声明
本文是学习2021工业互联网安全发展与实践分析报告. 下载地址而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们
主要观点
- 工业系统安全漏洞数量增长显著放缓,但超高危漏洞数量却大幅增加。统计显示,2021年,国内外四大漏洞平台共计新收录工业系统安全漏洞636个,较2020年的804个下降了20.9%。但新增超高危漏洞多达16个,比2020年的6个,大幅增长了166.7%。
- 被新报告安全漏洞数量最多的10家工业系统供应商均为国外企业。其中,仅西门子(Siemens)一家就被报告新增安全漏洞193个,占到全年新增工业系统安全漏洞总量的30.3%。国外供应商对国内工业互联网安全的影响仍然十分巨大。
- 在与工业互联网相关的各个行业中,制造业面临的网络安全风险最大:88.7%的新增工业系统安全漏洞会对制造业产生影响;奇安信安服团队全年处置的90起与工业互联网安全相关的应急响应事件中,46.7%发生在制造业。工业网络软件的安全漏洞、勒索病毒等,对制造业的网络安全威胁最大。
- 勒索软件仍然是工业互联网网络安全的最大威胁,国内、国外工业机构都深受其害。工业勒索事件占到了奇安信安服团队全年处置工业互联网安全应急响应事件的57.6%。此外,数据安全问题也是困扰工业互联网发展的重要威胁,42.1%的工业系统网络安全应急响应事件与数据安全问题密切相关。
- 2021年,从中央到地方,密集出台了多项涉及工业互联网安全的政策法规及安全标准,工业互联网安全监管体系不断完善。
- 2021年智能网联汽车发展迅速,车联网安全关注度显著增加。同时,5G+工业互联网应用的广度和深度不断拓展,安全风险也随之增多。5G+工业互联网安全能力亟需提升。
阅读摘 要
- 2021年,四大漏洞平台共收录工业系统安全漏洞636个,较2020年的804个下降了20.9%;收录工业系统超高危漏洞16个,较2020年(6个)增长了166.7%,占年度四大漏洞平台收录工业系统漏洞总数的2.51%。
- 工业控制系统安全漏洞多数分布在制造业、能源、水务、商业设施、石化、医疗、交通、农业、信息技术、航空等关键基础设施行业。其中,有564个漏洞涉及到制造业。
- 2021年,奇安信安服团队共处置国内的网络安全事件多达1097起,与工业互联网相关的安全事件90起,占比8.2%。从行业来看,制造业42次,交通运输29次,能源行业13次,化学工业3次。其中,57.6%的事件为工业勒索事件,42.1%的事件与工业数据安全相关。
- 2021年工业互联网安全政策法规标准体系不断完善,出台9个相关的政策法律法规文件。
- 2021年智能网联汽车发展迅速,车联网安全关注度显著增加。
- 5G+工业互联网安全能力亟需提升,表现在技术融合带来新风险、安全运营能力不足、数据采集难度增加、供应链安全能力不足、国产化进程需加快等多个方面。
关键词 安全漏洞、制造业、勒索攻击、工业数据、车联网、5G+工业互联网
工业互联网安全态势
本章内容主要以工业控制系统安全国家地方联合工程实验室(以下简称:联合实验室)漏洞库收录的工业控制系统相关的漏洞信息和奇安信安服团队处理的工业安全应急事件统计数据为基础,从工控漏洞的年度变化趋势、等级危害、漏洞类型、漏洞涉及行业、漏洞设备类型等方面和工业应急处理事件的行业分布、事件类型、损失类型等方面分析工业互联网的安全威胁态势、脆弱性以及发展变化趋势。
安全漏洞形势分析
工业互联网安全漏洞总体态势
根据中国国家信息安全漏洞共享平台最新统计,截止到2021年底,CNVD收录的与工业控制系统相关的漏洞高达3103个,2021年新增的工业控制系统漏洞数量达到152个,较 2020年593个下降74.4%。2000-2021年CNVD工控新增漏洞年度分布如下所示:
综合参考了Common Vulnerabilities & Exposures(CVE)、National Vulnerability Database(NVD)、中国国家信息安全漏洞共享平台(CNVD)及国家信息安全漏洞库(CNNVD)(以下简称“四大漏洞平台”)所发布的漏洞信息来看, 2021年,四大漏洞平台共收录的工业系统安全漏洞636个,较2020年的804个下降了20.9%。
新增工业系统安全漏洞的成因多样化特征依然明显,技术类型多达30种以上。其中,缓冲区溢出漏洞(154)、输入验证漏洞(60)和拒绝服务漏洞(43)数量最多。2021年工控系统新增漏洞类型分布如下:
在四大漏洞平台收录的工业系统漏洞中,高危漏洞占比38.2%,中危漏洞占比为47.4%,中高危漏洞占比高达85.6%。工业控制系统多应用于国家关键基础设施,一旦遭受网络攻击,会造成较为严重的损失。2021年工控系统新增漏洞危险等级分布如下:
在收录的工业控制系统漏洞中,涉及到的前十大工控厂商分别为西门子(Siemens)、研华(Advantech)、施耐德(Schneider)、台达电子(Delta Electronics)、3S-Smart、三菱(Mitsubishi)、艾默生(Emerson)、永宏电机(Fatek Automation)、摩莎(Moxa)和思科(Cisco)。2021年工控新增漏洞涉及主要厂商情况如下图所示:
需要说明的是,虽然安全漏洞在一定程度上反映了工控系统的脆弱性,但不能仅通过被报告的厂商安全漏洞数量来片面判断比较厂商产品的安全性。因为一般来说,一个厂商的产品越是使用广泛,越会受到更多安全研究者的关注,因此被发现安全漏洞的可能性也越大。某种程度上来说,安全漏洞报告的厂商分布,更多程度上反映的是研究者的关注度。
工业超高危漏洞明显增加
漏洞库平台根据CVSS分级标准对漏洞进行0至10之间的数字评分,10分为最高分,表示该漏洞的严重程度最高,我们称之为超高危漏洞,一旦被攻击者利用,就可能造成的重大损失和严重后果。
尽管2021年新增工业系统安全漏洞的总数较2020有明显下降,但超高危漏洞的数量却显著上升。统计显示,2021年四大漏洞平台共收录工业系统超高危漏洞16个,较2020年(6个)增长了166.7%,占年度四大漏洞平台收录工业系统漏洞总数的2.51%。2021年新收录的超高危漏洞详细信息见附录二。
涉及制造业的漏洞仍然最多
四大漏洞平台收录的工业控制系统安全漏洞多数分布在制造业、能源、水务、商业设施、石化、医疗、交通、农业、信息技术、航空等关键基础设施行业。一个漏洞可能涉及多个行业,在636个漏洞中,有564个漏洞涉及到制造业,也是占比最高的行业。涉及到的能源行业漏洞数量高达508个。对比2020年的数据,依然是制造业和能源行业工控漏洞较多,应持续加强这两个行业工业安全建设。2021年工控新增漏洞行业分布图如下:
对2021年新增的与制造业相关的安全漏洞做进一步统计分析发现,缓冲区溢出漏洞(143个)、输入验证漏洞(50个)、拒绝服务漏洞(43个)、跨站脚本漏洞(28个)、访问控制漏洞(27个)最为常见。2021年制造业新增漏洞类型分布如下:
针对制造业控制系统设备,按照PLC、SCADA、RTU、HMI、工业网络设备、工业网络软件、普通软件、其他进行设备分类,涉及到的前五大设备漏洞中,工业网络软件最多,数量为83个,PLC设备(49个)、HMI(31个)、SCADA(17个)、工业网络设备(15个)。制造业新增漏洞设备类型数据如下:
应急响应形势分析
应急响应事件行业分析
2021年,奇安信安服团队共处置国内的网络安全事件多达1097起,与工业互联网相关的安全事件90起,占比8.2%。统计这些工业互联网安全事件的行业分布,其中制造业42次,交通运输29次,能源行业13次,化学工业3次。工业互联网安全事件行业分布如下图所示:
从这些安全事件的统计数据表明中国工业互联网安全形势依然严峻,特别是制造业的安全防护能力薄弱,安全事件高发。需要提高整个行业的安全防范意识,加强日常安全巡检制度,定期对系统配置、网络设备及安全策略进行检查,主动发现目前系统、应用存在的安全隐患,保障工业互联网的安全稳健运行。
工业勒索成制造业最大威胁
从攻击类型上看,在2021年奇安信安服团队处置的90起应急响应事件中,勒索事件占比最高,达到了57.6%,如下图所示。由此可见,针对工业系统的勒索攻击是当前国内工业企业最大的网络安全威胁。
针对所有勒索攻击引发的工业互联网应急响应事件进行行业分析发现,制造业仍然占比最高,达到了52.8%,如下图所示。
数据安全成工业互联网新痛点
从应急响应事件的损失类型来看,直接与工业数据相关的事件占比达到了42.1%,包括数据丢失(23.3%)、数据损坏(11.1%)、数据泄漏(4.4%)、数据篡改(3.3%)。另外,系统/网络不可用(7.8%)和破坏性攻击(6.7%)也会间接导致工业数据的安全问题。具体分布如下图所示:
数据安全问题,不仅困扰着国内工业企业,从公开报道上来看,国外企业也深受其害。
2021年3月16日,能源巨头壳牌公司(Shell)遭遇黑客攻击。攻击者利用了安全厂商Accellion的文件传输程序FTA的零日漏洞,访问了一些个人数据以及属于壳牌利益相关方和子公司的数据,导致严重的数据泄漏。
2021年5月,大众汽车集团美国公司(VWGoA)披露了一起数据泄露事件,表示他们的一家供应商曾在2019年8月至2021年5月期间在互联网上泄露大量未受保护的客户数据。这批泄露的数据主要影响到美国及加拿大多家奥迪与大众授权经销商的330万购车客户。
2021年7月,ZeroX恶意团伙从沙特阿美石油公司盗窃1TB专有数据,开价500万美元在暗网上出售。
2021年10月26日,伊朗油气系统遭到严重的网络攻击。网络攻击引起的软件故障扰乱了伊朗全国各地的加油站,导致加油站的加油系统中断,并且破坏了加油泵屏幕和天然气价格广告牌,在广告牌上显示与政治相关的内容。这次攻击影响了NIOPDC的IT网络,而NIOPDC是伊朗一家管理着3500多个加油站的国有天然气分销公司。攻击涉及使用一种前所未见的可重复使用的数据擦除恶意软件“Meteor”。
延伸阅读
更多内容 可以点击下载 2021工业互联网安全发展与实践分析报告. 进一步学习
友情链接
DB21-T 3394—2021 草原牧鸡治蝗技术规程 辽宁省