2018中国工业互联网安全应急响应和产业态势分析报告.pdf
《2018中国工业互联网安全应急响应和产业态势分析报告.pdf》由会员分享,可在线阅读,更多相关《2018中国工业互联网安全应急响应和产业态势分析报告.pdf(18页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、 中国工业互联网安全应急响应和产业 态势分析报告(2018) 工业控制系统安全国家地方联合工程实验室2019.3 更多细分领域报告请关注公众号:搜搜报告(sosoyanbao)获取,行研君微信:sosobaogao主要观点 勒索病毒攻击已经成为工业企业面临的最大安全问题之一, 勒索病毒导致工业互联网企 业停产的事件频繁发生。 系统暴露, 系统漏洞, 远程维护成为勒索病毒入侵的主要原因。 勒索病毒的流行彻底打破了 “一般互联网安全威胁对工业系统是无害的” 这个传统认知。 1)从问题和现象上看:企业遭受攻击后的现象多为蓝屏、重启、勒索;病毒多为“永 恒之蓝”蠕虫变种、挖矿蠕虫;蠕虫病毒普遍利用 M
2、S17-010 漏洞进行大面积传播; 2)从行业分布上看:当前感染蠕虫病毒的企业多为智能制造、钢铁、烟草等行业的企 业; 3)从根本原因分析上看:工业环境缺乏基本的安全防护为最主要原因。 病毒攻击的目标为主机,而工业主机基本处于裸奔状态;其次网络结构划分不当,缺 乏边界防护和网络流量监测手段; 再次就是安全管理的问题, 包括补丁管理、 移动介质使用、 第三方运维准入、网络资产台账、人员管理、安全意识提升等等多个方面。 建立低位、中位、高位能力“三位一体”的工业互联网信息安全产品体系将成为产业未来 发展的重要趋势。 工业互联网信息安全市场产品结构可从低到高分为三层:防护监测层、安全运营层、态 势
3、感知层。这三层产品分别实现不同的安全功能,三层产品进行数据、指令、威胁情报的流 动,实现协同联动的整体防护效果。其中数据从低到高流动,威胁情报从高到低赋能。 梳理工业资产,重点关注工业主机资产,做好工业主机防护。 值得关注的是,近一年来国内在汽车、电子制造、钢铁冶炼、机械加工、微电子等行业 发生的数起工业安全事件,八成首先攻击或影响的是工业主机,只有二成是其他原因,利用 好这个二八定律,从工业主机开始构建工业互联网安全防护体系,将取得“最高费效比”实 现“事半功倍” 。 更多细分领域报告请关注公众号:搜搜报告(sosoyanbao)获取,行研君微信:sosobaogao摘要 病毒攻击的目标为主
4、机,而工业主机基本处于裸奔状态; 传统的安全防御产品已逐渐乏力、 无法有效应对越来越严重的安全威胁, 构建层次清晰、 定位明确、融合联动的工业互联网信息安全产品体系将成为产业未来发展的重要趋势; 工业互联网信息安全市场产品结构可从低到高分为三层:防护监测层、安全运营层、态 势感知层; 防护监测层产品处于产品体系功能层级的最低层, 此类产品进行数据采集, 在发现威胁 或接到上层安全运营类产品命令时实施处置,具备简单的分析功能; 安全运营层产品处于产品体系功能层级的中层, 此类产品技术核心是威胁情报利用、 安 全可视化、大数据处理技术; 安全态势感知层产品处于产品体系功能层级的最高层, 此类产品主
5、要部署在政府主管部 门或大型企业集团总部, 负责对辖区和主管范围内的主要工业企业进行态势感知和安全 监管。 梳理工业资产,重点关注工业主机资产,做好工业主机防护; 持续监测生产风险; 统筹规划,合力发展; 顶层设计,标准推动; 重视人才,培养高端。 更多细分领域报告请关注公众号:搜搜报告(sosoyanbao)获取,行研君微信:sosobaogao目 录 研究背景 . 1 第一章 工业互联网安全应急响应典型案例及总结 . 2 一、 360 在工业安全应急响应中的典型案例 . 2 (一) 某知名汽车零部件生产企业遭受“永恒之蓝”勒索病毒攻击 . 2 (二) 某大型炼钢厂遭受挖矿蠕虫病毒攻击 .
6、3 (三) 某卷烟厂遭受蠕虫病毒攻击 . 3 (四) 某半导体制造企业遭勒索软件攻击 . 4 二、 工业互联网安全应急响应案例总结 . 4 (一) 勒索病毒主要攻击目标瞄准工业主机 . 4 (二) 构造完善的工业安全产业体系 . 5 第二章 工业互联网安全产业态势 . 6 一、 工业互联网安全产业结构 . 6 (一) 高中低位能力安全产品体系 . 6 (二) 防护监测层产品 . 6 (三) 安全运营层产品 . 6 (四) 安全态势感知层产品 . 7 二、 GARTNER关于 OT 市场的分析 . 7 第三章 工业互联网安全发展建议 . 9 一、 对工业企业的建议 . 9 二、 对安全服务机构的
7、建议 . 9 三、 对政府主管部门的建议 . 10 附录一 工业互联网安全事件 . 11 一、 美国通报“熔断”和“幽灵”高危漏洞. 11 二、二、 台积电三大基地疑遭勒索软件攻击停摆 . 11 三、 英国 2700 万能源智能电表存在安全漏洞 . 11 四、 美国天然气输气管道电子系统遭受供应链攻击 . 12 五、 伊朗机场显示屏幕遭受黑客攻击. 12 六、 俄罗斯 400 多家工业企业遭遇网络钓鱼攻击. 12 七、 乌克兰国防系统密码竟为初始密码“123456” . 13 八、 某市北控水务集团远程数据监测平台遭到黑客攻击 . 13 附录二 工业控制系统安全国家地方联合工程实验室 . 14
8、 更多细分领域报告请关注公众号:搜搜报告(sosoyanbao)获取,行研君微信:sosobaogao1 研究背景 在政策与技术的双轮驱动下, 工业控制系统正在越来越多地与企业内网和互联网相连接, 并与新型服务模式相结合,逐步形成了工业互联网架构。工业互联网是数字浪潮下,工业体 系和互联网体系的深度融合的产物, 是新一轮工业革命的关键支撑。 工业互联网的发展一方 面极大的促进了生产效率和服务水平的提高,另一方面也使原本封闭的系统变得越来越开 放,致使系统安全风险和入侵威胁不断增加,网络安全问题日益突出。 工业互联网目前已经广泛应用于电力、交通、石油、取暖、制造业等关键信息基础设施 领域,一旦发
9、生安全事件,往往会造成巨大的损失和广泛的影响。但是,由于工业互联网环 境的特殊性,传统的 IT 信息安全技术并不能完全有效的保护工业系统的安全,甚至很多常 用的安全技术都不能直接应用于工业网络的安全防护。对于工业互联网安全的分析与防护, 需要使用一些专门的方法和专用的技术。 工业控制系统安全国家地方联合工程实验室(以下简称“联合实验室” )于 2017 年发布 IT/OT 一体化工业信息安全态势报告 ,总结分析 IT/OT 融合带来的新挑战,给出工业信 息安全建议和展望。 为给政府部门、科研机构和工业企业提供参考和借鉴,联合实验室编撰了中国工业互 联网安全应急响应和产业态势分析报告 (2018
10、) 。 本报告旨在总结 360 工业安全应急响应中 心在 2018 年处置的工业安全事件为基础,分析总结应急处置后的经验,工业互联网安全产 品体系及工业互联网安全发展建议,供合作伙伴及企业客户决策参考使用。 中国工业互联网安全应急响应和产业态势分析报告(2018) 内容被综合收录到 IT/OT 一体化工业信息安全态势报告(2018) 年度报告中。 IT/OT 一体化工业信息安全 态势报告(2018) 是续 2017 年发布IT/OT 一体化工业信息安全态势报告(2017) 后, 总结分析 2018 年工业互联网 IT/OT 融合带来的新挑战,安全现状、产业发展趋势、重大应 用案例等,给出 20
11、19 年工业信息安全建议和展望。 最后,希望本报告能够帮助读者对工业互联网安全有一个更加全面、前沿的认识。 更多细分领域报告请关注公众号:搜搜报告(sosoyanbao)获取,行研君微信:sosobaogao2 第一章 工业互联网安全应急响应典型案例及总结 随着互联网与工业融合创新的不断推动,电力、交通、市政等大量关系国计民生的关键 信息基础设施日益依赖于网络,并逐步与公共互联网连接,一旦受到网络攻击,不仅会造成 巨大经济损失,更可能带来环境灾难和人员伤亡,危及公众生活和国家安全,安全保障能力 已成为影响工业互联网创新发展的关键因素。 近年来,工业互联网安全事件层出不穷,安全形式日益严峻。本节
12、主要分析 360 在 2018 年处理分析的典型应急响应案例,并对处置的应急响应进行总结。 一、 360 在工业安全应急响应中的典型案例 (一)某知名汽车零部件生产企业遭受“永恒之蓝”勒索病毒攻击 场景回顾场景回顾 2018 年 7 月 17 日,某知名汽车零部件生产企业工业生产网络遭受“永恒之蓝”勒索病 毒的攻击,酸轧生产线一台 Windows Server08 R2 主机出现蓝屏、重启现象。当日晚上,4 台 服务器出现重启,现场工程师通过查阅资料,对病毒进行了手动处理。9 月 10 日开始各条 生产线出现大量蓝屏和重启现象,除重卷、连退生产线外,其他酸轧、包装、镀锌生产线全 部出现病毒感染
13、、蓝屏/重启现象。此时,病毒已对正常生产造成严重影响。9 月 12 日,该 汽车板厂求助 360 工业互联网安全应急响应中心,360 工业安全应急响应中心高度重视,对 事件进行全面处置。 问题研判问题研判 经过对各生产线的实地查看和网络分析可知,当前网络中存在的主要问题有: 1)网络中的交换机未进行基本安全配置,未划分 VLAN,各条生产线互通互联,无 明显边界和基本隔离; 2)生产线为了远程维护方便,分别开通了 3 个运营商 ADSL 拨号,控制网络中的主 机在无安全措施下访问外网; 3)控制网中提供网线接入,工程师可随意使用自己的便携机接入网络; 4)U 盘随意插拔,无制度及管控措施; 5
14、)安全意识不高; 6)IT、OT 的职责权限划分不清晰。 处置方案处置方案 攻击目标是经过精心选择的, 承载了核心业务系统, 客户一旦中招须缴纳赎金或者自行 解密,否则业务瘫痪。镀锌生产线处于停产状态,以“处置不对工业生造成影响或最小影响” 为原则,首先检查镀锌生产线服务器。然后进行病毒提取;停止病毒服务;手动删除病毒; 对于在线终端,第一时间推送病毒库更新和漏洞补丁库并及时采取封端口、打补丁等措施, 避免再次感染。 更多细分领域报告请关注公众号:搜搜报告(sosoyanbao)获取,行研君微信:sosobaogao3 (二)某大型炼钢厂遭受挖矿蠕虫病毒攻击 场景回顾场景回顾 2018 年 1
15、0 月 31 日, 360 工业安全应急响应中心接到该炼钢厂电话求助, 称其工业生产 网络自 10 月起各流程工艺主机遭受了蠕虫病毒的攻击,出现不同程度蓝屏、重启现象。早 期在其他分厂区曾出现过类似现象,10 月 18 日该炼钢分工厂出现主机蓝屏重启,10 月 30 日晚间蓝屏重启主机数量增多,达到十几台。意识到病毒在 L1 生产网络有爆发的趋势,厂 区紧急配置了趋势杀毒服务器,并在各现场工控主机终端安装趋势杀毒网络版本进行杀毒, 部分机器配合打补丁进行应急处置。 问题研判问题研判 通过 360 工业安全应急响应人员近两天的情况了解、现场处置,可以确认 L1 网络中感 染了利用“永恒之蓝”漏洞
16、传播的挖矿蠕虫病毒(Wannamine) ,OA/MES 网络主机既感染了 挖矿蠕虫病毒,又感染了“永恒之蓝”勒索蠕虫变种。由于网络未做好隔离与最小访问控制, 关键补丁未安装 (或安装未重启生效) , 蠕虫病毒通过网络大肆快速传播与感染, 导致蓝屏、 重启事件。 网内主机感染时间有先后, 网络规模庞大, 因业务需要, 外网主机可远程通过 VPN 访问生产网中主机,进而访问现场 PLC;网络中存在多个双网卡主机,横跨 L1、L2 网络, 进而造成整个 L1 、L2、L3 实质上为互联互通;同时传播感染有一定的时间跨度,被感染 的主机亦可以攻击网络中其他目标,无全网全流量监控。由分析可知,挖矿蠕虫
17、病毒、“永 恒之蓝”勒索蠕虫变种通过某种网络途径,采用系统漏洞利用的方式传入,由于内部网络无 基本安全防护措施且互联互通,进而导致了病毒迅速蔓延扩散。 处置方案处置方案 对该炼钢厂 L1 生产网络中的多个流程工艺,包括转炉、异型坯、地面料仓、精炼、倒 灌站等操作站主机进行处置,当前病毒传播、蓝屏重启现象已得到基本控制,部分主机已做 过处理。对于其他主机建议做如下处理:确认主机是否存在挖矿蠕虫病毒或“永恒之蓝”勒索 病毒; 挖矿蠕虫病毒处置方式: 安装微软补丁: 建立完善的工业安全防护制度和统一方案, 确保生产安全、连续、稳定。 (三)某卷烟厂遭受蠕虫病毒攻击 场景回顾场景回顾 2018 年 1
18、1 月 12 日,某大型卷烟厂卷包车间主机出现不同程度蓝屏、重启现象,运维 人员通过安装免费版本杀毒软件及关闭 445 端口暂时解决了问题, 但是在 11 月 19 日, 卷包 车间工业生产网络(包括数采、物流和生产)较多数量工控机出现蓝屏、重启现象,意识到 病毒在生成网络有爆发的趋势,该卷烟厂相关负责人紧急联系了 360 工业安全应急响应中 心,同步现场情况,360 工业安全应急响应中心对事件高度重视,对该卷烟厂工业主机蓝屏 问题进行全面处置。 问题研判问题研判 经过情况了解、现场处置,360 工业安全应急响应人员可以确认工业生产网络中感染了 “永恒之蓝”勒索蠕虫变种。由于网络未做好隔离与最
19、小访问控制,关键补丁未安装(由于系 统原因部分无法安装) ,蠕虫病毒通过网络大肆快速传播与感染,导致蓝屏、重启事件。工 业生产网络中存在大量双三网卡主机, 车间多个接入交换机、 汇聚交换机直至核心交换进行 串行级联,无基本逻辑隔离,加之多网卡主机的存在,导致网络边界模糊,生产网与办公室更多细分领域报告请关注公众号:搜搜报告(sosoyanbao)获取,行研君微信:sosobaogao4 网络连通,办公室主机遭蠕虫感染之后,通过网络迅速传入生产网中,网络中暂无全网全流 量监控、工业级防火墙和主机安全防护。由分析可知,“永恒之蓝”勒索蠕虫变种通过某种网 络途径,利用操作系统漏洞的方式传入,先感染车
20、间办公室主机,进一步通过网络感染内网 中的工控机。 处置方案处置方案 经过基本处理,对卷包车间的 10 台工控机进行了处置:手动进行病毒检测样本抓取, 创建阻止 445 端口数据传播的组策略,当前病毒传播、蓝屏重启现象已得到基本控制,对于 其他主机,建议做如下处理:确认主机是否存在 “永恒之蓝”勒索病毒;安装微软补丁;建 立完善的工业安全防护制度和统一方案,确保生产安全、连续、稳定。 (四)某半导体制造企业遭勒索软件攻击 场景回顾场景回顾 2018 年 12 月 5 日,国内某半导体制造企业遭受勒索病毒攻击,其核心生产网络和办公 业务网络被加密,导致生产停工,被加密的主机被要求支付 0.1 个
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2018 中国 工业 互联网 安全 应急 响应 产业 态势 分析 报告
限制150内