奇安信 工业互联网安全发展与实践 报告 学习笔记一 欢迎扶正

news2024/11/14 5:27:52

声明

本文是学习2021工业互联网安全发展与实践分析报告. 下载地址而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

主要观点

  • 工业系统安全漏洞数量增长显著放缓,但超高危漏洞数量却大幅增加。统计显示,2021年,国内外四大漏洞平台共计新收录工业系统安全漏洞636个,较2020年的804个下降了20.9%。但新增超高危漏洞多达16个,比2020年的6个,大幅增长了166.7%。
  • 被新报告安全漏洞数量最多的10家工业系统供应商均为国外企业。其中,仅西门子(Siemens)一家就被报告新增安全漏洞193个,占到全年新增工业系统安全漏洞总量的30.3%。国外供应商对国内工业互联网安全的影响仍然十分巨大。
  • 在与工业互联网相关的各个行业中,制造业面临的网络安全风险最大:88.7%的新增工业系统安全漏洞会对制造业产生影响;奇安信安服团队全年处置的90起与工业互联网安全相关的应急响应事件中,46.7%发生在制造业。工业网络软件的安全漏洞、勒索病毒等,对制造业的网络安全威胁最大。
  • 勒索软件仍然是工业互联网网络安全的最大威胁,国内、国外工业机构都深受其害。工业勒索事件占到了奇安信安服团队全年处置工业互联网安全应急响应事件的57.6%。此外,数据安全问题也是困扰工业互联网发展的重要威胁,42.1%的工业系统网络安全应急响应事件与数据安全问题密切相关。
  • 2021年,从中央到地方,密集出台了多项涉及工业互联网安全的政策法规及安全标准,工业互联网安全监管体系不断完善。
  • 2021年智能网联汽车发展迅速,车联网安全关注度显著增加。同时,5G+工业互联网应用的广度和深度不断拓展,安全风险也随之增多。5G+工业互联网安全能力亟需提升。

阅读摘 要

  • 2021年,四大漏洞平台共收录工业系统安全漏洞636个,较2020年的804个下降了20.9%;收录工业系统超高危漏洞16个,较2020年(6个)增长了166.7%,占年度四大漏洞平台收录工业系统漏洞总数的2.51%。
  • 工业控制系统安全漏洞多数分布在制造业、能源、水务、商业设施、石化、医疗、交通、农业、信息技术、航空等关键基础设施行业。其中,有564个漏洞涉及到制造业。
  • 2021年,奇安信安服团队共处置国内的网络安全事件多达1097起,与工业互联网相关的安全事件90起,占比8.2%。从行业来看,制造业42次,交通运输29次,能源行业13次,化学工业3次。其中,57.6%的事件为工业勒索事件,42.1%的事件与工业数据安全相关。
  • 2021年工业互联网安全政策法规标准体系不断完善,出台9个相关的政策法律法规文件。
  • 2021年智能网联汽车发展迅速,车联网安全关注度显著增加。
  • 5G+工业互联网安全能力亟需提升,表现在技术融合带来新风险、安全运营能力不足、数据采集难度增加、供应链安全能力不足、国产化进程需加快等多个方面。

关键词 安全漏洞、制造业、勒索攻击、工业数据、车联网、5G+工业互联网

工业互联网安全态势

本章内容主要以工业控制系统安全国家地方联合工程实验室(以下简称:联合实验室)漏洞库收录的工业控制系统相关的漏洞信息和奇安信安服团队处理的工业安全应急事件统计数据为基础,从工控漏洞的年度变化趋势、等级危害、漏洞类型、漏洞涉及行业、漏洞设备类型等方面和工业应急处理事件的行业分布、事件类型、损失类型等方面分析工业互联网的安全威胁态势、脆弱性以及发展变化趋势。

安全漏洞形势分析

工业互联网安全漏洞总体态势

根据中国国家信息安全漏洞共享平台最新统计,截止到2021年底,CNVD收录的与工业控制系统相关的漏洞高达3103个,2021年新增的工业控制系统漏洞数量达到152个,较 2020年593个下降74.4%。2000-2021年CNVD工控新增漏洞年度分布如下所示:

github5.com 专注免费分享高质量文档

综合参考了Common Vulnerabilities & Exposures(CVE)、National Vulnerability Database(NVD)、中国国家信息安全漏洞共享平台(CNVD)及国家信息安全漏洞库(CNNVD)(以下简称“四大漏洞平台”)所发布的漏洞信息来看, 2021年,四大漏洞平台共收录的工业系统安全漏洞636个,较2020年的804个下降了20.9%。

新增工业系统安全漏洞的成因多样化特征依然明显,技术类型多达30种以上。其中,缓冲区溢出漏洞(154)、输入验证漏洞(60)和拒绝服务漏洞(43)数量最多。2021年工控系统新增漏洞类型分布如下:

github5.com 专注免费分享高质量文档

在四大漏洞平台收录的工业系统漏洞中,高危漏洞占比38.2%,中危漏洞占比为47.4%,中高危漏洞占比高达85.6%。工业控制系统多应用于国家关键基础设施,一旦遭受网络攻击,会造成较为严重的损失。2021年工控系统新增漏洞危险等级分布如下:

github5.com 专注免费分享高质量文档

在收录的工业控制系统漏洞中,涉及到的前十大工控厂商分别为西门子(Siemens)、研华(Advantech)、施耐德(Schneider)、台达电子(Delta Electronics)、3S-Smart、三菱(Mitsubishi)、艾默生(Emerson)、永宏电机(Fatek Automation)、摩莎(Moxa)和思科(Cisco)。2021年工控新增漏洞涉及主要厂商情况如下图所示:

github5.com 专注免费分享高质量文档

需要说明的是,虽然安全漏洞在一定程度上反映了工控系统的脆弱性,但不能仅通过被报告的厂商安全漏洞数量来片面判断比较厂商产品的安全性。因为一般来说,一个厂商的产品越是使用广泛,越会受到更多安全研究者的关注,因此被发现安全漏洞的可能性也越大。某种程度上来说,安全漏洞报告的厂商分布,更多程度上反映的是研究者的关注度。

工业超高危漏洞明显增加

漏洞库平台根据CVSS分级标准对漏洞进行0至10之间的数字评分,10分为最高分,表示该漏洞的严重程度最高,我们称之为超高危漏洞,一旦被攻击者利用,就可能造成的重大损失和严重后果。

尽管2021年新增工业系统安全漏洞的总数较2020有明显下降,但超高危漏洞的数量却显著上升。统计显示,2021年四大漏洞平台共收录工业系统超高危漏洞16个,较2020年(6个)增长了166.7%,占年度四大漏洞平台收录工业系统漏洞总数的2.51%。2021年新收录的超高危漏洞详细信息见附录二。

github5.com 专注免费分享高质量文档

涉及制造业的漏洞仍然最多

四大漏洞平台收录的工业控制系统安全漏洞多数分布在制造业、能源、水务、商业设施、石化、医疗、交通、农业、信息技术、航空等关键基础设施行业。一个漏洞可能涉及多个行业,在636个漏洞中,有564个漏洞涉及到制造业,也是占比最高的行业。涉及到的能源行业漏洞数量高达508个。对比2020年的数据,依然是制造业和能源行业工控漏洞较多,应持续加强这两个行业工业安全建设。2021年工控新增漏洞行业分布图如下:

github5.com 专注免费分享高质量文档

对2021年新增的与制造业相关的安全漏洞做进一步统计分析发现,缓冲区溢出漏洞(143个)、输入验证漏洞(50个)、拒绝服务漏洞(43个)、跨站脚本漏洞(28个)、访问控制漏洞(27个)最为常见。2021年制造业新增漏洞类型分布如下:

github5.com 专注免费分享高质量文档

针对制造业控制系统设备,按照PLC、SCADA、RTU、HMI、工业网络设备、工业网络软件、普通软件、其他进行设备分类,涉及到的前五大设备漏洞中,工业网络软件最多,数量为83个,PLC设备(49个)、HMI(31个)、SCADA(17个)、工业网络设备(15个)。制造业新增漏洞设备类型数据如下:

github5.com 专注免费分享高质量文档

应急响应形势分析

应急响应事件行业分析

2021年,奇安信安服团队共处置国内的网络安全事件多达1097起,与工业互联网相关的安全事件90起,占比8.2%。统计这些工业互联网安全事件的行业分布,其中制造业42次,交通运输29次,能源行业13次,化学工业3次。工业互联网安全事件行业分布如下图所示:

github5.com 专注免费分享高质量文档

从这些安全事件的统计数据表明中国工业互联网安全形势依然严峻,特别是制造业的安全防护能力薄弱,安全事件高发。需要提高整个行业的安全防范意识,加强日常安全巡检制度,定期对系统配置、网络设备及安全策略进行检查,主动发现目前系统、应用存在的安全隐患,保障工业互联网的安全稳健运行。

工业勒索成制造业最大威胁

从攻击类型上看,在2021年奇安信安服团队处置的90起应急响应事件中,勒索事件占比最高,达到了57.6%,如下图所示。由此可见,针对工业系统的勒索攻击是当前国内工业企业最大的网络安全威胁。

github5.com 专注免费分享高质量文档

针对所有勒索攻击引发的工业互联网应急响应事件进行行业分析发现,制造业仍然占比最高,达到了52.8%,如下图所示。

github5.com 专注免费分享高质量文档

数据安全成工业互联网新痛点

从应急响应事件的损失类型来看,直接与工业数据相关的事件占比达到了42.1%,包括数据丢失(23.3%)、数据损坏(11.1%)、数据泄漏(4.4%)、数据篡改(3.3%)。另外,系统/网络不可用(7.8%)和破坏性攻击(6.7%)也会间接导致工业数据的安全问题。具体分布如下图所示:

github5.com 专注免费分享高质量文档

数据安全问题,不仅困扰着国内工业企业,从公开报道上来看,国外企业也深受其害。

2021年3月16日,能源巨头壳牌公司(Shell)遭遇黑客攻击。攻击者利用了安全厂商Accellion的文件传输程序FTA的零日漏洞,访问了一些个人数据以及属于壳牌利益相关方和子公司的数据,导致严重的数据泄漏。

2021年5月,大众汽车集团美国公司(VWGoA)披露了一起数据泄露事件,表示他们的一家供应商曾在2019年8月至2021年5月期间在互联网上泄露大量未受保护的客户数据。这批泄露的数据主要影响到美国及加拿大多家奥迪与大众授权经销商的330万购车客户。

2021年7月,ZeroX恶意团伙从沙特阿美石油公司盗窃1TB专有数据,开价500万美元在暗网上出售。

2021年10月26日,伊朗油气系统遭到严重的网络攻击。网络攻击引起的软件故障扰乱了伊朗全国各地的加油站,导致加油站的加油系统中断,并且破坏了加油泵屏幕和天然气价格广告牌,在广告牌上显示与政治相关的内容。这次攻击影响了NIOPDC的IT网络,而NIOPDC是伊朗一家管理着3500多个加油站的国有天然气分销公司。攻击涉及使用一种前所未见的可重复使用的数据擦除恶意软件“Meteor”。

延伸阅读

更多内容 可以点击下载 2021工业互联网安全发展与实践分析报告. 进一步学习

友情链接

DB21-T 3394—2021 草原牧鸡治蝗技术规程 辽宁省

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/131838.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Linux 软件包管理器 yum

1.什么是软件包 在Linux下安装软件,一个通常的办法是下载到程序的源代码,并进行编译,得到可执行程序。但是这样太麻烦了,于是有些人把一些常用的软件提前编译好, 做成软件包(可以理解成windows上的安装程序)放在一个服务器上&…

再见2022

大家好,我是bigsai,好久不见。看了上一篇更新时间,大概已经停更近10个月(呜呜后面还会坚持的),在2022的最后一天,这一篇也算是对这一年做个总结。期间也收到一些朋友的问候和鼓励,确实自己在读研期间的前两…

山东大学2022-2023非关系型数据库(Nosql)期末考试

写在前面的话: 今年线上开卷考试,Nosql考试软工(限选课)和大数据(必修课)是一套试题,因此大数据所学的许多内容考试并无涉及。考察点主要以学过的四类Nosql数据库的相关知识为主。 试题如下&…

引用量超1400的经典语义分割方法BiSeNet解读

今天给大家分享语义分割领域非常经典的一篇论文:BiSeNet,该论文发表在了ECCV2018上,引用量超过1400。 开源代码地址:https://github.com/ycszen/TorchSeg 1.动机 语义分割任务,即为图片的每个像素分配一个标签&#…

嵌入式 程序调试之gdb+gdbserver+vscode可视化调试

嵌入式 程序调试之gdbgdbservervscode可视化调试 一、简述 记--使用过visual studio的都知道,它的单步调试真的好用,可以直接在源码下断点,实时查看内存变量、寄存器等相关信息。嵌入式linux开发多用的是gdb, 都是命令行执行的,毕…

python特殊数据类型应用(1)字典类型

目录python中特殊数据类型应用(1)字典类型字典类型定义字典类型注意事项字典类型的访问python中特殊数据类型应用(1)字典类型 python作为最流行的几种开发语言之一,在数据类型上和传统的c、c和java等有很大的不同&…

Typora使用方法

自用,有错误请谅解 tpora破解版使用学习使用: 链接:https://pan.baidu.com/s/1Wj46k3iVIzr-7kwQstp9nQ 提取码:2sa8 来源教程网址:Typora一款 Markdown 编辑器和阅读器 记得更改图片位置,以后就是相对路径…

babel及其使用

什么是Babel? Babel 是一个工具链,由大量的工具包组成,接下来我们逐步了解。主要用于将 ECMAScript 2015 版本的代码转换为向后兼容的 JavaScript 语法,以便能够运行在当前和旧版本的浏览器或其他环境中。 核心库 babel/core B…

‘this’不能用于常量表达式错误(C++)【问题解决】

目录 一、报错问题 1、代码 test.h test.cpp 2、问题描述 二、网上解决思路 三、解决方案 【元旦快乐🌹,新年快乐🎉】 最近在编译程序时出现了“ ‘this’不能用于常量表达式错误(C )”的报错问题,查阅多位博主写的文章后&…

mysql 性能优化

mysql 调优可以从这个四个方面来看 1.性能监控 1.1 show profile for query n 查看具体的sql语句各阶段执行时间 show profiles; show profile for query n; 1.2 performance schema 监控mysql 整个服务器中发生的各种事件。 performance schema 表中的数据不会持久化的磁…

一文搞定垃圾回收的三色标记法

我们之前介绍了各种常见垃圾回收器的基本原理,本小节我们讨论一个更深入的问题——垃圾回收器的底层是如何做的。 在并发标记的过程中,因为标记期间应用线程还在继续跑,对象间的引用可能发生变化,多标和漏标的情况就有可能发生。…

计算机视觉(CV)领域Transformer最新论文及资源整理分享

Transformer由论文《Attention is All You Need》提出,现在是谷歌云TPU推荐的参考模型。Transformer模型最早是用于机器翻译任务,当时达到了SOTA效果。Transformer改进了RNN最被人诟病的训练慢的缺点,利用self-attention机制实现快速并行。并…

梯度,GD梯度下降,SGD随机梯度下降

前言 羊了,但是依旧生龙活虎。补补之前落下的SGD算法,这个在深度学习中应用广泛。 梯度(Gradient) 方向导数 在梯度之前,非常重要一个概念:方向导数,这里uuu是nnn维向量,代表一个…

EMNLP 22:Bi-Directional Iterative Prompt-Tuning for Event Argument Extraction

总结 文中的前向和后向的思想可以借鉴下。 但总的来看,似乎是通过前向和后向来做的ensemble操作,虽然是在一个模型下,但同时前向和后向概率保证,可能能够使得预测更准确。 任务形式:event argument extraction (EAE)…

Java 读取resources下的文件+读取resource文件/路径

Java 读取resources下的文件 文档来源 三种实现方式 pom.xml <!-- commons-io io的工具包 --> <dependency><groupId>commons-io</groupId><artifactId>commons-io</artifactId><version>2.6</version></dependency>…

SSM之Spring(二)

目录 2.3 基于注解管理bean 2.3.1 标记与扫描 2.3.2 基于注解的自动装配 三&#xff1a;AOP 3.1 场景模拟 3.1.1 声明接口 3.1.2 创建实现类 3.1.3 创建带日志功能的实现类 3.1.4 提出问题 3.2 代理模式 3.2.1 概念 3.2.2 静态代理 3.2.3 动态代理 3.2.4 测试 3.3 AO…

ElasticSearch笔记

ELASTICSEARCH笔记 1、安装elastic search dokcer中安装elastic search &#xff08;1&#xff09;下载ealastic search和kibana docker pull elasticsearch:7.6.2 docker pull kibana:7.6.2&#xff08;2&#xff09;配置 mkdir -p /mydata/elasticsearch/config 创建目…

Hex程序烧写到单片机

一、创建一个Keil代码工程 1、在电脑F盘&#xff08;哪个盘可以随意选择&#xff09;上创建项目工程文件夹Template 2、在Template文件中&#xff0c;创建一个main.c文件 3、进入keil主页面&#xff0c;工具栏project---->New uVision project---->选则第一步的工程文…

【数据结构】时间与空间复杂度

&#x1f3d6;️作者&#xff1a;malloc不出对象 ⛺专栏&#xff1a;《初识C语言》 &#x1f466;个人简介&#xff1a;一名双非本科院校大二在读的科班编程菜鸟&#xff0c;努力编程只为赶上各位大佬的步伐&#x1f648;&#x1f648; 目录前言一、算法效率1.1 如何衡量一个算…

【华为上机真题 2022】太阳能板的最大面积

&#x1f388; 作者&#xff1a;Linux猿 &#x1f388; 简介&#xff1a;CSDN博客专家&#x1f3c6;&#xff0c;华为云享专家&#x1f3c6;&#xff0c;Linux、C/C、云计算、物联网、面试、刷题、算法尽管咨询我&#xff0c;关注我&#xff0c;有问题私聊&#xff01; &…