东北大学“谛听”网络安全团队基于自身传统的安全研究优势开发设计并实现了“谛听”网络空间工控设备搜索引擎(http://www.ditecting.com),并根据“谛听”收集的各类安全数据,撰写并发布了2019年工业控制网络安全态势白皮书,读者可以通过报告了解2019年典型工控安全标准、法规分析及典型工控安全事件分析,同时报告对工控系统漏洞、工控系统攻击、联网工控设备进行了阐释及分析,有助于全面了解工业控制系统安全现状,多方位感知工业控制系统安全态势,为研究工控安全相关人员提供参考。
受疫情影响,白皮书发布时间延迟至今,“谛听”团队深表歉意,望读者见谅。
声明
东北大学“谛听”网络安全团队版权所有,并保留对本报告本声明的最终解释权和修改权。
未经东北大学“谛听”网络安全团队同意,任何人不得以任何形式对本报告内的任何内容进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。
文档依据现有信息制作,其内容如有更改,恕不另行通知。
东北大学“谛听”网络安全团队在编写该文档的时候已尽最大努力保证其内容准确可靠,但难免存在遗漏、不准确、或错误,恳请各界批评指正。
有任何宝贵意见或建议,请反馈至:
电子邮箱:ditecting@gmail.com
官方网站:http://www.ditecting.com
微信公众号:谛听ditecting
1 前言
工业控制系统由各种自动化控制组件和一系列负责实时数据采集、监测的过程控制组件共同组成,目前被广泛应用于电力、冶金、水利、安防、化工、军工以及其他与国计民生紧密相关的重要领域。随着新型基础设施建设的加速推进,工业互联网的建设进度不断加快,工控系统中信息化程度越来越高,这就带来了一系列网络安全风险,因此工控系统的安全需要引起足够的关注与重视。
习近平总书记在向2019工业互联网全球峰会致贺信中指出,“中国高度重视工业互联网创新发展,愿同国际社会一道,持续提升工业互联网创新能力,推动工业化与信息化在更广范围、更深程度、更高水平上实现融合发展。”2020年3月,中共中央政治局常务委员会召开会议,强调要加快5G网络、工业互联网等新型基础设施建设进度。4月,国家发改委首次明确新型基础设施的范围,主要包括3个方面内容:一是以5G、工业互联网、区块链和数据中心为代表的信息基础设施,二是以智能交通基础设施和智慧能源基础设施为代表的融合基础设施,三是以重大科技基础设施、科教基础设施和产业技术创新基础设施为代表的创新基础设施。作为新型基础设施的重要组成部分,工业互联网将会进一步加速发展;而工业信息安全作为工业互联网的基础和保障,是国家安全的重要组成部分,它关系到国家关键基础设施建设和经济社会稳定,并且辐射范围广泛,因此世界各国比以往更加重视工业信息安全,工业信息安全已经成为当前信息安全领域中最为重要的部分之一。
“十三五”规划开始,网络空间安全已上升至国家安全战略,工控网络安全作为网络安全中的薄弱而又至关重要部分,全方位感知工控系统的安全态势成为亟待解决的重要问题之一。2019年7月,工信部等十部门联合印发《加强工业互联网安全工作的指导意见》,通知明确到2020年底,工业互联网安全保障体系初步建立,初步建成国家工业互联网安全技术保障平台、基础资源库和安全测试验证环境。到2025年,制度机制健全完善,技术手段能力显著提升,安全产业形成规模,基本建立起较为完备可靠的工业互联网安全保障体系。为顺应国家形势,东北大学“谛听”网络安全团队基于自身传统的安全研究优势开发设计并实现了“谛听”网络空间工控设备搜索引擎(http://www.ditecting.com),并根据“谛听”收集的各类安全数据,撰写并发布了2019年工业控制网络安全态势白皮书,读者可以通过报告了解2019年典型工控安全政策法规分析及典型工控安全事件分析,同时报告对工控系统漏洞、联网工控设备、工控系统攻击进行了阐释及分析,有助于全面了解工控系统安全现状,多方位感知工控系统安全态势,为研究工控安全相关人员提供参考。
2 2019年典型工控安全政策法规分析
为了护航制造强国和网络强国战略的实施,保证工业互联网高质量发展,在刚刚过去的2019年里,我国加快了构建工业互联网安全保障体系的脚步,相继推出了一大批工业互联网信息安全相关的政策和法规。
下面通过梳理2019年相关政策法规的发布实施,摘选部分重要政策法规进行简要分析及总结,以供读者进一步了解工控安全领域的国家政策导向情况,并从中发掘出今后的热点方向。
2.1. 《网络安全等级保护2.0标准》
2019年5月13日,国家标准化委员会正式发布了《网络安全等级保护2.0国家标准》,该标准作为我国网络安全领域的基本国策、基本制度,将于2019年12月1日在全社会各地区、各机构、各单位正式实施,涉及基础网络、信息系统、云计算和大数据平台、物联网、工控系统、移动互联等各行各类技术应用和场景,标志着我国网络安全等级保护工作进入了“等保2.0”新时代。等保2.0标准采用“一个中心,三重防护”的理念,对安全物理环境、安全通信网络、安全管理系统、安全计算环境等提出了更高的技术要求,同时也完善了相关安全管理机制。等保2.0标准的实施,对加强我国网络信息安全保障工作具有重大的意义。
2.2. 《工业互联网标准体系(版本2.0)》
2019年2月,工业互联网产业联盟在工业和信息化部的指导下,结合国务院“关于深化 "互联网+先进制造业" 发展工业互联网的指导意见”和《工业互联网标准体系框架(版本 1.0)》,撰写了《工业互联网标准体系(版本 2.0)》。发展工业互联网是一个长期的、需要不断演进的过程,该报告对工业互联网标准体系框架做了进一步的修订,对现有的工业互联网标准进行了梳理,并对未来的联盟标准进行了展望,形成一个综合性的开放型工业互联网标准体系。
2.3. 《网络安全漏洞管理规定 (征求意见稿) 》
2019年6月18日,工业和信息化部牵头同有关部门根据《国家安全法》和《网络安全法》起草了《网络安全漏洞管理规定(征求意见稿)》,在全社会范围内公开征求关于网络安全漏洞管理的意见。该规定将会确保第三方组织或个体网络运营者在国家法律规定的范围内协作配合,共同筑建一个健康绿色的网络大环境,提高我国整体网络安全水平。
2.4. 《加强工业互联网安全工作的指导意见》
2019年7月26日,工业和信息化部、教育部、人力资源和社会保障部、生态环境部、国家卫生健康委员会、应急管理部、国务院国有资产监督管理委员会、国家市场监督管理总局、国家能源局和国家国防科技工业局十个部门联合印发《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》。指导意见为全面提升工业互联网安全体系保障能力,促进工业互联网安保体系全面发展,对设备、控制、数据安全、制度、技术等方面提出了更高的要求,覆盖工业互联网运行维护的各个方面,为工业互联网的创新发展、安保能力以及服务水平建设提供了指导性意见。
2.5. 《“5G+工业互联网”512工程推进方案》
2019年11月19日,工业和信息化部办公厅印发《“5G+工业互联网”512工程推进方案》。工业互联网是第四次工业革命的关键力量,5G技术作为新时代信息通信发展的主要方向。二者融合必将会相互促进,大力推进我国基础网络设施的建设,推动经济高质量、高速度发展。《推进方案》制定了到2022年,突破一批满足工业互联网特殊需求的5G关键技术这一发展目标。在产业能力和技术方面,《推进方案》要求加强“5G+工业互联网”技术标准、产业化水平以及加快建设网络技术和产品部署架构。同时,提出了提升“5G+工业互联网”的创新应用能力和资源供给能力,切实地加大宣传引导力度和制定经验总结方案。该《推进方案》的提出,极大地促进了制造业向数字化、网络化和智能化的升级。但是,目前5G与工业互联网的融合仍处于发展的初级阶段,发展路线和模式还有待进一步探索和完善。
2.6. 《国家工业信息安全漏洞库章程》
2019年10月15日,由国家工业信息安全发展研究中心应急响应组织,绿盟科技、启明星辰、奇安信等9家成员单位代表参加的国家工业信息安全漏洞库(CICSVD)全体成员会议成功召开。会议上讨论并一致表决通过了《国家工业信息安全漏洞库章程》,为CICSVD未来工作提供了夯实的理论依据和基础。在漏洞收集验证、预警通报和紧急处置方面加强联动工作,为工业互联网的安全提供了进一步的保障。
2.7. 《工业互联网企业网络安全分类分级指南(试行)》(征求意见稿)
2019年12月17日,工业和信息化部发布了《工业互联网企业网络安全分类分级指南(试行)》(征求意见稿)。为加强我国工业互联网安全保障工作,深入贯彻落实《加强工业互联网安全工作的指导意见》制定该指南,并面向全社会公开征集意见。该指南在使用范围、基本原则、企业分级和安全管理方面制定了基本纲要,对工业和信息化部主管行业范围内的工业互联网相关企业的网络安全管理工作适用,对工业互联网企业的网络安全工作实施分级管理,对安全责任的落实工作做出明确要求,这一系列措施都加快了构建工业互联网安全保障体系的进程。
2.8. 《工业信息安全测试评估机构管理办法(试行)》
2019年1月18日,工业信息安全产业发展联盟发布了《工业信息安全测试评估机构管理办法(试行)》。《办法》贯彻落实了《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》和《工业控制系统信息安全行动计划(2018-2020 年)》,对联盟成员单位高效开展测试评估工作提出了标准和规范。《办法》在适用范围、申请单位条件、评估机构等级划分条件、证书有效期等方面进行了相关约束,为测试评估工作的实施提供了必要保障。
3 2019典型工控安全事件分析
随着工业化与信息化进程的不断交叉融合,越来越多的信息技术应用到了工控领域,使得工控系统与信息网络联系更加紧密,这无形中也扩大了工控网络攻击的范围,增加了工控设备遭受网络攻击的风险。2019年也是工控安全领域不甚太平的一年,下面来回顾一下2019年的重大工控网络安全事件,进一步了解事件背后的技术,以预见未来的工控网络安全的发展趋势。
3.1. 委内瑞拉大规模停电事件
2019年3月7日下午5时,包括首都加拉加斯在内的委内瑞拉全国发生大规模停电。这是委内瑞拉自2012年以来持续时间最长、影响范围最广的停电,超过一半地区数日内多次完全停电。此次电力系统的崩溃没有任何预兆,多数地区的供水和通信网络也相应受到了严重影响。而到了7月22日,委内瑞拉再次发生大规模停电,此次停电的主要原因是提供全国六成以上电力的古里水电站计算机系统中枢遭受到了网络攻击。
据专家分析,两次停电事故中的网络攻击手段主要包括三种:(1)利用电力系统的漏洞植入恶意软件;(2)发动网络攻击干扰控制系统引起停电;(3)干扰事故后的维修工作。
3.2. 挪威铝业集团遭受勒索攻击
2019年3月22日上午,全球顶级铝业巨头挪威海德鲁(Norsk Hydro)发布公告称,旗下多家工厂受到一款名为LockerGoga勒索病毒的攻击,数条自动化生产线被迫停运。据悉,勒索病毒先是感染了美国分公司的部分办公终端,随后快速传染至全球的内部业务网络中,导致公司的业务网络宕机,损失超过了4000万美元。海德鲁公司采取了隔离传染设备的方式来遏制病毒的进一步爆发,但是由于不清楚病毒的传播途径和整体的感染状况,最终在恢复生产时面临了巨大的困难。
LockerGoga勒索软件旨在对受感染计算机的文件进行加密,据专业人士分析,该恶意软件没有间谍目的,且无法自行传播到网络上的其他设备,可能是利用ActiveDirectory进行传播的。此外,该恶意软件包含一些反分析功能,比如能够检测到虚拟机的存在,并删除自身以防研究人员收集样本。
3.3. 德国制药化工巨头拜耳公司遭恶意软件入侵
2019年3月,拜耳公司(Bayer AG)证实,有黑客入侵了公司的网络系统。据悉,巴伐利亚广播电视台的数据分析记者在早些时候通过网络扫描工具发现了拜耳系统被植入了Winnti恶意软件,随后公司的网络安全中心开始对其采取了针对性的防御措施,直到3月底,网络系统得到了彻底清查,拜耳表示入侵者尚未采取后续行动,盗取数据信息。早在2016年,德国的另一家大企业蒂森-克虏伯也曾遭到Winnti恶意软件的攻击,由于它几乎不会在硬盘上留下任何痕迹,这使其成为最难被察觉的恶意程序之一。
卡巴斯基实验室称,早在2013年,Winnti恶意软件的目标就是“窃取在线游戏项目的源代码以及合法软件供应商的数字证书”,这些被盗证书用来给其他网络威胁组织使用的恶意软件进行签名。结合2016年发生的针对德国科技巨头蒂森-克虏伯的网络攻击事件,可以看到Winnti恶意软件将视线扩大到了工业间谍活动,目的是从公司工业部门窃取技术信息和有价值的知识产权。
3.4. 台湾Moxa工控产品存在安全漏洞
2019年3月,Ivan Boyko等研究人员报告了Moxa工控产品的12个安全漏洞,包括:缓冲区溢出漏洞,远程攻击者可利用该漏洞执行恶意代码;跨站请求伪造漏洞,攻击者可利用该漏洞执行未授权的操作;跨站脚本漏洞,该漏洞源于程序没有正确地验证用户输入,远程攻击者可利用该漏洞注入恶意脚本;访问控制错误漏洞,该漏洞源于程序没有正确地验证权限,攻击者可利用该漏洞修改配置;安全漏洞,该漏洞源于程序没有充分地限制身份验证请求的次数,攻击者可通过实施暴力破解攻击利用该漏洞获取密码;存在越界读取漏洞,该漏洞源于程序没有正确地验证数组边界,攻击者可利用该漏洞读取任意地址上的设备内存,进而检索敏感数据或造成设备重启等12个漏洞。
Moxa是台湾一家致力于发展及制造信息互联网产品的科技公司,产品主要有工业以太网交换机、串口服务器以及Moxa多串口卡等。暴露出的漏洞的严重性和影响程度各不相同,但即使是拒绝服务问题之类的简单问题,也可能对工控系统产生深远的影响。Moxa建议用户采取以下措施来减少一些漏洞带来的风险:(1)安装固件补丁;(2)禁用IKS中的Web控制台访问,并使用其他控制台;(3)将EDS系列Web配置设置为“仅https”以减少可预测的会话ID问题。
3.5. 日本光学仪器巨头Hoya遭到网络攻击
2019年4月9日,日本最大的光学仪器生产厂商Hoya称,公司在泰国的生产工厂在2月底遭到了严重的网络攻击,导致生产线停摆三天。据悉,网络攻击发生后,该工厂一台负责控制生产的主机服务器首先宕机,使得管理订单和生产的软件无法正常运行,随后病毒在工厂内部迅速蔓延,感染100余台电脑终端,导致公司的用户ID和密码被黑客窃取,工厂产量下降60%左右。黑客在攻击期间曾试图劫持厂区主机用于挖掘数字货币,结果并未成功。嵌入计算机和网络系统以挖掘数字货币的病毒已经成为黑客的常用工具,当访问某些不安全站点时,加密货币挖掘恶意程序就容易嵌入到浏览器中。
3.6. 飞机零部件供应商ASCO比利时工厂遭勒索软件感染
2019年6月7日,勒索软件袭击了ASCO位于比利时的工厂,导致工厂IT系统瘫痪,1000多名工人被迫休假。为防止勒索软件进一步扩散,公司立即关闭了德国、加拿大和美国的工厂。不同于铝生产商Norsk Hydro,ASCO对此事件一直保持沉默,目前,入侵ASCO比利时工厂的勒索软件名称尚不得知,ASCO是否支付赎金以恢复被攻击的系统,或是重新购买系统重建生产网络也尚不清楚。相对于刚进入大众视野时的“蠕虫式”爆发,勒索病毒如今的攻击活动越发具有目标性、隐蔽性,入侵者通常会破坏入侵过程中留下的证据,使溯源排查难以进行。
3.7. 印度核电站遭网络攻击
2019年10月28日,印度核能有限公司证实,国内最大的核电站库丹库拉姆核电站计算机网络10月份以来遭受网络攻击,根据卡巴斯基研究人员发布的报告显示,此次印度核电站感染的恶意软件Dtrack是一种远程控制木马,可以监控受害者,主要功能包括窃取设备的键盘记录、检索浏览器历史记录以及收集本地信息等,Dtrack允许攻击者将特定文件下载到目标主机,并控制目标主机执行恶意命令,甚至上传目标主机的数据至指定的远程服务器上。
3.8. 伊朗黑客针对工业领域开发新型恶意软件ZeroCleare
2019年12月4日,IBM的X-Force事件响应和情报服务发布报告,披露了一种全新的破坏性数据清除恶意软件ZeroCleare,该恶意软件以最大限度删除感染设备数据为目标。ZeroCleare主要瞄准的是中东的能源和工业部门,披露时估计已有1400台设备遭感染。从披露的攻击进程来看,黑客会先通过暴力攻击,访问安全性较弱的公司网络帐户,而当成功拿到权限后,就会利用SharePoint漏洞安装所需的Web Shell工具。随后攻击者便会在入侵设备上,开启横向扩散模式,最后进行破坏性的数据擦除攻击。
“破坏王”Shamoon的主要“功能”为擦除主机数据,并向受害者展示一条与政治相关的消息。例如,2012年在针对沙特阿美石油公司的攻击中,Shamoon 清除了超过3万台计算机上的数据,并用一张焚烧美国国旗的图片改写了硬盘的主引导记录。IBM报告证实,ZeroCleare和Shamoon同宗,都是出自伊朗资助的顶级黑客组织之手。不同的是,Shamoon来自APT33组织,而ZeroCleare由APT34(Oilrig)和Hive0081(aka xHunt)组织协作开发。
4 工控系统安全漏洞概况
随着智能制造、工业一体化的不断提高,以及物联网、5G通讯等高新技术的不断推广,越来越多的网络安全攻击的矛头都指向了工控系统,关键基础设施被蓄意攻击的事件层出不穷。其中,最常见的攻击方式就是利用工控系统的漏洞,PLC(Programmable Logic Controller,可编程逻辑控制器)、DCS(Distributed Control System,分布式控制系统)、SCADA(Supervisory Control And Data Acquisition,数据采集与监视控制系统) 乃至应用软件均被发现存在大量信息安全漏洞,如西门子(SIEMENS)、Parallels、研华科技(Advantech)、罗克韦尔(Rockwell)、ABB 及施耐德电(Schneider Electric)等工控系统厂商产品均被发现包含各种信息安全漏洞。
图4-1 2009-2019年工控漏洞走势图
根据CNVD(国家信息安全漏洞共享平台)和“谛听”的数据,2009-2019年工控漏洞走势如图4-1所示。从图中可以看出,2010年之后工控漏洞数量显著增长,出现此趋势的主要原因是2010年后工控系统安全问题的关注度日益增高;与2018年相比,2019年漏洞数量有所减少,可能的原因是截止到2019年12月31日,2019年的工控漏洞统计的数据还不够全面,需要更多时间才能得到更准确的数据。
图4-2 工控系统行业漏洞危险等级饼状图
如图4-2是工控系统行业漏洞危险等级饼状图,由图中可知,高危工控安全漏洞占所有漏洞中的33%。截至2019年12月31日,2019年新增工控系统行业漏洞399个,其中高危漏洞170个,中危漏洞208个,低危漏洞21个。与去年相比,高危和中危漏洞明显增多,低危漏洞数量减少,漏洞的危险等级呈逐渐增高的趋势,这提醒着各个工控领域的相关部门和企业对于漏洞的修复及防护措施仍需改进和加强,以提高整个工控网络的安全性和稳定性。
这些数据都表明,工控系统存在巨大的潜在安全风险,需要引起高度重视。同时,针对不同等级漏洞,各个厂商应当进行实时监控,力争在最短时间内有效修复漏洞,对于相同、相似漏洞进行合理归类、整合与分析,减少攻击者再次利用此类漏洞攻击系统的可能,并且需要保证在发生此类漏洞相关的攻击事件后能够第一时间对其进行检测和修复。
图4-3 工控系统行业厂商漏洞数量饼状图
如图4-3是工控系统行业厂商漏洞数量饼状图,由图中可知,SIMENS厂商具有的漏洞数量最多,多达435个。漏洞数量紧邻其后的厂商分别是:Parallels、Advantech,其漏洞数量分别为350个、174个。其他厂商例如:Rockwell Automation、Schneider Electric,也存在着一定数量的工控系统行业漏洞。因此各个厂商应该密切关注工控系统行业漏洞,加强系统安全防护,确保工控系统信息安全。
5 联网工控设备分布
“谛听”网络空间工控设备搜索引擎共支持28种服务的协议识别,图5-1展示了“谛听”网络安全团队识别的工控等协议的相关信息及2019年感知的IP地址数量。想了解这些协议的详细信息请参照“谛听”网络安全团队之前发布的工控网络安全态势分析白皮书。
图5-1 “谛听”网络空间工控设备搜索引擎支持的协议
“谛听”官方网站(www.ditecting.com)公布的数据为2017年以前的历史数据,若需要最新版的数据请与东北大学“谛听”网络安全团队直接联系获取。根据“谛听”网络空间工控设备搜索引擎收集的内部数据,经“谛听”网络安全团队分析,得出如图5-2、5-3和5-4的可视化展示,下面做简要说明。
图5-2为2019年全球工控设备暴露Top-10国家,由于“谛听”团队2019年优化了扫描精确度和深度,并且还提高了对蜜罐的鉴别能力,所以国家排名较之前有了较大变化。
图5-2 全球工控设备暴露Top-10
全球范围内,美国作为世界上最发达的工业化国家暴露出的工控设备仍然保持第一,巴西虽然今年工业产值增长有所放缓仍位居第二,中国不断深化供给侧结构性改革,大力发展先进制造业,工业产值持续增加,已经超过韩国、俄罗斯和法国等发达国家位居第三。以下着重介绍国内及美国、巴西的工控设备暴露情况。
5.1. 国内工控设备暴露情况
中国暴露工控设备超过韩国等传统的工业强国一跃成为全球第三,并且与排名第二的巴西的差距也在逐渐缩小,说明了2019年是中国稳中有升的一年。中国的工业互联网发展迅速,推动了实体经济的转型升级。新兴产业快速发展,传统产业改造提升力度加大,工业供给体系质量不断提升,加速向中高端产业迈进。下面详细分析一下国内工控设备暴露情况。
另外需要说明的是2019年国内数据的统计策略有所改进,“谛听”团队将SNMP协议单独统计出来,而不再是所有协议一起统计,这也是导致2019年国内各地区工控设备暴露数量排名与2018年白皮书中数据有所差异的其中一个原因。
5.1.1. 国内各地区工控设备暴露情况
图5-3 国内各地区工控设备暴露数量
在全国暴露工控设备数量的条形图5-3中可以直观的看出广东、江苏和福建等众多内地城市的工业已经在改革开放和工业互联网发展的推动下快速发展,并且暴露的设备数量超过了台湾。中国大陆的产业结构不断优化升级,装备制造业得到快速发展。汽车制造、计算机通信和其他电子设备制造产值占比大幅上升。然而随着工业的快速发展以及产业结构的转变,工业网络的安全隐患也越来越多,工控系统面临较大安全风险。
2019年,广东省超过台湾、香港,成为暴露工控设备数量最多的省份。由于大力实施创新驱动发展战略,广东省以制造业为主体的实体经济加快转型升级,工业发展稳中有进。另外,广东省积极发展智能制造,促进制造业加速向数字化、网络化、智能化发展。所以联网的工控设备数量迅速增多,而网络安全方面却没能同步提升,可见加强广东省的网络安全服务是当务之急。
长江三角洲地区暴露数量首次超越北京位居第二。长三角地区(江苏、浙江和上海)是我国经济发展最活跃、开放程度最高、创新能力最强的区域之一。按照国家总体部署要求,建设长三角工业互联网一体化发展示范区,是协同落实长三角一体化发展国家战略和工业互联网创新发展战略的重要抓手,有利于长三角工业互联网空间布局优化、基础设施和公共服务一体化发展;并且有利于增强长三角区域制造业创新力和竞争力,助力区域经济高质量发展。而在经济发展的同时,也需要不断加强工业互联网安全意识,为工业互联网发展打好坚实基础。
北京,作为中国首都,今年排名下降的原因主要是城市职能的明确和产业结构优化。现阶段的北京,减量发展是特征,绿色发展是基础。北京将逐渐转化成行政中心和高精尖产业的制造基地。目前,以新一代信息技术、人工智能、新材料、软件和信息服务以及科技服务业等产业作为发展重点,高精尖产业在北京全面布局。重视网络安全的研究与发展,工业产业又大量转移出去,使暴露的工控设备数量不再持续增多。
与2018年工控设备暴露数量相比,东北排名有所下降。东北地区(辽宁、吉林、黑龙江)作为中国工业的摇篮,曾在我国发展史上写下了光辉灿烂的篇章。但是东北长期积累的体制性、结构性矛盾日益显现,工业发展相对缓慢,经济位次也在后移。这已经引起了国家和地区政府的高度重视,习近平总书记多次考察东北地区,并且2019工业互联网全球峰会也选在辽宁沈阳举办,这将加快东北工业转型升级,实现老工业基地全面振兴,推进东北地区经济结构战略性调整,所以东北地区发展空间和潜力依然巨大。
2019年,台湾地区由2018年排名第一下滑至第四。尽管台湾以委托加工型态为主体、以高新科技产业中的信息电子产业、制造业中的钢铁、石油和纺织业等为支柱的工业体系发展完善且依然在全国各地区中处于领先的位置,但是在工业互联网的新型产业结构的转型上却落后于大陆,这是台湾排名下降的主要因素。
香港从2018年的第二下滑至第五,主要原因是2019年香港的社会不稳定。粤港澳大湾区协同发展本是一个很好的机会,但是香港的各种滋扰活动和暴力行为已经严重影响了当地的经济民生和社会发展。香港是一个主要以服务业为主的经济体,制造业向来不强,但是提出的“再工业化”或“工业4.0”除了需要科技创新外,还需要先进制造业来支撑。如果未来香港和大湾区的内地城市有很好的协同发展,可以说香港地区的潜力依然巨大。
5.1.2. 国内各地区基于SNMP协议的设备暴露情况
简单网络管理协议(SNMP)是TCP/IP协议簇的一个应用层协议,工作在UDP 161端口,用于监控目标设备的操作系统、硬件设备、服务应用、软硬件配置、网络协议状态、设备性能及资源利用率、设备报错事件信息、应用程序状态等软硬件信息。SNMP协议是攻击者经常借助的协议,它的攻击场景有:暴力破解场景攻击、通过非法手段获取用户权限,从而执行未经授权的管理操作、拒绝服务式攻击、非法报文攻击、反射放大DOS攻击和基于SNMP的刺探扫描等。一旦SNMP协议在网络上暴露,就有可能被攻击,所以暴露的设备存在较大的网络安全风险。
图5-4 SNMP协议-国内各地区暴露数量
图5-4是“谛听”团队统计的2019年国内各地区暴露的SNMP协议的数量,可以看出,台湾依然排在首位,这说明台湾在该方面的网络风险最大,由于内地对网络安全逐渐重视,大陆各地区的暴露数量都大幅下降。
5.1.3. 国内工控协议暴露数量统计情况
图5-5 国内工控协议暴露数量和占比
“谛听”团队统计了国内暴露的各协议的总量,从图5-5中可以看出SSL/ Niagara Fox这种应用于智能建筑、基础设置管理、安防系统的网络协议在网络中暴露的数量最多,且数量远远领先于排名第二位的Modbus。国内由于5G技术的快速发展,在物联网等方面发展迅速,基础设施更多的依赖于人员远程的网络操作,基础设施数量激增。伴随着网络的发展,人们对安防系统的需求也越来越大。这些都是导致SSL/ Niagara Fox协议使用量快速增加的重要原因。
Modbus是一种串行通信协议,是Modicon公司(现在的施耐德电气 Schneider Electric)于1979年为使用可编程逻辑控制器(PLC)通信而发表的。Modbus已经成为工业领域通信协议的业界标准,并且目前是工业电子设备之间常用的连接方式,所以Modbus协议排在第二位。
BACnet是用于楼宇自动化和控制网络的简短形式的数据通信协议。BACnet是主要行业供应商产品中常用的自动化和控制协议之一,如江森自控,西门子建筑技术,KMC控制,远程控制系统等。此协议的暴露往往意味着该IP对应的是一个主要行业供应商的产品设备。BACnet协议暴露往往是用户缺乏安全意识所导致,容易造成用户的网络安全隐患和财产损失。
5.2. 国际工控设备暴露情况
国际工控设备的暴露情况以美国和巴西为例进行简要介绍。美国作为世界上最发达的工业化国家暴露的工控设备最多。在大力推动互联网和工业结合的同时,美国也看到了流淌在网络上的极具价值又缺乏监控和重视的数据,大到国家、城市,小到公司、个人,这些信息通过大数据的整合和人工智能算法的处理可以起到至关重要的作用。因此美国一方面加大力度进行网络安全的建设,另一方面也利用自己的领先地位和强大的经济实力不断在网络空间进行渗透。
图5-6 美国工控协议暴露数量和占比
即使美国实力出众并且对网络安全十分重视,也依然在网络安全方面存在着巨大的隐患,2019年美国工控领域的安全事件层出不穷:美国电力公司遭到网络攻击,致使设备崩溃;航空公司被攻击,导致飞机维修等关键系统关闭,迫使航班取消;美国某港口设施遭到勒索软件攻击,最终港口货运工控系统瘫痪30多小时……这些事件提醒着我们,网络安全领域是需要不断研究与更新的,即使是最强的国家也不会是固若金汤,而网络安全应急处理能力和防护预测能力作为评判国家或组织综合实力的一项指标,所占的重要程度将越来越高。
图5-7 巴西工控协议暴露数量和占比
巴西工控设备暴露数量位居第二。巴西的经济非常发达,早在70年代就建成了比较完整的工业体系,主要工业部门有钢铁、汽车、造船、石油、水泥、化工、冶金、电力、纺织、建筑等。而通过图5-7可以看到,在巴西所暴露的协议中,Modbus的数量占据压倒性的比例,一个最重要的原因是其公开发表无版税要求,工业网络部署相对容易,对供应商来说,修改移动原生的位元或字节没有很多限制。这在一定程度上反映出了,巴西在信息化工业的使用上相对落后,而且对工业网络安全的重视程度远不及中国和美国。巴西排在世界第二的原因是它与美国的工业水平相比确实差距明显,总数差距造成了暴露的设备的数量差距。而巴西排在中国之前的一个重要原因就是网络安全建设不完全且相对缺乏风险检测与预防的意识和手段。
5.3. 疫情影响下西方国家工控设备暴露数量有所下降
众所周知,新冠病毒疫情在全球多点暴发并迅速蔓延,疫情对诸多行业产生了重大影响,各个国家的工业也都在所难免。目前欧美国家严峻的新冠病毒疫情对其工业产生了多方面的影响,最直接的就是处于工业核心的工控设备的暴露数量有所下降。
图5-8 西方国家工控设备暴露数量对比条形图
以3月份为例,“谛听”团队首先对比了全球暴露的工控设备总量,由2019年3月份的46335减少至2020年3月份的37438,同比减少19.2%,工控设备数量的下降很可能由于工厂开工数出现下降导致的,这就意味着疫情给大多数工厂的生产带来了巨大挑战。而后我们选取西方发达国家数据来进行分析,从图5-6可以看出,西方发达国家的工控设备数量与去年同期相比也明显减少,说明疫情对西方国家的冲击已经显现出来。
6 工控系统攻击分析
随着互联网正快速渗透到工控领域的各个环节,传统网络安全威胁也正在加速向工控领域蔓延,工业网络、系统和设备等安全问题正面临着严峻的挑战。东北大学“谛听”团队研发了工控安全“谛听”蜜罐,模拟多种工控协议和工控设备,并全面捕获攻击者的访问流量。经过长期的努力,“谛听”蜜罐已在新加坡、多伦多、法兰克福、北京、上海、广州、莫斯科、东京等海内外多个城市部署,目前支持8个协议。截止2019年12月31日,根据“谛听”蜜罐所收集的数据,通过深入分析,得出如图6-1、6-2和6-3的可视化展示,下面做简要说明。
图6-1 各协议攻击量占比(数据来源“谛听”)
图6-1为各协议攻击量占比。Modbus被攻击量最高,约占总攻击量的43%,这反映了Modbus被关注度较高,由于Modbus在工业领域通信是常用的协议,相比其他通信协议应用更加广泛。Siemens S7约占总攻击量的16%,在工业领域,S7通信协议被广泛用于发电厂、生产线和其他关键基础设施。Omron FINS约占总攻击量的11%,FINS通信协议是欧姆龙公司开发的用于工业自动化控制网络指令响应系统,支持工业以太网,用于计算机与PLC之间进行通信的一种网络协议。由于以上协议受到的攻击量较多,这可以指导网络安全研究人员把关注重点放在以上占比较高的协议上。
图6-2 攻击来源-协议-攻击量占比图(数据来源“谛听”)
从图6-2攻击来源-协议-攻击量占比图可以看出如下信息。从整体情况来分析,来自国内的IP对“谛听”蜜罐的攻击量占比最高,这很可能是因为团队在国内部署蜜罐的比例偏高;其次是北美地区,这说明北美地区对工控设备更“感兴趣”。从攻击总量来看,Modbus协议的蜜罐被攻击的次数最高,“谛听”蜜罐捕获到的被攻击的总次数高达42363次,其次是S7协议和FINS协议的蜜罐,总次数分别为15532、10561。数据表明,Modbus协议、S7协议和 FINS协议在国际上被关注的热度较高。从各地区的攻击量来看,北美和西欧地区对各个协议的蜜罐都比较关注,而北欧地区对“谛听”蜜罐的关注度较少;东欧地区比较关注Modbus协议、ATGs Devices协议和DNP3协议的蜜罐,东亚地区对FINS协议、S7协议和DNP3协议的攻击量相对较高。
图6-3 各国家攻击IP排名(数据来源“谛听”)
图6-3直观展示了截止到2019年12月31日“谛听”蜜罐捕获攻击IP数量较多的国家及对应数量,从整体情况来看,国内攻击流量最高,美国、塞舌尔的攻击流量分别排在第二、第三位。由于所统计的蜜罐主要部署在国内,因此捕获的国内攻击量最高。而2019年“谛听”团队增加了部署在全球的工控蜜罐数量,正在持续地捕获攻击流量,并预计2020年继续提高工控蜜罐在全球范围内部署的数量,相信之后的统计结果与本次将有很大差异,后续将发布相关研究成果。
7 总结
从工信部印发《工业互联网网络建设及推广指南》的通知,到“工业互联网”概念被写入《2019年国务院政府工作报告》,再到工信部印发《关于印发“5G+工业互联网”512工程推进方案的通知》,我国工业互联网的发展得到了国家和企业的高度重视,伴随着一系列国家政策标准的提出,工控系统网络的发展面临新的机遇,同时也给保障工控安全带来更为严峻的挑战。我国工业互联网、智能制造、云服务和5G等新技术、新业务的快速发展与应用,使工控系统网络复杂度不断提高。随着越来越多的针对工控攻击的恶意软件被曝光,工控安全威胁已经成为世界各国工业发展中不可小觑的阻力,大力发展重视工业信息安全成为普遍共识,与此同时,恶意软件采用的手段越来越高明,复杂性和隐蔽性都有很大提高,工控系统网络安全威胁与风险不断加大。
分析2019年的工控安全形势,各类威胁数据持续上升。但是幸运的是,政产学研各界越来越意识到工控系统网络安全的重要性,工业企业积极使用工业防火墙、制定安全应对方案等措施加强预警,争取防患于未然。随着国家“5G+工业互联网”等新型基础设施建设相关政策的不断推进落实,工业互联网逐步向互联、智能方向发展,工控安全行业未来发展空间巨大。
报告数据提供:“谛听”网络安全团队全体成员
报告数据分析:“谛听”网络安全团队全体成员
报告数据展示:黄仓健、韩玮石、金玉多
报告编写:姚羽教授、安红娜、苏文兴、张维
下载报告:
https://pan.baidu.com/s/1zARVmP-p63P7ZBWRmVk0ag
提取码:u42p
声明:本文来自谛听ditecting,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。