2021工业互联网安全发展与实践分析报告

2021工业互联网安全发展与实践分析报告 工业控制系统安全国家地方联合工程实验室 奇安信行业安全研究中心 2022年4月 2 主要观点  工业系统安全漏洞数量增长显著放缓，但超高危漏洞数量却大幅增加。统计显示，2021年，国内外四大漏洞平台共计新收录工业系统安全漏洞636个，较2020年的804个下降了20.9%。但新增超高危漏洞多达16个，比2020年的6个，大幅增长了166.7%。  被新报告安全漏洞数量最多的10家工业系统供应商均为国外企业。其中，仅西门子（Siemens）一家就被报告新增安全漏洞193个，占到全年新增工业系统安全漏洞总量的30.3%。国外供应商对国内工业互联网安全的影响仍然十分巨大。  在与工业互联网相关的各个行业中，制造业面临的网络安全风险最大：88.7%的新增工业系统安全漏洞会对制造业产生影响；奇安信安服团队全年处置的90起与工业互联网安全相关的应急响应事件中，46.7%发生在制造业。工业网络软件的安全漏洞、勒索病毒等，对制造业的网络安全威胁最大。  勒索软件仍然是工业互联网网络安全的最大威胁，国内、国外工业机构都深受其害。工业勒索事件占到了奇安信安服团队全年处置工业互联网安全应急响应事件的57.6%。此外，数据安全问题也是困扰工业互联网发展的重要威胁，42.1%的工业系统网络安全应急响应事件与数据安全问题密切相关。  2021年，从中央到地方，密集出台了多项涉及工业互联网安全的政策法规及安全标准，工业互联网安全监管体系不断完善。  2021年智能网联汽车发展迅速，车联网安全关注度显著增加。同时，5G+工业互联网应用的广度和深度不断拓展，安全风险也随之增多。5G+工业互联网安全能力亟需提升。 摘 要  2021年，四大漏洞平台共收录工业系统安全漏洞636个，较2020年的804个下降了20.9%；收录工业系统超高危漏洞16个，较2020年（6个）增长了166.7%，占年度四大漏洞平台收录工业系统漏洞总数的2.51%。  工业控制系统安全漏洞多数分布在制造业、能源、水务、商业设施、石化、医疗、交通、农业、信息技术、航空等关键基础设施行业。其中，有564个漏洞涉及到制造业。  2021年，奇安信安服团队共处置国内的网络安全事件多达1097起，与工业互联网相关的安全事件90起，占比8.2%。从行业来看，制造业42次，交通运输29次，能源行业13次，化学工业3次。其中，57.6%的事件为工业勒索事件，42.1%的事件与工业数据安全相关。  2021年工业互联网安全政策法规标准体系不断完善，出台9个相关的政策法律法规文件。  2021年智能网联汽车发展迅速，车联网安全关注度显著增加。  5G+工业互联网安全能力亟需提升，表现在技术融合带来新风险、安全运营能力不足、数据采集难度增加、供应链安全能力不足、国产化进程需加快等多个方面。 关键词：安全漏洞、制造业、勒索攻击、工业数据、车联网、5G+工业互联网 目 录 第一章 工业互联网安全态势 ............................................................................................................. 1 一、 安全漏洞形势分析 ................................................................................................................. 1 二、 应急响应形势分析 ................................................................................................................. 6 第二章 政策法规建设与发展 ............................................................................................................. 9 一、 工业互联网安全政策体系不断完善 ...................................................................................... 9 二、 工业互联网安全标准体系不断健全 .................................................................................... 11 第三章 工业互联网应急响应典型案例 ........................................................................................... 14 一、 某地铁公司遭蠕虫病毒攻击................................................................................................ 14 二、 某汽车制造企业遭勒索病毒攻击 ........................................................................................ 14 三、 某半导体材料企业遭受挖矿病毒攻击 ................................................................................ 14 四、 某铁路机车企业遭恶意代码攻击 ........................................................................................ 15 第四章 工业互联网安全发展趋势 ................................................................................................... 17 一、 工业数据安全风险日益高涨................................................................................................ 17 二、 车联网安全关注度显著增加................................................................................................ 17 三、 5G+工业互联网安全能力亟需提升 ...................................................................................... 19 附录一 2021工业互联网安全重大事件 ............................................................................................. 21 附录二 2021年新公开工业互联网超高危漏洞 ................................................................................. 24 附录三 工业领域勒索病毒防护 .......................................................................................................... 36 附录四 工业数据安全防护 .................................................................................................................. 39 附录五 工业控制系统安全国家地方联合工程实验室 ...................................................................... 42 1 第一章 工业互联网安全态势 本章内容主要以工业控制系统安全国家地方联合工程实验室（以下简称：联合实验室）漏洞库收录的工业控制系统相关的漏洞信息和奇安信安服团队处理的工业安全应急事件统计数据为基础，从工控漏洞的年度变化趋势、等级危害、漏洞类型、漏洞涉及行业、漏洞设备类型等方面和工业应急处理事件的行业分布、事件类型、损失类型等方面分析工业互联网的安全威胁态势、脆弱性以及发展变化趋势。 一、 安全漏洞形势分析 （一） 工业互联网安全漏洞总体态势 根据中国国家信息安全漏洞共享平台最新统计，截止到2021年底，CNVD收录的与工业控制系统相关的漏洞高达3103个，2021年新增的工业控制系统漏洞数量达到152个，较 2020年593个下降74.4%。2000-2021年CNVD工控新增漏洞年度分布如下所示： 综合参考了Common Vulnerabilities & Exposures（CVE）、National Vulnerability Database（NVD）、中国国家信息安全漏洞共享平台（CNVD）及国家信息安全漏洞库（CNNVD）（以下简称“四大漏洞平台”）所发布的漏洞信息来看， 2021年，四大漏洞平台共收录的工业系统安全漏洞636个，较2020年的804个下降了20.9%。 新增工业系统安全漏洞的成因多样化特征依然明显，技术类型多达30种以上。其中， 2 缓冲区溢出漏洞（154）、输入验证漏洞（60）和拒绝服务漏洞（43）数量最多。2021年工控系统新增漏洞类型分布如下： 在四大漏洞平台收录的工业系统漏洞中，高危漏洞占比38.2%，中危漏洞占比为47.4%，中高危漏洞占比高达85.6%。工业控制系统多应用于国家关键基础设施，一旦遭受网络攻击，会造成较为严重的损失。2021年工控系统新增漏洞危险等级分布如下： 在收录的工业控制系统漏洞中，涉及到的前十大工控厂商分别为西门子（Siemens）、研华（Advantech）、施耐德（Schneider）、台达电子（Delta Electronics）、3S-Smart、三菱（Mitsubishi）、艾默生（Emerson）、永宏电机（Fatek Automation）、摩莎（Moxa）和思科 3 （Cisco）。2021年工控新增漏洞涉及主要厂商情况如下图所示： 需要说明的是，虽然安全漏洞在一定程度上反映了工控系统的脆弱性，但不能仅通过被报告的厂商安全漏洞数量来片面判断比较厂商产品的安全性。因为一般来说，一个厂商的产品越是使用广泛，越会受到更多安全研究者的关注，因此被发现安全漏洞的可能性也越大。某种程度上来说，安全漏洞报告的厂商分布，更多程度上反映的是研究者的关注度。 （二） 工业超高危漏洞明显增加 漏洞库平台根据CVSS分级标准对漏洞进行0至10之间的数字评分，10分为最高分，表示该漏洞的严重程度最高，我们称之为超高危漏洞，一旦被攻击者利用，就可能造成的重大损失和严重后果。 尽管2021年新增工业系统安全漏洞的总数较2020有明显下降，但超高危漏洞的数量却显著上升。统计显示，2021年四大漏洞平台共收录工业系统超高危漏洞16个，较2020年（6个）增长了166.7%，占年度四大漏洞平台收录工业系统漏洞总数的2.51%。2021年新收录的超高危漏洞详细信息见附录