中國上半年工業(yè)互聯(lián)網(wǎng)安全態(tài)勢綜述

1、2020 年上半年工業(yè)互聯(lián)網(wǎng)安全態(tài)勢綜述一、上半年工業(yè)互聯(lián)網(wǎng)安全態(tài)勢2020 年上半年，我國工業(yè)互聯(lián)網(wǎng)安全態(tài)勢整體平穩(wěn)，未發(fā)現(xiàn)重大網(wǎng)絡安全事件，但惡意網(wǎng)絡行為持續(xù)活躍，對工業(yè)控制系統(tǒng)及設備的攻擊持續(xù)增多、受攻擊的行業(yè)范圍廣，工業(yè)互聯(lián)網(wǎng)安全形勢嚴峻。（一）我國工業(yè)互聯(lián)網(wǎng)相關惡意網(wǎng)絡行為的次數(shù)呈現(xiàn)增加趨勢，安全隱患突出。2020 年 1 月 1 日至 2020 年 6 月 30日，國家工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知與風險預警平臺持續(xù)對全國 136 個主要工業(yè)互聯(lián)網(wǎng)平臺、10 萬多家工業(yè)企業(yè)、900 多萬臺聯(lián)網(wǎng)設備進行安全監(jiān)測，累計監(jiān)測發(fā)現(xiàn)惡意網(wǎng)絡行為 1356.3 萬次，涉及 2039 家企業(yè)。其中，攻擊

2、方式以異常流量、非法外聯(lián)、僵尸網(wǎng)絡三類為主，均超過 300 萬次，累計占惡意行為總數(shù)的 81%，惡意網(wǎng)絡行為排名見圖 1。與此同時，異常流量中包含大量掃描、嗅探行為，表明當前針對工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡攻擊大部分為實施攻擊前的信息搜集，安全隱患不容忽視。35585943058019134116777979317049470141546764596222514惡意行為類型TOP1050000004500000400000035000003000000250000020000001500000100000050000004364253圖 1 工業(yè)互聯(lián)網(wǎng)惡意網(wǎng)絡行為（二）工業(yè)互聯(lián)網(wǎng)網(wǎng)絡攻擊主要集中于基礎性行

3、業(yè)，疫情期間醫(yī)療相關行業(yè)成關注重點。當前針對工業(yè)互聯(lián)網(wǎng)的惡意網(wǎng)絡行為持續(xù)活躍，主要集中于制造業(yè)等基礎性行業(yè)，僅計算機、通信和其他電子設備制造業(yè)遭受攻擊次數(shù)就將近 288 萬次。疫情期間，醫(yī)藥制造、醫(yī)療器械服務、紡織等疫情相關行業(yè)遭受惡意網(wǎng)絡行為數(shù)量較 2019 年有所上升，但已隨疫情好轉而持續(xù)走低，從 1 月占全部工業(yè)企業(yè)惡意網(wǎng)絡行為的 38.9%降至 6 月占比 10.4%，上半年工業(yè)企業(yè)及重點行業(yè)惡意網(wǎng)絡行為態(tài)勢如圖 2 所示。圖 2 工業(yè)互聯(lián)網(wǎng)惡意網(wǎng)絡行為態(tài)勢圖（三）來自境外的掃描攻擊次數(shù)不斷攀升，部分物聯(lián)網(wǎng)設備權限長期被控制。我境內(nèi)工業(yè)互聯(lián)網(wǎng)遭受境外攻擊占比接近 5 成，多個境外 IP

4、 段對我國工業(yè)互聯(lián)網(wǎng)企業(yè)進行長期的掃描嗅探、嘗試攻擊以及外聯(lián)通信，主要境外攻擊來源惡意行為變化趨勢如圖 3 所示。此外，監(jiān)測發(fā)現(xiàn)僵尸網(wǎng)絡行為境外境內(nèi)6月5月4月3月2月1月0500000100000015000002000000攻擊來源惡意行為變化趨勢305 萬起，控制端近 7 成位于境外，其中經(jīng)研判分析的僵尸網(wǎng)絡事件共 121 起，以 Mirai 家族為主，占總量 32.2%。境內(nèi)部分物聯(lián)網(wǎng)設備存在持續(xù)與境外通信的行為，存在被用于發(fā)動DDoS 攻擊的潛在風險。圖 3 攻擊來源惡意行為變化趨勢（四）工業(yè)互聯(lián)網(wǎng)安全威脅信息通報處置機制初步建立，疫情期間發(fā)揮重要作用。建立安全威脅信息監(jiān)測預警、通報

5、 處置閉環(huán)機制，對相關威脅信息開展監(jiān)測、研判和處置，為 疫情防控提供堅實網(wǎng)絡安全保障。截至 2020 年 6 月 30 日，累計研判威脅信息 424 例，其中包括 152 家疫情物資生產(chǎn)、醫(yī)藥制造相關企業(yè)感染僵尸網(wǎng)絡或木馬后門，69 家醫(yī)療機構存在遠程代碼執(zhí)行、任意文件寫入等高危漏洞。與此同時，按照公共互聯(lián)網(wǎng)網(wǎng)絡安全應急處置機制完成通報處置 119 例，其中包括疫情重點醫(yī)院、醫(yī)療器械制造企業(yè)等相關單位 55 例。（五）聯(lián)網(wǎng)工業(yè)設備漏洞數(shù)量多、級別高，潛在威脅不容忽視。截至 2020 年 6 月 30 日，累計監(jiān)測發(fā)現(xiàn)聯(lián)網(wǎng)工控設備漏洞隱患 946 個，其中高危漏洞 385 個，中危漏洞 472

6、個，中、高危漏洞占漏洞總數(shù)的 90.6%。漏洞隱患類型將近 20 種，主要為緩沖區(qū)堆溢出、設計缺陷、非法授權和跨站腳本等，占漏洞隱患總量的 63.2%，漏洞危害等級和漏洞類型分布如圖 4 所示。部分漏洞存在公開利用代碼，被攻擊者獲取后可輕易取得設備控制權限，存在較大安全風險。圖 4 聯(lián)網(wǎng)工控設備漏洞隱患危害等級分布和漏洞隱患類型圖（六）聯(lián)網(wǎng)工業(yè)設備及系統(tǒng)“帶病運行”情況普遍存在，被攻擊門檻低。上半年發(fā)現(xiàn)的 946 個漏洞共涉及 212 個工業(yè)設備及控制系統(tǒng)，包括人機交互接口（HMI）、企業(yè)資源計劃系統(tǒng)（ERP）和可編程邏輯控制器（PLC）等，占總數(shù)的 92%。這些漏洞主要在 2011 年-20

7、13 年間對外發(fā)布，表明當前存在大量老舊工業(yè)控制系統(tǒng)或設備，未及時升級或更新補丁，存在較大安全風險，更容易遭受黑客的攻擊，會影響電力、制造等行業(yè)，對基礎設施安全形成較大威脅。（七）多個 0DAY 漏洞被爆出，給我國工業(yè)互聯(lián)網(wǎng)造成嚴重安全隱患。工業(yè)互聯(lián)網(wǎng)設備和控制系統(tǒng)越來越多地被挖掘存在 0DAY 漏洞，如某工控廠商 PLC 設備存在一系列未公開的 0DAY 漏洞，近萬臺正在產(chǎn)線上使用的工控設備受此漏洞威脅。惡意用戶無需任何權限即可訪問這些管理接口，黑客可通過刪除安全訪問限制后直接控制 PLC，遠程修改其中的各種配置信息，導致系統(tǒng)故障、停產(chǎn)，甚至引發(fā)安全生產(chǎn)事故，安全隱患突出。（八）勒索軟件對工

8、業(yè)互聯(lián)網(wǎng)威脅加劇，安全事件頻繁曝出。勒索病毒通過互通的工業(yè)網(wǎng)絡在站與站之間、供應鏈上游與下游之間造成大面積傳播，在汽車、能源、制造業(yè)等重要領域均爆出相關安全事件，后果影響嚴重。某國際知名汽車公司遭勒索軟件重創(chuàng)，引起其計算機服務器和相關網(wǎng)絡毀損以及電子郵件無法使用，對部分產(chǎn)線和業(yè)務運作造成影響。美國某芯片制造商遭 Maze 勒索軟件攻擊，造成 10.3GB的會計和財務信息泄漏。歐洲某能源系統(tǒng)商遭到 SNAKE 勒索軟件攻擊，導致其內(nèi)部 IT 網(wǎng)絡中斷。（九）車聯(lián)網(wǎng)領域成為網(wǎng)絡攻擊新趨向，大量用戶數(shù)據(jù)和個人隱私面臨泄露風險。隨著車聯(lián)網(wǎng)智能化和網(wǎng)聯(lián)化的不斷推進，該領域安全威脅事件日益劇增。2020

9、年 5 月，英國謝菲爾德市爆發(fā)大規(guī)模道路通行記錄數(shù)據(jù)泄露事件，約 860萬條記錄道路通行數(shù)據(jù)被泄露；同月，匿名黑客從交警登記處獲取超過 1.29 億俄羅斯車主的數(shù)據(jù)，并將其暴露在“暗網(wǎng)”上以獲取加密貨幣。英國某媒體調(diào)查報告披露，汽車行業(yè)兩大巨頭公司的兩款暢銷車存在嚴重安全漏洞，黑客可利用該漏洞發(fā)動攻擊，竊取車主的個人隱私信息甚至操控車輛。（十）安全投資融資活躍，推動工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)快速發(fā)展。隨著工業(yè)互聯(lián)網(wǎng)政策的持續(xù)利好，網(wǎng)絡安全關注度持續(xù)上升，工業(yè)互聯(lián)網(wǎng)安全市場投融資高漲，奇安信、啟明星辰、六方云等安全企業(yè)積極推進工業(yè)互聯(lián)網(wǎng)安全技術研發(fā)突破，紅杉資本、盈動資本等專業(yè)投資機構等相繼發(fā)力布局。根

10、據(jù)網(wǎng)上公開信息統(tǒng)計，2020 年上半年國內(nèi)累計投融資事件 26 起，投融資規(guī)模達 15 億元。其中工業(yè)互聯(lián)網(wǎng)安全、數(shù)據(jù)安全、云安全等領域成為 2020 年上半年市場投融資熱點，上半年國內(nèi)網(wǎng)絡安全投融資領域分布情況圖 5 所示。圖 5 國內(nèi)投資領域分布情況二、下半年工業(yè)互聯(lián)網(wǎng)安全態(tài)勢預判（一）“新基建”下的工業(yè)互聯(lián)網(wǎng)面臨安全新挑戰(zhàn)。隨著人工智能、5G 等新一代信息技術和機器人等高端裝備與工業(yè)互聯(lián)網(wǎng)融合應用，設備聯(lián)網(wǎng)、企業(yè)上云加速安全風險傳導延展，網(wǎng)絡攻擊面從邊界向核心不斷擴大，推動工業(yè)互聯(lián)網(wǎng)安全防護工作逐步向動態(tài)協(xié)同轉變，安全風險挑戰(zhàn)進一步升級。（二）惡意網(wǎng)絡行為將有增無減。2020 年上半年，

11、源于境外的攻擊不斷增多，包括持續(xù)性嗅探掃描、僵尸網(wǎng)絡遠控等，預計下半年該趨勢將延續(xù)。從監(jiān)測角度看，僵尸網(wǎng)絡控制端與境內(nèi)被控端可能通過加密傳輸信息，監(jiān)測難度將大幅增加。來自境外 IP 對我國工業(yè)互聯(lián)網(wǎng)進行長期、持續(xù)、廣泛的嗅探掃描，需引起關注。（三）0DAY 漏洞數(shù)量將進一步提高，漏洞影響范圍將進一步擴大。2020 上半年 CNVD 新增的工業(yè)控制系統(tǒng)漏洞數(shù)量達到 315 個，廣泛涉及制造業(yè)、能源、交通、醫(yī)療等行業(yè)，僅上半年的數(shù)量已達到 2019 年全年新增數(shù)量的 76.3%，下半年 0DAY 漏洞數(shù)量將會持續(xù)增加，行業(yè)分布依舊廣泛。從工業(yè)企業(yè)角度看，工控設備中不僅存在老舊且利用門檻低的漏洞，更存在曝出 0DAY 漏洞的風險，企業(yè)安全防護面臨挑戰(zhàn)。（四）工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全將成為企業(yè)亟待應對的關鍵問題。工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)種類和保護需求多種多樣，設計、生產(chǎn)、操控等各類數(shù)據(jù)分布在云平臺、用戶端、生態(tài)端等多種設施上，目前單點、離散的數(shù)據(jù)保護措施難以有效保護工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全。工業(yè)互聯(lián)網(wǎng)承載著事關企業(yè)生產(chǎn)、社會經(jīng)濟乃至國家安全的重要工業(yè)數(shù)據(jù)，一旦被竊取、篡改或流動至境外，將對國家安全造成嚴重威脅