ITOT一体化工业信息安全态势报告（2019）

工业控制系统安全国家地方联合工程实验室2020.3 IT/OT一体化工业信息安全态势报告（2019） 主要观点  中国工控系统互联网暴露数量呈现明显增长趋势。根据Positive Technologies研究数据，中国暴露在互联网上的工控设备数量跃居第三。 工控设备的内生安全设计已经成为迫切任务。  勒索病毒仍然是工业互联网安全的最大挑战。在2019年工业应急响应安全事件中，病毒攻击仍然是工业企业遭受失陷的主要原因，其中，病毒多为“永恒之蓝”蠕虫变种、挖矿蠕虫。病毒攻击的主要目标是工业主机，然而工业主机基本处于裸奔状态，因此，工业企业应落实工业主机的安全防护。  三级协同的“工业互联网安全技术保障平台”建设将全面提升工业互联网安全保障水平。平台基于“监测-响应”的技术路线进行建设实施，有助于工业生产的长期可靠、稳定运行。  采购可信任第三方远程、驻场或托管式工业安全运营服务不仅可以在威胁发现、风险预测、处置响应、追踪溯源等方面大幅度提高工业企业网络安全防护能力，还可以减少人力资源投入、降低工业企业安全运营成本。  省级或行业级工业互联网安全技术保障平台应以服务工业用户为首要目的，为接入企业提供有价值的安全运营服务。 摘 要  截止到2019年12月，CNVD收录的与工业控制系统相关的漏洞高达2306个，2019年新增的工业控制系统漏洞数量达到413个，基本和2018年持平，工业控制系统漏洞数据居高不下，形式依然比较严峻。  漏洞成因多样化特征明显，技术类型多达30种以上。  在CVE、NVD、CNVD、CNNVD四大漏洞平台收录的工业控制系统漏洞中，高危漏洞占比57.3%，中危漏洞占比为35.5%，中高危漏洞占比高达92.8%。  在收录的工业控制系统安全漏洞中，多数分布在制造业、能源、水务、商业设施、石化、医疗、交通、农业等关键基础设施行业。  根据Positive Technologies研究数据显示，当前全球工控系统联网暴露组件总数量约为22.4万个，同比去年增长27%。  中国工控系统互联网暴露数量呈现明显增长趋势，由6223个增长到16843个，增长比例高达2.7倍，排名全球第三。  2019年工业控制系统常见漏洞为缓冲区溢出漏洞、拒绝服务漏洞、访问控制漏洞、跨站脚本漏洞、未授权访问漏洞、远程代码执行漏洞。  2019年，工业安全应急响应中心处理的工业安全事件中，勒索病毒仍然是工业互联网安全的最大挑战。 关键词：工业互联网安全漏洞；工业互联网安全威胁；安全漏洞；推进建议 目 录 研究背景 ........................................................................................................................................... 1 第一章 工业互联网安全现状分析 ................................................................................................. 2 一、 工业互联网安全漏洞分析 ................................................................................................. 2 二、 工控系统互联网暴露原因 ................................................................................................. 5 三、 工控系统互联网暴露总数持续攀升 .................................................................................. 6 第二章 2019工业互联网安全工作进展 .................................................................................... 8 一、 工业互联网安全重要文件 ................................................................................................. 8 二、 工业安全标准体系建设 ................................................................................................... 10 第三章 工业互联网安全威胁 ...................................................................................................... 13 一、 2019年新公开工业控制系统严重漏洞 ........................................................................... 13 第四章 工业安全应急响应典型案例 ........................................................................................... 17 一、 某工业集团入网前CONFICKER、FAKEFOLDER病毒处置 ................................................ 17 二、 某大型制造企业遭受WANNAMINE3.0及“永恒之蓝”勒索病毒攻击 .............................. 18 三、 某钢铁企业智能工厂改造前“永恒之蓝”勒索变种病毒处置 .......................................... 18 四、 某化工集团遭受蠕虫病毒攻击 ....................................................................................... 19 第五章 工业互联网安全推进建议 ............................................................................................... 21 附录一 工业控制系统安全国家地方联合工程实验室 ................................................................... 23 附录二 2019工业互联网安全重大事件 ......................................................................................... 24 1 研究背景 工业控制系统安全国家地方联合工程实验室（以下简称“联合实验室”）于2017年、2018年已发布 《IT/OT一体化工业信息安全态势报告》，总结分析IT/OT融合带来的新挑战，给出工业信息安全建议和展望。 为给政府部门、科研机构和工业企业提供参考和借鉴，工业控制系统安全国家地方联合工程实验室（以下简称联合实验室）编撰了《IT/OT一体化工业信息安全态势报告（2019）》。本报告综合参考CVE、NVD、CNVD、CNNVD四大公开漏洞平台发布的漏洞信息，分析工业互联网安全风险态势。此外，本报告分析暴露在互联网上的工控组件和安全威胁，给出应急响应典型案例，最后提出工业互联网安全推进建议。 最后，希望本报告能够帮助读者对工业互联网安全有一个更加全面、前沿的认识。 2 第一章 工业互联网安全现状分析 一、 工业互联网安全漏洞分析 本节主要以联合实验室漏洞库收录的工业控制系统相关的漏洞信息为基础，综合参考了Common Vulnerabilities & Exposures（CVE）、National Vulnerability Database（NVD）、中国国家信息安全漏洞共享平台（CNVD）及国家信息安全漏洞库（CNNVD）所发布的漏洞信息，从工控漏洞的年度变化趋势、等级危害、漏洞类型、漏洞涉及行业、漏洞设备类型等方面分析工业控制系统的安全威胁态势及脆弱性。 本报告中的工控漏洞风险评估方法，基于通用漏洞评分系统，将可见性、可控性、漏洞利用目标服役情况等体现工控安全特性的指标纳入量化评估范围。该方法使用改进的工控漏洞风险评估算法，既可以生成工控漏洞的基础评分、生命周期评分，也可以用于安全人员结合实际工控安全场景的具体需求以生成环境评分。 根据中国国家信息安全漏洞共享平台最新统计，截止到2019年12月，CNVD收录的与工业控制系统相关的漏洞高达2306个，2019年新增的工业控制系统漏洞数量达到413个，基本和2018年持平，工业控制系统漏洞数据居高不下，形势依然比较严峻。CNVD工控新增漏洞年度分布如下所示： 图1: 2000-2019年CNVD收录的工控系统漏数量分布图 在2019年，Common Vulnerabilities & Exposures（CVE）、National Vulnerability Database 3 （NVD）、中国国家信息安全漏洞共享平台（CNVD）及国家信息安全漏洞库（CNNVD）四大漏洞平台收录的漏洞信息共达到了690条漏洞，漏洞成因多样化特征明显，技术类型多达30种以上。其中，缓冲区溢出漏洞（105）、拒绝服务漏洞（90）和访问控制漏洞(75)数量最为常见。2019年工控系统新增漏洞类型分布如下： 图2: 2019年四大漏洞库平台收录的工控系统漏洞类型分布图 攻击者可以利用多样化的漏洞获取非法控制权、通过遍历的方式绕过验证机制、发送大量请求造成资源过载等安全事故。实际上，无论攻击者利用何种漏洞造成生产厂区的异常运行，均会影响工控系统组件及设备的可用性和可靠性。 在四大漏洞平台收录的工业控系统漏洞中，高危漏洞占比57.3%，中危漏洞占比为35.5%，中高危漏洞占比高达92.8%。在信息安全技术 标准中定义：漏洞可以容易地对目标对象造成严重后果为高危漏洞，工业控制系统又多应用于国家关键基础设施，一旦遭受网络攻击，会造成较为严重的损失。 4 图3: 2019年四大漏洞库平台收录的工控系统漏洞危险等级图 在收录的工业控制系统漏洞中，涉及到的前八大工控厂商分别为西门子（Siemens）、施耐德（Schneider）、研华（Advantech）、摩莎（Moxa）、趋势科技（TRENDnet）、三菱（Mitsubishi）、欧姆龙（Omron）、和友讯（D-Link）。漏洞涉及主要厂商情况如下图所示： 图4: 2019年四大漏洞库平台收录的工控设备厂商漏洞数据统计图 需要说明的事，虽然安全漏洞在一定程度上反映了工控系统的脆弱性，但不能仅通过被报告的厂商安全漏洞数量来片面判断比较厂商产品的安全性。因为一般来说，一个厂商的产品越是使用广泛，越会受到更多安全研究者的关注，因此被发现安全漏洞的可能性也越大。 5 某种程度上来说，安全漏洞报告的厂商分布，更多程度上反映的是研究者的关注度。 在收录的工业控制系统安全漏洞中，多数分布在制造业、能源、水务、商业设施、石化、医疗、交通、农业、信息技术、航空等关键基础设施行业。一个漏洞可能涉及多个行业，在690个漏洞中，有566个漏洞涉及到制造业，也是占比最高的行业。涉及到的能源行业漏洞数量高达502个。制造业和能源行业工控