收藏 分销(赏)
立即下载 VIP下载

2022工业控制网络安全态势白皮书.pdf

上传人:Stan****Shan 文档编号:1295599 上传时间:2024-04-22 格式:PDF 页数:55 大小:2.10MB
下载 相关 举报
2022工业控制网络安全态势白皮书.pdf_第1页
第1页 / 共55页
2022工业控制网络安全态势白皮书.pdf_第2页
第2页 / 共55页
2022工业控制网络安全态势白皮书.pdf_第3页
第3页 / 共55页
2022工业控制网络安全态势白皮书.pdf_第4页
第4页 / 共55页
2022工业控制网络安全态势白皮书.pdf_第5页
第5页 / 共55页
点击查看更多>>
资源描述

1、2目录1.前言.52.2022 年工控安全相关政策法规报告.62.1 工业和信息化领域数据安全管理办法(试行)(征求意见稿).62.2 信息安全技术 工业控制系统信息安全防护能力成熟度模型.62.3 电力可靠性管理办法(暂行).72.4 电力行业网络安全管理办法(修订征求意见稿).72.5 数据出境安全评估办法.72.6 关于开展网络安全服务认证工作的实施意见(征求意见稿).82.7 关于修改中华人民共和国网络安全法的决定(征求意见稿).82.8 信息安全技术 关键信息基础设施安全保护要求.82.9 工业互联网 总体网络架构.92.10 网络产品安全漏洞收集平台备案管理办法.92.11 信息安

2、全技术 网络安全服务能力要求.92.12 信息安全技术 关键信息基础设施网络安全应急体系框架.93.2022 年典型工控安全事件分析.113.1 德国主要燃料储存供应商遭网络攻击.113.2 FBI 警报:美国关键基础设施正遭受 BlackByte 勒索软件入侵.113.3 白俄罗斯铁路遭到 Anonymou 入侵,所有网络服务中断.113.4 东欧大型加油站遭勒索攻击,官网、APP 等全部下线.123.5 乌克兰的能源供应商成为 Industroyer2 ICS 恶意软件的目标.1233.6 农业机械巨头爱科遭勒索攻击,美国种植季拖拉机供应受影响.123.7 得克萨斯州一家液化天然气厂遭黑客

3、攻击导致爆炸.133.8 伊朗 lycaeum APT 组织利用新的 DNS 后门攻击能源行业.133.9 德国建材巨头 Knauf 被 Black Basta 勒索软件团伙袭击.133.10 希腊天然气分销商 DESFA 部分基础设施遭受网络袭击.143.11 黑客组织 GhostSec 入侵以色列各地的 55 个 PLC.143.12 黑客组织 KILLNET 对美国机场网站发起分布式拒绝服务(DDoS)攻击.143.13 网络攻击导致丹麦最大铁路公司火车全部停运.153.14 乌克兰政府机构和国家铁路遭受新一波网络钓鱼攻击.154.工控系统安全漏洞概况.175.联网工控设备分布.205.

4、1 国际工控设备暴露情况.225.2 国内工控设备暴露情况.245.3 国内工控协议暴露数量统计情况.275.4 俄乌冲突以来暴露设备数量变化.296.工控蜜罐数据相关分析.326.1 工控蜜罐全球捕获流量概况.326.2 工控系统攻击流量分析.346.3 工控系统攻击类型识别.376.4 工控蜜罐与威胁情报数据关联分析.396.5 工控网络探针.4147.工业互联网安全创新发展.447.1 工业互联网与智能制造.457.2 工业互联网与产业数字化转型.477.3 工业互联网与典型工业环境.488.总结.53参考文献.5451.前言关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融

5、、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等,对国家的稳定发展发挥着极端重要的作用。工业控制系统是关键信息基础设施的关键核心。随着制造强国、网络强国战略的持续推进,机械、航空、船舶、汽车、轻工、纺织、食品、电子等行业生产设备逐渐步入智能化阶段。与此同时,5G 技术、人工智能、云计算等新一代信息技术与制造技术的加速融合,使得工业控制系统正从封闭独立逐步走向开放互联。工业控制网络正与 IT 网络进行着深度融合,在促进工业进一步发展的同时,传统信息网络中的各种安全威胁已经逐步延伸至

6、工业控制网络中。在党的二十大报告中,习近平总书记着重强调了:“要推进国家安全体系和能力现代化,坚决维护国家安全和社会稳定。”近年来,网络攻击、网络窃密等危及国家安全行为,给社会生产生活带来了不少安全隐患。如何有效保障网络与信息安全,是数字时代的重要课题。2022 年 4 月,为贯彻落实 2022 年政府工作报告关于“加快发展工业互联网”的部署要求,扎实推进工业互联网创新发展行动计划(2021-2023 年)任务安排,工信部印发工业互联网专项工作组 2022 年工作计划。从夯实基础设施、深化融合应用、强化技术创新、完善要素保障等方面,提出了网络体系强基、标识解析增强、平台体系壮大等 15 大类任

7、务 83 项具体举措。为顺应当前形势,东北大学“谛听”网络安全团队基于自身传统的安全研究优势开发设计并实现了“谛听”网络空间工控设备搜索引擎(http:/),并根据“谛听”收集的各类安全数据,撰写并发布 2022 年工业控制网络安全态势白皮书,读者可以通过报告了解 2022年工控安全相关政策法规报告及典型工控安全事件分析,同时报告对工控系统漏洞、联网工控设备、工控蜜罐、威胁情报数据及工业互联网安全创新发展情况进行了阐释及分析,有助于全面了解工控系统安全现状,多方位感知工控系统安全态势,为研究工控安全相关人员提供参考。62.2022 年工控安全相关政策法规报告随着互联网的快速发展,云计算等新型信

8、息技术开始与传统工业进行融合,工业控制系统逐渐走向智能化。但与此同时,一些网络安全事件层出不穷,工业控制系统在信息安全方面受到了严峻挑战。因此,我国开始逐步完善工业信息安全政策标准,以便于提升工业信息安全保障技术,推动整个安全产业的发展。通过梳理 2022 年度发布的相关政策法规报告,整理各大工业信息安全研究院及机构针对不同法规所发布的解读文件,现摘选部分重要内容并对其进行简要分析,以供读者进一步了解国家层面关于工控安全领域的政策导向。2.1 工业和信息化领域数据安全管理办法(试行)(征求意见稿)2022 年 2 月 10 日,工信部再次公开征求对工业和信息化领域数据安全管理办法(试行)(征求

9、意见稿)的意见。此次发布的征求意见稿调整了数据定义、监管机构和核心数据目录备案等条款。在工业和信息化领域数据处理者责任方面,征求意见稿明确了其对数据处理活动负安全主体责任,对各类数据实行分级防护,保证数据持续处于有效保护和合法利用的状态。该征求意见稿增加了核心数据跨主体处理以及日志留存条款,要求需要跨主体提供、转移、委托处理核心数据时,应当评估安全风险,采取必要的安全保护措施,并经由地方工业和信息化主管部门(工业领域)或通信管理局(电信领域)或无线电管理机构(无线电领域)报工业和信息化部。工业和信息化部严格按照有关规定对其进行审查。2.2 信息安全技术 工业控制系统信息安全防护能力成熟度模型2

10、022 年 4 月 15 日,根据国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2022 年第 6 号),国家标准 GB/T 41400-2022信息安全技术 工业控制系统信息安全防护能力成熟度模型正式发布,并将于 2022 年 11 月进行正式实施。该标准由中国电子技术标准化研究院联合“产学研用测”41 家单位共同研制,意在贯彻落实国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见有关要求、进一步推动工业企业落实工业控制系统信息安全防护指南防护要点。72.3 电力可靠性管理办法(暂行)2022 年 4 月 25 日,国家发改委官网公布了电力可靠性管理办

11、法(暂行),并于 6 月 1 日起开始实施。办法第七章对电力网络安全做出了明确要求,其中提出了电力网络安全坚持积极防御和综合防范的方针;电力企业应当落实网络安全保护责任,健全网络安全组织体系;电力企业应当强化电力监控系统安全防护;电力用户应当根据国家有关规定和标准开展网络安全防护,预防网络安全事件,防止对公用电网造成影响;国家能源局依法依规履行电力行业网络安全监督管理职责等具体要求。2.4 电力行业网络安全管理办法(修订征求意见稿)2022 年 6 月 14 日,国家能源局对电力行业网络与信息安全管理办法(国能安全2014317 号,为加强电力行业网络安全监督管理以及规范电力行业网络安全工作,

12、根据中华人民共和国网络安全法中华人民共和国密码法中华人民共和国数据安全法中华人民共和国个人信息保护法中华人民共和国计算机信息系统安全保护条例关键信息基础设施安全保护条例及国家有关规定,制定本办法。)、电力行业信息安全等级保护管理办法(国能安全2014318 号,为规范电力行业网络安全等级保护管理,提高电力行业网络安全保障能力和水平,维护国家安全、社会稳定和公共利益,根据中华人民共和国网络安全法中华人民共和国密码法中华人民共和国计算机信息系统安全保护条例关键信息基础设施安全保护条例信息安全等级保护管理办法 等法律法规和规范性文件,制定本办法。)进行修订,形成了电力行业网络安全管理办法(修订征求意

13、见稿)电力行业网络安全等级保护管理办法(修订征求意见稿),向社会公开征求意见。2.5 数据出境安全评估办法2022 年 7 月 7 日,国家互联网信息办公室公布了数据出境安全评估办法(以下简称办法),并于 2022 年 9 月 1 日起开始施行。出台办法是为了更好的落实网络安全法、数据安全法、个人信息保护法的规定,并且有利于保护个人信息的权益,社会公共的利益,规范数据出境的活动以及维护国家的安全。该办法8也规定了数据出境安全评估的范围、条件和程序,并具体指明数据出境安全评估工作的方法。2.6 关于开展网络安全服务认证工作的实施意见(征求意见稿)2022 年 7 月 21 日,市监总局发布 关于

14、开展网络安全服务认证工作的实施意见(征求意见稿),公开征求意见至 8 月 21 日。应当依法设立从事网络安全服务认证活动的认证机构,保证其具备从事网络安全服务认证活动的专业能力,并严格经过市场监管总局征求中央网信办、公安部意见后批准取得资质。严格要求网络安全服务认证机构公开认证收费标准和认证证书有效、暂停、注销或者撤销等状态,按照有关规定报送网络安全服务认证实施情况及认证证书信息。2.7 关于修改中华人民共和国网络安全法的决定(征求意见稿)2022 年 9 月 14 日,国家互联网信息办公室会同相关部门起草了关于修改中华人民共和国网络安全法的决定(征求意见稿),并向社会公开征求意见。意见反馈截

15、止时间为 2022 年 9 月 29 日。自 2017 年中华人民共和国网络安全法开始实施后,其为维护网络空间主权和国家安全、社会公共利益,保护公民等合法权益,提供了有力法律保障。随着社会形势的发展,拟对中华人民共和国网络安全法进行修改,使其法律责任制度能够更加完善,能够更加有效的保障网络的安全。2.8 信息安全技术 关键信息基础设施安全保护要求2022 年 10 月 12 日,国家标准化管理委员会发布 2022 年第 14 号中华人民共和国国家标准公告,批准发布国家标准 GB/T 39204-2022信息安全技术 关键信息基础设施安全保护要求,信息安全技术 关键信息基础设施安全保护要求规定了

16、关键信息基础设施运营者在识别分析、安全防护、检测评估等方面的安全要求。此次标准的发布,意味着我国的国家关键信息基础设施(电力,燃气,水力,石化等)工业控制系统的网络安全保护将纳入国家监督成为强制要求,标志着我国关键信息基础设施安全保障体系的建设进一步完善,为运营者开展关键信息基础设施的安全保护工作提供更有效的规范和引领。标准将于 2023 年 5 月 1 日开始实施。92.9 工业互联网 总体网络架构2022 年 10 月 14 日,国家标准化管理委员会发布 2022 年第 13 号中华人民共和国国家标准公告,批准发布国家标准 GB/T 42021-2022工业互联网 总体网络架构。工业互联网

17、 总体网络架构是我国首个在工业互联网网络领域中发布的国家标准,其规范了工业互联网工厂内外网络架构的目标架构和功能要求,并且表明了工业互联网网络实施的框架以及对安全方面的要求,相关标准的规定有助于提升全行业全产业的数字化、网络化以及智能化水平,能够进一步促进相关产业向数字化转型。该标准将于 2023 年 5月 1 日开始实施。2.10 网络产品安全漏洞收集平台备案管理办法2022 年 10 月 28 日,工业和信息化部近日印发 网络产品安全漏洞收集平台备案管理办法。办法规定,将采取网上备案的形式进行,通过工业和信息化部网络安全威胁和漏洞信息共享平台对漏洞收集平台进行备案。相关参与者需在该共享平台

18、上如实填报网络产品安全漏洞收集平台的备案登记信息。该办法将于 2023 年 1 月 1 日起施行。2.11 信息安全技术 网络安全服务能力要求2022 年 11 月 9 日,全国信息安全标准化技术委员会秘书处发布 信息安全技术 网络安全服务能力要求(征求意见稿),并向社会公开征求意见,该意见征求截止时间为 12 月 9 日。该文件严格要求了网络安全服务机构所提供的安全服务应该具备的能力水平。该文件能够对网络安全服务机构开展网络安全服务能力建设进行有效指导,同时也可以帮助政务部门以及关键信息基础设施运营者选择合适的网络安全服务机构。2.12 信息安全技术 关键信息基础设施网络安全应急体系框架20

19、22 年 11 月 17 日,全国信息安全标准化技术委员会秘书处发布 信息安全技术关键信息基础设施网络安全应急体系框架(征求意见稿),并向社会征求意见,该意见征求截止时间为 2023 年 1 月 16 日。征求意见稿给出了关键信息基础设施网络安全应急体系框架,其中主要包括机构设立、分析识别以及事后恢复与总结等。该文件有助于关10键信息基础设施运营者建立健全网络安全应急体系、开展网络安全应急活动,同时可以为关键信息基础设施安全保护的其他相关方提供参考。表 2-1 2022 年国内部分出台政策序号月份出台政策12 月工业和信息化领域数据安全管理办法(试行)(征求意见稿)22 月工业和信息化部办公厅

20、关于做好工业领域数据安全管理试点工作的通知32 月工业互联网安全标准体系44 月信息安全技术 工业控制系统信息安全防护能力成熟度模型54 月电力可靠性管理办法(暂行)66 月电力行业网络安全管理办法(修订征求意见稿)77 月数据出境安全评估办法87 月关于开展网络安全服务认证工作的实施意见(征求意见稿)97 月信息安全技术 信息安全管理体系 概述和词汇108 月公路水路关键信息基础设施安全保护管理办法(征求意见稿)119 月关于修改(中华人民共和国网络安全法)的决定(征求意见稿)1210 月信息安全技术 关键信息基础设施安全保护要求1310 月工业互联网 总体网络架构1410 月数字化转型 价

21、值效益参考模型、供应链数字化管理指南、生产设备运行管理规范、生产设备运行绩效评价指标集1510 月网络产品安全漏洞收集平台备案管理办法1611 月信息安全技术 网络安全服务能力要求(征求意见稿)1711 月信息安全技术 关键信息基础设施网络安全应急体系框架(征求意见稿)1812 月工业互联网企业网络安全 第 4 部分:数据防护要求(征求意见稿)1912 月电力行业网络安全管理办法2012 月电力行业网络安全等级保护管理办法2112 月工业和信息化领域数据安全管理办法(试行)113.2022 年典型工控安全事件分析时至 2022,全球局势变化风云莫测,工控安全是国家安全保障、社会稳定运行的重要基

22、石。工控网络的应用涉及了社会中的各个重要行业如通信、电力、燃油等。社会中的各个机构、组织、企业在疫情下稳步的复产复工,恢复工作秩序,离不开工控网络的安全。以下介绍 2022 年发生的一些典型工控安全相关事件,通过以下事件可以了解工业控制网络环境下各种攻击的技术特性和趋势,以此来制定更加有效的相关策略应对未来可能遭受的攻击。3.1 德国主要燃料储存供应商遭网络攻击2022 年 1 月 29 日,德国的一家名为 Oiltanking GmbH Group 的石油储存公司遭到了网络攻击。本次攻击主要是针对 Oiltanking 公司以及矿物油贸易公司 Mabanaft,对其造成了一定的影响。Oilt

23、anking 和 Mabanaft 在他们的联合声明中表示他们正在尽力解决该问题,并了解其波及的范围。同时由于受到本次攻击事件的影响,欧洲西北部地区馏分柴油的价格有略微的涨幅。3.2 FBI 警报:美国关键基础设施正遭受 BLACKBYTE勒索软件入侵2022 年 2 月 11 日,美国联邦调查局和美国特勤局联合发布了联合网络安全咨询公告。公告中指出:名为 BlackByte 的软件勒索组织在过去的 3 个月期间,入侵了至少 3 个美国关键基础设施组织,尤其是政府设施、金融服务以及食品和农业领域。该组织会将其勒索软件基础设施出租给他人,以此来换取一定比例的勒索收益,该组织自2021 年 7 月

24、开始开发软件漏洞,全球范围内的企业都可能成为其目标。3.3 白俄罗斯铁路遭到 ANONYMOU入侵,所有网络服务中断2022 年 2 月 27 日,黑客组织 Anonymou 声称已经入侵了白俄罗斯铁路的内部网络,并且攻击并关闭了其内部网络的所有服务。目前网站 pass.rw.by、portal.rw.by、rw.by 都处于无法访问的状态,该国的铁路系统被迫转入手动控制模式,这对白俄罗斯铁路列车12的正常运营以及铁路秩序都造成了极大的影响和破坏。Anonymou 组织还入侵了白俄罗斯的武器制造商 Tetraedr,并窃取了大约 200GB 的电子邮件。3.4 东欧大型加油站遭勒索攻击,官网、

25、APP 等全部下线2022 年 3 月 6 日,东欧国家罗马尼亚的一家加油站遭到了勒索软件攻击,该加油站的 Fill&Go 服务以及官方网站都因本次攻击而被迫下线。本次攻击影响到了该公司的大部分业务,导致了官网、APP 都无法正常访问,顾客只能使用现金和刷卡进行支付。这家公司名为 Rompetrol,是罗马尼亚国内最大的炼油厂 Petromidia Navodari 的配套加油站运营商。攻击者还入侵了 Petromdia 炼油厂内部的网络,但该网络的运营暂未发现受到了影响。3.5 乌克兰的能源供应商成为 INDUSTROYER2 ICS 恶意软件的目标2022 年 4 月 12 日,一种新的能

26、够操控工业控制系统造成损害的恶意软件最近将乌克兰的一家能源供应商作为了攻击的目标。该攻击主要针对的是变电站,乌克兰的计算机应急响应小组、网络安全公司和微软公司已经对其进行了分析。经分析发现,该攻击行动与一个威胁组织 Sandworm 有关,该组织据信代表俄罗斯 GRU 军事情报机构运作。根据网络安全公司的说法,该攻击的目的可能是在目标能源设施中执行破坏性的操作进而导致停电,本次安全事件涉及了在 ICS 网络以及运行 Solaris 和 Linux 的系统中部署的几种恶意软件。3.6 农业机械巨头爱科遭勒索攻击,美国种植季拖拉机供应受影响2022 年 5 月 7 日,美国农业机械巨头爱科遭到了勒

27、索软件的攻击,对部分生产设施的运营造成了影响,并且该影响可能会持续多天。本次事件中,爱科公司并没有提供任何关于业务中断的细节信息,为了阻止攻势蔓延该公司可能会关闭部分系统。有经销商表示,这导致拖拉机销售在美国最重要的种植季节停滞不前。近一年来已经有多家农业供应链企业遭到攻击,可见农业逐渐成为了勒索攻击的重点目标。同时受到紧张的国际政治局势的影响,部分网络攻击可能还具有报复性动机,目的是破坏美国关键基础设施企业的生产活动。133.7 得克萨斯州一家液化天然气厂遭黑客攻击导致爆炸2022 年 6 月 8 日,德克萨斯州一家液化天然气厂发生爆炸。爆炸发生在德克萨斯州金塔纳岛的自由港液化天然气液化厂(

28、名为 Freeport LNG 公司)和出口码头。华盛顿时报一国家安全作家 Rogan 证实:德克萨斯州的液化天然气设施爆炸与 APT 组织进行的黑客活动一致。Freeport LNG 拥有运营技术以及工业控制系统网络检测系统,但否认了将网络攻击视为事件发生的根本原因。除非 Freeport LNG 适当部署了 OT/ICS 网络检测系统并完成了取证调查,否则不能排除网络攻击。此次爆炸事故将对自由港液化天然气的运营产生持久的影响。3.8 伊朗LYCAEUMAPT 组织利用新的 DNS 后门攻击能源行业2022 年 6 月 10 日,伊朗 Lycaeum APT 黑客组织使用新的基于.NET 的

29、 DNS 后门,以对能源和电信行业的公司进行攻击。Lyceum 曾使用 DNS 隧道后门瞄准中东的通信服务提供商。Zscaler 最近的一项分析提出了一种新的 DNS 后门,该后门基于 DIG.net 开源工具可以执行“DNS 劫持”攻击、执行命令、丢弃更多有效负载并泄露数据。DNS 劫持是一种重定向攻击,它依赖于 DNS 查询操作,将尝试访问合法站点的用户带到威胁参与者控制下的服务器上托管的恶意克隆。3.9 德国建材巨头 KNAUF被 BLACKBASTA勒索软件团伙袭击2022 年 7 月 19 日消息,德国建材巨头 Knauf 集团表示它已成为网络攻击的目标,该攻击扰乱了其业务运营。据悉

30、,网络攻击发生在 6 月 29 日晚上,目前,可耐夫仍在进行调查取证、事件处理和补救工作。虽然 Knauf 没有公布他们所遭受的网络攻击的类型,但根据恢复正常运营的时间、影响和难度可以推断这大概率是一起勒索软件事件。名为 Black Basta 的勒索软件团伙已经在其勒索网站上发布公告宣布对这次攻击负责,并于 7 月 16 日将 Knauf 列为受害者。勒索软件团伙目前已经泄露了 20%的被盗文件,超过 350 名访问者访问了这些文件。并非所有文件都已在线泄露的事实表明,威胁行为者仍有希望获得成功的谈判结果并获得赎金。143.10 希腊天然气分销商 DESFA 部分基础设施遭受网络袭击2022

31、 年 8 月 20 日,希腊最大的天然气分销商 DESFA 表示在其部分基础设施上遭受了网络攻击,攻击者试图非法访问电子数据,并可能泄露了许多目录和文件。8 月 19日,Ragnar Locker 勒索软件组织在其暗网数据泄露网站上泄露了 DESFA 的数据样本及被盗数据列表,这也证实了此次攻击。泄露的数据样本不包含机密信息。Ragnar Locker在其暗网上表示,DESFA 的系统中存在多个安全漏洞,会导致公司的敏感数据受到损害。Ragnar Locker 已将此类漏洞通知了 DESFA,然而并没有收到回应。因此 RagnarLocker 发布了从 DESFA 网络下载的数据列表,并威胁如

32、果 DESFA 没有在规定时间内采取行动,也没有联系威胁行为者以解决安全问题,将发布文件列表中包含的所有文件。3.11 黑客组织 GHOSTSEC入侵以色列各地的 55 个 PLC2022年9月12日,巴勒斯坦的黑客组织GhostSec声称他们破坏了多达55个Berghof可编程逻辑控制器(PLC),这些 PLC 被以色列组织用作“Free Palestine”运动的一部分。GhostSec 于 2015 年首次被发现,自称治安组织,最初成立的目的是针对宣扬伊斯兰极端主义的 ISIS 网站。9 月 4 日,GhostSec 在其 Telegram 频道上分享了一段视频,展示了成功登录 PLC

33、管理面板的过程,此外还转储了被黑客入侵控制器的数据。同时,GhostSec 发布了更多的截图,声称已经获得了另一个控制面板的权限,可以用来改变水中的氯含量和 PH 值。工业网络安全公司 OTORIO 对此事进行了更深入的调查后表示,发生此次入侵的原因可能是因为 PLC 可以通过互联网访问,而且使用的是可以轻易猜到的凭证。3.12 黑客组织 KILLNET 对美国机场网站发起分布式拒绝服务(DDOS)攻击2022 年 10 月 10 日,亲俄黑客组织 KillNet 声称对美国几个主要机场的网站进行了大规模分布式拒绝服务(DDoS)攻击,导致其无法访问。DDoS 攻击通过垃圾请求使托管这些网站的

34、服务器无法运作,使旅客无法连接并获取有关其定期航班或预订机场服务的更新。被攻击的机场包括芝加哥奥黑尔国际机场(ORD)、奥兰多国际机场(MCO)、丹佛国际机场(DIA)、凤凰城天港国际机场(PHX),以及肯塔基州、密西西比州和夏威夷的一些机场。虽然 DDoS 攻击不会影响航班,但仍然对关键经济部门的运作产生了不利影响,15可能将会造成相关服务的暂缓甚至是瘫痪。KillNet 的创始人 KillMilk 还表示,他们正在计划进一步的攻击,涉及更严重的技术,包括旨在破坏数据的擦除器攻击。3.13 网络攻击导致丹麦最大铁路公司火车全部停运2022 年 11 月 5 日,由于遭受了网络攻击导致服务器关

35、闭,丹麦最大的铁路运营公司 DSB 旗下所有列车均陷入停运,且连续数个小时未能恢复。遭受攻击的是丹麦公司Supeo,该公司是一家专为铁路、交通基础设施和公共客运提供资产管理解决方案的外包供应商。Supeo 可能经受了一次勒索软件攻击,但该公司并未披露任何信息。Supeo公司提供了一款移动应用,可供火车司机访问各项关键运营信息,例如限速指标和铁路运行信息。由于服务器关闭,导致该应用停止工作,司机们只能被迫停车,最终引发了列车运营中断事件。3.14 乌克兰政府机构和国家铁路遭受新一波网络钓鱼攻击2022 年 12 月 8 日,乌克兰计算机应急响应小组报道,乌克兰政府机构和国家铁路遭受网络钓鱼攻击。

36、攻击者被响应小组追踪为 UAC-0140,他们使用电子邮件分发由Delphi 编程语言开发的名为 DolphinCape 恶意软件。这种恶意软件可以采集被攻击电脑的信息,包括主机名、用户名、比特率和操作系统版本等等,该软件还会运行可执行文件、提取其他关键数据、并对目标设备进行屏幕截图等操作,严重影响被攻击者的电脑的运行安全。乌克兰安全官员认为,俄罗斯黑客是大多数攻击的幕后黑手。表 3-1 2022 年部分安全事件序号时间国家/地区行业方式影响11 月德国制造业未知欧洲北部地区柴油涨价21 月荷兰能源业勒索软件石油装卸和转运受阻32 月美国农业勒索软件勒索高额赎金42 月白俄罗斯运输业未知铁路运

37、营秩序受影响,资料泄露52 月瑞士运输业勒索软件运营受到干扰63 月罗马尼亚能源业勒索软件油站官网、APP 无法访问1673 月德国能源业勒索软件近 6000 台风力发电机失去远程控制84 月乌克兰能源业恶意软件变电站停电94 月德国制造业网络攻击被迫关闭多个业务部门的系统104 月加拿大制造业网络攻击航班延误,大量旅客滞留机场115 月美国农业勒索软件公司被迫关闭系统、销售停滞125 月印度航空业勒索软件航班延误、旅客滞留机场136 月美国建筑业恶意流量混合探测到更多新的恶意软件变种和与攻击者相关的 TTP146 月土耳其航空业未知严重的数据泄露156 月美国能源业网络攻击液化天然气厂的运营

38、产生了持久影响167 月德国制造业勒索软件文件泄露、被索要高额赎金177 月伊朗制造业网络攻击严重扰乱工厂运营187 月西班牙工业网络攻击辐射警报网络无法响应辐射激增事件198 月希腊能源业勒索软件大量数据遭到泄露208 月英国医疗业网络攻击急救热线持续性中断219 月巴勒斯坦工业网络入侵多个 PLC 可以被攻击者控制2210 月美国航空业DDoS 攻击航空公司网站的服务器无法运作2310 月德国新闻业勒索软件系统陷入瘫痪,电子版文件无法访问2411 月乌克兰互联网勒索软件恶意脚本入侵网络2511 月德国制造业网络攻击数据泄露,被索要赎金2612 月乌克兰运输业网络钓鱼攻击电脑被恶意操控、数据

39、泄露2712 月哥伦比亚能源业勒索软件大量数据泄露2812 月德国制造业网络攻击有可能造成数据泄露174.工控系统安全漏洞概况随着工业 4.0、智能制造、工业互联网等概念的产生和发展,全球工控产业体系迅速扩大,工控系统的独立性日益降低,理论上来说对工控系统的攻击实现将更加简单,例如 PLC 等 ICS 的核心构成将面对更多样的攻击手段、更隐蔽的攻击形式等。相关数据显示,2022 年西门子(Siemens)、施耐德(Schneider)、北京亚控科技发展有限公司(WellinTech)、三菱(Mitsubishi)、欧姆龙(Omron)等工业控制系统厂商也均被发现包含各种信息安全漏洞。然而本团队

40、从采集到的工控漏洞数据中注意到,近两年的工控安全漏洞数量呈逐年下降的趋势。图 4-1 2012-2022 年工控漏洞走势图(数据来源 CNVD、“谛听”)根据 CNVD(国家信息安全漏洞共享平台)12和“谛听”的数据,2012-2022 年工控漏洞走势如图 4-1 所示。从图中可以看出,2015 年到 2020 年期间工控漏洞数量呈显著的逐年增长趋势,出现这种情况的主要原因,本团队分析认为是:2015 年后,技术融合加速工控产业发展的同时破坏了传统工控系统的体系结构,在产业标准、政策尚不成熟的情况下攻击者可能会采取更加丰富的攻击手段攻击工控系统,导致工控漏洞的数量逐年上升。然而从 2021 年

41、开始,工控漏洞数量呈逐年下降的趋势,与 2020 年的 568 条漏18洞信息相比,2021 年减少了 416 条,漏洞数量大幅降低,减少数量占 2020 年的 73%,2022 年的漏洞数量降幅虽不及 2021 年的 73%,但仍达到了 37%,本团队猜测出现的原因是:一方面,由于新冠疫情在全球反复暴发,大量从业人员线上办公,工控产业活力低下,导致工控攻击目标的数量与类型较往年有所减少,工控漏洞的产生和发现可能会因此减少;另一方面,随着工控信息安全政策、体系、法规的不断完善,工控安全方面的产品体系和解决方案愈发健全,客观上的漏洞数量下降应在情理之中。图 4-2 2022 年工控系统行业漏洞危

42、险等级饼状图(数据来源 CNVD、“谛听”)如图 4-2 所示,2022 年工控系统行业漏洞危险等级饼状图,截至 2022 年 12 月 31日,2022 年新增工控系统行业漏洞 96 个,其中高危漏洞 35 个,中危漏洞 51 个,低危漏洞 10 个。与去年相比,漏洞数量减少了 56 个,高危、中危和低危漏洞数量均有一定减少,其中,中高危漏洞数量减少了 54 个,占 2021 年中高危漏洞总数的 39%。2022全年高危工控安全漏洞占全年漏洞总数量中的 36%,与 2021 年相比相差不大。由此可见,今年的全球工控安全体系建设更加完备,工控产业相关厂商、企业的研究更加深入,情况较为乐观,但同

43、时高危漏洞数量占比仍然较大,需要持续完善工控方面的协议、政策,增加对工控信息安全产业的投入。19以上数据表明,在 2022 年,虽然工控漏洞数量的降幅较 2021 年有所降低,但全球工控系统的安全维护水平依然持续提升;同时我们注意到高危漏洞数量占比变化不大,理想情况下,风险等级被标记为“高危”的漏洞数量应当在工控相关协议、设备设计之初尽量避免,或在被工控系统安全人员发现时及时解决,其相比中低危漏洞具有更高的处理优先级,故工控系统所遭受攻击数量虽然在近两年逐年减少,但工控系统所遭受的攻击强度可能并没有降低,或者说工控系统方面设计缺陷可能并没有得到及时完善,同时工控产业相关单位有必要进一步加强对工

44、业漏洞的防范,并持续增加对工控系统安全建设的投入。图 4-3 2022 年工控系统行业厂商漏洞数量柱状图(数据来源 CNVD、“谛听”)如图4-3是2022年工控系统行业厂商漏洞数量柱状图,由图中可知,西门子(Siemens)厂商具有的漏洞数量最多,多达 37 个。漏洞数量排在其后的厂商分别是:施耐德(Schneider)、亚控科技(WellinTech)、三菱(Mitsubishi)、台达(Delta)、欧姆龙(Omron),这些厂商也存在着一定数量的工控系统行业漏洞。由此可见,各个厂商应该密切关注工控系统行业漏洞,通过部署终端安全防护组件、部署防火墙、入侵检测系统、入侵防护系统或安全监测系

45、统等方式进一步提升系统防护水平,确保工控系统信息安全。205.联网工控设备分布“谛听”网络空间工控设备搜索引擎共支持 31 种服务的协议识别,表 5-1 展示了“谛听”网络安全团队识别的工控协议等的相关信息。如想了解这些协议的详细信息请参照“谛听”网络安全团队之前发布的工控网络安全态势分析白皮书。表 5-1“谛听”网络空间工控设备搜索引擎支持的协议工控协议端口概述Modbus502/503应用于电子控制器上的一种通用语言Tridium Niagara Fox1911Tridium 公司专用协议,用于智能电网等领域SSL/Niagara Fox4911智能建筑、基础设置管理、安防系统的网络协议B

46、ACnet47808智能建筑的通信协议ATGs Devices10001工控协议Moxa Nport4800虚拟串口协议EtherNet/IP44818以太网协议Siemens S7102西门子通信协议DNP320000分布式网络协议Codesys2455PLC 协议ilon Smartserver1628/1629智能服务器协议Redlion Crimson3789工控协议IEC 60870-5-1042404IEC 系列协议OMRON FINS9600欧姆龙工业控制协议CSPV42222工控协议GE SRTP18245美国通用电器产品协议PCWorx1962菲尼克斯电气产品协议ProCon

47、Os20547科维公司操作系统协议MELSEC-Q5006/5007三菱通信协议21opc-ua4840OPC UA 接口协议DDP5002用于数据的传输和 DTU 管理Profinet80基于工业以太网技术的自动化总线标准IEC 61850-8-1102IEC 系列协议Lantronix30718专为工业应用而设计,解决串口和以太网通信问题物联网协议端口概述AMQP5672提供统一消息服务的应用层标准高级消息队列协议XMPP5222基于 XML 的可扩展通讯和表示协议SOAP8089基于 XML 简单对象访问协议ONVIF3702开放型网络视频接口标准协议MQTT1883基于客户端-服务器的

48、消息发布/订阅传输协议摄像头协议端口概述Dahua Dvr37777大华摄像头与服务器通信协议hikvision81-90海康威视摄像头与服务器通信协议“谛听”官方网站()公布的数据为 2017 年以前的历史数据,若需要最新版的数据请与东北大学“谛听”网络安全团队直接联系获取。根据“谛听”网络空间工控设备搜索引擎收集的内部数据,经“谛听”网络安全团队分析,得出如图 5-1 的可视化展示,下面做简要说明。图 5-1 为 2022 年全球工控设备暴露 Top-10 国家。在图中可以看到,国家排名较 2021年基本没有发生太大变化。在全球范围内,美国作为世界上最发达的工业化国家暴露出的工控设备仍然保

49、持第一;中国继续大力发展先进制造业,推动新型基础设施建设,工业产值大幅增加,位居第二;2022 年波兰的 GDP 有所增长,暴露的工控设备也有所增长,位居第三。以下着重介绍国内及美国、波兰的工控设备暴露情况。22图 5-1 全球工控设备暴露 Top10 柱状图(数据来源“谛听”)5.1 国际工控设备暴露情况国际工控设备的暴露情况以美国和波兰为例进行简要介绍。美国是世界上工业化程度最高的国家之一,同时也是 2022 年全球工控设备暴露最多的国家,如图 5-2 所示为美国 2022 年工控协议暴露数量和占比。自 2012 年美国通用电气公司(GE)提出工业互联网的概念以来,美国政府就十分重视工业控

50、制领域。依托互联网技术的发展优势,大力推动工控相关技术的发展,以应对经济全球化可能带来的机遇与挑战。在推动工业互联网革命的同时,美国政府也关注到了由于缺乏监管而泄露的数据可能带来的一系列互联网安全问题。2022 年 9 月,美国网络安全和基础设施安全局(CISA)发布了2023 年至 2025 年战略规划(2023-2025 Strategic Plan),该规划是 CISA 自 2018 年成立以来发布的首个综合性战略规划,规划中明确了美国未来三年网络防御、减少风险和增强恢复能力、业务协作、统一机构 4 个总的网络安全目标。23图 5-2 美国工控协议暴露数量和占比(数据来源“谛听”)虽然美

展开阅读全文
相似文档                                   自信AI助手自信AI助手
猜你喜欢                                   自信AI导航自信AI导航
搜索标签

当前位置:首页 > 研究报告 > 其他

移动网页_全站_页脚广告1

关于我们      联系我们       自信AI       AI导航        获赠5币

©2010-2024 宁波自信网络信息技术有限公司  版权所有

客服电话:4008-655-100  投诉/维权电话:4009-655-100

gongan.png浙公网安备33021202000488号  |  icp.png浙ICP备2021020529号-1 浙B2-2024(办理中)  

关注我们 :gzh.png    weibo.png    LOFTER.png 

客服