISI 5 拒绝服务漏洞（ CVE-2019-10931）威胁预警： CVSS v3 7.8（高危漏洞）风险评估：攻击者可借助特制的数据包利用该漏洞造成拒绝服务。受影响的产品： Siemens DIGSI 5 V7.90 Siemens SIPROTEC 5 14 漏洞解决方案：用户可关注该链接，掌握漏洞修复方案： cert- （三）访问控制漏洞访问控制指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段。访问控制漏洞，就是攻击者可以绕过安全限制，执行未授权的操作。利用访问控制漏洞进行攻击，可以导致系统的信息泄露、被篡改、删除，甚至可以取得系统特权，进而进行各种非法操作。如 2019 年 11 月，西门子（ Siemens）公司发布通报称， Siemens SIMATIC S7- 1200 CPU 存在高危漏洞。 Siemens SIMATIC S7-1200 CPU 访问控制漏洞（ CVE-2019-13945）威胁预警： CVSS v3 10（高危漏洞）风险评估：成功利用该漏洞，攻击者可以通过物理访问异步收发传输器接口控制进程。受影响的产品： Siemens SIMATIC S7-1200 CPU 漏洞解决方案：用户可关注该链接，掌握漏洞修复方案： cert- （四）跨站脚本漏洞跨站脚本漏洞通常存在于客户端和服务器端，是能够实现跨站脚本攻击（ Cross-site scripting，通常简称为 XSS）的漏洞。，利用 XSS 漏洞可以进行广告拦截、窃取隐私、钓鱼欺骗、窃取密码、传播恶意代码等各种各样网络攻击。如 2019 年 3 月，摩莎（ Moxa ）公司发布通报称， Moxa IKS 和 EDS 存在高危漏洞。 Moxa IKS 和 EDS 访问控制漏洞（ CVE-2019-6565）威胁预警： CVSS v3 10（高危漏洞）风险评估：成功利用该漏洞，攻击者可进行跨站脚本攻击。受影响的产品： Moxa IKS-G6824A =4.5 Moxa EDS-405A =3.8 15 Moxa EDS-408A =3.8 Moxa EDS-510A =3.8 漏洞解决方案：用户可关注该链接，掌握漏洞修复方案：（五）未授权访问漏洞未授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面等存在一定的缺陷，导致其他用户可以直接访问，从而引发重要权限可被操作、数据库、网站目录等敏感信息泄露的漏洞。如 2019 年 10 月，研华（ Advantech ）公司发布通报称， Advantech WISE- PaaS/RMM 存在高危漏洞。 Advantech WISE-PaaS/RMM 未授权访问漏洞（ CVE-2019-13547）威胁预警： CVSS v3 9.8（高危漏洞）风险评估：成功利用该漏洞，未经身份验证的攻击者可以使用工控设备。受影响的产品： Advantech WISE-PaaS/RMM 3.3.29 及之前版本漏洞解决方案：用户可关注该链接，掌握漏洞修复方案：（六）远程代码执行漏洞远程代码执行漏洞，用户通过浏览器提交执行命令，由于服务器端没有针对执行函数做过滤，远程代码执行漏洞会导致攻击者在目标系统执行任意命令。如 2019 年 12 月，西门子（ Siemens）公司发布通报称， Siemens SPPA-T3000 Application Server 存在高危漏洞。 Siemens SPPA-T3000 Application Server 远程代码执行漏洞（ CVE-2019-18283）威胁预警： CVSS v3 9.8（高危漏洞）风险评估：成功利用该漏洞，攻击者可在服务器上执行任意代码。受影响的产品： Siemens SPPA-T3000 Application Server（全部版本）漏洞解决方案： 16 用户可关注该链接，掌握漏洞修复方案： 17 第四章工业安全应急响应典型案例 2019 年奇安信工业安全应急响应中心和安全服务团队共同为全国工业企业提供应急求助 273 起，涉及医疗卫生、交通运输、制造业、能源等重要关键信息基础设施行业。遭受勒索病毒攻击仍然是工业企业面临的最大挑战，这些安全事件均不同程度地造成较为严重的社会负面影响，带来了严重损失。一、某工业集团入网前 Conficker、 Fakefolder 病毒处置场景回顾 2019 年 1 月，某工业集团为了便于各测试系统中测试数据的统一采集、存储和管理，各测试系统将陆续接入 TDM 系统（测试数据管理系统）中，当前仍然有部分测试设备、系统未接入。由于移动介质的交叉使用、相关使用规范的缺失，当前未入网的设备 /系统中存在大量病毒，因此该工业集团请求工业安全应急响应中心进行应急响应。问题研判工业安全应急响应中心人员到达现场后，经对现场情况的了解及设备的检测，发现当前设备、系统、网络中存在的主要问题是由于 U 盘的不合理使用使得 TDM 系统中感染了 “ Conficker” 蠕虫、矢网仪感染了“ FakeFolder” 蠕虫病毒。病毒可通过移动介质、网络大范围传播，由此形成恶性循环；同时，病毒感染后可进行各种恶意操作，如安装后门、窃取敏感数据、篡改数据等，数据可通过被感染的移动介质和主机传播外泄，由此造成敏感数据丢失、测试数据不准确，最终导致产品出现功能、性能问题的可能性；缺乏对 U 盘使用的基本管理制度，亦无技术管控措施；安全意识有待高，安全制度建立有待完善。处置方案 1）在工业终端、服务器等安装工业主机安全防护系统，建立安全基线，对 U 盘使用进行策略配置； 2）对于 TDM 系统，可在控制主机和数据中转主机之间配置工业网关设备，保证数据的安全、单向传输，在 TDM 网络边界处部署工业防火墙。除此之外，做好应急准备，将安全处置风险降到最低或可控。 18 二、某大型制造企业遭受 WannaMine3.0 及“永恒之蓝”勒索病毒攻击场景回顾 2019 年 2 月，某大型制造企业的卧式炉、厚度检测仪、四探针测试仪、铜区等多个车间的机台主机以及 MES（制造执行系统）客户端都不同程度的遭受蠕虫病毒攻击，出现蓝屏、重启现象。该企业内部通过处理 (机台设备离线、部分 MES 服务器 /客户端更新病毒库，更新主机系统补丁 )暂时抑制了病毒的蔓延，但没有彻底解决安全问题，因此紧急向工业安全应急响应中心求救。问题研判工业安全应急响应中心人员到达现场后，经对各生产线的实地查看和网络分析可知，当前网络中存在的主要问题是工业生产网和办公网网络边界模糊不清， MES 与工控系统无明显边界，采用两个网段公用的现场，各生产线未进行安全区域划分，在工业生产网中引入了 WannaMine3.0、“永恒之蓝”勒索蠕虫变种，感染了大量主机，且勒索蠕虫变种在当前网络中未处于活跃状态（大部分机台设备已离线）。处置方案 1）制定 MES（制造执行系统）与工控系统的安全区域，规划制定安全区域划分； 2）隔离感染主机：已中毒计算机关闭所有网络连接，禁用网卡，未进行查杀的且已关机的受害主机，需断网开机； 3）切断传播途径：关闭潜在终端的网络共享端口，关闭异常的外联访问； 4）查杀病毒：使用最新病毒库的终端杀毒软件，进行全盘查杀； 5）修补漏洞：打上 “永恒之蓝 ”漏洞补丁并安装工业主机安全防护系统。三、某钢铁企业智能工厂改造前“永恒之蓝”勒索变种病毒处置场景回顾 2019 年 3 月，某钢铁企业为了适应发展，满足智能制造要求，对工厂进行现代化改造，新建数采网，提高信息化程度，推进数字化工厂建设。在前期规划建设中，发现部分工控主机出现蓝屏异常现象，为保证后期改造中安全升级改造符合实际需要，制定符合实际情况的 19 工业安全解决方案，因此该钢铁企业请求工业安全应急响应中心进行应急响应。问题研判工业安全应急响应中心人员到达现场后，经现场实际检查，当前网络中存在的主要问题为网络中的交换机未进行基本安全配置，各层级网络由“桥梁式”主机互通互联，边界缺乏工业防火墙保护， “永恒之蓝”勒索病毒通过办公网传入生产网，当前生产网络中存在“永恒之蓝”勒索病

展开阅读全文