2018-2019中国工业互联网安全应急响应和产业态势分析报告 2019.3 勒索病毒攻击已经成为工业企业面临的最大安全问题之一，勒索病毒导致工业互联网企 业停产的事件频繁发生。系统暴露，系统漏洞，远程维护成为勒索病毒入侵的主要原因。 勒索病毒的流行彻底打破了“一般互联网安全威胁对工业系统是无害的”这个传统认知。 1） 从问题和现象上看：企业遭受攻击后的现象多为蓝屏、重启、勒索；病毒多为“永 恒之蓝”蠕虫变种、挖矿蠕虫；蠕虫病毒普遍利用 MS17-010 漏洞进行大面 积传播； 2） 从行业分布上看：当前感染蠕虫病毒的企业多为智能制造、钢铁、烟草等行业的企业； 3）从根本原因分析上看：工业环境缺乏基本的安全防护为最主要原因。 病毒攻击的目标为主机，而工业主机基本处于裸奔状态；其次网络结构划分不当，缺 乏边界防护和网络流量监测手段；再次就是安全管理的问题，包括补丁管理、移动介质使用、 第三方运维准入、网络资产台账、人员管理、安全意识提升等等多个方面。 建立低位、中位、高位能力 “三位一体 ”的工业互联网信息安全产品体系将成为产业未来发展的重要趋势。 工业互联网信息安全市场产品结构可从 低到高分为三层：防护监测层、安全运营层、态 势感知层。这三层产品分别实现不同的安全功能，三层产品进行数据、指令、威胁情报的流 动，实现协同联动的整体防护效果。其中数据从低到高流动，威胁情报从高到低赋能。 梳理工业资产，重点关注工业主机资产，做好工业主机防护。 值得关注的是，近一年来国内在汽车、电子制造、钢铁冶炼、机械加工、微电子等行业 发生的数起工业安全事件，八成首先攻击或影响的是工业主机，只有二成是其他原因，利用 好这个二八定律，从工业主机开始构建工业互联网安全防护体系，将取得“最高费效比”实 现“事半功倍”。 摘要 病毒攻击的目标为主机，而工业主机基本处于裸奔状态； 传统的安全防御产品已逐渐乏力、无法有效应对越来越严重的安全威胁，构建层次清晰、 定位明确、融合联动的工业互联网信息安全产品体系将成为产业未来发展的重要趋势； 工业互联网信息安全市场产品结构可从低到高分为三层：防护监测层、安全运营层、态势感知层； 防护监测层产品处于产品体系功能层级的最低层，此类产品进行数据采集，在发现威胁 或接到上层安全运营类产品命令时实施处置，具备简单的分析功能； 安全运营层产品处于产品体系功能层级的中层，此类产品技术核心是威胁 情报利用、安 全可视化、大数据处理技术； 安全态势感知层产品处于产品体系功能层级的最高层，此类产品主要部署在政府主管部 门或大型企业集团总部，负责对辖区和主管范围内的主要工业企业进行态势感知和安全监管。 梳理工业资产，重点关注工业主机资产，做好工业主机防护； 持续监测生产风险； 统筹规划，合力发展； 顶层设计，标准推动； 重视人才，培养高端。 目 录 研究背景 . 1 第一章 工业互 联 网安 全 应急 响 应典 型 案例 及 总结 . 2 一、 360 在工业 安 全应 急 响应 中 的 典 型案例 . 2 （一） 某知名 汽 车零 部 件生 产 企业 遭 受 ?永恒 之 蓝 ?勒索 病 毒 攻 击 . 2 （二） 某大型 炼 钢厂 遭 受挖 矿 蠕虫 病 毒攻击 . 3 （三） 某卷烟 厂 遭受 蠕 虫病 毒 攻击 . 3 （四） 某半导 体 制造 企 业遭 勒 索软 件 攻击 . 4 二、 工业互 联 网安 全 应急 响 应案 例 总结 . 4 (一 ) 勒索病 毒 主要 攻 击目 标 瞄准 工 业主机 . 4 (二 ) 构造完 善 的工 业 安全 产 业体系 . 5 第二章 工业互 联 网安 全 产业 态 势 . 6 一、 工业 互 联 网安 全 产业 结 构 . 6 （一） 高中低 位 能力 安 全产 品 体系 . 6 （二） 防护监 测 层产品 . 6 （三） 安全运 营 层产品 . 6 （四） 安全态 势 感知 层 产品 . 7 二、 GARTNER 关于 OT 市场的分析 . 7 第三章 工业互 联 网安 全 发展 建 议 . 9 一、 对工业 企 业的 建 议 . 9 二、 对安全 服 务机 构 的建议 . 9 三、 对政府 主 管部 门 的建议 . 10 附录一 工业 互 联网 安 全事件 . 11 一、 美国通报 ?熔 断 ?和 ?幽 灵 ?高 危漏洞 . 11 二、 台积电 三 大基 地 疑遭 勒 索软 件 攻击 停摆 . 11 三、 英国 2700 万能 源 智能 电 表存 在 安全 漏 洞 . 11 四、 美国天 然 气输 气 管道 电 子系 统 遭受 供 应链 攻 击 . 12 五、 伊朗机 场 显示 屏 幕遭 受 黑客 攻 击 . 12 六、 俄罗斯 400 多 家 工业 企 业遭 遇 网络 钓 鱼攻击 . 12 七、 乌克兰 国 防系 统 密码 竟 为初 始 密码 ?23456?. 13 八、 某市北 控 水务 集 团远 程 数据 监 测平 台 遭到 黑 客攻击 . 13 附录二 工业 控 制系 统 安全 国 家地 方 联合 工 程实 验 室 . 14 1 研究背景 在政策与技术的双轮驱动下，工业控制系统正在越来越多地与 企业内网和互联网相连接， 并与新型服务模式相结合，逐步形成了工业互联网架构。工业互联网是数字浪潮下，工业体 系和互联网体系的深度融合的产物，是新一轮工业革命的关键支撑。工业互联网的发展一方面 极大的促进了生产效率和服务水平的提高，另一方面也使原本封闭的系统变得越来越开 放 ，致使系统安全风险和入侵威胁不断增加，网络安全问题日益突出。 工业互联网目前已经广泛应用于电力、交通、石油、取暖、制造业等关键信息基础设施 领域，一旦发生安全事件，往往会造成巨大的损失和广泛的影响。但是，由于工业互联网环 境的特殊性，传统的 IT 信息安全技术并不能完全有效的保护工业系统的安全，甚至很多常用的安全技术都不能直接应用于工业网络的安全防护。对于工业互联网安全的分析与防护， 需要使用一些专门的方法和专用的技术。 工业控制系统安全国家地方联合工程实验室 （ 以下简称“联合实验室” ） 于 2017 年发布 IT/OT 一体化工业信息安全态势报告，总结分析 IT/OT 融合带来的新挑战，给出工业信 息安全建议和展望。 为给政府部门、科研机构和工业企业提供参考和借鉴，联合实验室编撰了中国工业互 联网安全应急响应和产业态势分析报告 （ 2018） 。本报告 旨在总结 360 工业安全应急响应中 心在 2018 年处置的工业安全事件为基础，分析总结应急处置后的经验，工业互联网安全产品体系及工业互联网安全发展建议，供合作伙伴及企业客户决策参考使用。 2 中国工业互联网安全应急响应和产业态势分析报告 （ 2018） 内容被综合收录到 IT/OT 一体化工业信息安全态势报告 （ 2018） 年度报告中。IT/OT 一体化工业信息安全态势报告（ 2018） 是续 2017 年发布IT/OT 一体化工业信息安全态势报告 （ 2017） 后， 总结分析 2018 年工业互联网 IT/OT 融合带来的新挑战，安全现状、产业发展趋势、重大应 用案例等，给出 2019 年工业信息安全建议和展望。 最后，希望本报告能够帮助读者对工业互联网安全有一个更加全面、前沿的认识。 3 第一章 工业互 联 网安 全 应急 响 应典 型 案 例 及总结 随着互联网与工业融合创新的不断推动，电力、交通、市政等大量关系国计民生的关键信息基础设施日益依赖于网络，并逐步与公共互联网连接，一旦受到网络攻击，不仅会造成巨大经济损失，更可能带来环境灾难和人员伤亡，危及公众生活和国家安全，安全保障能力已成为影响工业互联网创新发展的关键因素。 近年来 ，工业互联网安全事件层出不穷，安全形式日益严峻。本节主要分析 360 在 2018 年处理分析的典型应急响应案例，并对处置的应急响应进行总结。 一、 360 在工业安全应急响应中的典型案例 （一）某知名汽车零部件生产企业遭受 “永恒之蓝 ”勒索病毒攻击 场景回顾 2018 年 7 月 17 日，某知名汽车零部件生产企业工业生产网络遭受“ 永恒之蓝 ” 勒索病毒的攻击，酸轧生产线一台 Windows Server08 R2 主机出现蓝屏、重启现象。当日晚上， 4 台服务器出现重启，现场工程师通过查阅资料，对病毒进行了手 动处理。 9 月 10 日开始各条生产线出现大量蓝屏和重启现象，除重卷、连退生产线外，其他酸轧、包装、镀锌生产线全部出现病毒感染、蓝屏 /重启现象。此时，病毒已对正常生产造成严重影响。 9 月 12 日，该汽车板厂求助 360 工业互联网安全应急响应中心， 360 工业安全应急响应中心高度重视，对事件进行全面处置。 问题研判 经过对各生产线的实地查看和网络分析可知，当前网络中存在的主要4 问题有： 1）网络中的交换机未进行基本安全配置，未划分 VLAN，各条生产线互通互联，无明显边界和基本隔离； 2）生产线为了远程维 护方便，分别开通了 3 个运营商 ADSL 拨号，控制网络中的主机在无安全措施下访问外网； 3）控制网中提供网线接入，工程师可随意使用自己的便携机接入网络； 4） U 盘随意插拔，无制度及管控措施； 5）安全意识不高； 6） IT、 OT 的职责权限划分不清晰。 处置方案 攻击目标是经过精心选择的，承载了核心业务系统，客户一旦中招须缴纳赎金或者自行解密，否则业务瘫痪。镀锌生产线处于停产状态，以“ 处置不对工业生造成影响或最小影响 ” 为原则，首先检查镀锌生产线服务器。然后进行病毒提取；停止病毒服务；手动删除病毒； 对于 在线终端，第一时间推送病毒库更新和漏洞补丁库并及时采取封端口、打补丁等措施， 避免再次感染。 5 （二）某大型炼钢厂遭受挖矿蠕虫病毒攻击 场景回顾 2018 年 10 月 31 日， 360 工业安全应急响应中心接到该炼钢厂电话求助，称其工业生产网络自 10 月起各流程工艺主机遭受了蠕虫病毒的攻击，出现不同程度蓝屏、重启现象。早期在其他分厂区曾出现过类似现象， 10 月 18 日该炼钢分工厂出现主机蓝屏重启， 10 月 30 日晚间蓝屏重启主机数量增多，达到十几台。意识到病毒在 L1 生产网络有爆发的趋势，厂区紧急 配置了趋势杀毒服务器，并在各现场工控主机终端安装趋势杀毒网络版本进行杀毒， 部分机器配合打补丁进行应急处置。 问题研判 通过 360 工业安全应急响应人员近两天的情况了解、现场处置，可以确认 L1 网络中感染了利用 “ 永恒之蓝 ” 漏洞传播的挖矿蠕虫病毒（Wannamine）， OA/MES 网络主机既感染了挖矿蠕虫病毒，又感染了 “ 永恒之蓝 ” 勒索蠕虫变种。由于网络未做好隔离与最小访问控制， 关键补丁未安装（或安装未重启生效），蠕虫病毒通过网络大肆快速传播与感染，导致蓝屏、重启事件。网内主机感染时间有先后，网络规模 庞大，因业务需要，外网主机可远程通过 VPN 访问生产网中主机，进而访问现场 PLC；网络中存在多个双网卡主机，横跨 L1、 L2 网络， 进而造成整个 L1 、 L2、 L3 实质上为互联互通；同时传播感染有一定的时间跨度，被感染的主机亦可以攻击网络中其他目标，无全网全流量监控。由分析可知，挖矿蠕虫病毒、 “ 永恒之蓝 ” 勒索蠕虫变种通过某种网络途径，采用系统漏洞利用的方式传入，由于内部网络无基本安全防护措施且互联互通，进而导致了病毒迅速蔓延扩散。 处置方案