2020工业互联网安全发展与实践.pdf

《2020工业互联网安全发展与实践.pdf》由会员分享，可在线阅读，更多相关《2020工业互联网安全发展与实践.pdf（54页珍藏版）》请在咨信网上搜索。

工业控制系统安全国家地方联合工程实验室 奇安信行业安全研究中心 2021.12020 工业互联网安全发展与实践 分析报告 主要观点 2020 年，工业互联网安全漏洞持续高发，CNVD 全年收录漏洞数量较 2019 年增长了43.6%。其中，施耐德、西门子、研华等公司的设备被报告漏洞的数量最多；而制造业、能源和税务行业受到的影响最大。约 88.1%新增漏洞，都与制造业有关。国内工业企业在工业互联网安全方面的投入总体规模仍然较小，年投入超过 100 万元的企业不足三成，且仅有四成左右的企业表示未来两年会明显增加投入。造成这种情况的主要原因是：绝大多数工业企业仍然不太相信自己的企业会遭到网络攻击，因此对相关安全工作也不太重视。调研显示，推动当前国内工业互联网安全投资建设的三大因素分别是：合规性要求、频发的工业安全事件和政策的支持。而阻碍当前国内工业互联网安全投资建设的三大因素分别是：看不到收效、缺少预算和担心影响正常生产。同时，安全人才匮乏是近半数工业企业进行工业互联网安全建设过程中的最大痛点。综合能力强的安全大厂商将在工业互联网安全市场竞争中优势明显。半数以上的工业企业倾向于通过与安全厂商深度合作加强自身安全能力，而当发生重大网络安全事件时，也有超过半数的工业企业会首选向综合能力强的安全大厂商求助，而非信息化厂商、工控厂商或专业工业安全厂商。“工业互联网安全托管”服务将成为重要发展趋势。调研显示，约 93.9%的工业企业对此很有兴趣。其中，最受欢迎的是远程安全运维服务，其次是定期上门服务，再次是驻厂服务。勒索病毒仍然是 2020 年全球工业企业面临的最大挑战，这些安全事件均不同程度地造成了工业企业的生产异常，甚至停工停产。工业企业应从以下几个方面进一步做好工业互联网安全工作：设置网络分段，做好安全隔离；缩小网络攻击面，最大限度减少网络攻击风险；采用身份认证、安全加密的方式进行远程访问；加强行业合作，推出具有内生安全框架的工业互联网安全特色产品等。摘 要 截至 2020 年 12 月，CNVD 收录的与工业控制系统相关的漏洞高达 2945 个，2020 年新增的工业控制系统漏洞数量达到 593 个，工业控制系统漏洞数据再创历史新高，安全漏洞数量快速增长，整体形势严峻。在 CVE、NVD、CNVD、CNNVD 四大漏洞平台收录的工业控制系统漏洞中，拒绝服务漏洞最多，数量达到 111 个。在收录的工业控制系统安全漏洞中，高危漏洞占比 56.6%，中危漏洞占比为 35.8%，中高危漏洞占比高达 92.4%。在收录的工业控制系统漏洞中，涉及到的前八大工控厂商分别为施耐德（Schneider）、西门子（Siemens）、研华（Advantech）、三菱（Mitsubishi）、摩莎（Moxa）、万可（WAGO）、思科（Cisco）和 ABB。在收录的工业控制系统安全漏洞中，涉及行业多分布在制造业、能源等关键基础设施领域。制造业安全漏洞涉及的工业控制系统设备中，PLC 设备漏洞最多。2020 年以来，工业企业遭受勒索病毒的事件依然高频发生，奇安信工业安全应急响应中心和安全服务团队共同为全国工业企业提供应急求助 140 起，勒索病毒仍然是工业互联网安全的最大挑战。根据工业互联网相关企业调研问卷填写结果显示，约 42.0%的受访工业企业表示，其在过去 3 年间遭遇过工业网络安全事件，约 17.7%的企业遭遇过 3 次以上的工业网络安全事件。工业安全问题，已经成为困扰部分工业企业发展的关键问题。对于工业网络安全事件造成的后果，企业最为担心的是产品质量受损，设备损坏和商业声誉受损，投票支持率分别为 35.9%、34.3%、和 28.7%。调研显示，表示本单位非常重视工业互联网安全的企业，仅为 40.9%。近六成的企业表示较少重视或完全不关心。超过四成的受调研企业网络安全投入占工业互联网总投入比例超过 10%。从目前国际平均水平来看，安全投入占信息化投入的 10%以上，属于比较适中的投入水平。超过三成的企业认为，本单位的工业互联网安全建设水平仅为初级甚至裸奔。被问及未来的工业互联网安全建设将会面临的最大挑战或难点是什么，44.8%的受调研企业认为是安全人才匮乏，20.4%的企业担心影响工控系统可靠性；15.5%的人认为是安全合规。仅有 40.3%的企业设置了专职的工业网络安全部门或岗位；21.0%的企业表示正在规划，但现在没有专职负责人员；38.7%的企业即没有专职人员，也没有相关的安全规划。常规网络安全产品在工业控制系统中的部署率平均只有三成左右。关键词：工业互联网、安全漏洞、安全威胁、工业控制系统、网络安全投入、推进建议 目 录 研究背景.1 第一章 工业互联网安全风险态势分析.2 一、工业互联网安全漏洞总体态势.2 二、制造业安全漏洞总体态势.5 三、2020 年新公开工业互联网严重漏洞.7 第二章 工业互联网安全建设调研分析.13 一、调研背景.13 二、工业互联网安全风险.15 三、工业互联网安全投入.16 四、工业互联网安全建设.19 五、工业互联网安全运行.21 第三章 工业安全应急响应典型案例.24 一、某化工集团遭受勒索病毒攻击.24 二、某汽车制造企业遭勒索病毒攻击.24 三、某大型食品制造企业遭受挖矿木马攻击.25 四、某煤矿集团遭受挖矿木马攻击.26 第四章 工业网络安全建设典型案例.28 一、钢铁制造企业安全建设方案.28 二、智慧矿山工业互联网安全纵深防御体系建设.29 三、电厂工业安全监测与态势感知平台建设.32 第五章 工业互联网安全问题总结分析.35 一、安全漏洞数量快速增长，安全形势日益严峻.35 二、制造业安全漏洞风险较高，攻击手段多样化.35 三、勒索攻击层出不穷，工业安全事件频发.35 第六章 工业互联网安全推进建议.36 一、设置网络分段（网络区域），做好安全隔离.36 二、缩小网络攻击面.37 三、采用身份认证和安全加密的方式进行远程访问.38 四、加强工业互联网安全公共服务平台建设.38 五、加强行业合作，推出具有内生安全框架的工业互联网安全特色产品.38 附录一 2020 工业互联网安全重大事件.40 一、美国天然气管道运营商遭勒索软件攻击.40 二、欧洲能源巨头 EDP 遭受 RAGNAR LOCKER勒索软件攻击.40 三、委内瑞拉国家电网干线遭攻击 全国大面积停电.40 四、本田汽车 HONDA遭受勒索软件 SNAKE攻击.41 五、德国硅晶圆厂商 XFAB 遭 MAZE勒索软件攻击.41 六、台湾笔记本电脑制造商仁宝遭勒索攻击.41 七、富士康工厂遭勒索软件攻击，上千台服务器被加密.41 八、温哥华地铁遭到 EGREGOR勒索软件的攻击.42 附录二 2020 工业互联网安全工作进展.43 一、工业互联网安全重要文件.43 二、工业安全标准体系建设.46 附录三 工业控制系统安全国家地方联合工程实验室.48 1 研究背景 工业控制系统安全国家地方联合工程实验室（以下简称“联合实验室”）于 2017 年、2018 年、2019 年、连续发布 IT/OT 一体化工业信息安全态势报告。随着工业互联网的发展，2020 年发布2020 中国工业互联网安全发展与实践分析报告，总结分析 IT/OT 融合带来的新挑战，给出工业信息安全建议和展望。希望本报告能够为给政府部门、科研机构和工业企业提供参考和借鉴，本报告综合参考 CVE、NVD、CNVD、CNNVD 四大公开漏洞平台发布的漏洞信息，分析工业互联网安全风险态势。此外，本报告给出应急响应典型案例，对安全问题进行总结分析，最后提出工业互联网安全推进建议。2 第一章 工业互联网安全风险态势分析 一、工业互联网安全漏洞总体态势 本节主要以工业控制系统安全国家地方联合工程实验室漏洞库收录的工业控制系统相关的漏洞信息为基础，综合参考了 Common Vulnerabilities&Exposures（CVE）、National Vulnerability Database（NVD）、中国国家信息安全漏洞共享平台（CNVD）及国家信息安全漏洞库（CNNVD）所发布的漏洞信息，从工控漏洞的年度变化趋势、等级危害、漏洞类型、漏洞涉及行业、漏洞设备类型等方面分析工业控制系统的安全威胁态势及脆弱性。本报告中的工控漏洞风险评估方法，基于通用漏洞评分系统，将可见性、可控性、漏洞利用目标服役情况等体现工控安全特性的指标纳入量化评估范围。该方法使用改进的工控漏洞风险评估算法，既可以生成工控漏洞的基础评分、生命周期评分，也可以用于安全人员结合实际工控安全场景的具体需求以生成环境评分。根据中国国家信息安全漏洞共享平台最新统计，截止到 2020 年 12 月，CNVD 收录的与工业控制系统相关的漏洞高达 2955 个，2020 年新增的工业控制系统漏洞数量达到 593 个，工业控制系统漏洞数据再创历史新高，安全漏洞数量快速增长，整体形势严峻。2000-2020年 CNVD 工控新增漏洞年度分布如下所示：在 2020 年，Common Vulnerabilities&Exposures（CVE）、National Vulnerability Database（NVD）、中国国家信息安全漏洞共享平台（CNVD）及国家信息安全漏洞库（CNNVD）四 3 大漏洞平台收录的工业系统安全漏洞信息共达 804 条。这些工业系统漏洞的成因多样化特征明显，技术类型多达 30 种以上。其中，拒绝服务漏洞（111）、缓冲区溢出漏洞（99）和信息泄露漏洞(71)数量最为常见。2020 年工控系统新增漏洞类型分布如下：攻击者可以利用多样化的漏洞获取非法控制权、通过遍历的方式绕过验证机制、发送大量请求造成资源过载等安全事故。实际上，无论攻击者利用何种漏洞造成生产厂区的异常运行，均会影响工控系统组件及设备的可用性和可靠性。在四大漏洞平台收录的工业系统漏洞中，高危漏洞占比56.6%，中危漏洞占比为35.8%，中高危漏洞占比高达 92.4%。在信息安全技术 标准中定义：漏洞可以容易地对目标对象造成严重后果为高危漏洞；工业控制系统又多应用于国家关键基础设施，一旦遭受网络攻击，会造成较为严重的损失。2020 年工控系统新增漏洞危险等级分布如下：4 在收录的工业控制系统漏洞中，涉及到的前八大工控厂商分别为施耐德（Schneider）、西门子（Siemens）、研华（Advantech）、三菱（Mitsubishi）、摩莎（Moxa）、万可（WAGO）、思科（Cisco）和 ABB。2020 年工控新增漏洞涉及主要厂商情况如下图所示：需要说明的是，虽然安全漏洞在一定程度上反映了工控系统的脆弱性，但不能仅通过被报告的厂商安全漏洞数量来片面判断比较厂商产品的安全性。因为一般来说，一个厂商的产品越是使用广泛，越会受到更多安全研究者的关注，因此被发现安全漏洞的可能性也越大。某种程度上来说，安全漏洞报告的厂商分布，更多程度上反映的是研究者的关注度。在收录的工业控制系统安全漏洞中，多数分布在制造业、能源、水务、商业设施、石化、5 医疗、交通、农业、信息技术、航空等关键基础设施行业。一个漏洞可能涉及多个行业，在804 个漏洞中，有 708 个漏洞涉及到制造业，也是占比最高的行业。涉及到的能源行业漏洞数量高达 623 个。制造业和能源行业工控漏洞较多，应加强这两个行业工业安全建设。2020年工控新增漏洞行业分布图如下：二、制造业安全漏洞总体态势 根据 2020 年四大漏洞平台收录的漏洞，本节主要分析涉及漏洞最多的行业制造业。本节主要从漏洞类型、漏洞设备类型等方面分析涉及漏洞最多的制造业网络安全威胁态势及脆弱性。在 2020 年新增的与制造业相关的安全漏洞中，拒绝服务漏洞（95）、缓冲区溢出漏洞（82），信息泄露漏洞（63）、访问控制漏洞（47）、输入验证漏洞（43）、跨站脚本漏洞（37）最为常见。2020 年制造业新增漏洞类型分布如下：6 针对制造业控制系统设备，按照 PLC、SCADA、RTU、HMI、工业网络设备、工业网络软件、普通软件、其他进行设备分类，涉及到的前五大设备漏洞中，PLC 设备最多，数量为136 个，工业网络设备（77）、工业网络软件（76）、SCADA（55）、HMI（48）。制造业新增漏洞设备类型和供应商之间的关系如下：将设备类型和供应商进行综合分析，136 个 PLC 设备中 Schneider 占据 40 个，工业网络设备中 Moxa 占据 30 个，工业网络软件中 Siemens 占据 15 个，SCADA 中 Advantech 占据 32 个，HMI 中 Mitsubishi 有 13 个。将每个设备类型中涉及到的主要供应商进行表示，帮助制造业企业对使用这些供应商提供的设备进行安全防护，及时关注供应商发布的补丁信息，保障制造业生产安全运营。7 将涉及设备类型最多的 PLC 和漏洞类型进行综合分析，针对 PLC 设备的漏洞类型较多的为拒绝服务、缓冲区溢出、信息泄露、命令注入、资源管理不当等。三、2020 年新公开工业互联网严重漏洞 CVSS（Common Vulerability Scoring System,通用漏洞评估方法）提供了一种捕获漏洞主要特征并生成反映其严重性的数字评分的方法。数字评分以文本形式来表示，通常将数字分数转换为定性表示形式（例如低，中，高），以帮助组织正确评估漏洞管理流程并确定漏洞修复优先级。漏洞库平台根据 CVSS 分级标准对漏洞进行 0 至 10 之间的数字评分，10 分为最高分，8 表示该漏洞的严重程度最高，一旦被攻击者利用，造成的损失也较大。本文分析2020年CVSS v3.X（CVSS v3.0 或 CVSS v3.1）为 10 的工业互联网安全高危漏洞，如表 1 所示，并对AutomationDirect、Moxa、Emerson、Schneider Electric、Siemens、WAGO 不同供应商的高危漏洞进行详细分析，并参考美国网络安全和基础设施安全局（CISA）的建议给出漏洞的缓解措施。表 1：CVSS v3.X 为 10 的工业互联网安全高危漏洞 CVE ID 漏洞类型漏洞类型 影响产品影响产品 供应商供应商 自主自主/进口进口 CVE-2020-6969 凭证管理漏洞 C-More Touch Panels EA9 6.53 之前的版本 AutomationDirect 进口 CVE-2020-6989 缓冲区溢出漏洞 PT-7528 series firmware 4.0 之前的版本 PT-7828 series firmware 3.9 之前的版本 Moxa 进口 CVE-2020-12030 访问控制漏洞 Electric Wireless 1410 Gateway 4.6.43 版本至4.7.84 版本 Wireless 1420 Gateway 4.6.43 版本至 4.7.84 版本 Wireless 1552WU Gateway 4.6.43 版本至 4.7.84 版本 Emerson 进口 CVE-2020-7498 使用硬编码凭证漏洞 Unity Loader 和 OS Loader Software（全部版本）Schneider Electric 进口 CVE-2020-14509 内存破坏漏洞 Siemens Information Server=2019 SP1 Siemens SIMATIC WinCC OA 3.17 Siemens SINEC INS Siemens SPPA-S2000(S7)3.04 Siemens SPPA-S2000(S7)3.06 Siemens SPPA-T3000 R8.2 Siemens 进口 9 SP2 Siemens SPPA-S3000 3.05 CVE-2020-12522 命令注入漏洞 WAGO Series PFC 100(750-81xx/xxx-xxx)Series PFC 200(750-82xx/xxx-xxx)Series Wago Touch Panel 600 Standard Line(762-4xxx)Series Wago Touch Panel 600 Advanced Line(762-5xxx),Series Wago Touch Panel 600 Marine Line(762-6xxx)with firmware versions=FW10 WAGO 进口 (一一)凭证管理漏洞凭证管理漏洞 CVE-2020-6969 相关系统：AutomationDirect C-More Touch Panels EA9，美国 AutomationDirect 公司的一款软件管理平台。威胁预警：CVSS v3 10 风险评估：攻击者成功利用该漏洞，能够获取帐户信息（例如用户名和密码），进而访问系统并修改系统配置。受影响的产品：AutomationDirect C-More Touch Panels EA9 6.53 之前的版本 CISA 漏洞缓解措施：1）厂商已发布升级补丁以修复漏洞，https:/ 2）最小化工业控制系统/设备的网络暴露面 3）在防火墙后面找到控制系统网络和远程设备，并将其与业务网络隔离 4）采用身份认证和安全加密的安全方式进行远程访问(二二)缓冲区溢出漏洞缓冲区溢出漏洞 CVE-2020-6989 相关系统：Moxa PT-7528 和 Moxa PT-7828，都是中国台湾摩莎（Moxa）公司的一款管理型机架式以太网交换机。10 威胁预警：CVSS v3 10 风险评估：攻击者成功利用该漏洞可执行任意代码或造成拒绝服务。受影响的产品：Moxa PT-7528 series firmware 4.0 之前的版本 Moxa PT-7828 series firmware 3.9 之前的版本 CISA 漏洞缓解措施：1）厂商已发布升级补丁以修复漏洞，https:/ 2）最小化工业控制系统/设备的网络暴露面 3）在防火墙后面找到控制系统网络和远程设备，并将其与业务网络隔离 4）采用身份认证和安全加密的安全方式进行远程访问(三三)访问控制漏洞访问控制漏洞 CVE-2020-12030 相关系统：Emerson Electric Wireless 1410 Gateway 等，都是美国艾默生电气（Emerson Electric）公司的一款智能无线网关产品。威胁预警：CVSS v3 10 风险评估：攻击者成功利用该漏洞可能会禁用内部网关防火墙，一旦禁用了网关的防火墙，攻击者便可以向网关发出特定命令，然后将这些命令转发到最终用户的无线设备上。受影响的产品：Emerson Electric Wireless 1410 Gateway 4.6.43 版本至 4.7.84 版本 Wireless 1420 Gateway 4.6.43 版本至 4.7.84 版本 Wireless 1552WU Gateway 4.6.43 版本至 4.7.84 版本 CISA 漏洞缓解措施：1）厂商已发布升级补丁以修复漏洞 https:/ 2）禁用所有未使用的功能 3）最小化工业控制系统/设备的网络暴露面，并确保不能从互联网上访问到设备 4）在防火墙后面找到控制系统网络和远程设备，并将其与业务网络隔离 5）采用身份认证和安全加密的安全方式进行远程访问(四四)硬编码凭证漏洞硬编码凭证漏洞 CVE-2020-7498 11 相关系统：Schneider Electric Unity Loader 和 OS Loader Software，都是法国施耐德电气（Schneider Electric）公司的产品。Unity Loader 是一款数据交换实用程序。OS Loader Software是一款系统加载实用程序。威胁预警：CVSS v3 10 风险评估：攻击者成功利用该漏洞可访问文件传输服务。受影响的产品：Schneider Electric Unity Loader 和 OS Loader Software（全部版本）施耐德漏洞缓解措施：1）厂商已发布升级补丁以修复漏洞 https:/download.schneider- 2）设置网络分段并实施防火墙以阻止所有对端口 TCP/21 的未经授权的访问 3）安装物理控件，以防止未经授权的人员访问工业控制系统、组件、设备和网络 4）将所有控制器放置在上锁的机柜中，切勿使其处于“程序”模式 5）切勿将编程软件连接到用于设备网络以外的任何网络上 6）最小化工业控制系统/设备的网络暴露面，并确保不能从互联网上访问到设备(五五)内存破坏漏内存破坏漏洞洞 CVE-2020-14509 相关系统：Siemens SIMATIC WinCC OA（Open Architecture），是德国西门子（Siemens）公司的一套 SCADA 系统，也是 HMI 系列的一个组成部分。该系统主要适用于轨道交通、楼宇自动化和公共电力供应等行业。威胁预警：CVSS v3 10 风险评估：攻击者成功利用该漏洞可发送特制的数据包造成内存破坏漏洞。受影响的产品：Siemens Information Server=2019 SP1 Siemens SIMATIC WinCC OA 3.17 Siemens SINEC INS Siemens SPPA-S2000(S7)3.04 Siemens SPPA-S2000(S7)3.06 12 Siemens SPPA-T3000 R8.2 SP2 Siemens SPPA-S3000 3.05 施耐德漏洞缓解措施：1）厂商已发布升级补丁以修复漏洞 https:/cert- 2）最小化工业控制系统/设备的网络暴露面，并确保不能从互联网上访问到设备 3）在防火墙后面找到控制系统网络和远程设备，并将其与业务网络隔离 4）采用身份认证和安全加密的安全方式进行远程访问(六六)命令注入漏命令注入漏洞洞 CVE-2020-12522 相关系统：WAGO，德国万可（WAGO）的一款 750-88x 系列可编程逻辑控制器。该设备专门为在工业环境下应用而设计的数字运算操作电子系统。威胁预警：CVSS v3 10 风险评估：攻击者成功利用该漏洞可访问设备并执行构造的非法数据包。受影响的产品：WAGO Series PFC 100(750-81xx/xxx-xxx)Series PFC 200(750-82xx/xxx-xxx)Series Wago Touch Panel 600 Standard Line(762-4xxx)Series Wago Touch Panel 600 Advanced Line(762-5xxx)Series Wago Touch Panel 600 Marine Line(762-6xxx)with firmware versions=FW10 施耐德漏洞缓解措施：1）厂商已发布升级补丁以修复漏洞 https:/ 2）最小化工业控制系统/设备的网络暴露面，并确保不能从互联网上访问到设备 3）在防火墙后面找到控制系统网络和远程设备，并将其与业务网络隔离 4）采用身份认证和安全加密的安全方式进行远程访问 13 第二章 工业互联网安全建设调研分析 一、调研背景 2020 年，工业互联网工作得到了各级政府部门及产业界的高度重视。8 月以后，与工业互联网及工业互联网安全相关的重大会议活动持续不断。如 10 月在沈阳召开的“2020 全球工业互联网大会”、11 月在南京召开的“2020 工业互联网安全成果展”、11 月在武汉召开的“2020 中国 5G+工业互联网大会”等。工业控制系统安全国家地方联合工程实验室在参与各类大型工业互联网相关会议活动过程中，向参会的机构代表展开了专项调研，共收回有效调研问卷 262 份，其中，工业互联网相关企业代表填写问卷 181 份（均来自不同企业）。本章内容主要根据工业互联网相关企业调研问卷填写结果展开分析，以此反映工业企业自身对工业互联网安全建设现状与趋势的基本看法。下图给出了参与调研的工业互联网相关企业行业分布情况。其中，通信行业最多，占比30.9%；其次是制造业，占比 22.1%；能源排第三，占比 7.7%。还有交通、医疗、水利等其他一些行业企业参与了调研。在接受调研的企业中，100 人以下小微企业最多，占比 26.5%，其次是 5000 人以上的大型企业，占比 22.1%。其他各种规模的企业分布比较均衡，占比均在 10%上下。详见下图。14 下图给出了参与本次调研企业的年营收规模分布。其中，年营收在 2 亿-10 亿的占比为24.3%，年营收在 5000 万-2 亿的占比为 17.7%，50 亿以上的，占比 15.5%。调研显示，服务化、智能生产和定制生产，是当前企业发展建设工业互联网的三大主要应用场景。其中客户服务和服务化转型排名第一，占比为 34.8%；其次是产线、车间智能生产，占比 25.4%；排名第三的是基于用户需求的柔性定制生产，占比 18.8%。详见下图。15 二、工业互联网安全风险 本次调研，特别针对工业互联网相关企业目前所面临的安全风险现状进行了调研。问题包括安全事故、风险预期、风险损失、事故应急等方面。调研显示，约 42.0%的受访工业企业表示，其在过去 3 年间遭遇过工业网络安全事件，约 17.7%的企业遭遇过 3 次以上的工业网络安全事件。工业安全问题，已经成为困扰部分工业企业发展的关键问题。具体情况，详见下图。调研显示，仅有 36.5%的工业企业认为自己的工控系统遭受网络攻击的可能性很大，57.4%的企业认为基本不会，甚至有 6.1%的受调研企业认为，自己完全不会遭到工控网络攻击。这一调研结果非常让人担忧，也与工业企业面临的实际网络安全风险有很大差异。这可 16 能也是很多工业企业不重视工业互联网安全工作的重要原因之一。对于工业网络安全事件造成的后果，企业最为担心的是产品质量受损，设备损坏和商业声誉受损，投票支持率分别为 35.9%、34.3%、和 28.7%。此外，造成人员伤亡、环境污染、产品交付延期、生产材料浪费等安全影响问题，也比较受企业的关注。详见下图。三、工业互联网安全投入 客观的都说，国内相关企业目前对工业互联网安全工作的整体重视程度人仍然较低。调研显示，表示本单位非常重视工业互联网安全的企业，仅为 40.9%。近六成的企业表示较少重视或完全不关心。这也是国内工业互联网安全建设始终发展较慢的重要原因之一。17 目前，国内相关企业在工业互联网安全方面的投入总体规模仍然较小。调研显示，在工业互联网安全方面的年投入超过 100 万元的企业，不足被调研企业的三成，仅为 27.6%。但从投入占比来看，有超过四成的受调研企业网络安全投入占工业互联网总投入比例超过 10%。从目前国际平均水平来看，安全投入占信息化投入的 10%以上，属于比较适中的投入水平。总体来说，工业互联网整体投入规模的局限性，也限制了企业对工业互联网的安全投入。企业工业互联网安全投入水平详情，见下图。未来两年，相关企业对工业互联网安全的整体投入水平可能变化不大。调研显示，仅有 40.9%的受调研企业表示，未来两年在工业互联网安全方面的投入会有明显增加；另有 40.3%的企业表示可能稍有增加；15.5%的企业表示，没有明显变化。具体 18 情况，详见下图。具体到 OT 产线未来的安全建设，仅有约 65.2%的企业有相关的投入计划，且约 27.6%的机构计划投入额度不足 10 万元。具体分布如下图所示。本次调研，特别针对相关企业投资建设工业互联网“安全”的动力问题进行了调研，总结了推动工业互联网安全投资建设的因素和阻碍工业互联网安全投资建设的因素。调研显示，推动当前国内工业互联网安全投资建设的三大因素分别是：合规性要求、频发的工业安全事件和政策的支持，投票支持率分别为 55.3%、47.0%和 39.2%。而阻碍当前国内工业互联网安全投资建设的三大因素分别是：看不到收效、缺少预算和担心影响正常生产，投票支持率分别为 45.3%、38.7%和 24.3%。总结起来就是：政策、合规、安全事件等因素推 19 动了工业互联网安全投资建设；而缺钱、收益不明和担心影响生产等因素，正在阻碍工业互联网安全的投资建设。关于工业互联网安全投资建设的推动力与阻碍力情况，详见下图。四、工业互联网安全建设 下图给出了受调研企业自评的本单位工业互联网安全建设水平。值得注意的是，企业自评水平往往会略高于其实际建设水平，但尽管如此，仍有超过三成的企业认为，本单位的工业互联网安全建设水平仅为初级甚至裸奔，这也使我们对国内企业的工业互联网安全建设水平更加担忧。被问及未来的工业互联网安全建设将会面临的最大挑战或难点是什么，44.8%的受调研 20 企业认为是安全人才匮乏，20.4%的企业担心影响工控系统可靠性；15.5%的人认为是安全合规。具体情况如下。对于在未来工业互联网安全建设中，工业企业应当优先采购哪些网络安全产品与服务的问题，55.8%的企业选择了工业防火墙，44.2%的企业选择工业主机安全防护，40.9%的企业选择工业网络流量分析设备。此外，工业安全集中管控平台、工业安全检查评估工具等也受到了企业的关注。具体情况，详见下图。对于未来的工业网络安全建设趋势：56.9%的企业认为，工业企业应当和安全厂商深度合作；42.0%的企业认为，应当从购买安全产品逐步转向购买安全服务；32.0%的企业认为，应当从被动防御到主动防御。关于工业互联网安全建设的其他趋势，详见下图。21 五、工业互联网安全运行 确保生产系统的安全运行，是工业互联网安全工作的根本目标。它不仅是财力和物力的投入，还需要人的科学参与和有效的保障机制。不过，目前绝大多数工业企业对工业互联网安全运行工作的人力投入仍然十分不足。调研显示，仅有 40.3%的企业设置了专职的工业网络安全部门或岗位；21.0%的企业表示正在规划，但现在没有专职负责人员；38.7%的企业即没有专职人员，也没有相关的安全规划。具体情况，详见下图。下图给给出了受访企业部署网络安全设备的情况。其中包括最重要也是最常用的主机防护或加固软件和流量监测设备，以及其他网络安全设备。从图中可以看出，常规网络安全产 22 品在工业控制系统中的部署率平均只有三成左右。这与前面给出的，近七成企业认为自己自己的工业网络安全建设水平达到中等或领先水平的调研结果形成鲜明的对比。也就是说，尽管很多企业连最基本的工业网络安全措施都没有部署，但仍认为自身的网络安全建设水平比较良好。应急响应，是安全运行过程中的重要工作之一。但绝大多数工业企业并不具备独立的网络安全应急响应能力。这就需要向第三方机构进行求援。调研限制，超过半数的工业企业会首选向综合能力强的安全大厂商求助，占比约为 53.0%；其次是有安全业务的 IT 大厂商，占比 21.0%；还有约 15.5%的机构，会选择同时向多家安全产品供应商求助，目的是避免供应商锁定。详见下图。总体而言，综合能力强的安全大厂商还是工业企业最为信赖的应急救援机构。23 对于缺乏独立安全运行能力的工业企业来说，向网络安全企业采购安全托管服务不失为一种好的解决办法。企业可以更加专注与自身的生产业务，而不必在网络安全管理与运营工作上投入太多的时间和精力。调研显示，约 93.9%的工业企业对“工业互联网安全托管”服务很有兴趣。其中，最受欢迎的是远程安全运维服务，受访企业选择该形式服务比例为 47.5%；其次是定期上门服务，选择比例为 38.1%；再次是驻厂服务，选择比例为 28.2%。具体情况，详见下图。对于工业互联网安全托管服务的服务价格，34.3%的企业选择 520 万，其他各种价格区间，企业选择比例均在 16%18%之间。详见下图。24 第三章 工业安全应急响应典型案例 一、某化工集团遭受勒索病毒攻击（一）事件概述 2020 年 3 月，某大型化工集团发现多台服务器和主机文件被加密，遭受勒索病毒攻击，紧急向奇安信工业安全应急响应中心求助，希望尽快排查并溯源。工业安全应急响应中心专家通过对勒索信和加密文件后缀分析，确认勒索病毒为phobos。针对服务器的基本信息，进程，端口，网络连接，服务等进行排查，并提取 3 台服务器日志，分析发现，内网一台主机对外映射了远程桌面，且密码为弱口令，被暴力破解，登陆成功，然后利用此主机对内网其他服务器和主机进行远程桌面弱口令爆破，对爆破成功的服务器和主机植入勒索病毒，将数据和文件加密勒索。通过对现场情况进行分析和对事件进行推断，本次事件主要是由于客户服务器配置不当，直接对外映射了远程桌面端口，进而攻击者有针对性的对远程登录爆破、人工投毒执行的勒索攻击。（二）防护建议 1)对已被感染勒索病毒的服务器和终端进行断网处理，并进行隔离，以免进一步感染其他主机。对于未中招服务器，尽量关闭不常用的高危端口；2)杜绝使用弱口令，应使用高复杂强度的密码，尽量包含大小写字母、数字、特殊符号等的混合密码，加强管理员安全意识，禁止密码重用的情况出现；3)禁止服务器主动发起外部连接请求，对于需要向外部服务器推送共享数据的终端或服务器部署工业主机安全防护系统，使用白名单的方式进行安全防护；4)部署工业安全监测系统，进行镜像流量分析和威胁检测，及时发现网络中的安全风险，同时加强追踪溯源能力，提供可靠的追溯依据；二、某汽车制造企业遭勒索病毒攻击（一）事件概述 25 2020年10月，奇安信工业安全应急响应团队接到某大型汽车制造企业的应急响应请求，某重要服务器感染勒索病毒，导致业务系统无法正常运行。工业安全应急响应专家抵达现场后，通过根据受害主机文件被加密的后缀（.C2H）及恢复数据的勒索信息提示判断该主机感染了 GlobeImposter 勒索病毒。攻击者对服务器 A 进行了暴力破解，并成功获取服务器 A 控制权，进而以服务器 A 作为跳板，对位于内网中同一网段的服务器进行投毒，先利用 Kprocesshacker3 关闭杀毒软件，然后对机器上的文件进行加密。通过本次安全事件，该汽车制造企业暴露了诸多安全隐患，包括未定期开展安全评估工作，导致内部服务器存在严重高危漏洞；安全域划分不明确，较为混乱；安全意识仍需加强等。（二）防护建议 1)当确认服务器已经被感染勒索病毒后，应立即隔离被感染主机；采用断网或断电的物理隔离方式对主机进行隔离；2)对感染区域的主机进行漏洞排查，部署工业主机安全防护系统，采用白名单管控和主机加固等方式对终端设备进行安全防护；3)后续完善强化安全域划分与隔离策略，部署工业防火墙隔绝针对工业控制系统的攻击行为，满足不同控制域间的安全防护；4)定期进行内部人员安全意识培养，禁止将敏感信息私自暴露至公网，禁止点击来源不明的邮件附件等，提升安全防护和处置水平。三、某大型食品制造企业遭受挖矿木马攻击（一）事件概述 2020 年 6 月，工业安全应急响应团队接到某大型食品制造企业遭受挖矿蠕虫病毒攻击事件的应急请求，应急专家立即赶往现场进行排查和溯源工作。应急专家发现该食品制造企业内网大量服务器出现内存、CPU 等资源被恶意占用的现象，已经导致部分服务器业务中断，无法正常运行。工业安全应急响应专家通过对内网服务器、终端进程、日志等多方面进行分析，判定客户内网服务器所感染病毒为“黑球”挖矿蠕 26 虫。该木马会在局域网内进行蠕虫传播，窃取服务器密码进行横向攻击，并且会创建大量服务耗尽服务器资源。（二）防护建议 1)将已检测到的矿池相关非法域名，通过安全防护设置将其加入黑名单列表，并设置安全策略为阻断访问；2)部署工业主机安全防护系统，采用白名单管控和主机加固等方式对终端设备进行安全防护；3)系统、应用相关用户杜绝使用弱口令，应使用高复杂强度的密码，加强内部人员安全意识，禁止密码重用的情况出现；4)加强日常安全巡检制度，定期对系统配置、系统漏洞、安全日志以及安全策略落实情况进行检查，及时修复漏洞，将信息安全工作常态化。四、某煤矿集团遭受挖矿木马攻击（一）事件概述 2020 年 8 月，某大型煤矿集团一服务器发现感染挖矿蠕虫病毒，往同段其它服务器 445以及 6379 端口发送大量感染数据包，