2019-2020工业自动化系统威胁分析报告.pdf
I 2019-2020工业自动化系统威胁分析报告 目 录一、工业自动化系统漏洞分析.1(一)漏洞数量持续走高.1(二)高危漏洞占比增大.2(三)漏洞类型呈多样化.3二、工业主机网络攻击分析.4(一)工业控制系统主机受攻击数量有所降低.4(二)互联网依然是工业控制系统主机安全威胁的主要来源.6 (三)建筑自动化、汽车制造、能源等领域是工业主机威胁的重灾区.7三、关键事件分析.9(一)针对工业企业的高级持续性威胁(APT)攻击活跃度攀升.91. Hexane/OilRig/APT34.92. APT32/海 莲 花 .9(二)关键信息基础设施和工业领域勒索软件攻击数量激增.101. LockerGoga 加 密 勒 索 软 件 .10 2. Ryuk 勒 索 软 件 .113. MegaCortex 和 Snake.11 (三)能源行业工业信息安全威胁进一步加剧.13四、对策建议.14(一)完善工业信息安全管理体系.14(二)加强工业信息安全项目建设能力. 15( 三 ) 提 升 人 员 工 业 信 息 安 全 综 合 水 平 . 15 1 一、工业自动化系统漏洞分析 图 1 技 术 过 程 自 动 化 管 理 系 统 组 件 存 在 漏 洞 的 情 况 ( ICS-CERT) (一)漏洞数量持续走高2019 年 , 据 美 国 国 土 安 全 部 工 业 控 制 系 统 网 络 应 急 响 应小 组 ( ICS-CERT) 统 计 , 涉 及 技 术 过 程 自 动 化 管 理 系 统 组 件的 相 关 漏 洞 共 计 509 个 , 比 2018 年 发 现 的 漏 洞 数 量 增 加 了94 个 。 其 中 , 涉 及 工 程 软 件 103 个 、 工 业 用 途 网 络 设 备 78个 、 数 据 采 集 与 监 控 系 统 ( SCADA) /人 机 界 面 ( HMI) 组件 63 个 、 集 散 控 制 系 统 ( DCS) 56 个 、 可 编 程 逻 辑 控 制 器( PLC) 47 个 、 工 业 视 频 监 控 系 统 17 个 、 许 可 管 理 器 15 个 、操 作 系 统 12 个 、 开 发 和 执 行 框 架 8 个 以 及 其 他 漏 洞 110 个 。( 图 1) 2图 2 工 业 控 制 系 统 相 关 漏 洞 风 险 等 级 分 布 ( ICS-CERT) (二)高危漏洞占比增大2019 年 , 在 ICS-CERT 已 识 别 的 358 个 工 业 控 制 系 统 相关 漏 洞 中 , 高 危 漏 洞 ( CVSS v.3 得 分 7-10) 数 量 占 比 最 高 ,达 到 68.2%, 其 次 是 中 危 漏 洞 , 占 比 也 达 到 28.2%, 低 危 漏洞 占 比 为 3.6%( 图 2) 。 由 于 披 露 的 工 业 控 制 系 统 相 关 漏 洞大 多 危 险 程 度 高 、 危 害 性 大 , 一 旦 被 利 用 , 极 易 造 成 破 坏 性后 果 。 据 卡 巴 斯 基 工 业 控 制 系 统 网 络 应 急 小 组 对 工 业 系 统 、工 业 物 联 网 /物 联 网 等 相 关 漏 洞 的 跟 踪 研 判 , 现 存 的 多 数 漏 洞都 是 因 软 件 开 发 过 程 中 的 错 误 造 成 的 , 包 括 解 决 方 案 架 构 开发 等 。 根 据 常 见 漏 洞 列 表 , 最 常 见 的 错 误 类 型 为 CWE-787“越 界 写 入 ”。 3图 3 工 业 控 制 系 统 相 关 漏 洞 类 型 分 布 情 况 ( ICS-CERT) (三)漏洞类型呈多样化从 披 露 的 漏 洞 类 型 来 看 , 2019 年 最 常 见 的 漏 洞 类 型 与2018 年 相 似 , 具 体 包 括 缓 冲 区 溢 出 、 输 入 验 证 不 当 和 注 入 等( 图 3) 。 在 卡 巴 斯 基 识 别 的 103 个 漏 洞 中 , 44.7%的 漏 洞 可被 用 于 发 起 针 对 工 业 控 制 系 统 的 远 程 代 码 执 行 或 拒 绝 服 务( DoS) 攻 击 , 13.6%漏 洞 可 被 攻 击 者 利 用 以 提 升 权 限 或 会 话劫 持 。 其 中 , 在 典 型 PLC 执 行 环 境 中 发 现 的 9 个 漏 洞 允 许 攻击 者 秘 密 修 改 工 业 流 程 , 由 于 这 些 漏 洞 利 用 过 程 很 难 被 发 现 ,因 此 , 该 类 攻 击 可 能 非 常 持 久 , 对 工 业 生 产 运 行 造 成 极 大 的安 全 威 胁 和 物 理 影 响 。 4 二、工业主机网络攻击分析 图 4 2018 和 2019 年 度 检 测 到 恶 意 活 动 的 工 业 控 制 系 统 主 机 占 比 (一)工业控制系统主机受攻击数量有所降低2019 年 , 卡 巴 斯 基 检 测 到 恶 意 活 动 的 工 业 控 制 系 统 主 机占 比 达 46.4%, 涉 及 SCADA 服 务 器 、 数 据 存 储 服 务 器 、 数据 网 关 、 工 程 师 和 操 作 员 工 作 站 、 人 机 界 面 等 。 从 变 化 趋 势来 看 , 2019 年 , 检 测 到 恶 意 活 动 的 工 业 控 制 系 统 主 机 较 2018年 下 降 了 0.8%。 同 时 , 2019 年 延 续 了 近 年 来 工 业 控 制 系 统主 机 威 胁 在 春 季 和 秋 季 高 发 的 季 节 性 波 动 特 征 。 详 见 图 4 和图 5。 5图 6 2019 年 中 国 工 业 控 制 系 统 主 机 检 测 到 恶 意 软 件 活 动 情 况 图 5 2018 和 2019 每 月 检 测 到 恶 意 活 动 的 工 业 控 制 系 统 主 机 占 比2019 年 , 至 少 检 测 到 一 次 恶 意 活 动 的 中 国 工 业 控 制 系 统主 机 占 比 达 51.9%, 其 中 , 上 半 年 约 为 55%, 下 半 年 约 为 51%。2019 年 , 每 月 平 均 有 35%的 中 国 工 业 控 制 系 统 主 机 受 恶 意 软件 攻 击 , 详 见 图 6。 (二)互联网依然是工业控制系统主机安全威胁的主要来源2019 年 , 互 联 网 、 可 移 动 设 备 、 邮 件 依 然 是 工 业 控 制 系统 主 机 面 临 的 三 大 威 胁 来 源 。 从 检 测 到 上 述 威 胁 的 工 业 控 制系 统 主 机 占 比 来 看 , 互 联 网 约 23.8%, 可 移 动 设 备 约 8%, 邮件 约 5%。 与 2018 年 度 相 比 , 互 联 网 威 胁 占 比 下 降 约 2.9 个百 分 点 , 主 要 由 于 感 染 了 网 络 病 毒 的 网 站 页 面 浏 览 量 较 少 。 图 7 2018-2019 年 卡 巴 斯 基 拦 截 的 工 业 控 制 系 统 主 机 威 胁 来 源 占 比从 地 区 分 布 情 况 来 看 , 互 联 网 威 胁 是 全 球 所 有 地 区 工 业控 制 系 统 主 机 面 临 的 主 要 威 胁 来 源 , 详 见 图 8。 其 中 , 东 南亚 和 非 洲 地 区 是 工 业 控 制 系 统 主 机 遭 遇 安 全 威 胁 的 主 要 地区 , 而 中 国 的 工 业 控 制 系 统 主 机 受 到 互 联 网 和 电 子 邮 件 威 胁的 频 率 低 于 全 球 其 他 地 区 。 7 从 拦 截 恶 意 软 件 的 工 业 控 制 系 统 主 机 所 在 行 业 的 分 布来 看 , 建 筑 自 动 化 、 汽 车 制 造 、 电 力 能 源 、 石 油 天 然 气 、 工程 与 ICS集 成 是 遭 遇 安 全 威 胁 工 业 控 制 系 统 主 机 占 比 较 高 的前 五 大 行 业 。 其 中 , 建 筑 自 动 化 领 域 遭 遇 安 全 威 胁 的 工 业 控制 系 统 主 机 占 比 最 高 , 达 38%, 较 2018 年 同 期 增 长 近 6 个百 分 点 , 详 见 图 9。图 8 工 业 控 制 系 统 主 机 检 测 威 胁 来 源 地 区 分 布(三)建筑自动化、汽车制造、能源等领域是工业主机威胁的重灾区 8 图 9 工 业 控 制 系 统 主 机 威 胁 所 在 行 业 分 布 9 三、关键事件分析(一)针对工业企业的高级持续性威胁(APT)攻击活跃度攀升1. Hexane/OilRig/APT342019 年 8 月 , 工 业 信 息 安 全 公 司 Dragos 在 对 全 球 石 油和 天 然 气 行 业 网 络 攻 击 的 研 究 中 披 露 了 一 个 名 为 “Hexane”的新 组 织 , 并 将 其 与 来 自 伊 朗 的 OilRig 和 CHRYSENE 组 织 联系 起 来 。 研 究 显 示 , 该 组 织 的 攻 击 目 标 是 非 洲 、 中 东 和 西 南亚 地 区 的 石 油 、 天 然 气 和 电 信 行 业 。 尽 管 Dragos 并 未 在 研 究 中 披 露 该 组 织 的 网 络 入 侵 指 标( Indicators of compromise), 但 卡 巴 斯 基 、 Secureworks、 IBMX-force 等 安 全 公 司 的 研 究 也 陆 续 证 实 了 该 组 织 的 攻 击 活 动 。卡 巴 斯 基 的 分 析 显 示 , 新 一 轮 攻 击 所 使 用 的 TTP 和 此 前OilRig 组 织 使 用 的 TTP 有 一 些 相 似 之 处 。 而 从 目 前 相 对 简 单的 攻 击 手 法 和 散 播 病 毒 程 式 的 不 断 演 变 来 看 , 卡 巴 斯 基 认 为该 组 织 仍 在 试 错 阶 段 , 并 在 寻 找 逃 避 检 测 的 最 佳 途 径 。 IBMX-force 的 分 析 显 示 , APT34(又 名 OilRig 和 Crambus)策 划 了针 对 中 东 能 源 设 施 的 攻 击 , 该 攻 击 使 用 了 一 种 名 为“ZeroCleare”的 数 据 清 除 恶 意 软 件 。 2. APT32/海 莲 花据 Fireeye 的 研 究 发 现 , 近 年 来 以 攻 击 记 者 和 政 府 组 织 10 闻 名 的 黑 客 组 织 APT32/海 莲 花 , 2019 年 开 始 积 极 组 织 针 对跨 国 汽 车 公 司 的 网 络 攻 击 。 2019 年 2 月 起 , 该 组 织 向 5 到10 家 汽 车 行 业 的 机 构 发 送 钓 鱼 邮 件 , 还 为 丰 田 汽 车 和 现 代 汽车 创 建 了 假 域 名 , 试 图 进 入 汽 车 制 造 商 的 网 络 。 目 前 还 不 清楚 这 些 攻 击 是 否 成 功 。据 丰 田 方 面 表 示 , 3 月 丰 田 发 现 该 公 司 遭 到 来 自 越 南 和泰 国 的 攻 击 , 其 日 本 子 公 司 丰 田 东 京 销 售 控 股 公 司 也 遭 到 了攻 击 , 而 APT32 组 织 被 丰 田 的 一 位 官 员 确 认 是 此 次 攻 击 的 罪魁 祸 首 。(二)关键信息基础设施和工业领域勒索软件攻击数量 激增2019 年 , 全 球 勒 索 软 件 攻 击 呈 高 发 态 势 , 且 攻 击 受 害 者涵 盖 众 多 关 键 信 息 基 础 设 施 机 构 和 工 业 企 业 。 据 卡 巴 斯 基 数据 显 示 , 2019 年 , 至 少 174 家 市 政 机 构 遭 受 勒 索 软 件 攻 击 ,较 2018 年 增 长 约 60%。1. LockerGoga 加 密 勒 索 软 件2019 年 3 月 , 作 为 全 球 最 大 的 铝 生 产 商 之 一 的 挪 威 冶 金巨 头 Norsk Hydro 遭 遇 LockerGoga 勒 索 软 件 攻 击 。 该 勒 索 软件 通 过 感 染 轧 制 产 品 和 挤 压 工 厂 的 工 业 网 络 , 阻 塞 了 生 产 系统 , 导 致 Norsk Hydro 公 司 在 挪 威 、 卡 塔 尔 和 巴 西 等 多 个 国 家 的 业 务 和 工 业 流 程 中 断 , 对 全 球 40 个 国 家 170 个 不 同 站点 的 2.2 万 台 电 脑 造 成 影 响 。 此 次 攻 击 造 成 的 经 济 损 失 总 额 11 达 到 5.5亿 至 6.5亿 挪 威 克 朗 ( 约 合 6,050万 至 7,150万 美 元 ) 。LockerGoga 勒 索 软 件 的 受 害 者 还 包 括 法 国 咨 询 公 司 AltranTechnologies 和 两 家 美 国 化 工 企 业 Hexion 和 Momentive。2. Ryuk 勒 索 软 件自 2018 年 8 月 被 首 次 发 现 以 来 , Ryuk 勒 索 软 件 始 终 保持 较 高 活 跃 度 , 并 已 将 目 标 瞄 准 至 工 业 领 域 。 攻 击 者 试 图 对受 攻 击 目 标 至 关 重 要 的 运 营 服 务 系 统 进 行 渗 透 , 并 对 系 统 中的 数 据 进 行 加 密 。 Ryuk 勒 索 软 件 使 用 了 安 全 加 密 算 法 , 这 也意 味 着 在 没 有 私 钥 的 情 况 下 解 密 文 件 是 不 可 能 的 。2019 年 , 多 家 大 型 企 业 和 市 政 服 务 遭 遇 Ryuk 加 密 勒 索 软 件 攻 击 事 件 。 2019 年 12 月 , 美 国 海 岸 警 卫 队 (USCG)发 布了 关 于 Ryuk 勒 索 软 件 攻 击 海 上 运 输 安 全 法 案 ( MTSA) 监 管设 施 的 警 报 。 公 告 指 出 , 攻 击 者 发 起 钓 鱼 邮 件 活 动 , 在 员 工点 击 邮 件 中 的 嵌 入 式 恶 意 链 接 后 , 恶 意 软 件 被 下 载 到 IT 网 络中 , 并 进 一 步 渗 透 到 监 控 和 控 制 货 物 装 卸 的 工 业 控 制 系 统 ,加 密 了 该 系 统 运 作 所 需 的 重 要 文 件 。 此 次 攻 击 导 致 该 设 施 完全 关 闭 运 营 长 达 30 多 个 小 时 , 该 设 施 的 摄 像 机 和 物 理 访 问控 制 系 统 中 断 。 此 外 , Ryuk 勒 索 软 件 还 破 坏 了 五 个 石 油 和 天然 气 设 施 。 这 些 攻 击 没 有 摧 毁 任 何 设 施 , 但 工 业 设 备 的 远 程监 控 瘫 痪 了 长 达 72 小 时 , 迫 使 这 些 设 施 的 运 营 方 切 换 到 手 动 模 式 。3. MegaCortex 和 Snake 12 2019 年 , 研 究 人 员 发 现 了 意 图 破 坏 工 业 软 件 运 行 的 新 型加 密 勒 索 软 件 : MegaCortex 和 Snake。 这 类 新 型 恶 意 软 件 引起 了 业 界 的 广 泛 关 注 , 其 主 要 特 征 是 在 开 始 数 据 加 密 之 前 终止 攻 击 对 象 的 进 程 列 表 。 这 个 进 程 列 表 不 仅 包 括 反 恶 意 软 件解 决 方 案 、 数 据 库 服 务 器 和 浏 览 器 等 进 程 , 还 包 括 工 业 自 动化 系 统 软 件 。MegaCortex 是 在 2019 年 年 中 针 对 企 业 的 攻 击 事 件 中 被发 现 的 , 是 此 类 恶 意 软 件 中 的 第 一 个 。 在 不 到 一 年 的 时 间 中 ,该 恶 意 软 件 不 断 演 变 并 出 现 了 具 有 新 功 能 的 新 版 本 , 在 开 始加 密 前 终 止 进 程 列 表 中 包 含 1,000 多 个 进 程 。 12 月 中 旬 , 又 发 现 了 一 个 被 称 为 Snake( 或 EKANS) 的 加 密 勒 索 软 件 。Snake 也 有 一 个 开 始 加 密 前 终 止 进 程 列 表 。 值 得 注 意 的 是 ,Snake勒 索 软 件 的 终 止 进 程 列 表 和 MegaCortex的 列 表 基 本 相同 , 包 含 了 工 业 系 统 特 有 的 一 些 进 程 。 这 些 与 工 业 自 动 化 系统 软 件 相 关 的 进 程 包 括 : 通 用 电 气 Proficy 历 史 数 据 库 ( 客 户 端 和 服 务 器 部 分 ) ; 通 用 电 气 Fanuc 许 可 服 务 器 ; 霍 尼 韦 尔 的 HMI Web 应 用 程 序 ; FLEXNet 许 可 服 务 器 ; Sentinel HASP 许 可 管 理 器 ; ThingWorx 工 业 连 接 套 件 ; 各 种 历 史 数 据 库 中 使 用 的 各 种 数 据 库 进 程 13 卡 巴 斯 基 认 为 , MegaCortex 和 Snake 是 两 个 对 工 业 自 动化 系 统 具 有 高 度 针 对 性 和 破 坏 性 的 勒 索 软 件 。 尽 管 这 两 个 勒索 软 件 不 能 对 工 业 进 程 进 行 任 何 操 作 , 但 终 止 工 业 控 制 系 统软 件 中 特 有 进 程 的 行 为 可 能 导 致 网 络 和 物 理 层 面 的 严 重 后果 。(三)能源行业工业信息安全威胁进一步加剧卡 巴 斯 基 对 全 球 能 源 行 业 的 工 业 主 机 , 在 发 电 、 输 电 和配 电 系 统 中 用 于 配 置 、 维 护 和 控 制 的 设 备 及 控 制 系 统 所 面 临的 网 络 威 胁 进 行 了 研 究 。 研 究 显 示 , 加 密 货 币 矿 工 (2.9%)、蠕 虫 (7.1%)和 各 类 通 用 间 谍 软 件 (3.7%)是 检 测 到 的 最 为 危 险 的 三 类 恶 意 活 动 。 一 旦 感 染 上 述 恶 意 软 件 , 将 对 工 业 控 制 系统 和 工 业 网 络 的 可 用 性 和 完 整 性 产 生 负 面 影 响 。2019 年 以 来 , 全 球 范 围 内 先 后 发 生 了 多 起 针 对 能 源 行 业的 工 业 信 息 安 全 事 件 , 对 能 源 行 业 的 生 产 运 行 造 成 不 同 程 度的 影 响 。 3 月 , 美 国 西 部 某 电 力 设 施 的 边 界 防 火 墙 遭 遇 不 明网 络 攻 击 , 导 致 电 力 系 统 运 行 控 制 中 心 和 企 业 多 个 站 点 上 的设 备 之 间 的 通 信 中 断 ; 9 月 , 印 度 库 丹 库 拉 姆 核 电 站 被 发 现感 染 恶 意 软 件 , 攻 击 者 可 以 从 被 感 染 的 计 算 机 中 收 集 和 获 取数 据 ; 12 月 , 巴 林 国 家 石 油 公 司 Bapco 遭 到 Dustman 恶 意 软件 袭 击 , 部 分 计 算 机 受 到 影 响 。 14 四、对策建议2019 年 , 工 业 控 制 系 统 漏 洞 数 量 持 续 增 长 , 中 高 危 漏 洞占 比 不 断 扩 大 。 恶 意 软 件 通 过 互 联 网 、 可 移 动 设 备 以 及 邮 件等 渠 道 持 续 向 工 业 企 业 渗 透 , 工 业 控 制 系 统 主 机 遭 受 攻 击 数量 有 所 降 低 , 但 网 络 威 胁 形 势 依 旧 严 峻 。 全 球 范 围 内 针 对 工业 企 业 的 APT攻 击 活 动 日 益 猖 獗 , 关 键 信 息 基 础 设 施 和 工 业企 业 频 繁 遭 遇 勒 索 软 件 攻 击 , 重 大 安 全 事 件 处 于 高 发 态 势 ,工 业 控 制 系 统 信 息 安 全 形 势 仍 旧 不 容 乐 观 。 为 应 对 持 续 攀 升的 工 业 信 息 安 全 风 险 , 建 议 从 安 全 管 理 体 系 、 安 全 技 术 手 段 、 安 全 意 识 水 平 等 方 面 着 力 , 切 实 提 升 工 业 信 息 安 全 防 护 能 力和 保 障 水 平 。(一)完善工业信息安全管理体系组 织 领 导 方 面 , 加 强 工 业 信 息 安 全 统 筹 协 调 , 强 化 企 业工 业 信 息 安 全 管 理 , 制 定 覆 盖 IT/OT 网 络 、 设 备 、 系 统 、 数据 等 多 层 级 的 安 全 管 理 制 度 ; 体 制 机 制 方 面 , 落 实 “ 三 同 步 ”原 则 , 在 新 建 或 改 造 自 动 化 、 信 息 化 、 数 字 化 工 程 中 , 加 强安 全 基 础 设 施 的 同 步 推 进 ; 资 源 保 障 方 面 , 指 定 全 职 的 工 业信 息 安 全 管 理 人 员 系 统 推 进 工 业 信 息 安 全 建 设 , 将 工 业 信 息安 全 工 作 纳 入 考 核 范 畴 , 保 证 企 业 所 需 的 安 全 防 御 工 具 、 产 品 、 服 务 的 购 买 、 运 行 、 更 新 和 维 护 获 得 足 额 的 经 费 支 持 。 15 (二)加强工业信息安全项目建设能力 安 全 意 识 方 面 , 制 定 工 业 信 息 安 全 教 育 和 培 训 计 划 , 细化 企 业 不 同 岗 位 人 员 的 工 业 信 息 安 全 责 任 和 考 核 机 制 , 定 期开 展 工 业 信 息 意 识 教 育 、 技 术 培 训 和 技 能 考 核 , 安 全 技 能 方面 , 着 力 加 强 企 业 自 身 工 业 信 息 安 全 队 伍 建 设 , 提 高 从 业 人员 整 体 素 质 , 形 成 企 业 内 部 的 专 业 骨 干 力 量 。 积 极 聘 请 行 业专 家 , 组 织 理 论 培 训 和 操 作 演 示 , 提 升 关 键 岗 位 技 术 人 员 的防 护 技 能 。 动 员 企 业 工 业 信 息 安 全 队 伍 , 积 极 参 加 行 业 协 会 、产 业 联 盟 等 组 织 开 展 的 重 要 赛 事 , 提 升 工 业 信 息 安 全 实 战 水平 。 强 化 安 全 整 体 思 维 , 将 工 业 信 息 安 全 能 力 建 设 与 工 业 生产 运 行 等 流 程 深 度 融 合 , 形 成 IT/OT一 体 化 的 安 全 运 营 模 式 ,明 确 工 业 信 息 安 全 保 障 体 系 和 能 力 建 设 的 目 标 和 推 进 路 径 ,实 现 全 生 命 周 期 的 工 业 信 息 安 全 保 障 能 力 ; 丰 富 安 全 技 术 手段 , 大 力 提 升 恶 意 软 件 拦 截 能 力 , 加 强 工 业 主 机 、 工 业 大 数据 安 全 防 护 水 平 , 整 合 局 部 性 安 全 防 御 工 具 , 构 建 覆 盖 威 胁检 测 、 态 势 感 知 、 威 胁 防 御 、 应 急 响 应 等 一 体 化 的 安 全 防 护体 系 。( 三 ) 提 升 人 员 工 业 信 息 安 全 综 合 水 平
