1、II目目录录一、工业自动化系统漏洞分析.1(一)漏洞数量持续走高.1(二)高危漏洞占比增大.2(三)漏洞类型呈多样化.3二、工业主机网络攻击分析.4(一)工业控制系统主机受攻击数量有所降低.4(二)互联网依然是工业控制系统主机安全威胁的主要来源.6(三)建筑自动化、汽车制造、能源等领域是工业主机威胁的重灾区.7三、关键事件分析.9(一)针对工业企业的高级持续性威胁(APT)攻击活跃度攀升.91.Hexane/OilRig/APT34.92.APT32/海莲花.9(二)关键信息基础设施和工业领域勒索软件攻击数量激增.101.LockerGoga 加密勒索软件.102.Ryuk 勒索软件.113.
2、MegaCortex 和 Snake.11II(三)能源行业工业信息安全威胁进一步加剧.13四、对策建议.14(一)完善工业信息安全管理体系.14(二)加强工业信息安全项目建设能力.15(三)提升人员工业信息安全综合水平.151一、工业自动化系统漏洞分析(一)一)漏洞数量持续走高漏洞数量持续走高2019 年,据美国国土安全部工业控制系统网络应急响应小组(ICS-CERT)统计,涉及技术过程自动化管理系统组件的相关漏洞共计 509 个,比 2018 年发现的漏洞数量增加了94 个。其中,涉及工程软件 103 个、工业用途网络设备 78个、数据采集与监控系统(SCADA)/人机界面(HMI)组件
3、63 个、集散控制系统(DCS)56 个、可编程逻辑控制器(PLC)47 个、工业视频监控系统 17 个、许可管理器 15 个、操作系统 12 个、开发和执行框架 8 个以及其他漏洞 110 个。(图 1)图 1 技术过程自动化管理系统组件存在漏洞的情况(ICS-CERT)2(二)二)高危漏洞占比增大高危漏洞占比增大2019 年,在 ICS-CERT 已识别的 358 个工业控制系统相关漏洞中,高危漏洞(CVSS v.3 得分 7-10)数量占比最高,达到 68.2%,其次是中危漏洞,占比也达到 28.2%,低危漏洞占比为 3.6%(图 2)。由于披露的工业控制系统相关漏洞大多危险程度高、危害
4、性大,一旦被利用,极易造成破坏性后果。据卡巴斯基工业控制系统网络应急小组对工业系统、工业物联网/物联网等相关漏洞的跟踪研判,现存的多数漏洞都是因软件开发过程中的错误造成的,包括解决方案架构开发等。根据常见漏洞列表,最常见的错误类型为 CWE-787“越界写入”。图 2 工业控制系统相关漏洞风险等级分布(ICS-CERT)3(三)三)漏洞漏洞类型呈多样化类型呈多样化从披露的漏洞类型来看,2019 年最常见的漏洞类型与2018 年相似,具体包括缓冲区溢出、输入验证不当和注入等(图 3)。在卡巴斯基识别的 103 个漏洞中,44.7%的漏洞可被用于发起针对工业控制系统的远程代码执行或拒绝服务(DoS
5、)攻击,13.6%漏洞可被攻击者利用以提升权限或会话劫持。其中,在典型 PLC 执行环境中发现的 9 个漏洞允许攻击者秘密修改工业流程,由于这些漏洞利用过程很难被发现,因此,该类攻击可能非常持久,对工业生产运行造成极大的安全威胁和物理影响。图 3 工业控制系统相关漏洞类型分布情况(ICS-CERT)4二、工业主机网络攻击分析(一)工业控制系统主机(一)工业控制系统主机受攻击数量有所降低受攻击数量有所降低2019 年,卡巴斯基检测到恶意活动的工业控制系统主机占比达 46.4%,涉及 SCADA 服务器、数据存储服务器、数据网关、工程师和操作员工作站、人机界面等。从变化趋势来看,2019 年,检测
6、到恶意活动的工业控制系统主机较 2018年下降了 0.8%。同时,2019 年延续了近年来工业控制系统主机威胁在春季和秋季高发的季节性波动特征。详见图 4 和图 5。图 42018 和 2019 年度检测到恶意活动的工业控制系统主机占比5图 52018 和 2019 每月检测到恶意活动的工业控制系统主机占比2019 年,至少检测到一次恶意活动的中国工业控制系统主机占比达 51.9%,其中,上半年约为 55%,下半年约为 51%。2019 年,每月平均有 35%的中国工业控制系统主机受恶意软件攻击,详见图 6。图 62019 年中国工业控制系统主机检测到恶意软件活动情况6(二(二)互联网依然是互
7、联网依然是工业控制系统主机安全工业控制系统主机安全威胁的主要威胁的主要来源来源2019 年,互联网、可移动设备、邮件依然是工业控制系统主机面临的三大威胁来源。从检测到上述威胁的工业控制系统主机占比来看,互联网约 23.8%,可移动设备约 8%,邮件约 5%。与 2018 年度相比,互联网威胁占比下降约 2.9 个百分点,主要由于感染了网络病毒的网站页面浏览量较少。图 72018-2019 年卡巴斯基拦截的工业控制系统主机威胁来源占比从地区分布情况来看,互联网威胁是全球所有地区工业控制系统主机面临的主要威胁来源,详见图 8。其中,东南亚和非洲地区是工业控制系统主机遭遇安全威胁的主要地区,而中国的
8、工业控制系统主机受到互联网和电子邮件威胁的频率低于全球其他地区。7图 8 工业控制系统主机检测威胁来源地区分布(三(三)建筑自动化建筑自动化、汽车制造汽车制造、能源等领域是工业主机能源等领域是工业主机威胁的重灾区威胁的重灾区从拦截恶意软件的工业控制系统主机所在行业的分布来看,建筑自动化、汽车制造、电力能源、石油天然气、工程与 ICS集成是遭遇安全威胁工业控制系统主机占比较高的前五大行业。其中,建筑自动化领域遭遇安全威胁的工业控制系统主机占比最高,达 38%,较 2018 年同期增长近 6 个百分点,详见图 9。8图 9 工业控制系统主机威胁所在行业分布9三、关键事件分析(一(一)针对工业企业的
9、高级持续性威胁针对工业企业的高级持续性威胁(APTAPT)攻击攻击活活跃度攀升跃度攀升1.1.Hexane/Hexane/OilRig/OilRig/APT34APT342019 年 8 月,工业信息安全公司 Dragos 在对全球石油和天然气行业网络攻击的研究中披露了一个名为“Hexane”的新组织,并将其与来自伊朗的 OilRig 和 CHRYSENE 组织联系起来。研究显示,该组织的攻击目标是非洲、中东和西南亚地区的石油、天然气和电信行业。尽管 Dragos 并未在研究中披露该组织的网络入侵指标(Indicators of compromise),但卡巴斯基、Secureworks、IB
10、MX-force 等安全公司的研究也陆续证实了该组织的攻击活动。卡巴斯基的分析显示,新一轮攻击所使用的 TTP 和此前OilRig 组织使用的 TTP 有一些相似之处。而从目前相对简单的攻击手法和散播病毒程式的不断演变来看,卡巴斯基认为该组织仍在试错阶段,并在寻找逃避检测的最佳途径。IBMX-force 的分析显示,APT34(又名 OilRig 和 Crambus)策划了针对中东能源设施的攻击,该攻击使用了一种名为“ZeroCleare”的数据清除恶意软件。2.2.APT32/APT32/海莲花海莲花据 Fireeye 的研究发现,近年来以攻击记者和政府组织10闻名的黑客组织 APT32/海
11、莲花,2019 年开始积极组织针对跨国汽车公司的网络攻击。2019 年 2 月起,该组织向 5 到10 家汽车行业的机构发送钓鱼邮件,还为丰田汽车和现代汽车创建了假域名,试图进入汽车制造商的网络。目前还不清楚这些攻击是否成功。据丰田方面表示,3 月丰田发现该公司遭到来自越南和泰国的攻击,其日本子公司丰田东京销售控股公司也遭到了攻击,而 APT32 组织被丰田的一位官员确认是此次攻击的罪魁祸首。(二(二)关键信息基础设施和工业领域关键信息基础设施和工业领域勒索软件攻击勒索软件攻击数量数量激增激增2019 年,全球勒索软件攻击呈高发态势,且攻击受害者涵盖众多关键信息基础设施机构和工业企业。据卡巴斯
12、基数据显示,2019 年,至少 174 家市政机构遭受勒索软件攻击,较 2018 年增长约 60%。1 1.LockerGogaLockerGoga 加密勒索软件加密勒索软件2019 年 3 月,作为全球最大的铝生产商之一的挪威冶金巨头 Norsk Hydro 遭遇 LockerGoga 勒索软件攻击。该勒索软件通过感染轧制产品和挤压工厂的工业网络,阻塞了生产系统,导致 Norsk Hydro 公司在挪威、卡塔尔和巴西等多个国家的业务和工业流程中断,对全球 40 个国家 170 个不同站点的 2.2 万台电脑造成影响。此次攻击造成的经济损失总额11达到5.5亿至6.5亿挪威克朗(约合6,050
13、万至7,150万美元)。LockerGoga 勒索软件的受害者还包括法国咨询公司 AltranTechnologies 和两家美国化工企业 Hexion 和 Momentive。2.2.RyukRyuk 勒索软件勒索软件自 2018 年 8 月被首次发现以来,Ryuk 勒索软件始终保持较高活跃度,并已将目标瞄准至工业领域。攻击者试图对受攻击目标至关重要的运营服务系统进行渗透,并对系统中的数据进行加密。Ryuk 勒索软件使用了安全加密算法,这也意味着在没有私钥的情况下解密文件是不可能的。2019 年,多家大型企业和市政服务遭遇 Ryuk 加密勒索软件攻击事件。2019 年 12 月,美国海岸警卫
14、队(USCG)发布了关于 Ryuk 勒索软件攻击海上运输安全法案(MTSA)监管设施的警报。公告指出,攻击者发起钓鱼邮件活动,在员工点击邮件中的嵌入式恶意链接后,恶意软件被下载到 IT 网络中,并进一步渗透到监控和控制货物装卸的工业控制系统,加密了该系统运作所需的重要文件。此次攻击导致该设施完全关闭运营长达 30 多个小时,该设施的摄像机和物理访问控制系统中断。此外,Ryuk 勒索软件还破坏了五个石油和天然气设施。这些攻击没有摧毁任何设施,但工业设备的远程监控瘫痪了长达 72 小时,迫使这些设施的运营方切换到手动模式。3.3.MegaCortexMegaCortex 和和 SnakeSnake
15、122019 年,研究人员发现了意图破坏工业软件运行的新型加密勒索软件:MegaCortex 和 Snake。这类新型恶意软件引起了业界的广泛关注,其主要特征是在开始数据加密之前终止攻击对象的进程列表。这个进程列表不仅包括反恶意软件解决方案、数据库服务器和浏览器等进程,还包括工业自动化系统软件。MegaCortex 是在 2019 年年中针对企业的攻击事件中被发现的,是此类恶意软件中的第一个。在不到一年的时间中,该恶意软件不断演变并出现了具有新功能的新版本,在开始加密前终止进程列表中包含 1,000 多个进程。12 月中旬,又发现了一个被称为 Snake(或 EKANS)的加密勒索软件。Sna
16、ke 也有一个开始加密前终止进程列表。值得注意的是,Snake勒索软件的终止进程列表和MegaCortex的列表基本相同,包含了工业系统特有的一些进程。这些与工业自动化系统软件相关的进程包括:通用电气 Proficy 历史数据库(客户端和服务器部分);通用电气 Fanuc 许可服务器;霍尼韦尔的 HMI Web 应用程序;FLEXNet 许可服务器;Sentinel HASP 许可管理器;ThingWorx 工业连接套件;各种历史数据库中使用的各种数据库进程13卡巴斯基认为,MegaCortex 和 Snake 是两个对工业自动化系统具有高度针对性和破坏性的勒索软件。尽管这两个勒索软件不能对工
17、业进程进行任何操作,但终止工业控制系统软件中特有进程的行为可能导致网络和物理层面的严重后果。(三三)能源行业工业信息安全威胁进一步加剧能源行业工业信息安全威胁进一步加剧卡巴斯基对全球能源行业的工业主机,在发电、输电和配电系统中用于配置、维护和控制的设备及控制系统所面临的网络威胁进行了研究。研究显示,加密货币矿工(2.9%)、蠕虫(7.1%)和各类通用间谍软件(3.7%)是检测到的最为危险的三类恶意活动。一旦感染上述恶意软件,将对工业控制系统和工业网络的可用性和完整性产生负面影响。2019 年以来,全球范围内先后发生了多起针对能源行业的工业信息安全事件,对能源行业的生产运行造成不同程度的影响。3
18、 月,美国西部某电力设施的边界防火墙遭遇不明网络攻击,导致电力系统运行控制中心和企业多个站点上的设备之间的通信中断;9 月,印度库丹库拉姆核电站被发现感染恶意软件,攻击者可以从被感染的计算机中收集和获取数据;12 月,巴林国家石油公司 Bapco 遭到 Dustman 恶意软件袭击,部分计算机受到影响。14四、对策建议2019 年,工业控制系统漏洞数量持续增长,中高危漏洞占比不断扩大。恶意软件通过互联网、可移动设备以及邮件等渠道持续向工业企业渗透,工业控制系统主机遭受攻击数量有所降低,但网络威胁形势依旧严峻。全球范围内针对工业企业的 APT 攻击活动日益猖獗,关键信息基础设施和工业企业频繁遭遇
19、勒索软件攻击,重大安全事件处于高发态势,工业控制系统信息安全形势仍旧不容乐观。为应对持续攀升的工业信息安全风险,建议从安全管理体系、安全技术手段、安全意识水平等方面着力,切实提升工业信息安全防护能力和保障水平。(一一)完善工业信息安全管理体系完善工业信息安全管理体系组织领导方面组织领导方面,加强工业信息安全统筹协调,强化企业工业信息安全管理,制定覆盖 IT/OT 网络、设备、系统、数据等多层级的安全管理制度;体制机制方面体制机制方面,落实“三同步”原则,在新建或改造自动化、信息化、数字化工程中,加强安全基础设施的同步推进;资源保障方面资源保障方面,指定全职的工业信息安全管理人员系统推进工业信息
20、安全建设,将工业信息安全工作纳入考核范畴,保证企业所需的安全防御工具、产品、服务的购买、运行、更新和维护获得足额的经费支持。15(二二)加强工业信息安全项目建设能力加强工业信息安全项目建设能力强化安全整体思维强化安全整体思维,将工业信息安全能力建设与工业生产运行等流程深度融合,形成 IT/OT 一体化的安全运营模式,明确工业信息安全保障体系和能力建设的目标和推进路径,实现全生命周期的工业信息安全保障能力;丰富安全技术手丰富安全技术手段段,大力提升恶意软件拦截能力,加强工业主机、工业大数据安全防护水平,整合局部性安全防御工具,构建覆盖威胁检测、态势感知、威胁防御、应急响应等一体化的安全防护体系。(三)(三)提升提升人员工业信息安全综合水平人员工业信息安全综合水平安全意识方面安全意识方面,制定工业信息安全教育和培训计划,细化企业不同岗位人员的工业信息安全责任和考核机制,定期开展工业信息意识教育、技术培训和技能考核,安全技能方安全技能方面面,着力加强企业自身工业信息安全队伍建设,提高从业人员整体素质,形成企业内部的专业骨干力量。积极聘请行业专家,组织理论培训和操作演示,提升关键岗位技术人员的防护技能。动员企业工业信息安全队伍,积极参加行业协会、产业联盟等组织开展的重要赛事,提升工业信息安全实战水平。
浙ICP备2021020529号-1 | 浙B2-20240490 
