2020工业控制网络安全态势白皮书.pdf

声明东北大学“谛听”网络安全团队版权所有，并保留对本报告本声明的最终解释权和修改权。未经东北大学“谛听”网络安全团队同意，任何人不得以任何形式对本报告内的任何内容进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。文档依据现有信息制作，其内容如有更改，恕不另行通知。东北大学“谛听”网络安全团队在编写该文档的时候已尽最大努力保证其内容准确可靠，但难免存在遗漏、不准确、或错误，恳请各界批评指正。有任何宝贵意见或建议，请反馈至：电子邮箱：官方网站：微信公众号：谛听ditecting编著报告数据提供：“谛听”网络安全团队全体成员报告数据可视化：金玉多、李凤来、周子业、田元报告数据分析：“谛听”网络安全团队全体成员报告编写：姚羽教授、金玉多、田元、张晨、刘旭辉、周子业、杨道青目录1. 前言.12. 2020年工控安全相关政策法规报告.22.1中华人民共和国密码法.22.2工业数据分类分级指南（试行）.22.3关于推动工业互联网加快发展的通知.32.4网络安全等级保护定级指南.3 2.5网络安全审查办法.32.6贯彻落实网络安全等级保护制度和关键基础设施安全保护制度的指导意见. 42.7工业和信息化蓝皮书（2019-2020）.42.8中国网络安全产业白皮书（2020 年）.42.9“工业互联网+安全生产”行动计划(2021-2023 年).52.102020 人工智能与制造业融合发展白皮书.53. 2020年典型工控安全事件分析.6 3.1 黑客入侵乌克兰能源勘探生产公司 Burisma Holdings 网络.63.2 美国天然气运营商陷入网络攻击勒索事件.63.3 德葡萄牙电力集团(EDP)遭勒索巨额钱款.73.4 以色列供水部门工控设施受到黑客攻击.73.5 澳大利亚航运及物流公司四个月内接连两次遭受网络攻击.73.6 台湾两大炼油厂遭黑客勒索.83.7 本田公司受到工业型勒索软件攻击.8 3.8 Sodinokibi 勒索软件攻击巴西电力公司 Light SA.83.9 印度新冠疫苗制造厂遭受攻击导致数据泄露.93.10 巴西全球第三大飞机制造商遭勒索攻击并导致数据泄露. 93.11”SolarWinds”事件波及美国核武器库.9 4. 工控系统安全漏洞概况.105. 联网工控设备分布.135.1 国际工控设备暴露情况.165.2 国内工控设备暴露情况.175.3 国内工控协议暴露数量统计情况.206. 工控蜜罐数据分析.226.1 工控蜜罐全球捕获流量概况.22 6.2 工控系统攻击流量分析.246.3 工控系统扫描工具识别.277. 工控蜜罐与威胁情报关联分析.307.1 工控蜜罐识别情况.307.2 工控蜜罐与威胁情报数据关联分析.328. 总结. 35 1 1. 前言随着工业互联网与自动控制技术的融合发展，工业控制系统被广泛地应用于电力、交通、能源、水利、冶金、航空航天等国家重要基础设施。新一代的 5G 通信技术的出现及数字孪生时代的到来，工业互联网的安全将面临颠覆性的机遇，同时也意味着即将迎接更加严峻的挑战。工业互联网在疫情防控中表现出了独特的优势及顽强的生命力，这让更多的工业与制造业意识到实施信息化和智能化建设的重要性。因此在后新冠时代，加强新型基础设施建设，驱动信息技术创新，打造工业互联网主动安全防御和保护体系成为重要任务。习近平总书记在向 2020 中国 5G+工业互联网大会致贺信中指出， “5G 与工业互联网的融合将加速数字中国、智慧社会建设，加速中国新型工业化进程，为中国经济发展注入新动能，为疫情阴霾笼罩下的世界经济创造新的发展机遇。 ”面对突如其来的新冠肺炎疫情，工业互联网发挥了不可小觑的重要作用，加速了企业的复工复产，从而为疫情防控做出了卓越贡献。工业互联网的发展已经逐步迈向深耕阶段，助力工业与制造业全面实现信息化与智能化，为我国经济发展不断赋能。然而近年来，我国工业网络安全形势仍然较为严峻，必须尽快夯实安全基础，构筑新型防御体系，形成更加安全的工业互联网生态环境才能够为社会不断创造新的价值。2020 年 10 月，工业和信息化部应急管理部印发了 “工业互联网 +安全生产 ”行动计划 (2021-2023 年 ) 的通知，该行动计划旨在贯彻落实习近平总书记关于 “深入实施工业互联网创新发展战略 ”、 “提升应急管理体系和能力现代化 ”、 “从根本上消除事故隐患 ”的重要指示精神，推进关于深化新一代信息技术与制造业融合发展的指导意见深入实施，实现发展规模、速度、质量、结构、效益、安全相统一。为顺应国家形势，东北大学 “谛听 ”网络安全团队基于自身传统的安全研究优势开发设计并实现了 “谛听 ”网络空间工控设备搜索引擎（），并根据 “谛听 ”收集的各类安全数据，撰写并发布了 2020 年工业控制网络安全态势白皮书，读者可以通过报告了解 2020 年工控安全相关政策法规报告及典型工控安全事件分析，同时报告对工控系统漏洞、联网工控设备、工控蜜罐与威胁情报数据进行了阐释及分析，有助于全面了解工控系统安全现状，多方位感知工控系统安全态势，为研究工控安全相关人员提供参考。 2 2. 2020年工控安全相关政策法规报告随着制造强国、网络强国战略的实施，工业互联网扮演着越来越重要的角色。回顾2020 年，我国工业信息安全政策标准日趋完善，垂直行业建设提速，工业信息安全保障技术得到大幅提升，从而推动了整个安全产业的蓬勃发展。为加快构建工业互联网安全保障体系，进一步提升工业互联网安全建设水平，我国 2020 年度相继推出了多项与工业互联网信息安全相关的政策法规报告。通过梳理 2020 年度发布的相关政策法规报告，整理各大工业信息安全研究院及机构针对不同法规所发布的解读文件，现摘选部分重要内容并对其进行简要分析，以供读者进一步了解国家层面关于工控安全领域的政策导向。 2.1中华人民共和国密码法2020 年 1 月 1 日，中华人民共和国密码法正式开始实施。中华人民共和国密码法是我国密码领域的综合性、基础性法律，是国家总体安全观框架下，国家安全法律体系的重要组成部分。密码法的实施使得国家安全和社会共同利益得到了维护，同时也使得公民、法人和其他组织的合法权益得到了保护。密码法规定了国家对密码实行分类管理，依法保护密码领域的知识产权，加强密码工作机构建设等条例，提升了密码管理科学化、规范化、法治化水平，在国家安全维护工作中发挥着显著作用。2.2工业数据分类分级指南（试行）2020 年 2 月 27 日，工业和信息化部办公厅发布了关于印发工业数据分类分级指南（试行）的通知。该指南目的在于贯彻促进大数据发展行动纲要、大数据产业发展规划（ 2016-2020 年）等文件的有关要求，推动数据管理能力成熟度评估模型（ GB/T 36073-2018）贯标和工业控制系统信息安全防护指南的落实，为企业提升工业数据管理能力提供指导，从而促进工业数据的使用、流动与共享，将工业数据的潜在价值最大化，为高质量制造业的发展赋能。指南所指工业数据是工业领域产品、服务全生命周期产生和应用的数据，包括但不限于工业企业在研发设计、生产制造、经营管理、运维服务等环节中生成和使用的数据，以及工业互联网平台企业在设备接入、平台运行、工业 APP 应用等过程中生成和使用的数据。 3 2.3关于推动工业互联网加快发展的通知2020 年 3 月 6 日，工业和信息化部办公厅发布了关于推动工业互联网加快发展的通知。工业互联网作为工业全要素、全产业链、全价值链连接的枢纽，支撑着工业资源的泛在连接、弹性供给和高效配置，在推动复工复产、加快产业升级、保障经济运行等领域正发挥着重要作用。习近平总书记在统筹推进新冠肺炎疫情防控和经济社会发展工作部署会议上做出了重要指示，为深入贯彻此次讲话精神，落实中央关于推动工业互联网加快发展的决策部署，推动工业互联网在更广范围、更深程度、更高水平上的融合创新，为经济发展注入新动能，支撑高质量制造业的发展，就有关事项发布了该项通知。通知包含新型基础设施建设、融合创新应用、安全保障体系、创新发展动能、产业生态布局、产业政策支持等 6 大领域共 20 项举措。并明确提出要深化工业互联网行业应用，突出差异化发展，形成各有侧重、各具特色的发展模式，为下阶段我国工业互联网如何垂直深耕指明了方向。2.4网络安全等级保护定级指南2020 年 4 月 28 日，国家市场监督管理总局、国家标准化管理委员会正式发布了信息安全技术网络安全等级保护定级指南，并定于 2020 年 11 月 1 日正式实施。这意味着该指南所确立的网络安全等级保护制度在定级的原理、对象以及程序等多方面有了具体的实施依据。通过指导网络运营者合理划分定级对象，从而确保所做安全保护等级的正确性、准确性。等保指南对非涉及国家秘密的等级保护对象的定级方法和流程等内容进行了规定，为后续的安全建设整改、等级测评等工作奠定了良好基础。 2.5网络安全审查办法2020 年 6 月 1 日，国家互联网信息办公室会同国家发展改革委等十二个部门联合发布网络安全审查办法，是落实网络安全法要求、构建国家网络安全审查工作机制的重要举措，是确保关键信息基础设施供应链安全的关键手段，更是保障国家安全、经济发展和社会稳定的现实需要。近年来，全球范围内针对工业控制网络（关键基础设施的重要组成部分）的攻击行为种类不断增加，涉及金融、医疗卫生、交通、能源等领域，影响范围广泛、程度严重。因此，建立健全工控网络安全防护体制是关乎国家安全的战略优先事项，也是我国网络安全工作的重中之重。 4 2.6贯彻落实网络安全等级保护制度和关键基础设施安全保护制度的指导意见2020 年 7 月，公安部制定出台了贯彻落实网络安全等级保护制度和关键基础设施安全保护制度的指导意见，为进一步健全完善国家网络安全综合防控体系提供理论依据。指导意见提出，组织公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业部门和主管、监管部门制定本行业、本领域关键信息基础设施认定规则并报公安部备案。组织认定关键信息基础设施，及时将认定结果通知相关设施运营者并报公安部。符合认定条件的基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通讯设施等重点保护对象均应纳入关键信息基础设施。 2.7工业和信息化蓝皮书（2019-2020）2020 年 8 月 27 日上午，国家工业信息安全发展研究中心线上正式发布工业和信息化蓝皮书（ 2019-2020）。该书为连续第六年打造 “工信安全智库 ”品牌的核心产品，如今已成为工业和信息化领域决策支持、行业管理和企业发展的重要参考，受到政府管理部门、协会、企业和业内专家的高度关注和好评。工业和信息化蓝皮书包括新兴产业、数字经济、人工智能、消费品工业及工业信息安全五大领域，并以 “深拓数字潜能、融合引领变革 ”作为蓝皮书的主题。通过获取各领域前沿发展态势的信息，以传统产业与新一代信息技术深度融合的典型领域 “消费品工业 ”为焦点，全方位、多维度的展现了 “产业数字化和数字产业化 ”的最新动向和发展亮点。 2.8中国网络安全产业白皮书（2020 年）2020 年 9 月，中国信息通信研究院发布了中国网络安全产业白皮书（ 2020 年）。中国信通院根植于中国网络安全产业研究多年，多次公布其研究成果，本次白皮书已是中国信通院第六次发布其研究成果。该书延续了从规模结果、政府政策、企业发展、技术进展、人才培养等维度对国内外的安全产业进展跟踪分析。白皮书（ 2020 年）对当前的热点趋势，重点对工业互联网安全、云安全、零信任安全、 “人工智能 +大数据 ”、5G 安全等进行了分析与预测。白皮书指出，中国信通院在本年度紧密跟踪国内外网络安全产业的发展动态，重点关注了产业综合现状，还结合新冠疫情等热点事件对我国产业发展进行了现状分析，并对未来网络安全技术和产业发展前景做出展望。 5 2.9“工业互联网+安全生产”行动计划(2021-2023 年)2020 年 10 月 10 日，工业和信息化部应急管理部印发了 “工业互联网 +安全生产 ”行动计划 (2021-2023 年 ) 的通知。所谓的 “工业互联网 +安全生产 ”，即通过工业互联网在安全生产中的融合应用，增强工业生产厂商的感知、监测、预警、处置和评估能力，从而加速安全生产从静态分析向动态感知、事后应急向事前预防、单点防控向全局联防的转变，从根本上提升工业生产的安全水平。该行动计划旨在贯彻落实习近平总书记关于 “深入实施工业互联网创新发展战略 ”、 “提升应急管理体系和能力现代化 ”、 “从根本上消除事故隐患 ”等重要指示精神，推进关于深化新一代信息技术与制造业融合发展的指导意见深入实施，实现发展规模、速度、质量、结构、效益及安全的统一。 2.102020 人工智能与制造业融合发展白皮书2020 年 11 月，国家工业信息安全发展研究中心发布 2020 人工智能与制造业融合发展白皮书。白皮书指出现阶段的 “人工智能 +制造 ”主要面临以下挑战。一是难以准确衡量人工智能的价值。目前部分细分行业人工智能应用路径不明晰的问题依旧存在，难以准确核算应用风险、收益和成本。二是部分领域数据资产管理能力有待提升。由于制造业碎片化严重，不同场景下的数据量巨大，加之各设备数据协议标准尚未统一，导致数据互联互通存在极大困难。三是工业深水区的解决方案缺失。目前人工智能应用多集中在质量检测等少数热门场景，因此需要挖掘更多的应用场景。四是复合型人才缺口较大。人工智能与制造业的融合，需要同时掌握人工智能技术和制造业细分行业的生产特点、流程、工艺的复合型人才，现阶段该类人才极其匮乏，导致企业人力成本较高。随着 “人工智能 +制造 ”的发展，提升安全保障能力将成为人工智能与制造业融合的重要基础。 6 3. 2020年典型工控安全事件分析2020 年伊始，突然爆发的新冠肺炎疫情席卷全球，直接推动了全球企业加速数字化转型，同时也为工业网络带来了更高的网络安全风险，针对政府、企业、医疗产业等 “底层支柱 ”行业的攻击更加频繁。下介绍部分在 2020 年发生的典型的工控安全相关事件。通过这些事件，可以了解针对工业网络进行攻击的技术趋势，为有效应对未来攻击事件设计更有效的对抗策略。3.1黑客入侵乌克兰能源勘探生产公司 Burisma Holdings 网络2020 年 1 月据纽约时报报道，一家安全公司发现有迹象表明，黑客已经成功入侵了乌克兰天然气公司 Burisma Holdings，该公司是一家位于乌克兰基辅的能源勘探和生产公司。据安全公司探查，发现黑客是通过窃取内部的邮件账号登陆凭证和管理权限，再利用电子邮件账户中的数据及操作权限进行网络钓鱼攻击。此次攻击成功的关键是攻击者将病毒程序伪装成该公司常用业务的相关应用程序，导致 Burisma Holdings 员工不能及时发现木马的存在，说明攻击者对于此次攻击谋划已久，是典型的 APT 攻击。3.2美国天然气运营商陷入网络攻击勒索事件2020 年 2 月，据美国网络安全和基础设施安全局 (DHS CISA)透露，美国的一家天然气运营商陷入网络攻击勒索事件。攻击者使用 “商用勒索软件 ”成功入侵目标设备的 IT 和 OT 网络，并对网络中的数据进行加密。 OT 网络中的相关进程受到了最直接的影响，例如人机交互界面，轮询服务器和数据记录系统均无法正常使用，导致运营人员无法从OT 设备报告中获取实时操作数据。此次攻击之所以能够成功，是因为该天然气运行商没有足够重视相关的网络安全。在事件中该公司暴露出几个安全疏漏：首先，对于 IT 和 OT 网络没有较为健壮的边界防御系统，使黑客通过 IT 网络轻而易举地潜入 OT 网络中对公司造成损害。其次，该公司员工点击了带有恶意链接的鱼叉式钓鱼邮件，借此攻击者成功访问公司的 IT 网络。最后，对于天然气企业而言，该公司在应急措施方面并没有成熟的应急响应计划，只能采取停用的办法，这对用户造成相当大的影响。 7 3.3德葡萄牙电力集团(EDP)遭勒索巨额钱款2020 年 4 月，某匿名攻击者使用 Ragnar Locker 勒索软件入侵葡萄牙电力集团 (EDP)的系统。该攻击者发送威胁信声称自己已经获得 10TB 公司机密信息，并计划将此次入侵行为通知所有与公司合作的客户。借此来勒索 1580 比特币（折合约 1090 万美元 /990万欧元 /7124 万人民币）。攻击者还通过公司的客服窗口和 EDP 进行交流，警告 EDP 不要试图用 RagnarLocker 以外的解密工具解密文件，否则可能会导致数据损坏或者丢失。嚣张的攻击者甚至还声称如果 EDP 在两日内联系他们，他们会给 EDP 减少赎金金额。 EDP 公司并未回应此次的黑客事件。 3.4以色列供水部门工控设施受到黑客攻击2020 年 4 月 23 日，以色列国家网络局 (INCD)发布安全警告书。警告书中称水务局正在加大力度督促各能源和水行业企业更改所有联网系统的密码。如果因为特殊原因无法修改密码，则建议停止这些系统的使用，以保障自己公司的权益不受损害。发布该警告书的原因为：近来在网络局收到的 SCADA（数据采集与监控系统）报告书中指出攻击者正在入侵水泵站、废水处理厂和污水管。警告书中还建议企业更新设备固件至最新版本，以更好的抵御黑客攻击。ClearSky 公司在本次事件中声称，该入侵组织与来自巴勒斯坦的黑客组织 GazaCybergang 存在关系。 ClearSky 公司发现了该入侵组织 J.E.Army 在各大社交平台上发布已经被攻击的目标的图片。截至目前，本次攻击并未对工业设施和企业的正常运行造成较大影响。3.5澳大利亚航运及物流公司四个月内接连两次遭受网络攻击2020 年 5 月，澳大利亚航运及物流公司 Toll Group 发布声明称该公司再次被勒索软件攻击。公司在对服务器进行检查时，发现在服务器上存在一些异常活动。随即该公司立刻采取相应的应对措施，并进行深入排查，最终发现潜入系统中的 Netfilim 勒索软件。由于本次发现时间较早，并采取了预防措施。并未对该公司的数据和系统造成影响。而这已经不是该公司首次被黑客攻击， 2020 年 2 月也发生了一场黑客入侵事件。 8 Netfilim 与大部分勒索软件攻击方式相同，利用暴露在外的远端桌面 (RDP)连接埠进行传播。同时使用 AES-128 加密重要文档或者文件，以此作为筹码勒索被攻击的企业。3.6台湾两大炼油厂遭黑客勒索2020 年 5 月，根据台湾新闻报道，台湾石油、汽油和天然气公司 CPC 及台塑石化公司 FPCC分别于两天内遭受不同程度的黑客攻击。 CPC公司系统受到攻击并遭受损害。而 FPCC 公司在预防攻击时发现自己的网络中也存在 “异常行为 ”， FPCC 公司采取紧急措施关闭 IP系统，并未造成过多的损失。由于 CPC公司为台湾石油产业供应链的 “巨头 ”，此次攻击造成的影响非常严重，用户在加油站只能使用信用卡或者现金进行支付，一切电子支付均不接收。由此造成了一定程度上的混乱。 CPC 高管发布声明称本次破坏是由勒索软件引起的，该软件攻击系统服务器，使计算机和 IT 系统强制关闭，造成加油站无法通过数字平台管理收入记录。相继发生的攻击行为表明攻击之间可能存在一定联系，但是目前攻击者的身份未知。3.7本田公司受到工业型勒索软件攻击2020 年 6 月 9 日，本田公司发布声明称： “目前，本田客服服务和本田金融服务遭到技术难题，无法使用。我们正在努力尽快解决该问题。不便之处，敬请原谅。感谢您的耐心配合与谅解 ”。该声明背后真相是本田公司在过去 48 小时内遭遇了极其严重的勒索软件攻击， BBC 报道称勒索软件已经传播到本田公司的整个网络系统。在最早发现该攻击时，本田停止了被攻击地区的生产活动，以免造成更大的损失。根据早期的攻击报告指出，攻击者使用的可能是 Ekans 勒索软件。 Ekans 是 Snake勒索软件的一种，它具有较新的攻击模式，针对工业控制系统进行攻击。该软件对公司重要的文件或者文档加密，攻击者以这些重要数据为条件勒索赎金。3.8 Sodinokibi 勒索软件攻击巴西电力公司 Light SA2020 年 7 月，巴西电力公司 Light SA 被黑客使用 Sodinokibi 勒索软件勒索 1400 万美元，以换取恢复数据的工具， Light SA 公司已经向外界公布本公司确实遭遇了网络攻击，攻击者加密了所有 Windows 系统文件，导致系统不能正常使用。 AppGate 的安全研究人员发现该勒索软件可以通过利用 Windows Win32k组件中 CVE-2018-8453漏洞的 32 9 位和 64 位漏洞来提升特权。此外，该勒索软件系列没有全局解密器，这意味着需要攻击者的私钥才能解密文件。3.9印度新冠疫苗制造厂遭受攻击导致数据泄露2020 年 10 月 28 日，印度疫苗制造商雷迪博士实验室有限公司 (Reddys LaboratoriesLtd)发布公告称该公司遭受黑客攻击，已经停止在印度、美国、巴西和俄罗斯的主要工厂的运转，并且关闭了公司所有场地的数据中心。由于目前不清楚攻击者的意图是窃取数据还是使用勒索软件勒索钱财， “隔离 ”数据是最安全的办法。该制造商生产 COVID-19新冠疫苗治疗药物 Favipiravir Tablets，并且签署了生产俄罗斯新冠疫苗的协议。3.10巴西全球第三大飞机制造商遭勒索攻击并导致数据泄露 2020 年 12 月 8 日，据外媒报道，巴西航空工业公司在上个月遭到黑客攻击，其攻击方式为通过勒索软件侵入系统，加密公司的一些私