2020年工业控制网络安全态势白皮书 – 作者:东北大学谛听网络安全团队

摘要

东北大学“谛听”网络安全团队基于自身传统的安全研究优势开发设计并实现了“谛听”网络空间工控设备搜索引擎(http://www.ditecting.com),并根据“谛听”收集的各类安全数据,撰写并发布了2020年工业控制网络安全态势白皮书,读者可以通过报告了解2020年工控安全相关政策法规报告及典型工控安全事件分析,同时报告对工控系统漏洞、联网工控设备、工控蜜罐与威胁情报数据进行了阐释及分析,有助于全面了解工控系统安全现状,多方位感知工控系统安全态势,为研究工控安全相关人员提供参考。

一、前言

随着工业互联网与自动控制技术的融合发展,工业控制系统被广泛地应用于电力、交通、能源、水利、冶金、航空航天等国家重要基础设施。新一代的5G通信技术的出现及数字孪生时代的到来,工业互联网的安全将面临颠覆性的机遇,同时也意味着即将迎接更加严峻的挑战。工业互联网在疫情防控中表现出了独特的优势及顽强的生命力,这让更多的工业与制造业意识到实施信息化和智能化建设的重要性。因此在后新冠时代,加强新型基础设施建设,驱动信息技术创新,打造工业互联网主动安全防御和保护体系成为重要任务。

习总书记在向2020中国5G+工业互联网大会致贺信中指出,“5G与工业互联网的融合将加速数字中国、智慧社会建设,加速中国新型工业化进程,为中国经济发展注入新动能,为疫情阴霾笼罩下的世界经济创造新的发展机遇。”面对突如其来的新冠肺炎疫情,工业互联网发挥了不可小觑的重要作用,加速了企业的复工复产,从而为疫情防控做出了卓越贡献。工业互联网的发展已经逐步迈向深耕阶段,助力工业与制造业全面实现信息化与智能化,为我国经济发展不断赋能。然而近年来,我国工业网络安全形势仍然较为严峻,必须尽快夯实安全基础,构筑新型防御体系,形成更加安全的工业互联网生态环境才能够为社会不断创造新的价值。

2020年10月,工业和信息化部应急管理部印发了《“工业互联网+安全生产”行动计划(2021-2023年)》的通知,该行动计划旨在贯彻落实习总书记关于“深入实施工业互联网创新发展战略”、“提升应急管理体系和能力现代化”、“从根本上消除事故隐患”的重要指示精神,推进《关于深化新一代信息技术与制造业融合发展的指导意见》深入实施,实现发展规模、速度、质量、结构、效益、安全相统一。为顺应国家形势,东北大学“谛听”网络安全团队基于自身传统的安全研究优势开发设计并实现了“谛听”网络空间工控设备搜索引擎(http://www.ditecting.com),并根据“谛听”收集的各类安全数据,撰写并发布了2020年工业控制网络安全态势白皮书,读者可以通过报告了解2020年工控安全相关政策法规报告及典型工控安全事件分析,同时报告对工控系统漏洞、联网工控设备、工控蜜罐与威胁情报数据进行了阐释及分析,有助于全面了解工控系统安全现状,多方位感知工控系统安全态势,为研究工控安全相关人员提供参考。

二、2020年工控安全相关政策法规报告

随着制造强国、网络强国战略的实施,工业互联网扮演着越来越重要的角色。回顾2020年,我国工业信息安全政策标准日趋完善,垂直行业建设提速,工业信息安全保障技术得到大幅提升,从而推动了整个安全产业的蓬勃发展。为加快构建工业互联网安全保障体系,进一步提升工业互联网安全建设水平,我国2020年度相继推出了多项与工业互联网信息安全相关的政策法规报告。

通过梳理2020年度发布的相关政策法规报告,整理各大工业信息安全研究院及机构针对不同法规所发布的解读文件,现摘选部分重要内容并对其进行简要分析,以供读者进一步了解国家层面关于工控安全领域的政策导向。

2.1《中华人民共和国密码法》

2020年1月1日,《中华人民共和国密码法》正式开始实施。《中华人民共和国密码法》是我国密码领域的综合性、基础性法律,是国家总体安全观框架下,国家安全法律体系的重要组成部分。《密码法》的实施使得国家安全和社会共同利益得到了维护,同时也使得公民、法人和其他组织的合法权益得到了保护。《密码法》规定了国家对密码实行分类管理,依法保护密码领域的知识产权,加强密码工作机构建设等条例,提升了密码管理科学化、规范化、法治化水平,在国家安全维护工作中发挥着显著作用。

2.2《工业数据分类分级指南(试行)》

2020年2月27日,工业和信息化部办公厅发布了关于印发《工业数据分类分级指南(试行)》的通知。该指南目的在于贯彻《促进大数据发展行动纲要》、《大数据产业发展规划(2016-2020年)》等文件的有关要求,推动《数据管理能力成熟度评估模型》(GB/T 36073-2018)贯标和《工业控制系统信息安全防护指南》的落实,为企业提升工业数据管理能力提供指导,从而促进工业数据的使用、流动与共享,将工业数据的潜在价值最大化,为高质量制造业的发展赋能。《指南》所指工业数据是工业领域产品、服务全生命周期产生和应用的数据,包括但不限于工业企业在研发设计、生产制造、经营管理、运维服务等环节中生成和使用的数据,以及工业互联网平台企业在设备接入、平台运行、工业APP应用等过程中生成和使用的数据。

2.3《关于推动工业互联网加快发展的通知》

2020年3月6日,工业和信息化部办公厅发布了《关于推动工业互联网加快发展的通知》。工业互联网作为工业全要素、全产业链、全价值链连接的枢纽,支撑着工业资源的泛在连接、弹性供给和高效配置,在推动复工复产、加快产业升级、保障经济运行等领域正发挥着重要作用。习总书记在统筹推进新冠肺炎疫情防控和经济社会发展工作部署会议上做出了重要指示,为深入贯彻此次讲话精神,落实中央关于推动工业互联网加快发展的决策部署,推动工业互联网在更广范围、更深程度、更高水平上的融合创新,为经济发展注入新动能,支撑高质量制造业的发展,就有关事项发布了该项通知。《通知》包含新型基础设施建设、融合创新应用、安全保障体系、创新发展动能、产业生态布局、产业政策支持等6大领域共20项举措。并明确提出要深化工业互联网行业应用,突出差异化发展,形成各有侧重、各具特色的发展模式,为下阶段我国工业互联网如何垂直深耕指明了方向。

2.4《网络安全等级保护定级指南》

2020年4月28日,国家市场监督管理总局、国家标准化管理委员会正式发布了《信息安全技术网络安全等级保护定级指南》,并定于2020年11月1日正式实施。这意味着该指南所确立的网络安全等级保护制度在定级的原理、对象以及程序等多方面有了具体的实施依据。通过指导网络运营者合理划分定级对象,从而确保所做安全保护等级的正确性、准确性。等保指南对非涉及国家秘密的等级保护对象的定级方法和流程等内容进行了规定,为后续的安全建设整改、等级测评等工作奠定了良好基础。

2.5《网络安全审查办法》

2020年6月1日,国家互联网信息办公室会同国家发展改革委等十二个部门联合发布《网络安全审查办法》,是落实《网络安全法》要求、构建国家网络安全审查工作机制的重要举措,是确保关键信息基础设施供应链安全的关键手段,更是保障国家安全、经济发展和社会稳定的现实需要。近年来,全球范围内针对工业控制网络(关键基础设施的重要组成部分)的攻击行为种类不断增加,涉及金融、医疗卫生、交通、能源等领域,影响范围广泛、程度严重。因此,建立健全工控网络安全防护体制是关乎国家安全的战略优先事项,也是我国网络安全工作的重中之重。

2.6《贯彻落实网络安全等级保护制度和关键基础设施安全保护制度的指导意见》

2020年7月,公安部制定出台了《贯彻落实网络安全等级保护制度和关键基础设施安全保护制度的指导意见》,为进一步健全完善国家网络安全综合防控体系提供理论依据。《指导意见》提出,组织公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业部门和主管、监管部门制定本行业、本领域关键信息基础设施认定规则并报公安部备案。组织认定关键信息基础设施,及时将认定结果通知相关设施运营者并报公安部。符合认定条件的基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通讯设施等重点保护对象均应纳入关键信息基础设施。

2.7《工业和信息化蓝皮书(2019-2020)》

2020年8月27日上午,国家工业信息安全发展研究中心线上正式发布《工业和信息化蓝皮书(2019-2020)》。该书为连续第六年打造“工信安全智库”品牌的核心产品,如今已成为工业和信息化领域决策支持、行业管理和企业发展的重要参考,受到政府管理部门、协会、企业和业内专家的高度关注和好评。《工业和信息化蓝皮书》包括新兴产业、数字经济、人工智能、消费品工业及工业信息安全五大领域,并以“深拓数字潜能、融合引领变革”作为蓝皮书的主题。通过获取各领域前沿发展态势的信息,以传统产业与新一代信息技术深度融合的典型领域——“消费品工业”为焦点,全方位、多维度的展现了“产业数字化和数字产业化”的最新动向和发展亮点。

2.8《中国网络安全产业白皮书(2020年)》

2020年9月,中国信息通信研究院发布了《中国网络安全产业白皮书(2020年)》。中国信通院根植于中国网络安全产业研究多年,多次公布其研究成果,本次白皮书已是中国信通院第六次发布其研究成果。该书延续了从规模结果、政府政策、企业发展、技术进展、人才培养等维度对国内外的安全产业进展跟踪分析。《白皮书(2020年)》对当前的热点趋势,重点对工业互联网安全、云安全、零信任安全、“人工智能+大数据”、5G 安全等进行了分析与预测。《白皮书》指出,中国信通院在本年度紧密跟踪国内外网络安全产业的发展动态,重点关注了产业综合现状,还结合新冠疫情等热点事件对我国产业发展进行了现状分析,并对未来网络安全技术和产业发展前景做出展望。

2.9《“工业互联网+安全生产”行动计划(2021-2023年)》

2020年10月10日,工业和信息化部应急管理部印发了《“工业互联网+安全生产”行动计划(2021-2023年)》的通知。所谓的“工业互联网+安全生产”,即通过工业互联网在安全生产中的融合应用,增强工业生产厂商的感知、监测、预警、处置和评估能力,从而加速安全生产从静态分析向动态感知、事后应急向事前预防、单点防控向全局联防的转变,从根本上提升工业生产的安全水平。该行动计划旨在贯彻落实习总书记关于“深入实施工业互联网创新发展战略”、“提升应急管理体系和能力现代化”、“从根本上消除事故隐患”等重要指示精神,推进《关于深化新一代信息技术与制造业融合发展的指导意见》深入实施,实现发展规模、速度、质量、结构、效益及安全的统一。

2.10《2020人工智能与制造业融合发展白皮书》

2020年11月,国家工业信息安全发展研究中心发布《2020人工智能与制造业融合发展白皮书》。《白皮书》指出现阶段的“人工智能+制造”主要面临以下挑战。一是难以准确衡量人工智能的价值。目前部分细分行业人工智能应用路径不明晰的问题依旧存在,难以准确核算应用风险、收益和成本。二是部分领域数据资产管理能力有待提升。由于制造业碎片化严重,不同场景下的数据量巨大,加之各设备数据协议标准尚未统一,导致数据互联互通存在极大困难。三是工业深水区的解决方案缺失。目前人工智能应用多集中在质量检测等少数热门场景,因此需要挖掘更多的应用场景。四是复合型人才缺口较大。人工智能与制造业的融合,需要同时掌握人工智能技术和制造业细分行业的生产特点、流程、工艺的复合型人才,现阶段该类人才极其匮乏,导致企业人力成本较高。随着“人工智能+制造”的发展,提升安全保障能力将成为人工智能与制造业融合的重要基础。

三、2020年典型工控安全事件分析

2020年伊始,突然爆发的新冠肺炎疫情席卷全球,直接推动了全球企业加速数字化转型,同时也为工业网络带来了更高的网络安全风险,针对政府、企业、医疗产业等“底层支柱”行业的攻击更加频繁。下介绍部分在2020年发生的典型的工控安全相关事件。通过这些事件,可以了解针对工业网络进行攻击的技术趋势,为有效应对未来攻击事件设计更有效的对抗策略。

3.1黑客入侵乌克兰能源勘探生产公司Burisma Holdings 网络

2020年1月据《The New York Times》报道,一家安全公司发现有迹象表明,黑客已经成功入侵了乌克兰天然气公司Burisma Holdings,该公司是一家位于乌克兰基辅的能源勘探和生产公司。据安全公司探查,发现黑客是通过窃取内部的邮件账号登陆凭证和管理权限,再利用电子邮件账户中的数据及操作权限进行网络钓鱼攻击。

此次攻击成功的关键是攻击者将病毒程序伪装成该公司常用业务的相关应用程序,导致Burisma Holdings员工不能及时发现木马的存在,说明攻击者对于此次攻击谋划已久,是典型的APT攻击。

3.2美国天然气运营商陷入网络攻击勒索事件

2020年2月,据美国网络安全和基础设施安全局(DHS CISA)透露,美国的一家天然气运营商陷入网络攻击勒索事件。攻击者使用“商用勒索软件”成功入侵目标设备的IT和OT网络,并对网络中的数据进行加密。OT网络中的相关进程受到了最直接的影响,例如人机交互界面,轮询服务器和数据记录系统均无法正常使用,导致运营人员无法从OT设备报告中获取实时操作数据。

此次攻击之所以能够成功,是因为该天然气运行商没有足够重视相关的网络安全。在事件中该公司暴露出几个安全疏漏:首先,对于IT和OT网络没有较为健壮的边界防御系统,使黑客通过IT网络轻而易举地潜入OT网络中对公司造成损害。其次,该公司员工点击了带有恶意链接的鱼叉式钓鱼邮件,借此攻击者成功访问公司的IT网络。最后,对于天然气企业而言,该公司在应急措施方面并没有成熟的应急响应计划,只能采取停用的办法,这对用户造成相当大的影响。

3.3德葡萄牙电力集团(EDP)遭勒索巨额钱款

2020年4月,某匿名攻击者使用Ragnar Locker勒索软件入侵葡萄牙电力集团(EDP)的系统。该攻击者发送威胁信声称自己已经获得10TB公司机密信息,并计划将此次入侵行为通知所有与公司合作的客户。借此来勒索1580比特币(折合约1090万美元/990万欧元/7124万RMB)。

攻击者还通过公司的客服窗口和EDP进行交流,警告EDP不要试图用Ragnar Locker以外的解密工具解密文件,否则可能会导致数据损坏或者丢失。嚣张的攻击者甚至还声称如果EDP在两日内联系他们,他们会给EDP减少赎金金额。EDP公司并未回应此次的黑客事件。

3.4以色列供水部门工控设施受到黑客攻击

2020年4月23日,以色列国家网络局(INCD)发布安全警告书。警告书中称水务局正在加大力度督促各能源和水行业企业更改所有联网系统的密码。如果因为特殊原因无法修改密码,则建议停止这些系统的使用,以保障自己公司的权益不受损害。发布该警告书的原因为:近来在网络局收到的SCADA(数据采集与监控系统)报告书中指出攻击者正在入侵水泵站、废水处理厂和污水管。警告书中还建议企业更新设备固件至最新版本,以更好的抵御黑客攻击。

ClearSky公司在本次事件中声称,该入侵组织与来自巴勒斯坦的黑客组织Gaza Cybergang存在关系。ClearSky公司发现了该入侵组织J.E.Army在各大社交平台上发布”已经”被攻击的目标的图片。截至目前,本次攻击并未对工业设施和企业的正常运行造成较大影响。

3.5澳大利亚航运及物流公司四个月内接连两次遭受网络攻击

2020年5月,澳大利亚航运及物流公司Toll Group发布声明称该公司再次被勒索软件攻击。公司在对服务器进行检查时,发现在服务器上存在一些异常活动。随即该公司立刻采取相应的应对措施,并进行深入排查,最终发现潜入系统中的Netfilim勒索软件。由于本次发现时间较早,并采取了预防措施。并未对该公司的数据和系统造成影响。而这已经不是该公司首次被黑客攻击,2020年2月也发生了一场黑客入侵事件。

Netfilim与大部分勒索软件攻击方式相同,利用暴露在外的远端桌面(RDP)连接埠进行传播。同时使用AES-128加密重要文档或者文件,以此作为筹码勒索被攻击的企业。

3.6台湾两大炼油厂遭黑客勒索

2020年5月,根据台湾新闻报道,台湾石油、汽油和天然气公司CPC及台塑石化公司FPCC分别于两天内遭受不同程度的黑客攻击。CPC公司系统受到攻击并遭受损害。而FPCC公司在预防攻击时发现自己的网络中也存在“异常行为”,FPCC公司采取紧急措施关闭IP系统,并未造成过多的损失。由于CPC公司为台湾石油产业供应链的“巨头”,此次攻击造成的影响非常严重,用户在加油站只能使用信-用-卡或者现金进行支付,一切电子支付均不接收。由此造成了一定程度上的混乱。

CPC高管发布声明称本次破坏是由勒索软件引起的,该软件攻击系统服务器,使计算机和IT系统强制关闭,造成加油站无法通过数字平台管理收入记录。相继发生的攻击行为表明攻击之间可能存在一定联系,但是目前攻击者的身份未知。

3.7本田公司受到工业型勒索软件攻击

2020年6月9日,本田公司发布声明称:“目前,本田客服服务和本田金融服务遭到技术难题,无法使用。我们正在努力尽快解决该问题。不便之处,敬请原谅。感谢您的耐心配合与谅解”。该声明背后真相是本田公司在过去48小时内遭遇了极其严重的勒索软件攻击,BBC报道称勒索软件已经传播到本田公司的整个网络系统。在最早发现该攻击时,本田停止了被攻击地区的生产活动,以免造成更大的损失。

根据早期的攻击报告指出,攻击者使用的可能是Ekans勒索软件。Ekans是Snake勒索软件的一种,它具有较新的攻击模式,针对工业控制系统进行攻击。该软件对公司重要的文件或者文档加密,攻击者以这些重要数据为条件勒索赎金。

3.8 Sodinokibi 勒索软件攻击巴西电力公司Light SA

2020年7月,巴西电力公司Light SA被黑客使用Sodinokibi勒索软件勒索1400万美元,以换取恢复数据的工具,Light SA公司已经向外界公布本公司确实遭遇了网络攻击,攻击者加密了所有Windows系统文件,导致系统不能正常使用。AppGate的安全研究人员发现该勒索软件可以通过利用Windows Win32k组件中CVE-2018-8453漏洞的32位和64位漏洞来提升特权。此外,该勒索软件系列没有全局解密器,这意味着需要攻击者的私钥才能解密文件。

3.9印度新冠疫苗制造厂遭受攻击导致数据泄露

2020年10月28日,印度疫苗制造商雷迪博士实验室有限公司(Reddy’s Laboratories Ltd)发布公告称该公司遭受黑客攻击,已经停止在印度、美国、巴西和俄罗斯的主要工厂的运转,并且关闭了公司所有场地的数据中心。由于目前不清楚攻击者的意图是窃取数据还是使用勒索软件勒索钱财,“隔离”数据是最安全的办法。该制造商生产COVID-19新冠疫苗治疗药物Favipiravir Tablets,并且签署了生产俄罗斯新冠疫苗的协议。

3.10巴西全球第三大飞机制造商遭勒索攻击并导致数据泄露

2020年12月8日,据外媒报道,巴西航空工业公司在上个月遭到黑客攻击,其攻击方式为通过勒索软件侵入系统,加密公司的一些私人文件。包括员工详细信息、商业合同、飞行模拟照片和源代码等样本。该制造商在系统被入侵后拒绝支付黑客“赎金”,选择从备份系统中恢复数据。而黑客为了报复这家公司,将数据公开在一个由勒索软件团伙RansomExx管理的暗网网站上。

巴西航空工业公司声明称该公司存在安全漏洞,对于该事件并没有给予准确的回答。公司表示此次事件并未造成严重的影响,攻击者“只访问了一个单一的环境”。

3.11SolarWinds事件波及美国核武器库

2020年12月17日,美国国土安全部的网络安全与基础设施安全局发布公告称美国国务院、国防部等多个联邦机构遭受网络攻击,其风险已经达到“危重”级别,美国正在遭遇最严重的黑客袭击。2020年12月18日,美国国土安全部负责人表示,此次袭击的目标是美国能源部和美国国家核安全局的网络,其中包括如今美国最重要的核武器实验室之一:洛斯·阿拉莫斯国家实验室(Los Alamos National Laboratory),该实验室是美国第一个参与核武器设计和发展的国家实验室。

在事件发生后,美国网安官员迅速发现了黑客攻击的途径。他们通过攻击网络管理软件厂商“太阳风”旗下的一款软件,在其更新补丁中植入恶意代码,来达到攻击目的。此次被攻击的美国国家联邦机构则是这家软件公司的用户。截至目前,美国国土安全部、商务部、财政部及能源部下属的国家核安全管理局均受到了黑客攻击的影响。

四、工控系统安全漏洞概况

随着5G网络和工业互联网的发展,传统的工业生产模式逐渐被智能化所取代,工控设备也因此遭受着越来越多的攻击,并且攻击形式日渐多元,攻击手段更加复杂,工控系统漏洞呈现连年高发态势。其中,最常见的攻击方式就是利用工控系统的漏洞。PLC(Programmable Logic Controller,可编程逻辑控制器)、DCS(Distributed Control System,分布式控制系统)、SCADA(Supervisory Control And Data Acquisition,数据采集与监视控制系统) 乃至应用软件均被发现存在大量信息安全漏洞,如西门子(Siemens)、研华科技(Advantech)、ABB、WAGO及三菱(Mitsubishi)等工业控制系统厂商产品均被发现包含各种信息安全漏洞。

1611969691_6014b49b3b09cf831779f.png!small?1611969690217

图4-1 2010-2020年工控漏洞走势图(数据来源CNVD、“谛听”)

根据CNVD(国家信息安全漏洞共享平台)和“谛听”的数据,2010-2020年工控漏洞走势如图4-1所示。从图中可以看出,2016年之后工控漏洞数量显著增长,出现此趋势的主要原因是2016年后工业控制系统安全问题的关注度日益增高。与2019年相比,2020年漏洞数量呈现出更高的增长趋势,可能的原因是由于受2020年全球新冠疫情的影响,企业数字化转型加速,导致攻防双方更加关注工业控制系统存在的安全隐患。

1611969712_6014b4b0e51145cfb4e1e.png!small?1611969711976

图4-2 2020年工控系统行业漏洞危险等级饼状图(数据来源CNVD、“谛听”)

如图4-2是2020年工控系统行业漏洞危险等级饼状图,由图中可知,高危工控安全漏洞占全年漏洞总数量中的41%。截至2020年12月31日,2020年新增工控系统行业漏洞589个,其中高危漏洞239个,中危漏洞307个,低危漏洞43个。与去年相比,漏洞数量显著增多,高危、中危和低位漏洞数量均有一定提升,中高危漏洞数量增加了168个。由此可见,在新冠疫情期间,工控系统在安全维护方面遭受着巨大考验,进一步提升工控系统的安全对抗技术迫在眉睫。

以上数据表明,工控系统存在巨大的潜在安全风险,需要引起高度重视。工控行业涉及了众多领域,并使用了跨领域的软、硬件设施,这使得关于工控漏洞的挖掘技术、检测分析、防御技术等既需具备通用性,又有行业的特色需求,提升了技术研发的难度。同时,在全球新冠疫情的影响下,工控行业系统的监测与维护也存在诸多问题,如何更加有效地保护工控设备安全成为工业企业数字化转型中面临的严峻挑战。

1611969731_6014b4c3f3cbd2782760f.png!small?1611969731048

图4-3 2020年工控系统行业厂商漏洞数量柱状图(数据来源CNVD、“谛听”)

如图4-3是2020年工控系统行业厂商漏洞数量柱状图,由图中可知,Siemens厂商具有的漏洞数量最多,多达91个。漏洞数量紧邻其后的厂商是:Advantech,其漏洞数量为73个。其他厂商例如:ABB、Schneider、WAGO、Mitsubishi、Rockwell、Moxa、Cisco,也存在着一定数量的工控系统行业漏洞。2021年初,网络安全应急技术国家工程实验室基于Siemens S7-300PLC分析了其中的加密方式,认为通过可逆算法,无需暴力破解,只要可以读取SDB0块,就可以直接根据块信息获取明文密码。可见,各个厂商应该密切关注工控系统行业漏洞,通过加固PLC、设置复杂密码等方式进一步提升系统安全防护水平,确保工控系统信息安全。

五、联网工控设备分布

“谛听”网络空间工控设备搜索引擎共支持29种服务的协议识别,表5-1展示了“谛听”网络安全团队识别的工控协议等的相关信息。如想了解这些协议的详细信息请参照“谛听”网络安全团队之前发布的工控网络安全态势分析白皮书。

表5-1 “谛听”网络空间工控设备搜索引擎支持的协议

1611969931_6014b58b5937dc5fcd32d.png!small?1611969930329

1611969982_6014b5be165e40bfb1587.png!small?1611969981059

1611970036_6014b5f46780ba6978589.png!small?1611970035359

“谛听”官方网站(www.ditecting.com)公布的数据为2017年以前的历史数据,若需要最新版的数据请与东北大学“谛听”网络安全团队直接联系获取。根据“谛听”网络空间工控设备搜索引擎收集的内部数据,经“谛听”网络安全团队分析,得出如图5-1的可视化展示,下面做简要说明。

图5-1为2020年全球工控设备暴露Top-10国家,在图中可以看到,国家排名较2019年没有发生变化。

在全球范围内,美国作为世界上最发达的工业化国家暴露出的工控设备仍然保持第一,巴西虽然今年工业产值增长不够显著,但仍位居第二,中国继续大力发展先进制造业,推动新型基础设施建设,工业产值大幅增加,且与巴西的差距逐渐减小,位居第三。以下着重介绍国内及美国、巴西的工控设备暴露情况。

1611970087_6014b627dce15a4d08523.png!small?1611970086856

图5-1 全球工控设备暴露Top10柱状图(数据来源“谛听”)

5.1国际工控设备暴露情况

国际工控设备的暴露情况以美国和巴西为例进行简要介绍。美国作为世界上最发达的工业化国家暴露的工控设备最多,如图5-2所示为美国工控协议暴露数量和占比。美国长期注重关键基础设施领域的工业信息安全,在网络安全方面的预算也加大投入。在大力推动互联网和工业结合的同时,美国也极为关注网络上的极具价值又缺乏监控和重视的数据,大到国家、城市,小到公司、个人,这些信息通过大数据的整合和人工智能算法的处理可以起到至关重要的作用。因此美国一方面加大力度进行网络安全的建设,另一方面也利用自己的领先地位和强大的经济实力不断在网络空间进行渗透。

1611970150_6014b666107cafd882be2.png!small?1611970149154

图5-2 美国工控协议暴露数量和占比(数据来源“谛听”)

即使美国实力出众并且对网络安全十分重视,也依然在网络安全方面存在着巨大的隐患,工控领域的安全事件层出不穷,但相较于2019年,今年美国在工控领域的安全事件有所减少,这是受SolarWinds事件的影响,大量依赖工控设备运行的关键基础设施受到影响,其造成的损失尚需评估。美国已经把网络安全应急处理能力和防护预测能力作为评判国家综合实力提升的重大目标,相信未来将在工控安全领域不断加强其技术能力以应对越来越多的挑战。

巴西工控设备暴露数量依旧位居第二。巴西的经济非常发达,早在70年代就建成了比较完整的工业体系,主要工业部门有钢铁、汽车、造船、石油、水泥、化工、冶金、电力、纺织、建筑等。而通过图5-3可以看到,在巴西所暴露的协议中,Modbus的数量占据压倒性的比例,一个最重要的原因是其公开免费,工业网络部署相对容易,对供应商来说,修改源代码没有很多限制。这在一定程度上反映出了,巴西在信息化工业的使用上相对落后,而且对工业网络安全的重视程度远不及中国和美国。巴西排在世界第二的原因是它与美国的工业水平相比确实差距明显,总数差距造成了暴露的设备的数量差距。而巴西排在中国之前的一个重要原因就是网络安全建设不完全且相对缺乏风险检测与预防的意识和手段。

1611970228_6014b6b47bbed7f3d4c77.png!small?1611970227488

图5-3 巴西工控协议暴露数量和占比(数据来源“谛听”)

相较于2019年,美国和巴西在工控设备的暴露数量上没有显著的提升,联网工控设备数量的下降很可能是由于在疫情的影响下,开工的工厂数量减少所导致的,这就意味着疫情确实给全球大多数从事工业生产的企业带来了巨大挑战,这也从侧面体现出了疫情对国际上各大工业国经济带来的冲击。

5.2国内工控设备暴露情况

中国暴露的工控设备数量依旧处于全球第三,并且暴露工控设备的数量有明显的上升。中国的工业互联网发展迅速,推动了实体经济的转型升级。新兴产业快速发展,传统产业改造提升力度加大,工业供给体系质量不断提升,加速向中高端产业迈进。同时,随着5G技术的不断进步与推广,也让工业互联网领域有了新的发展。下面详细分析一下国内工控设备暴露情况。

在全国暴露工控设备数量的条形图5-4中可以直观的看出广东、江苏依旧位于国内第一、二位,同时,众多内地城市的工业已经在改革开放和工业互联网发展的推动下快速发展,暴露的设备数量相较于2019年有了大幅的增长。中国大陆的产业结构不断优化升级,装备制造业得到快速发展。汽车制造、计算机通信和其他电子设备制造产值占比大幅上升。而且工业互联网的发展与资源、人才和资金等方面是密不可分的,广东等东部地区的产业基础稳定且当地较为注重,这也促进了工业互联网的迅速发展。然而随着工业的快速发展以及产业结构的转变,工业网络的安全隐患也越来越多,工控系统面临较大安全风险。

1611970243_6014b6c333c644c80292e.png!small?1611970242265

图5-4 国内各地区工控设备暴露数量(数据来源“谛听”)

2020年,广东省是暴露工控设备数量最多的省份,持续稳居第一位。由于大力实施创新驱动发展战略,广东省以制造业为主体的实体经济加快转型升级,工业发展稳中有进。另外,广东省积极发展智能制造,促进制造业加速向数字化、网络化、智能化发展。所以联网的工控设备数量迅速增多,而网络安全方面却没能同步提升,可见加强广东省的网络安全服务是当务之急。

长江三角洲地区暴露数量的排名保持不变,位居第二。长三角地区(江苏、浙江和上海)是我国经济发展最活跃、开放程度最高、创新能力最强的区域之一。按照国家总体部署要求,建设长三角工业互联网一体化发展示范区,是协同落实长三角一体化发展国家战略和工业互联网创新发展战略的重要抓手,有利于长三角工业互联网空间布局优化、基础设施和公共服务一体化发展;并且有利于增强长三角区域制造业创新力和竞争力,助力区域经济高质量发展。同时,2020年初,上海、江苏、浙江和安徽这三省一市签署战略协议,着力推动长三角区的工业互联网一体化发展,共同推进长三角工业互联网核心体系的开发与建设。而在经济发展的同时,也需要不断加强工业互联网安全意识,为工业互联网发展打好坚实基础。

北京,今年排名比2019年提升一名,作为中国首都,北京加快新型基础设施建设,加快5G网络、数据中心等新基建进度,大力发展工业互联网,带动相关新兴技术的快速发展。经分析认为增加的数量大部分来自应用于智能建筑、基础设置管理、安防系统的SSL/ Niagara Fox协议。不过现阶段的北京,绿色发展是基础,工业产业大量转移出去,使暴露的工控设备数量与其他地区相比显得相对较少,虽有新型基础设施建设的加持,但排名趋势没有大的变化。

与2019年工控设备暴露数量相比,东北地区排名变化不大。东北地区(辽宁、吉林、黑龙江)作为中国工业的摇篮,曾在我国发展史上写下了光辉灿烂的篇章。但是东北长期积累的体制性、结构性矛盾日益显现,工业发展相对缓慢,经济位次也在后移,这已经引起了国家和地区政府的高度重视,习总书记多次考察东北地区。东北地区也在发展道路上做出了不懈的努力,在今年6月份,东北地区首个工业互联网标识解析二级节点在营口市上线运行,对打造新一代信息技术和工业领域深度融合的全新工业生态体系具有重要意义。2020工业互联网全球峰会再度在辽宁沈阳召开,这将推动东北制造业的振兴,加快工业转型升级,促进东北地区工业互联网更快更好的发展,推进东北地区经济结构战略性调整。

2020年,台湾地区由2019年排名第四下滑至第六。尽管台湾以委托加工型态为主体、以高新科技产业中的信息电子产业、制造业中的钢铁、石油和纺织业等为支柱的工业体系发展完善且依然在全国各地区中处于领先的位置,但是在工业互联网的新型产业结构的转型上却落后于大陆,同时台湾对5G技术的使用晚于大陆,基础设施部署数量较少,导致暴露的设备数量不多,排名下降。而且在今年5月份台湾石油、汽油和天然气公司CPC及台塑石化公司FPCC分别于两天内遭受不同程度的黑客攻击,对台湾的工控系统造成打击,可见台湾面临的工业网络安全挑战巨大。

2020年,香港从2019年排名第五上升至第三。香港是一个主要以服务业为主的经济体,制造业向来不强,而且提出的“再工业化”或“工业4.0”除了需要科技创新外,还需要先进制造业来支撑。粤港澳大湾区协同发展是一个很好的机会,能够将工业互联网的建设、发展和应用加速推进,香港抓住机会积极和周边城市共同打造大湾区智慧城市群,极有可能这是导致SSL/ Niagara Fox协议数量大幅增加的原因,使得香港排名上升。如果未来香港和大湾区的内地城市有更好的协同发展,香港地区的实力依然会有提升。

5.3国内工控协议暴露数量统计情况

1611970258_6014b6d23d9c06fe122bb.png!small?1611970257309

图5-5 国内工控协议暴露数量和占比(数据来源“谛听”)

“谛听”团队统计了国内暴露的各协议的总量,从图5-5中可以看出SSL/ Niagara Fox协议在网络中暴露的数量最多,且数量远远领先于排名第二位的Modbus。SSL/ Niagara Fox协议主要应用于智能建筑、基础设置管理、安防系统,由于国内5G技术的快速发展,在物联网等方面发展迅速,部署了大量的基础设施,而2020年新冠疫情的爆发加速了数字化的发展进程,各行业积极思考利用5G、人工智能及大数据等科技打造更加智能化、数字化的城市。基础设施数量的激增使基础设施更多的依赖维护人员的远程网络操作。伴随着网络的发展,人们对安防系统的需求也越来越大。这需要这些都是导致SSL/ Niagara Fox协议使用量快速增加的重要原因。

Modbus是一种串行通信协议,是Modicon公司(现在的施耐德电气 Schneider Electric)于1979年为使用可编程逻辑控制器(PLC)通信而发表的。Modbus已经成为工业领域通信协议的业界标准,并且目前是国内工业电子设备之间最常用的连接方式,该协议排在第二位在情理之中。

BACnet是用于楼宇自动化和控制网络的简短形式的数据通信协议。BACnet是主要行业供应商产品中常用的自动化和控制协议之一,如江森自控,西门子建筑技术,KMC控制,远程控制系统等。此协议的暴露往往意味着该IP对应的是一个主要行业供应商的产品设备。BACnet协议暴露往往是用户缺乏安全意识所导致,容易造成用户的网络安全隐患和财产损失。

六、工控蜜罐数据分析

随着工业互联网的蓬勃发展,网络安全威胁对工业控制领域造成了严重的经济损失,这极大的制约着实际工业生产的可持续和高质量发展。东北大学“谛听”网络安全团队研发的“谛听”工控蜜罐模拟了多种工控协议和工控设备,并全面捕获攻击者的访问流量。经过团队多年的共同努力,“谛听”蜜罐已经在中国、美国、俄罗斯、日本、德国等多个国家和地区部署,目前支持10个协议。同时,团队提出一种基于ICS蜜网的攻击流量指纹识别方法(以下简称“识别方法”),可识别各类针对工控网络的攻击流量,有利于根据不同攻击流量类型制定有效的工控系统防御措施。

6.1工控蜜罐全球捕获流量概况

“谛听”工控蜜罐已在中国华北地区、中国华南地区、东欧地区,东南亚地区,美国东北部等海内外多个地区进行了部署,可支持Modbus、Fins、ATG等8种协议。截止2020年12月31日,根据“谛听”蜜罐所收集到的数据,通过深入的分析,得出如图6-1、6-2和6-3的数据统计,下面进行相应的简要解读说明。

1611970310_6014b706b7abc087f8142.png!small?1611970309689

图6-1 蜜罐国内外攻击量(数据来源“谛听”)

图6-1展现了在不同协议下国内与国外部署蜜罐受到的攻击量对比情况。从国内数据来看,Modbus协议下的蜜罐受到的攻击量最高,且数值较大,反映出国内对Modbus更为关注。从总体数据分析看,除atg协议外,国内部署的其它协议蜜罐受到的攻击量都超过了国外,其原因很可能是因为一方面团队在国内部署的蜜罐数量相对较多,另一方面也体现出我国工控安全受到全球相关组织的关注度较高。全部蜜罐受到的攻击数量在近三年内持续增加,可见工控设备安全问题受到越来越多的关注。

1611970318_6014b70e90479f59544ee.png!small?1611970317538

图6-2 各协议攻击量占比(数据来源“谛听”)

“谛听”团队统计了不同协议下受到的攻击量和所占百分比情况,如图6-2所示。可以看到,Modbus协议被攻击量仍然是占比最大的,但所占百分比较2019年统计的百分比有所下降。此外,atg协议被攻击量排名第二,Fins协议被攻击量排名第三,与2019年相比,之前的s7协议被攻击量排名由第二降到了第四,表明工控安全研究机构和攻击者的技术提升和关注方向在不断演化。总的来说,前面的四种协议被攻击量总计占比接近70%,一方面表明使用这些协议的工控设备更受关注,另一方面也是由于它们的技术门槛较低导致的。可见要特别加强该四种协议协议下的设备的网络安全保障,避免因受到攻击而导致经济损失等不良影响。

在对蜜罐捕获的攻击IP进行分析后,通过图6-3直观展示了网络攻击源数量最多的9个国家。由数据统计可以看出,源自中国的网络攻击IP数是最多的,高达99217个,远远超过其他国家,美国、荷兰的攻击流量分别排名第二和第三(在第六章的数据统计中,荷兰的部分攻击IP在往年的归属为塞舌尔,这是由于这些IP所属机构的注册地为塞舌尔,于是往年选用其机构注册地作为地理位置,而今年被划分到荷兰是因为这些IP实际上更可能是在荷兰对外提供服务)。通过分析中国国内的具体IP地址数据,“谛听”网络安全团队发现攻击次数比较多的IP地址来自于中国华北地区和中国华东地区以及中国西南地区,其原因很可能是与当地工控网络安全支撑机构较多有关。此外,动态IP地址的使用可能也是造成了源IP地址较多的原因。2020年,“谛听”网络安全团队大幅增加了在国外蜜罐部署的数量,相关的研究将会持续推进。

1611970440_6014b788bad1d318d8d28.png!small?1611970439706

图6-3 各国蜜罐攻击IP排名(数据来源“谛听”)

6.2工控系统攻击流量分析

“谛听”团队首先对来自不同地区的蜜罐捕获的攻击流量数据进行初步分析,然后使用识别方法对Modbus、Ethernet/IP协议进行了攻击流量检测,可以识别多种公开的扫描工具。针对Modbus协议的扫描工具包括:MRCT、Modbus-Fuzzer、NMAP(Modbus-Discover)、NMAP(Modicon-Info)、Plcscan、Scadascan-master、Modscan。针对Ethernet/IP协议的可识别的扫描工具包括:enip-enumerate、Pycomm-Enip、ruby-enip、ScapyForEthernetIp。此外,上述方法还发现了未公开的新型扫描工具。

表6-1 中国华东地区Modbus协议蜜罐捕获攻击总量来源TOP10(数据来源“谛听”)

1611970485_6014b7b5c9cabebcd810a.png!small

表6-2 美国东海岸地区Modbus协议蜜罐捕获攻击总量来源TOP10(数据来源“谛听”)

1611970549_6014b7f599de007c25a34.png!small?1611970548626

由表6-1、6-2分析可知,Modbus协议蜜罐总计捕获的攻击方前三名分别是美国、荷兰、中国。它们均是互联网产业发达的国家,其中美国攻击总量位列第一,美国作为世界上最强大的发达国家,互联网行业十分发达,其对网络安全十分重视,而美国的网络空间战略也包含了对工业互联网的布局。美国在Modbus协议蜜罐捕获的攻击总量来源总计中排名第一。在中国华东地区的蜜罐捕获的攻击总量来源中排名第一。在攻击IP数量方面,表6-1和表6-2中,美国均排名第一。

荷兰攻击总量位列第二,其攻击IP数量接近个位数,但平均IP攻击数在表6-1和6-2中均高的十分异常,且来自荷兰的攻击流量均由几个特定网段组成,通过对这些IP的进一步考察,我们怀疑这些IP可能来自于荷兰的云服务商,其被某些组织机构租用后用于长期扫描工作。

中国攻击总量位列第三,是世界上最大的发展中国家,我国工业互联网发展迅速,已广泛应用于钢铁、石油化工、家电、机械、汽车、航空航天、电子信息等多个领域,且我国对工业互联网安全十分重视,于2020年颁布了多项工控安全政策法规,为工业互联网安全工作的开展提供了明确的指引。中国在Modbus协议蜜罐捕获的攻击总量来源总计中排名第三,在攻击IP来源数量方面,在排名第二,仅次于美国。由此可见,我国对工业互联网安全十分重视,在某种程度上体现了我国在工业互联网安全方面的研究位于世界前列。但我国相较于美国和荷兰,在攻击总量上还有较大差距,这可能与我国的网络安全政策有关,还需加大工业互联网安全的研究力度,提高安全预警防御意识。

表6-3 中国华南地区Ethernet/IP协议蜜罐捕获攻击总量来源TOP10(数据来源“谛听”)

1611970708_6014b894042715d876da4.png!small?1611970707008

表6-4 美国西海岸地区Ethernet/IP协议蜜罐捕获攻击总量来源TOP10(数据来源“谛听”)

1611970753_6014b8c13d77fbfda2e15.png!small?1611970752363

相较于Modbus协议蜜罐,Ethernet/IP协议蜜罐受攻击的总次数远小于Modbus协议蜜罐,可能是因为当前Modbus协议应用更广泛,开源工具较多,技术门槛较低,由此针对Modbus协议的攻击更多。

由表6-3、6-4分析可知,中国华南地区和美国西海岸地区的Ethernet/IP协议蜜罐捕获的攻击总量来源排名中前三均为中国、美国、荷兰。中国在攻击总量、攻击IP数量中均位列首位,且在总计部分来自中国的攻击总量数大致为排名第二的美国的5.67倍,在平均IP攻击数量方面,德国在中国华南、美国西海岸蜜罐捕获攻击流量数据中均排名第一,但其攻击总量和攻击IP数量并不突出。在Modbus协议蜜罐和Ethernet/IP协议蜜罐总计捕获的攻击方来源数据中,我们不难发现,排名前三的国家的攻击方来源数占总数的近90%,可能有以下两个原因:一是可能由于这些国家的公司提供的云服务器被租赁用于长期扫描,二是可能由于这些国家的安全行业相关人员及爱好者较多。

6.3工控系统扫描工具识别

“谛听”网络安全团队提出一种基于ICS蜜网的攻击流量指纹识别方法,针对Modbus、Ethernet/IP协议蜜罐捕获的流量数据进行了扫描工具识别。图7-4和图7-5分别显示了对Modbus和Ethernet/IP协议蜜罐捕获的攻击流量的扫描工具分类检测结果(Top10)。其中的“E”表示Ethernet/IP协议,其中的“M”表示Modbus协议,由于国内和国外的蜜罐程序不同,“E”和“E’”同一编号表示不同的工具,“M”和“M’”同一编号表示不同的工具,环形图中各部分为不同的流量模式。

1611970790_6014b8e61abdac1b9f4a4.png!small?1611970789150

图6-4 Ethernet/IP协议扫描工具占比图TOP10(数据来源“谛听”)

由图6-4可知,中国华南地区的Ethernet/IP协议蜜罐捕获的攻击流量中主要来自于流量模式为E-59(36%)、E-58(20%)、E-51(20%)的扫描工具。美国西海岸地区的Ethernet/IP协议蜜罐捕获的攻击流量中主要来自于流量模式为E’-52(34%)、E’-70(23%)、E’-76(10%)、E’-84(10%)的扫描工具。可见以上流量模式的扫描工具是对Ethernet/IP协议扫描的主力工具。

由图6-5可知,中国华东地区的Modbus协议蜜罐捕获的攻击流量主要来自于流量模式为M-69(19%)、M-70(18%)、M-54(12%)、M-53(10%)、M-469(10%)、M-64(9%)、M-723(8%)的扫描工具。美国东海岸Modbus协议蜜罐捕获的攻击流量主要来自于流量模式M’-52(39%)、M’-63(39%)、M’-53(9%)的扫描工具。可见以上流量模式的扫描工具是对Modbus协议进行扫描的主要工具。本团队对Ethernet/IP和Modbus的ICS网络流量进行了解析、建模、评估,但其中还存在部分未知的流量模式,针对未知的流量模式还需进一步的研究,以便提供有效的ICS流量检测与攻击预警,评估其潜在的攻击意图,制定针对性的防御措施。

1611970799_6014b8efe5f09723c9fb2.png!small?1611970799001

图6-5 Modbus协议扫描工具占比图TOP10(数据来源“谛听”)

七、工控蜜罐与威胁情报关联分析

为了更好地保护真实工控设备,工控蜜罐应运而生,如何让攻击者更难辨别设备的真实性,是工控蜜罐技术需要提升的地方。工控蜜罐在识别后能够对其缺漏进行完善,从而让其发挥出更好的防御作用。而威胁情报和工控蜜罐数据的关联分析一方面能够验证工控蜜罐的有效性,另一方面可以根据攻击类型有针对性地进行防护。基于工控蜜罐与威胁情报数据的关联分析,“谛听”网络安全团队开发了威胁情报搜索引擎(http://www.TItecting.com),旨在打造更加安全的工业网络空间。

7.1蜜罐识别情况

工控蜜罐是一种通过吸引攻击者并记录其攻击行为的网络防御陷阱技术,为了提高其可信程度,会试图表现得像是正常使用的真实系统。工控蜜罐可以实现对潜在威胁的感知与捕获,在受到攻击后对其攻击行为进行分析,完善工控蜜罐的防御策略,以此来增强工控蜜罐的防御效果。以下是我们对全球工控蜜罐进行识别的部分数据结果,未来我们会发布更多关于工控蜜罐识别的数据。

1611970847_6014b91fbb579cfc94500.png!small?1611970847109

图7-1 全球工控蜜罐暴露数量Top15(数据来源“谛听”)

在实际的工业网络场景中,工控蜜罐的使用还在推广之中,为工控设备的安全提供了保障,但随着大数据、云计算、5G等新兴技术与工业互联网的结合,给工业互联网带来更多机会的同时也给工业安全方面带来了新的挑战,基于工控蜜罐的防御技术尚需进一步提升。对此,“谛听”在工控蜜罐识别方面进行了大量的工作,工控蜜罐识别的主要意义是:站在攻击者的角度寻找工控蜜罐存在的缺漏,之后针对缺漏不断完善工控蜜罐的机制,以此来提升工控蜜罐的防御能力,让其在工控网络中的表现接近于真实的工控系统,更好的发挥出工控蜜罐的防御作用。经过“谛听”网络安全团队对所识别的工控蜜罐数据进行分析统计,结果如图7-1所示。

全球范围内,可以看到美国暴露的工控蜜罐数量远远超出其他国家。美国作为世界上最发达的工业化国家,拥有最多的工控设备,为了尽可能避免工控设备被攻击,其工业企业和研究机构会部署大量的工控蜜罐来诱骗攻击者并展开研究,因此美国暴露的工控蜜罐数量也最多。

由于仅从单一特征判断其是否为工控蜜罐是比较困难的,并且部分特征存在概率上的影响。因此,“谛听”团队结合机器学习方法,利用多个维度特征对当前未知设备的真实情况进行判断,完成对工控蜜罐的识别工作。以下根据“谛听”网络安全团队识别出的部分工控蜜罐分别从互联网服务提供商(ISP)和操作系统两方面进行统计分析。

1611970857_6014b9296c73364111508.png!small?1611970856506

图7-2 工控蜜罐的互联网服务提供商(ISP)Top15(数据来源“谛听”)

图7-2所示的是对已识别工控蜜罐服务提供商统计的结果。这当中排名第一位的是位于美国的高校——马里兰大学。经分析认为,由于马里兰大学提供的IP地址空间较大,且在工控安全领域研究深入,其可能部署了大量的工控蜜罐,从而导致其数量远远高于其他服务提供商。其余大部分的服务商为云服务提供商,可以发现工控蜜罐部署在网络上更多会选择云服务提供商。

1611970866_6014b932b46af3d5e82a1.png!small?1611970865797

图7-3 已识别的工控蜜罐操作系统(数据来源“谛听”)

通过对识别出的工控蜜罐所用操作系统情况进行统计,得到图7-3,可以清晰的看到其操作系统几乎均为Linux操作系统,由于大部分工控蜜罐部署在云服务器上,而云服务器使用Linux系统的较多,因此产生了图7-3所示的结果,这也与我们的判断相符。当然,真实的工控设备也会使用Linux操作系统且操作系统种类繁多,不会像工控蜜罐的操作系统一样单一。但有些高交互的工控蜜罐会使用和真实工控设备相同的操作系统,此类工控蜜罐的识别难度将大幅度增加。

7.2工控蜜罐威胁情报数据关联分析

近年来,工控攻击行为频发,攻击者利用不同类型的攻击方式窃取信息、损坏系统或勒索钱财。随着网络技术的进步,目前的工控攻击行为具有更长的攻击周期、更缓慢但持续的攻击频率以及更难以追踪的特性。威胁情报(TI)在预防和监控工控攻击方面起着至关重要的作用,通过与蜜罐数据的关联分析更加充分说明了这一点。

由“谛听”网络安全团队开发的威胁情报搜索引擎(http://www.TItecting.com)是基于“谛听”威胁情报中心进而研发的应用服务。威胁情报中心存有海量威胁情报数据,提供全面、准确、详细的相关决策支持信息,为行业系统安全提供保障。面对复杂的攻击形式和先进的攻击手段,建立完善的威胁情报搜索引擎刻不容缓,旨在为工业、企业、组织或者个人提供更加全面的情报信息,打造以威胁情报平台为基石的网络安全空间。

2020年“谛听”蜜罐和威胁情报中心均采集到大量新数据,为探寻数据间潜在的关系,“谛听”团队计算威胁情报数据和蜜罐数据的重叠部分数量,并根据攻击类型的不同将数据分为5组计算。其中包括命令执行与控制攻击(C2)、代理IP(proxy)、垃圾邮件(spamming)、洋葱路由(tor)和恶意IP(reputation)。每种类型数据与蜜罐数据重叠部分在二者中占比如图7-4,本团队对该图的分析如下。

1611970879_6014b93fcad79f5054437.png!small?1611970878820

图7-4 威胁情报与蜜罐关联占比(数据来源“谛听”)

图7-4中威胁情报数据来源于“谛听”威胁情报中心,该系统所记录的数据为安全网站或安全数据库中的情报数据,本团队根据情报数据攻击类型不同分别记录在不同的数据表中。而直接部署在国内外网络节点上的工控蜜罐通过模拟暴露在互联网上的工业控制设备,开放对应工业网络协议端口吸引攻击者,在记录每一次攻击者的攻击信息的同时,监听捕捉流经此节点的网络流量,以保证攻击信息的真实性与可用性。因此,图中威胁情报数据与工控蜜罐数据有重叠部分表示情报中心中收集到的部分IP地址确实进行了工控攻击,这可以更有针对性的对某种类型的攻击进行防御。下面对具体的数据进行分析。

首先,通过“洋葱路由”进行攻击的情报数量占比最高,谈到“洋葱路由”很容易联想到“暗网”,大量网络攻击者、黑客等恶意攻击者通过暗网招募成员、发动攻击或者做非法交易。而在“洋葱路由”中,消息被一层层加密成像洋葱一样的数据包,使得用户在通过该工具访问暗网时,其地址、身份、IP地址都十分隐蔽,因此“洋葱路由”便成为了开启暗网大门的钥匙。基于以上背景,本团队做以下猜想:大量攻击者之所以选择通过“洋葱路由”进行攻击,正是因为其不易溯源,追踪非常困难,一些攻击者会选择从暗网匿名资源池中购买资源,再利用这些资源进行不法行为。

其次,通过“代理IP”进行攻击的情报数量占比最小,同时在威胁情报数据中心中,攻击类型为代理IP的情报总数量同样是最小。分析该数据,本团队做出以下猜想:代理IP是一种特定的IP地址,用户购买代理IP并不代表可以随意使用,一般情况下会有特定的管理人员对代理IP进行管理,一旦发现某用户频繁通过该IP进行攻击,管理人员会对该IP进行回收,不再授予使用权。因此,通过“代理IP”进行攻击的攻击行为占少数。

最后,总数量排名第二的攻击类型为“恶意IP”(在本次分析中,“恶意IP”特指长期进行恶意攻击的IP地址),本团队进行数据处理前的设想为:大量攻击行为均为“恶意IP”产生的,不论是绝对数量还是数据占比亦或是数据总量,该攻击类型均应位居第一,而结果却与原本的设想不同。因此,本团队做出以下猜想:将“恶意IP”数据与“谛听”蜜罐数据共同分析时,被认证为“恶意IP”的攻击蜜罐的IP地址占比较小,可能的原因是在对一个IP地址进行恶意性分析时没有一个硬性标准,使实际在进行某些恶意行为的IP没有被包含在恶意IP威胁情报中。因此,未来本团队将对于IP地址的恶意性判别及判别准确性进行进一步研究。

八、总结

2020年习总书记多次强调工业互联网的发展对我国发展的重要性,也指出要加强对网络安全的重视程度,更快速高效地抵御网络入侵行为。为深入贯彻习总书记的重要指示精神,工业和信息化部应急管理部印发了《“工业互联网+安全生产”行动计划(2021-2023年)》的通知。同时,我国在2020年相继推出了一大批工业互联网信息安全相关的政策法规及报告,以保证工业互联网高质量发展。

新冠疫情的突然爆发和5G网络的迅速发展,加剧了2020年工控安全事件的发生。2020年,大量工厂、企业、基础设施供应商甚至国家安全组织遭受了不同程度的攻击,这些攻击行为更加具有目的性和破坏性,扰乱了网络秩序的同时还给企业甚至国家带来了损失。基于以往的工控安全形势,工控系统行业漏洞数量呈现出连年高发的态势。相比于2019年,全球在工控设备暴露数量方面排名未发生明显变化。同时,“谛听”网络安全团队对工控系统攻击流量进行了详尽的分析并提出了一种基于ICS蜜网的攻击流量指纹识别方法。结合工控蜜罐与威胁情报的关联分析说明了威胁情报在工控网络安全领域中承载着重要的建设作用。

万物互联,安全为基,工业互联网的发展对人类生产生活而言既是机遇也是挑战。在未来,数字化、智能化的通信与网络技术将会成为国家经济发展的关键手段。切实保障国家网络安全,建立新型安全防御体系,工业互联网必将会持续地为企业和制造业不断注入新的动能。

来源:freebuf.com 2021-01-30 11:30:24 by: 东北大学谛听网络安全团队

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论