摘要
东北大学“谛听”网络安全团队基于自身传统的安全研究优势开发设计并实现了“谛听”网络空间工控设备搜索引擎**(http://www.ditecting.com),并根据“谛听”收集的各类安全数据,撰写并发布《2023 年工业控制网络安全态势白皮书》,读者可以通过报告了解2023 年工控安全相关政策法规报告及典型工控安全事件分析,同时报告对工控系统漏洞、联网工控设备、工控蜜罐、威胁情报数据及工业互联网安全创新发展情况进行了阐释及分析**,有助于全面了解工控系统安全现状,多方位感知工控系统安全态势,为研究工控安全相关人员提供参考。
1.前言
工业控制网络是工业生产的“核心大脑”,用于监控、管理工业生产过程中的物理设备,确保生产的稳定性和可靠性,提高生产效率,在关键信息基础设施领域得到广泛应用。随着工业互联网与自动控制技术的融合发展,数字时代的步伐愈发坚定,工业控制网络在推动国家安全、经济繁荣中扮演着愈发关键的角色。中国互联网络信息中心发布的第52次《中国互联网络发展状况统计报告》显示,工业互联网网络体系迅速扩大,截至2023年6月,中国工业互联网标识解析体系覆盖31个省(区、市),其中超过240家工业互联网平台具有一定影响力,一个综合型、特色型、专业型的多层次工业互联网平台体系基本形成。随着国家级工业互联网安全技术监测服务体系不断完善,态势感知、风险预警和基础资源汇聚能力进一步增强,“5G+工业互联网”等融合应用不断涌现,快速发展。新一代互联网技术的发展给工业互联网带来全新的发展机遇,但同时又带来更加严峻的安全风险与挑战,工业互联网安全问题不仅关系到每个企业和个体的切身利益,更关系到国家的长远发展。
为贯彻落实国家网络安全、数据安全相关法律要求,进一步提升工业企业的工控安全保障能力,2023年11月8日,主题为“筑牢工控安全防线 护航新型工业化发展”的“2023年工业信息安全大会工业控制系统网络安全专题论坛”在北京举行,为工业控制网络的安全发展筹谋定策。工控安全与网络安全密切相关,保障工业控制系统的安全、保护关键信息基础设施免受攻击是确保国家安全的关键环节。在此背景下,东北大学“谛听”网络安全团队基于自身传统的安全研究优势开发设计并实现了“谛听”网络空间工控设备搜索引擎(http://www.ditecting.com),并根据“谛听”收集的各类安全数据,撰写并发布《2023 年工业控制网络安全态势白皮书》,读者可以通过报告了解 2023 年工控安全相关政策法规报告及典型工控安全事件分析,同时报告对工控系统漏洞、联网工控设备、工控蜜罐、威胁情报数据及工业互联网安全创新发展情况进行了阐释及分析,有助于全面了解工控系统安全现状,多方位感知工控系统安全态势,为研究工控安全相关人员提供参考。
2. 2023年工控安全相关政策法规标准
工业互联网不仅是促使信息技术与工业经济深度融合的关键动力,同时也在我国制造强国和网络强国战略中发挥着重要作用。回首2023年,我国在工业信息安全领域取得显著进展,不仅进一步完善了政策标准,同时在垂直行业的安全保障工作推进步伐明显加快。工业信息安全保障技术水平得到大幅提升,为整个网络安全产业的发展注入强劲动力。为了进一步加强工业互联网的安全体系建设,提高安全建设水平,我国在2023年陆续推出了多项涉及工业互联网安全的政策法规报告。
通过梳理2023年度发布的相关政策法规标准,整理各大工业信息安全研究院和机构基于不同法规发布的解读文件,现摘选部分重要内容并进行简要分析,旨在让读者更深入了解国家在工控安全领域的政策导向。
2.1 《网络安全标准实践指南—网络数据安全风险评估实施指引》
2023年5月28日,《网络安全标准实践指南—网络数据安全风险评估实施指引》(以下简称《评估指引》)发布,旨在引导网络数据安全风险评估工作,遵循《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规,并参考相关国家标准。该指引明确了网络数据安全风险评估的思路、工作流程和内容,强调从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面进行评估。
2.2 《商用密码管理条例》
2023年4月14日,国务院第4次常务会议修订通过《商用密码管理条例》,该条例自2023年7月1日起施行。随着商用密码在网络与信息系统中广泛应用,其维护国家主权、安全和发展利益的作用越来越凸显。党的十八大以来,党中央、国务院对商用密码创新发展和行政审批制度改革提出了一系列要求,2020年施行的密码法对商用密码管理制度进行了结构性重塑。《条例》鼓励公民、法人和其他组织依法使用商用密码保护网络与信息安全,支持网络产品和服务使用商用密码提升安全性;明确关键信息基础设施的商用密码使用要求和国家安全审查要求。
2.3 《网络数据安全风险评估实施指引(公开征求意见稿)》
2023年4月18日,全国信息安全标准化技术委员会秘书处发布《网络安全标准实践指南——网络数据安全风险评估实施指引(征求意见稿)》,现公开向社会征求意见。文件详细阐述了进行网络数据安全风险评估的思路、主要工作内容、流程和方法。文件明确提到,进行数据安全保护和数据处理活动的风险评估时,应始终以预防为主、主动发现和积极防范为基本原则,及时发现数据存在的潜在风险,以提升数据安全的防御能力,包括防范攻击、防止破坏、防御窃取、防止泄露以及防范滥用。
2.4 《工业领域数据安全标准体系建设指南(征求意见稿)》
2023年5月22日,工信部发布《工业领域数据安全标准体系建设指南(2023版)》(征求意见稿),其中规定了工业领域数据安全标准体系的建设目标。到2024年,将初步构建该标准体系,切实贯彻数据安全管理要求,满足工业领域数据安全需求,推动标准在关键行业和企业中应用,研发30项以上的数据安全国家、行业或团体标准;2026年,将形成更为完善的工业领域数据安全标准体系,全面遵循相关法律法规和政策制度,标准的技术水平、应用效果和国际化程度显著提高,基础性、规范性、引领性作用凸显,贯标工作全面展开,有力支持工业领域数据安全的关键工作,研制100项以上的数据安全国家、行业或团体标准。
2.5 《信息安全技术网络安全保险应用指南(公开征求意见稿)》
2023年9月13日,全国信息安全标准化技术委员会秘书处发布《信息安全技术 网络安全保险应用指南》(以下简称《应用指南》)征求意见稿。《应用指南》汲取了国际网络安全保险标准成果,结合我国网络安全保险产业和风险管理实践,提炼适合我国国情的应用指南,以协助组织通过网络安全保险有效处理和管理风险。该指南明确了网络安全保险应用的关键环节,包括投保前的风险评估、保险期间的风险控制以及事故发生后的事件评估。提供了在不同环节中可行的方法和内容,为网络安全保险的实际应用提供操作性的指导建议,解决了应用中涉及的基本安全技术和差异性问题。
2.6 《网络关键设备安全技术要求可编程逻辑控制器(PLC)(开征求意见稿》
2023年9月21日,全国信息安全标准化技术委员会发布了《网络关键设备安全技术要求 可编程逻辑控制器(PLC)》国家标准的征求意见稿。该文件明确了将可编程逻辑控制器(PLC)纳入网络关键设备范畴的相关规定,涵盖了设备标识安全、余弦、备份恢复与异常检测、漏洞和恶意程序防范、预装软件启动及更新安全、用户身份标识与鉴别、访问控制安全、日志审计安全、通信安全和数据安全等方面的安全功能要求,以及相应的安全保障要求。
2.7 《工业互联网安全分类分级管理办法(公开征求意见稿)》
2023年10月24日,为加快建立健全工业互联网安全管理制度体系,深入实施工业互联网安全分类分级管理,工信部公开征求对《工业互联网安全分类分级管理办法(公开征求意见稿)》的意见。意见稿指出,工业互联网企业应当按照工业互联网安全定级相关标准规范,结合企业规模、业务范围、应用工业互联网的程度、运营重要系统的程度、掌握重要数据的程度、对行业发展和产业链及供应链安全的重要程度以及发生网络安全事件的影响后果等要素,开展自主定级。工业互联网企业级别由高到低依次分为三级、二级、一级。
2.8 《工业和信息化领域数据安全事件应急预案(试行)(征求意见稿)》
2023年12月15日,推进工业和信息化领域数据安全应急处置工作的制度化和规范化,工业和信息化部网络安全管理局起草了《工业和信息化领域数据安全事件应急预案(试行)》。该预案根据数据安全事件对国家安全、企业网络设施和信息系统、生产运营、经济运行等的影响程度,分为特别重大、重大、较大和一般四个级别。预案强调应急工作要实现统一领导、分级负责,实行统一指挥、协同协作、快速反应、科学处置,并明确了责任分工,以确保数据安全处理者履行数据安全主体责任。
2.9 《信息安全技术 网络安全态势感知通用技术要求》
2023年3月17日,由公安部第三研究所牵头编制的信息安全国家标准GB/T 42453-2023《信息安全技术 网络安全态势感知通用技术要求》,已由国家标准化管理委员会正式发布,标准于2023年10月1日正式实施。作为国内首份网络安全态势感知的国家标准,该标准规范了网络安全态势感知体系的核心组件,包括数据汇聚、数据分析、态势展示、监测预警、数据服务接口、系统管理等方面的通用技术要求。此标准的发布为中国网络安全态势感知的规范化发展提供了重要的指导标准,对国内网络安全态势感知建设具有重要的参考和指导价值。
2.10 《信息安全技术 网络和终端隔离产品技术规范》
2023年5月15日,信安标委发布《信息安全技术 网络和终端隔离产品技术规范》。标准作为信息安全等级保护技术要求系列标准的关键组成部分,同时规定了网络和终端隔离产品的分类、级别划分、安全技术要求以及测评方法。其目的在于指导设计者如何设计和实现符合特定安全等级需求的隔离部件,主要通过对隔离部件安全保护等级的划分来阐述技术要求,即详细说明为实现各个保护等级所需的安全要求,以及在不同安全级别下各安全技术要求的具体实现差异。
2.11 《网络安全工业互联网平台安全参考模型》
2023年7月,我国牵头提出的国际标准ISO/IEC 24392:2023《网络安全工业互联网平台安全参考模型》正式发布。ISO/IEC 24392作为首个工业互联网安全领域的国际标准,基于工业互联网平台安全域、系统生命周期和业务场景三个视角构建了工业互联网平台安全参考模型。该国际标准用于解决工业互联网应用和发展过程中的平台安全问题,可以系统指导工业互联网企业及相关研究机构,针对不同的工业场景,分析工业互联网平台的安全目标,设计工业互联网平台安全防御措施,增强工业互联网平台基础设施的安全性。
2.12 《网络安全设备与服务建立可信连接的安全建议》
2023年8月8日,我国牵头提出的国际标准ISO/IEC 27071:2023《网络安全设备与服务建立可信连接的安全建议》正式发布。该提案于2015年提交至ISO/IEC JTC1/SC27,后经研究,于2019年4月正式立项,2023年7月正式发布。ISO/IEC 27071给出了设备和服务建立可信连接的框架和安全建议,内容涵盖硬件安全模块、信任根、身份、身份鉴别和密钥建立、环境证明、数据完整性和真实性等组件的安全建议。该标准适用于基于硬件安全模块在设备和服务之间建立可信连接的场景,如移动支付、车联网、工业物联网等,有助于提高从设备到服务的全过程数据安全性。
2.13 《信息安全技术 大数据服务安全能力要求》
2023年9月7日,国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2023年第9号),全国信息安全标准化技术委员会归口的4项国家标准正式发布,包括GB/T32914-2023《信息安全技术 网络安全服务能力要求》、GB/T43206-2023《信息安全技术 信息安全控制评估指南》、GB/T 43206-2023《信息安全技术 信息系统密码应用测评要求》、GB/Z 43207-2023《信息安全技术 信息系统密码应用设计指南》,均将于2024年4月1日实施。其中GB/T 35274-2023《信息安全技术 大数据服务安全能力要求》需要重点关注,由于网络安全服务需求不断增加,出现了低价竞标、交付质量差、不规范流程、安全风险等问题,影响了行业健康发展。为贯彻《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》等法律法规,确保服务质量、防范安全风险,提升规范性和可持续性,制定此标准。
表2-1 2023国内部分出台政策法规标准
3. 2023年典型工控安全事件
2023年全球工控安全事件依然层出不穷,给工业企业数字化转型带来了极高的安全风险。众多工控系统遭受了不同程度的网络攻击,给大量企业造成了不可估量的损失,甚至危及国家安全。本年度针对工控系统攻击的破坏程度及规模呈现扩大趋势,影响了多个行业,涵盖能源、交通、军工、制造、医疗等领域。
以下介绍2023年发生的一些典型的工控安全事件,通过以下事件可以了解工业网络面临的风险和发展趋势,以此来制定更加有效的相关策略应对未来可能遭受的攻击。
3.1 GhostSec黑客组织对白俄罗斯的工业远程终端单元进行攻击
2023年1月11日,GhostSec黑客组织声称对白俄罗斯的工业远程终端单元(RTU)进行了攻击,RTU是一种用于远程监控工业自动化设备的操作技术(OT)设备。GhostSec是Anonymous 旗下的一个黑客主义行动组织,主要从事出于政治动机的黑客攻击。从Telegram 小组提供的屏幕截图看出,攻击者加密了设备TELEOFIS RTU968 V2上的文件,并且将加密文件后缀修改为.fuckPutin。TELEOFIS RTU968 V2是一款新型3G路由器,由于其支持工业接口RS-232和RS-485,并且能够将工业协议Modbus RTU/ASCII转换为Modbus TCP,因此可以被视为远程终端单元(RTU)。此次攻击活动使得受害设备上的文件均被加密,攻击者只留下了一封内容为“没有通知信”的文件。经安全人员研究发现,TELEOFIS RTU968 V2默认开启22端口的SSH 服务并且允许使用root密码远程登录。攻击者可能通过这些配置弱点进入设备内部,从而实现设备文件加密。
目前GhostSec黑客组织表现出在某些情况下破坏企业和运营的能力。GhostSec最新的攻击活动也再次表明,这些组织有兴趣寻找ICS设备,如果这些设备受到攻击,可能会影响工业自动化环境中的生产和系统安全性。
3.2 GE Digital的服务器被发现存在5个可利用的漏洞,影响了多个关键基础设施部门
2023年1月17日,工业网络安全公司Claroty的研究人员透露,其Team82团队在GE Digital的Proficy Historian服务器中发现了五个可利用的漏洞,影响了多个关键基础设施部门。威胁行为者可以利用安全漏洞访问历史记录、使设备崩溃或远程执行代码。这批漏洞影响GE Proficy Historian v7.0及更高版本。这些漏洞的存在与ICS和操作技术(OT)环境有关,因为这些历史数据库服务器与企业系统共享过程信息,从而为攻击者从IT网络跳转到OT系统创造了一个有吸引力的支点。通过这批漏洞,攻击者可以在远程GE Proficy Historian服务器上以SYSTEM权限执行任意代码。此外,攻击者还能构建一个功能齐全的shell命令行界面(CLI),该界面支持多种命令,包括绕过身份验证、上传任意文件、读取任意文件、删除任意文件以及远程执行代码。
美国网络安全和基础设施安全局(CISA)很快发布了一份工业控制系统(ICS)公告,将这些漏洞确定为使用备用路径或通道绕过身份验证、不受限制地上传危险类型的文件、不正确的访问控制和弱口令编码。目前GE公司表示GE Proficy Historian v8.0.1598.0受到影响,针对最近发布的GE Proficy Historian中的所有漏洞已发布相应缓解措施,并敦促用户升级以获得保护。
3.3 北非国家军事ICS基础设施遭到黑客攻击
2023年1月27日,美国Cyble研究与情报实验室(Cyble Research & Intelligence Labs,CRIL)发布博客,发现一名黑客访问由北非国家的军事组织所使用的监督控制和数据采集系统(SCADA)和热成像摄像机(Thermal Imaging,TI),该黑客发布了一张TI相机系统的访问面板的图像,CRIL研究人员确定该面板属于一家著名的原始设备制造商,该公司为全球几支武装部队制造军用级TI相机,黑客利用这些系统数据获得了对军事资产的网络访问。经过进一步调查,CRIL发现暴露的TI相机有多个漏洞,如信息披露、未经授权的远程代码执行(RCE)和硬编码凭证问题,这些漏洞的存在不仅可以为黑客提供对军事基地的监视能力,还可以让他们渗透到操作技术(Operational Technology,OT)网络。
3.4 半导体设备制造商MKS Instruments遭勒索软件攻击
2023年2月3日,半导体设备制造商MKS Instruments遭受勒索软件的攻击,此事件影响了其生产相关系统,该公司发现勒索软件造成的影响后,立即采取行动启动事件响应和业务连续性协议以遏制其危害继续扩散。MKS Instruments的网站在很长一段时间内无法被访问。该公司表示,它已通知执法部门,同时通过聘请事件响应专业人员调查和评估事件的影响。MKS Instruments高级副总裁说:“该事件影响了某些业务系统,包括与生产相关的系统,作为遏制措施的一部分,公司已决定暂时停止某些设施的运营。”该公司表示,正在努力尽快恢复系统和受影响的运营。
3.5 加密ATM制造商General Bytes遭黑客攻击,至少150万美元被盗
2023年3月17日,加密ATM制造商General Bytes发生了一起安全事件,导致至少150万美元被盗,迫使其关闭大部分位于美国的自动取款机,General Bytes将其描述为“最高”级别的违规行为。一些自助服务终端只允许现金换加密货币交易,而其他是“双向”的,这意味着客户可以用他们的数字货币获取现金。根据其创始人 Karel Kyovsky 详细描述该事件的声明,黑客利用用于上传视频的主服务接口中的漏洞,将自己的 Java 应用程序远程上传到该公司的服务器上。该事件使攻击者能够读取和解密 API 密钥,并访问交易所和在线维护的“热”加密货币钱包上的资金,他们还能够窃取用户名和密码,并关闭双因素身份验证。
3.6 黑客对以色列关键基础设施进行新一轮网络攻击
2023年4月9日,据英国信息安全、网络犯罪新闻平台HACKREAD报道,以色列的灌溉系统遭到了一系列网络攻击,导致数个水位监测器发生故障,同时针对该国的主要基础设施机构网站(包括航空公司、交通、邮政和灌溉系统的网站)的网络攻击数量激增。同日,据JPost报道,在灌溉系统遭到攻击的前一周,以色列国家网络组织曾发出警告,在4月14日的“伊朗耶路撒冷日”庆祝活动之前的穆斯林斋月期间,针对以色列基础设施的网络攻击可能会增加,当局认为,这些网络攻击可能是由亲巴勒斯坦的黑客组织OpIsrael策划。
3.7 电力和自动化技术巨头ABB遭到勒索软件团队攻击
2023年5月7日,据美国网络安全媒体BLEEPINGCOMPUTER报道,电力和自动化技术巨头ABB遭受了Black Basta勒索软件团伙发起的网络攻击。ABB是一家行业领先的电气化和自动化技术的跨国提供商,该公司为多家制造业和能源供应商开发工业控制系统(ICS)和SCADA系统,单在美国就运营着40多家工程、制造、研究和服务设施,并为多种联邦机构提供服务。BLEEPINGCOMPUTER从多名员工处获悉,勒索软件攻击影响了公司的Windows Active Directory,影响了数百台设备的正常工作,为解决该问题ABB已经采取一些措施如终止与其客户的VPN连接防止勒索软件传播来控制事件。目前ABB绝大多数系统和工厂现已重新启动并运行,继续为客户提供服务。
3.8 工控安全公司Dragos遭到勒索软件团队攻击
2023年5月8日,一个已知的勒索软件犯罪组织试图破坏工控安全公司Dragos的安全防御系统并渗透到内网加密设备。Dragos表示其公司网络和安全平台在攻击中并未遭到破坏,攻击者的横向移动、提权、加密、驻留等攻击手段大多被Dragos的多层安全控制和基于角色的访问控制阻止了,但攻击者成功入侵了该公司的SharePoint云服务和合同管理系统。Dragos已经调查了公司安全信息和事件管理中的警报并阻止了受感染的帐户。
3.9 Suncor Energy遭受网络攻击影响全国加油站:线上支付或瘫痪,仅支持现金
2023年6月25日,加拿大最大的合成原油生产商之一的Suncor Energy发布新闻稿称其遭受了网络攻击,虽然新闻稿中表示尚未发现任何证据表明客户、供应商或员工的数据遭到泄露或滥用,但目前其子公司Petro-Canada遍布加拿大的加油站已经无法支持客户使用信用卡或奖励积分付款,甚至其官网的账户登录也已经瘫痪,并且“洗车季通行证”的持有客户无法在Petro-Canada的洗车中心使用其特权。新闻稿表示目前公司正在采取措施并与第三方专家合作调查和解决这一情况,并已通知当局有关部门,近期与客户和供应商的一些交易可能会受到影响。
3.10 日本名古屋港口遭到勒索攻击导致货运业务暂停
2023年7月5日,日本最大且最繁忙的港口名古屋港发布了关于其统一码头系统(NUTS)遭到攻击的通知,NUTS是控制该港所有集装箱码头的中央系统。根据通知,勒索攻击发生于当地时间7月4日凌晨06:30左右。名古屋港务局预计系统将于7月5日恢复上线,货运业务于7月6日恢复,在相关业务恢复之前,所有使用拖车在码头进行的集装箱装卸作业均已取消,这给港口造成了巨大的财务损失,并严重扰乱了进出日本的货物流通。7月26日,名古屋港再次发布调查通知,表示截至7月6日18时15分,所有码头业务已恢复运营,并且在爱知县警察本部和系统维护公司的共同调查下,名古屋港务局确认此次事件的原因是勒索软件感染。据报道,该机构曾于7月4日上午收到了一份用办公室打印机远程打印的赎金要求。
3.11 澳大利亚基础设施公司遭受Ventia网络攻击
2023年7月8日,基础设施提供商Ventia发布公告表示其发现了一起网络入侵事件,该事件影响了Ventia的部分系统,目前Ventia已采取包括关闭关键系统等措施来遏制该事件,并聘请了外部网络安全专家,积极与监管机构和执法部门合作。Ventia是澳大利亚和新西兰最大的基础设施提供商之一,业务涉及国防、能源、医疗保健、采矿、电信和水务行业。在7月9日的后续的声明中Ventia表示,他们仍在处理此次攻击事件,且其业务正在持续运营。
3.12 美国芝加哥贝尔特铁路公司遭遇勒索软件攻击
2023年8月12日,据Recorded Future New报道,美国最大的转辙和枢纽铁路正在调查勒索软件组织窃取数据的事件。芝加哥贝尔特铁路公司由美国和加拿大的六家铁路公司共同拥有,每家铁路公司都使用该公司的转运和换乘设施。当地时间8月10日晚,Akira勒索软件团伙将该公司添加到其泄露网站,声称窃取了85GB的数据。贝尔特铁路总法律顾问Christopher Steinway称,该公司最近意识到“一个威胁组织在其网站上发布消息称其已获得某些公司信息”,但“该事件没有影响我们的运营,我们已聘请一家领先的网络安全公司来调查这一事件,并正在与联邦执法部门合作”,目前贝尔特铁路公司仍然在调查此事件。
3.13 APT28组织针对乌克兰关键能源基础设施进行网络攻击
2023年9月4日,乌克兰计算机紧急响应小组(CERT-UA)发布公告称其发现了一起针对乌克兰关键能源基础设施的网络攻击。公告表示,此次网络入侵始于一封钓鱼电子邮件,其中包含指向激活感染链的恶意ZIP存档的链接。CERT-UA表示:“访问该链接会将包含三个JPG诱饵图像和BAT文件weblinks.cmd的ZIP存档下载到受害者的计算机上”,并将此次攻击归因于名为APT28(又名BlueDelta)的俄罗斯威胁行为者。该攻击会窃取目标主机信息,同时下载TOR隐藏服务来路由恶意流量。CERT-UA表示,关键能源基础设施的负责员工设法通过限制对Mockbin网络资源服务(mockbin.org、mocky.io)的访问并阻止在计算机上的启动Windows Script Host,成功阻止了该网络攻击。
3.14 研究人员披露针对俄罗斯国防工业的MataDoor后门攻击
2023年由9月27日,俄罗斯网络安全公司Positive Technologies发布安全分析报告,称其在2022年10月对一家俄罗斯工业企业的安全事件进行调查的期间,发现该企业被入侵的计算机上运行着以前从未见过的恶意软件样本。这些恶意软件可执行文件的名称与受感染计算机上安装的合法软件的名称相似,而且一些样本具有有效的数字签名。此外,已识别的可执行文件和库经过Themida保护程序的处理,使其更难被检测和分析。Positive Technologies对这些样本进行后续分析后认为被识别的恶意软件是一个相当复杂的模块化后门,并称之为MataDoor,其设计目的是为了长期在计算机中隐蔽运行。
3.15 朝鲜黑客攻击韩国造船业窃取军事机密
2023年10月4日,韩国国家情报院发布名为《国家情报局就“朝鲜针对造船业的黑客攻击蔓延”发出警告》的新闻稿。新闻稿指出在去年8月和9月就已经发现了几起朝鲜黑客组织企图入侵主要造船厂的案件,朝鲜黑客组织之所以将目标对准韩国造船企业,是因为金正恩下达了建造大中型军舰的命令,并预测朝鲜的攻击趋势今后仍将持续,呼吁包括大型造船企业和船舶零部件制造商在内的相关企业进行彻底的安全管理。韩国国家情报院认为,黑客攻击的方法是夺取和绕过IT维护公司的个人主机,或向内部员工分发钓鱼邮件,然后安装恶意软件。韩国国家情报院敦促业界加强安全措施,包括“对黑客行为的蔓延发出警告并禁止查看不明确的电子邮件”。
3.16 DP World遭遇网络攻击导致约3万个集装箱滞留港口
2023年11月12日,国际物流公司DP World Australia发布媒体公告,称其遭遇了严重破坏澳大利亚多个大型港口正常货运的网络攻击。根据报告,11月10日的一次网络攻击中断了其港口的陆上货运业务,为此,DP World启动了应急计划,并与网络安全专家展开合作,前公司正在测试恢复正常业务运营所需的关键系统。另外,媒体声明中还提到公司的部分数据很可能已经被非法访问、甚至遭到泄露,然而内部调查仍在进行中,该情况尚未证实。DP World专注于货运物流、港口码头运营、海事服务和自由贸易区,负责运营40个国家的82个海运和内陆码头,其每年处理由70000艘船只运送的约7000万个集装箱,相当于全球集装箱运输量的约10%。
3.17 爱尔兰一家自来水公司遭遇网络攻击导致供水中断2天
2023年12月7日,爱尔兰媒体WesternPeople报道,黑客攻击了爱尔兰埃里斯地区的一家私人集团供水公司,导致供水中断两天并影响到180户业主,之后工作人员努力修复 Eurotronics 以色列制造的抽水系统。攻击者出于政治动机,选择对该供水公司中源于以色列的设备进行攻击并破坏了抽水系统的用户界面,张贴了反以色列的信息。工作人员表示这些引进的设备防火墙安全系统可能不够强大,目前正在改进他们的安全系统,并与都柏林网络犯罪局密切合作。
表3-1 2023年部分安全事件
4. 工控系统安全漏洞概况
随着5G网络、工业4.0、和工业互联网的发展,传统的工业生产模式逐渐被智能化所取代,工控设备也因此遭受着越来越多的攻击,并且攻击形式日渐多元,攻击手段更加复杂,工控安全事件呈现连年高发态势。其中,最常见的攻击方式就是利用工控系统的漏洞。PLC(Programmable Logic Controller,可编程逻辑控制器 、DCS(Distributed Control System,分布式控制系统)、SCADA(Supervisory Control And Data Acquisition,数据采集与监视控制系统) 乃至工业应用软件均被发现存在大量信息安全漏洞。相关数据显示,2023年西门子(Siemens)、施耐德(Schneider)、LS电气集团(LS ELECTRIC)、罗克韦尔自动化(Rockwell Automation)等工业控制系统厂商均被发现包含各种信息安全漏洞。谛听团队采集到的工控漏洞数据显示,2023年工控安全漏洞数量较2022年相比有所回升,但2021年到2023年整体工控安全漏洞数量较2020年之前依旧偏少。
图4-1 2013-2023年工控漏洞走势图(数据来源CNVD、“谛听”)
根据CNVD(国家信息安全漏洞共享平台)[1][2]和“谛听”的数据,2013-2023年工控漏洞走势如图4-1所示。根据图表显示,2015年至2020年期间,工控漏洞数量呈现显著的递增趋势。对于这一现象,我们的团队分析认为主要原因在于自2015年以来,技术融合的飞速推进迅速推动了工业控制(工控)产业的蓬勃发展,同时也瓦解了传统工控系统的体系结构。在产业标准和政策尚未达到成熟水平的情况下,攻击者可能采取更加多样化的手段,对工控系统进行攻击,从而导致工控漏洞的不断增加。然而,自2021年开始,工控漏洞数量总体呈下降的趋势。与2020年的568条漏洞信息相比,2023年减少了449条,漏洞数量大幅减少,减少数量占2020年的79%。2023年与2022年的96个漏洞相比增加了24%,漏洞数量虽有小幅回升,但仍低于2020年。我们的团队推测这一变化的原因是多方面的。首先,相较于发展迅猛的IT行业,工业领域业务较为成熟,工控行业的厂商产品较为稳定,工控系统的更新迭代较慢,2015-2020期间发现的新增漏洞中,很大比重是来源于多年长期运行的工控系统中的“存量”漏洞。随着2020年此类漏洞的挖掘达到顶峰,随着新产品推出而产生的新漏洞数量自然出现明显下降。其次,随着疫情逐渐得到控制,工业界和产业界的从业人员逐渐回归正常的线下工作环境,这对工控系统的活力和正常运营产生积极影响。在新冠疫情期间,大量从业人员转向线上办公,导致工控产业的活力下降,攻击者的工控攻击目标数量与类型相对减少。然而随着工业系统的运作逐步恢复正常,各类设备和系统的上线运行。新的业务需求、系统升级或集成可能引入新的漏洞,导致2023年漏洞数量有小幅度的回升。第三,随着工控信息安全政策、体系和法规的不断完善,工控安全方面的产品体系和解决方案逐渐健全,工控厂商对其产品的漏洞管理更加严格。客观上,漏洞数量的下降是符合情理的趋势。
图4-2 2023年工控系统行业漏洞危险等级饼状图(数据来源CNVD、“谛听”)
如图4-2是2023年工控系统行业漏洞危险等级饼状图,截至2023年12月31日,2023年新增工控系统行业漏洞119个,其中高危漏洞85个,中危漏洞31个,低危漏洞3个。与去年相比,漏洞数量增加了23个,中危和低危漏洞数量均有一定减少,高危数量显著增加,其中,高危漏洞数量增加了50个,相比2022年高危漏洞总数增加了1.43倍。2023全年高危工控安全漏洞占全年漏洞总数的71%,与2022年相比增加了35%。综合分析,这些趋势表明2023年工控系统行业面临更加严峻的漏洞安全挑战。高危漏洞的占比提高意味着增加了系统受到攻击的概率和危害程度。这也反映了攻击者针对工控系统可能采用更为复杂和危险的攻击手段。因此,业界在工控系统安全方面需要加强防护和响应措施,以降低潜在的风险。
图4-3 2023年工控系统行业厂商漏洞数量柱状图(数据来源CNVD、“谛听”)
如图4-3是2023年工控系统行业厂商漏洞数量柱状图,由图中可知,西门子(Siemens)厂商具有的漏洞数量最多,多达87个。漏洞数量排在其后的厂商分别是:施耐德(Schneider)、LS电气集团(LS ELECTRIC)、罗克韦尔自动化(Rockwell Automation),这些厂商也存在着一定数量的工控系统漏洞。
以上数据表明,尽管在2023年新增工控漏洞数量相比2022年有所回升,但总体数量依旧呈较低水平,全球工控系统的安全防护水平仍在持续提升。高危漏洞的显著增加表明工控系统仍然面临严重的安全挑战。理论上,高危漏洞应在工控相关协议和设备设计初期避免,或在被安全人员发现时及时解决,但实际情况可能并非如此。尽管近两年工控系统所遭受的攻击数量逐年减少,但高危漏洞的显著增加体现出攻击强度可能仍未降低,工控系统的设计缺陷可能未能得到及时完善。在这种情况下,工控产业相关单位有必要进一步加强对工业漏洞的防范,持续增加对工控系统安全建设的投入。特别是在工控系统安全防护中需要针对高危漏洞建立系统安全性设计、漏洞管理监控、漏洞响应修复等全方位漏洞防护能力,降低工控系统面临的安全风险。
5. 联网工控设备分布
随着工业互联网的快速发展,联网工控设备的暴露数量与日俱增,有效管控联网工控设备资产对于确保工业生产、社会保障运行的安全性,对社会稳定和经济运行具有重要影响。工业和信息化部印发的《工业控制系统网络安全防护指南》中强调,要“建立工业控制系统资产清单,并根据资产状态变化及时更新,定期开展工业控制系统资产核查”[3]。联网工控设备的探测与分析对于梳理、核查并重点保护联网工控资产,确保关键基础设施的安全性和稳定运行有重要意义。
“谛听”网络空间工控设备搜索引擎共支持31种服务的协议识别,表5-1展示了“谛听”网络安全团队识别的工控协议等的相关信息。如想了解这些协议的详细信息请参照“谛听”网络安全团队之前发布的工控网络安全态势分析白皮书。
表5-1 “谛听”网络空间工控设备搜索引擎支持的协议
“谛听”官方网站(www.ditecting.com)公布的数据为2017年以前的历史数据,若需要最新版的数据请与东北大学“谛听”网络安全团队直接联系获取。根据“谛听”网络空间工控设备搜索引擎收集的内部数据,经“谛听”网络安全团队分析,得到一系列结论,具体如下。
图5-1为2023年全球工控+物联网设备暴露Top-10国家/地区。图中显示,与2022年相比,国家排名变化比较稳定,但是全球暴露工控设备的总数量远远超越去年。在全球范围内,美国作为世界上最发达的工业化国家,其工控设备暴露数量排名首位。中国持续推动先进制造业和新型基础设施建设,工业产值显著增长,排名第二。加拿大作为一个工业发达的国家,在能源、制造、矿业、航空航天和信息技术等领域都具有世界领先的实力。其排名相较于与2022年进步较大,排名第三位。
图5-1 全球工控+物联网设备暴露Top10柱状图(数据来源“谛听”)
在工业互联网领域中,工控设备协议与物联网设备协议协同合作,以实现设备的协同工作和数据交互。工控设备协议专注于实时控制和监测,确保工业控制系统的高效运行,而物联网设备协议注重通用性和灵活性,使得不同类型设备能够互联,实现数据的共享。这两者的结合促进系统集成,创造出智能的工业生态系统,实现对整个生产过程的全面监控。在实际应用中,这些协议的协同作用使工业互联网中的设备能够高效、可靠地实现互联和数据交换。图5-2和图5-3分别为全球工控设备暴露Top10柱状图和全球物联网设备暴露Top10柱状图。可以看到,在工控设备暴露排名中,加拿大超过了中国排名第二位。
图5-2 全球工控设备暴露Top10柱状图(数据来源“谛听”)
图5-3 全球物联网设备暴露Top10柱状图(数据来源“谛听”)
摄像头协议是一种约定,规定了摄像头与其他设备之间的通信方式,包括实时视频流传输和数据交互的标准。常见的摄像头协议有ONVIF,hikvision,Dahua Dvr等。图5-4为全球摄像头设备暴露Top10柱状图。由于海康威视和大华两家安防企业的发展,在全球范围内中国摄像头设备的暴露数量排名首位,波兰排名第二,美国排名第三。
图5-4 全球摄像头设备暴露Top10柱状图(数据来源“谛听”)
5.1国际工控设备暴露情况
国际工控设备的暴露情况以美国和加拿大为例进行简要介绍。
美国是世界上工业化程度最高的国家之一,同时也是2023年全球工控设备暴露最多的国家,如图5-5所示为美国2023年工控协议暴露数量和占比。由于日益增长的数字化依赖,美国政府一直致力于制定和加强网络安全政策,以保护国家的关键基础设施和敏感信息。同时在工业化领域,政府一直关注制造业的创新和发展,采取措施促进技术进步,提高生产效率。2023年6月,美国网络安全和基础设施安全局(CISA)发布了一项网络安全指令,要求联邦机构强化其网络边缘和远程管理设备,以应对近期的网络攻击。这一规定被视为对联邦行政部门和机构的强制性要求。这一举措旨在提高联邦机构的网络安全水平,以有效抵御潜在的网络威胁。2023年8月,美国纽约州推出了该州首个全州范围的网络安全战略。这一战略被构想为各个公共和私人利益相关者如何协同工作,以保护关键基础设施和全州居民个人数据免受恶意攻击和数据泄露的蓝图。
图5-5 美国工控协议暴露数量和占比(数据来源“谛听”)
相较于2022年,今年美国在工控领域的安全事件有所减少,也得益于美国自身可以排查出相应的安全隐患。3月21日,美国网络安全和基础设施安全局(CISA)发布了八项工业控制系统(ICS)公告,发出警告指出存在严重缺陷可能影响Delta Electronics和Rockwell Automation设备。CISA的举措强调了对工业控制系统安全的高度关切,并鼓励相关组织积极应对以保护其关键基础设施免受可能的网络攻击。美国在未来的工控安全领域将不断增强技术能力,以迎接不断增长的挑战。
2023年加拿大工控设备和物联网设备暴露数量位居全球第三,上升明显。加拿大是一个工业发达的国家,以其在多个领域的世界领先实力而闻名。在能源行业方面,加拿大拥有丰富的自然资源,尤其是石油、天然气和水力资源,使其成为全球能源生产的关键参与者。高科技制造业也是加拿大的强项之一,尤其在航空航天、信息技术和生物医药领域,加拿大企业在全球市场上占据重要地位。通过图5-6可以看到,在加拿大暴露的工业协议数量中,Fox排名第一,Modbus协议暴露数量排名第二。
图5-6 加拿大工控协议暴露数量和占比(数据来源“谛听”)
综上,相较于2022年,伴随着经济的全面复苏,受疫情的影响越来越少,工业控制设备暴露数量有大幅的提升。美国政府对国家工控系统安全性以及网络安全、人工智能等问题更加重视。加拿大暴露工控协议数量占比较2022年有较大变化。美国和加拿大工业的发展体现出北美强劲的经济实力,但是随着国家GDP增长的同时,暴露的工控设备数量大幅增长,将对以后国家的工业化管理留下隐患。
5.2 国内工控设备暴露情况
2023年,中国暴露的工控设备数量在全球范围内位居第二,并相较以往明显增加。疫情期间,由于工控设备的封锁,数量出现下降趋势。然而,随着2023年经济全面重振,暴露的工控设备数量大幅增加。近年来,中国不断优化升级产业结构,为经济的可持续增长和全球竞争力提供了显著的动力和支持。其中,工业互联网作为一项重要的战略发展领域,经历了迅猛的发展。在产业结构优化方面,我国政府推动了传统制造业向高科技和服务业转变,并且实体经济正在经历向数字化经济的转型。下面详细分析一下国内工控设备暴露情况。
从图5-7国内各地区工控设备暴露数量Top10柱状图中可以看出,在2023年内,浙江省的工控设备暴露数量与去年相比有了大幅度的提高。在2023年之前,由于疫情的影响,全国多地停工停产,国内工控设备暴露数量有所减少。但在2023年内,在中国政府的及时干预和经济复苏措施的实行下,中国工业互联网市场迅速恢复发展,工业化与信息化在高层次进行了深度融合,国内工控设备暴露数量迅速上升。据新华社报道,2023年中国GDP同比增长5.2%,增速上涨了两个百分点,也侧面反映出工业方面的迅速复苏。
图5-7 国内各地区工控设备暴露数量Top10(数据来源“谛听”)
2023年,全国暴露工控设备数量最多的是浙江省。据央广网报道,2023年内浙江省工业增加值比去年增长4.9%,其中,规模以上工业增加值22388亿元,增长6.0%[4]。工业的快速发展加大了企业在生产自动化、智能化及节能减排等方面的相关需求,也导致了工业控制设备暴露数量的显著增加。据中国工业新闻网公布的2023年中国工业百强县榜单[5]可以看出,浙江省在工业领域拥有强大的实力和竞争力,在该榜单中,浙江省登榜的县级市高达24个,稳居全国首位。从《浙江省推动新能源制造业高质量发展实施意见(2023-2025年)》中可以看出,浙江省正积极在多种新能源领域做新的规划和布局,包括在光伏、风电、储能、氢能领域以及核电相关产业和一些其他新能源技术领域的创新发展,而此类新能源技术的研发与产业化进程自然离不开工业互联网安全的保驾护航。
2023年,台湾地区工控设备暴露数量依然名列前茅,较去年排名没有变化,依然为全国第二,但是工控设备暴露数量明显大幅度上升。2023年11月13日,以“人工智能与制造业数字化转型”为主题,由中国工业互联网研究院和台湾区电机电子工业同业公会联合主办的“2023两岸工业互联网融合发展研讨会”在江苏省昆山市举办。两岸企业家峰会信息产业合作推进小组召集人刘利华,资讯、通信产业合作推动小组召集人李诗钦出席会议并致辞,李诗钦表示,两岸工业互联网产业具有广阔的优势互补和合作发展空间,期待加强两岸数字经济合作,深化工业互联网、新能源汽车、数字贸易、跨境电商等领域的务实合作[6]。
2023年,北京市工控设备暴露数量大幅上升,位列第三名,较之去年排名上升14位。随着工业4.0和智能制造的推进,北京市作为中国重要的经济和技术中心,其工业控制系统逐渐走向智能化和网络化。大量的工业生产设备接入互联网,形成工业物联网,这也使得更多的工控设备暴露在网络环境中。早在2022年1月,北京市就颁布了《北京工业互联网发展行动计划(2021-2023 年)》,近年来北京市正积极促进数字化转型和智能化升级,以工业互联网为核心的新一代信息技术赋能传统行业,不断催生新的经济增长点,推动实体经济高质量发展。
与去年相比,东北地区工业控制设备暴露数量排名略微下降,位于全国中游,与去年相比,吉林省工控设备暴露的数量有较大幅度上升,成为东北地区工控设备暴露数量最多的省份。作为中国工业曾经发展最辉煌的地区,东北地区工业近年来经历了产业结构调整和转型升级。面临过经济下滑和产能过剩的困境,东北地区通过政策扶持,大力推动高端制造业和新能源技术等新兴工业产业的发展,为国家“振兴东北”的战略做出了巨大贡献。2023年10月2023全球工业互联网大会在辽宁沈阳召开,本届大会以“聚焦工业数字化转型,助力新型工业化发展”为主题。在大会上发布了《2023工业互联网行业融合创新应用报告》和首个“工业数字化转型评价综合指数”等成果。此外,本次大会还介绍了年度典型案例、细分领域优秀案例和行业应用优秀案例,对于打造国际化发布平台,推动工业互联网行业典型案例的分享与交流,构建数字驱动的工业新生态具有重要意义。
5.3 国内工控协议暴露数量统计情况
图5-8 国内工控协议暴露数量和占比(数据来源“谛听”)
“谛听”团队统计了国内暴露的各协议总量,从图5-8中可以看出Modbus协议在网络中暴露的数量最多,领先于第二位的Nport。
Modbus协议是一种应用于工业领域的通信协议,用于在各种工业设备之间进行数据交换。它由Modicon公司(现为施耐德电气公司)于1979年开发,现已成为工业领域最常用的通信协议之一。Modbus协议采用主从模式,一个主设备可以与多个从设备进行通信。协议报文由报文头和报文体组成,报文头包含协议标识、地址信息、功能码等,报文体包含数据。Modbus协议支持多种通信介质,包括串行通信(RS-232、RS-422、RS-485)和以太网(TCP/IP、UDP/IP)。Modbus协议广泛应用于工业控制、监测系统、数据采集系统等领域。其优势在于开放标准、简单易用、兼容性强,但安全性不高、通信效率低。
Moxa NPort协议是一种专为Moxa NPort串口服务器设计的通信协议,基于TCP/IP协议,允许用户通过网络访问连接到NPort服务器的串口设备。该协议支持读写串口数据、控制串口参数、配置NPort服务器等功能,并提供简单易用、安全可靠、灵活扩展等优势,广泛应用于工业控制、数据采集、远程监控等领域。用户可通过Web浏览器、应用程序或脚本等方式使用Moxa NPort协议访问和管理串口设备。
Niagara Fox 是 Tridium 公司为其 Niagara Framework 提供的通信协议之一。Niagara Framework 是一种用于建筑自动化和物联网(IoT)应用的开放式平台,它提供了一个统一的框架,使得不同品牌和类型的设备能够相互通信和协同工作。Niagara Fox 提供了一种开放且标准化的通信方式,允许不同厂商的设备在同一网络中进行数据交换、控制和监测。Niagara Fox 的设计目标是支持多种电气接口,实现设备的透明通信,并在 Niagara Framework 中为各种应用场景提供灵活的集成解决方案。
EtherNet/IP是由ODVA(Open DeviceNet Vendor Association)指定的工业以太网协议,它使用ODVA已知的应用层“通用工业协议”(CIP™)。它具有功能丰富、可靠性高、应用广泛等特点,支持多种通信模式、数据类型和功能,可用于各种工业控制应用。最新版本还支持CIP安全、多网络、虚拟化等功能,进一步增强了安全性、灵活性和扩展性。
OMRON FINS协议 是一种由欧姆龙公司开发的用于PLC通信的网络协议,具有简单易用、可靠性高、功能丰富等特点。它支持多种通信模式、数据类型和功能,可用于各种PLC应用需求。最新版本还支持TCP/IP协议、加密、远程访问等功能,进一步增强了灵活性和安全性。
5.4 俄乌冲突以来暴露设备数量变化
俄乌冲突开始于2022年三月份,目前俄罗斯和乌克兰的紧张局势依然在持续中,时隔近两年,两国冲突仍然在加剧。实施网络战能够影响一个国家的通信能力和战场感知能力,特别是随着军队越来越依赖软件,通过获取情报进行战场部署的重要性日益突显,这场竞赛变得愈发紧迫。为了能够了解俄罗斯和乌克兰的工控领域的相关状况,“谛听”网络安全团队对此进行了持续关注。表5-2列举了俄罗斯、乌克兰暴露工控设备的相关协议。
表5-2俄罗斯、乌克兰暴露工控设备相关协议
同时,“谛听”网络安全团队每月都会收集俄乌暴露的设备数量情况,根据收集的数据,得到了俄罗斯和乌克兰自冲突爆发以来暴露的设备的数量变化情况。
从图5-9冲突后2023年乌克兰各协议暴露设备数量来看,AMQP协议从冲突前到23年5月份变化幅度较大,总体呈现先降后升的趋势,后续趋于平缓;Modbus协议从22年12月份至23年6月份呈现下降趋势,之后整体趋势呈现先升后降;Moxa Nport协议在23年期间略有下降,总体平稳;其它协议整体的变化幅度不大。
图5-9 乌克兰暴露设备数量变化(数据来源“谛听”)
从图5-10冲突后2023年俄罗斯各协议暴露设备数量来看,AMQP协议变化较大,在2023年2月到4月期间有大幅度的下降,之后回升并趋于平缓,小幅度下降;与AMQP在同一数量级的Modbus和Nport协议都略有下降,总体趋于平缓;其他协议整体变化幅度不大。
图5-10 俄罗斯暴露设备数量变化(数据来源“谛听”)
总的来说,2023年的关键时期集中在2月至6月,此时工控设备的暴露情况出现了显著的波动,但在随后的时间里逐渐趋于稳定。通过仔细分析俄乌暴露设备的变化趋势,我们能够窥见俄乌战争对工业系统的深远影响。这种趋势分析不仅提供了对工控设备暴露情况的细致洞察,同时也为理解战争对工业基础设施的冲击提供了实质性的线索。团队将会在来年中继续跟进。
5.5 工业控制系统暴露数量数据变化分析
网络安全评级公司Bitsight发布的报告表示,在过去几年中,互联网上暴露的工业控制系统数量持续减少,并在2023年6月降至10万以下,而每个协议的表现并不一致。例如,Bitsight表示,约2021年后,采用Niagara Fox的暴露ICS数量持续下降,使用Modbus及S7协议的暴露系统、设备则在今年6月变得更加常见。
“谛听”团队对以上信息进行调查,调查结果显示工业控制系统的暴露数量数据正在逐步回升,具体分析结果如下。
在总体数据数量与个别常见协议的变化方面,从2023年4月上旬开始,全球工业控制系统暴露数量呈下降趋势,尤其在6月下旬后下降最为显著,直至8月上旬达到最低值。然后数据量开始回升。然而,具体协议表现却不一致,Modbus与Fox在这期间呈现下降趋势,而BACnet与S7协议波动相对较小。在协议变化阶段分析中,Fox协议在下降阶段减少最多,而在上升阶段增加最为显著。此外,国家及地区方面,中国内地及中国香港、法国、波兰以及美国在下降阶段减少量领先,而在上升阶段这些地区的数据量均有明显回升。这表明工业控制系统的网络安全状况存在波动,需要持续关注和改进。
6. 工控蜜罐数据分析
随着工业网络的不断发展,工业控制系统(ICS)面临着日益复杂和多样化的网络威胁。为了有效地应对这些威胁,工业蜜罐作为一种安全工具在工业环境中得到了广泛应用。工业和信息化部印发的《工业控制系统网络安全防护指南》中指出,工业控制网络与企业管理网或互联网的边界,可采用工业控制系统蜜罐等威胁诱捕技术,捕获网络攻击行为,提升主动防御能力[7]。东北大学“谛听”网络安全团队深入分析工业蜜罐在模拟和检测工业网络攻击中的作用,并探讨其在提高工业网络安全性方面的潜在价值。经过多年努力,“谛听”网络安全团队研发出了可以模拟多种工控协议和工控设备并且全面捕获攻击者流量的“谛听”工控蜜罐。目前,“谛听”蜜罐支持12种协议,且已经部署在多个国家和地区。“谛听”网络安全团队在2021年进一步改进了基于ICS蜜网的攻击流量指纹识别方法(以下简称“识别方法”),有效地提高了识别各类针对工控网络的攻击流量的效率,并根据不同类型的攻击流量制定出更加有效的工控系统防御措施。
6.1 工控蜜罐全球捕获流量概况
“谛听”工控蜜罐可支持ATGs Devices、OMRON FINs、DNP3、Modbus、EGD等12种协议,其中,Modbus/UDP协议是今年新增的协议。目前“谛听”工控蜜罐已经部署在了中国华北地区、中国华南地区、东欧地区、东南亚地区、美国东北部等国内外多个地区。截止到2023年12月31日,“谛听”蜜罐收集到大量攻击数据。图6-1、6-2和6-3中展示了经过统计和分析后的数据。下面将对各个图表进行简要解释说明。
图6-1 2023年蜜罐各协议攻击量(数据来源“谛听”)
图6-1展示了不同协议下各蜜罐受到的攻击量。从图中可以看出ATGs Devices、 OMRON FINs和DNP3协议下蜜罐所受攻击量仍然保持在前三名,相较于2022年统计数据,ATGs Devices、 OMRON FINs、DNP3、Modbus等协议受攻击的数量都有明显增加。而OMRON FINs协议超过DNP3协议和Modbus协议上升至第二名,Modbus协议则降至第四名,这表明OMRON FINs协议受到的关注大幅度增加。另外,今年新增的Modbus/UDP协议具有简便高效的特性,由于Modbus/UDP不需要建立持久连接,它更适用于一些实时性较强、要求低延迟的工业控制系统。然而,Modbus/UDP的使用增加了安全风险,但是受限于应用场景的限制,导致受到的攻击量较小。这些变化表明工控系统协议在不断发展,攻击者的攻击方向也在不断调整和变化.前四种协议受攻击总占比为66%,表明它们是攻击者关注的重点。因此,工控网络安全研究人员应根据需求,加强这些协议下设备的网络安全防护。
“谛听”网络安全团队对攻击数据的源IP地址进行了分析统计,图6-2展示了攻击量最多的10个国家的攻击源数量。从数据统计结果来看,美国的攻击量处于首位,甚至超越其他9国总和,说明美国对于工业控制系统网络安全领域的极大关注,其由于恶意活动和攻击尝试存在多样性。荷兰、比利时、俄罗斯、加拿大和英国的排名分别位列第二位至第六位,其攻击量远少于美国,统计数量总体差距不大。新加坡、保加利亚、西班牙和德国的排名分别位列第七位至第十位。
图6-2 2023年其他各国对蜜罐的攻击量Top 10(数据来源“谛听”)
对中国国内攻击源的IP地址进行相关分析,列出了前十名IP流量的省份排名,如图6-3所示。可以看出,攻击主要围绕在华北,东部沿海及中部地区,相较于2022年统计数据,浙江省IP攻击量大幅度提升排在了第一位,北京则紧随其后。浙江省和北京市统计数量占比高达65%,体现出二者在网络安全支撑工作方面的领先地位。
图6-3 2023年中国国内各省份流量(数据来源“谛听”)
2023年,“谛听”网络安全团队调整了已部署的蜜罐,进一步拓展了罐可支持协议的范围,未来将会进一步提升诱骗和分析技术,持续推进相关研究。
6.2 工控系统攻击流量分析
“谛听”网络安全团队首先对部署在不同地区的蜜罐所捕获的攻击流量数据进行了初步分析,然后我们选取了应用范围较广的Modbus和Ethernet/IP两种协议对其使用识别方法进行攻击流量检测。从各协议在不同地区部署的蜜罐中,我们选取了最具代表性的两个地区部署的蜜罐,对其捕获的攻击流量数据分别进行统计分析。
对于Modbus协议,我们选择了分别部署在中国华东地区和美国东海岸地区的蜜罐,统计结果如表6-1、6-2所示。
表6-1 中国华东地区Modbus蜜罐捕获攻击总量来源TOP10(数据来源“谛听”)
表6-2 美国东海岸地区Modbus蜜罐捕获攻击总量来源TOP10(数据来源“谛听”)
根据表6-1、6-2可知,在攻击总量来源方面,美国在中国华东地区的攻击总量显著高于其他国家,但低于去年同期数据。在美国东海岸地区Modbus协议蜜罐捕获攻击总量中,美国仍然保持第一位,且与去年相比仍然呈现上升趋势。在攻击IP数量方面,美国仍在两个地区中均排名第一且远超于其他国家。以表6-2为例,美国在美国东海岸地区的攻击IP数量约是排名第二的比利时的4.7倍。
针对Ethernet/IP协议,我们选择的是中国华南地区和美国西海岸地区部署的蜜罐,统计结果如表6-3、6-4所示。
表6-3 中国华南地区Ethernet/IP蜜罐捕获攻击总量来源TOP10(数据来源“谛听”)
表6-4 美国西海岸地区Ethernet/IP蜜罐捕获攻击总量来源TOP5(数据来源“谛听”)
由表6-3、6-4分析可知,在攻击总量来源和攻击IP数量方面,中国在中国华南地区攻击总量排名第一,美国排名第二,但美国的攻击IP数量是中国的5倍。美国在美国西海岸地区攻击总量和攻击IP数量均排名第一,且远超其他国家。
根据对Modbus协议蜜罐和Ethernet/IP协议蜜罐所捕获攻击数量的统计分析,发现Modbus协议蜜罐受到的攻击总次数高于Ethernet/IP协议蜜罐。这种差异可能主要是由于Modbus协议在工业自动化领域的广泛应用历史较长,导致潜在的攻击面更广,成熟度和已暴露的安全问题可能吸引了更多攻击者的关注与尝试,网络环境中Modbus协议设备的数量和暴露程度也可能高于Ethernet/IP协议设备,从而增加了Modbus协议蜜罐被攻击的可能性。因此Modbus协议在工控系统中广泛应用的同时也面临更高的攻击风险。
在确定攻击源的国家中,我们发现攻击总量排名前三的国家的攻击数量高于所有国家攻击总数的90%。这可能是由以下原因导致:首先,这些国家的云计算产业发达,云服务器资源丰富且被全球范围内的用户广泛租用,部分用户可能出于安全检测或漏洞挖掘的目的,持续进行大规模的网络扫描活动,这在一定程度上提高了源自这些国家的攻击记录数量。其次,这些国家在网络和信息安全领域的研究实力雄厚,拥有众多专业人才和研究机构,其内部开展的大量网络安全研究、演练及防御技术测试等活动,会产生一定数量的对蜜罐系统的探测与模拟攻击行为,从而计入了攻击统计数据中。此外,这些国家可能存在规模化的恶意网络攻击组织。这些组织依托于其所在国的网络基础设施,对全球互联网系统进行有组织、有目的的恶意扫描和攻击,而这些恶意扫描和攻击被“谛听”团队部署的蜜罐成功有效捕获。
6.3 工控系统攻击类型识别
“谛听”网络安全团队提出一种基于ICS蜜网的攻击流量指纹识别方法,该方法可以对于Ethernet/IP协议蜜罐和Modbus协议蜜罐捕获的流量数据进行攻击类型识别。图6-4和图6-5分别显示了对Ethernet/IP和Modbus协议蜜罐捕获的攻击流量的攻击类型识别结果。其中, “ E ”表示Ethernet/IP协议,“ M ”表示Modbus协议。由于国内和国外的蜜罐程序不同,“ E ”和“ E' ”同一编号表示不同的攻击类型,“ M ”和“ M' ”同一编号表示不同的攻击类型,环形图中各部分为不同的攻击类型。
图6-4 Ethernet/IP协议攻击类型占比图(数据来源“谛听”)
“谛听”团队将Ethernet/IP协议蜜罐部署在中国华南地区和美国西海岸,两地区的经济发展迅速,网络基础设施完善且网络活动相对频繁。在这些经济科技发达的地区部署蜜罐,可以收集到更全面的攻击信息,也易于发现新型攻击手段。由图6-4可知,中国华南地区的Ethernet/IP协议蜜罐捕获的攻击流量主要采用的攻击类型为E-1、E-2、E-3,其中E-1约占所捕获总流量的80%。美国西海岸地区的Ethernet/IP协议蜜罐捕获的攻击流量采用E'-1、E'-2、E'-3三种攻击类型,其中,E'-1以87%的高占比成为该地区Ethernet/IP协议蜜罐所捕获的攻击流量的主要攻击类型。由此可见以上攻击类型是对Ethernet/IP协议进行攻击的主要手段。
图6-5 Modbus协议攻击类型占比图(数据来源“谛听”)
“谛听”团队将Modbus协议蜜罐部署在中国华东地区和美国东海岸,两地区均为工业发达地区,工业控制设备数量庞大,将Modbus协议蜜罐部署在该地区不但易于伪装隐藏,且易于收集更多的攻击信息,也易于发现新型的渗透攻击手段。由图6-5可知,中国华东地区的Modbus协议蜜罐捕获的攻击流量主要采用的攻击类型为M-1、M-2类型,其中M-1攻击类型占所捕获总流量的35%,M-2攻击类型占所捕获总流量的31%。美国东海岸Modbus协议蜜罐捕获的攻击流量主要采用的攻击类型为M'-1、M'-2、M'-3,其中M'-1攻击类型占所捕获总流量的46%,约为M'-2与M'-3两种攻击类型占比之和,M'-2与M'-3相互之间占比差距较小。由此可见以上攻击类型是对Modbus协议进行攻击的主要手段。
本团队对Ethernet/IP和Modbus的ICS网络流量进行了解析、建模、评估,但其中还存在部分未知的攻击类型,针对未知的攻击类型还需开展 进一步的深入研究,以便提供更有效的ICS流量检测与攻击预警,评估其潜在的攻击意图,制定针对性的防御措施。
6.4 工控蜜罐与威胁情报数据关联分析
近年来,工控攻击行为频发,攻击者利用不同类型的攻击方式窃取信息、损坏系统或勒索钱财。目前,工控攻击呈现出多样化、广泛传播、难以追踪等特征。威胁情报(TI)在预防和监控工控攻击方面起着至关重要的作用,通过与蜜罐数据的关联分析更加充分说明了这一点。与此同时,基于威胁情报(TI)的分析技术能够积极收集和整合全球范围内分散的攻击与威胁信息,通过收集和分析来自多个来源的情报,能够及时了解最新的威胁趋势和攻击活动,从而采用智能化的攻击响应措施,实现对大规模网络攻击的预防与对抗。我们的团队对2023年全年采集到的威胁情报和蜜罐数据进行了关联分析。
由“谛听”网络安全团队开发并于2021年2月上线的威胁情报搜索引擎(https://www.TItecting.com)是基于“谛听”威胁情报中心而研发的应用服务。威胁情报中心存有海量威胁情报数据,提供全面准确、内容详细的相关决策支持信息,为行业系统安全提供保障。面对复杂的攻击形式和不断迭代的攻击手段,建立完善的威胁情报搜索引擎刻不容缓,旨在为工业、企业、组织以及个人提供更加全面的情报信息,打造以威胁情报平台为基石的网络安全空间。
2023年“谛听”蜜罐和威胁情报中心均采集到大量新数据,为探寻数据间潜在的相关性,“谛听”团队计算威胁情报数据和蜜罐数据的重叠部分,并根据攻击类型的不同将数据分为5类。其中包括代理IP(proxy)、命令执行与控制攻击(command execution and control attacks)、恶意IP(reputation)、垃圾邮件(spamming)和洋葱路由(tor)。每种类型数据与蜜罐数据重叠部分在二者中的占比如图6-6,本团队对该图的分析如下。
图6-6 威胁情报与蜜罐数据关联占比(数据来源“谛听”)
图6-6中威胁情报数据来源于“谛听”威胁情报中心,该系统所记录的数据为安全网站或安全数据库中的情报数据,本团队根据情报数据攻击类型不同分别记录在不同的数据表中。而直接在部署在国内外网络节点上的工控蜜罐通过模拟暴露在互联网上的工业控制设备,开放设备对应工业网络协议端口吸引攻击者,在记录每一次攻击者的攻击信息的同时,监听捕捉流经此节点的网络流量,以保证攻击信息的真实性与可用性。因此,图中威胁情报数据与工控蜜罐数据有重叠的部分表示情报中心收集到的IP地址确实发生了工控攻击,这可以让系统更有针对性的对攻击进行防御。下面对具体的数据进行分析。
首先,与2022年类似,2023年占蜜罐数据最多的攻击类型依然是“恶意IP”,达到了10.403‰(经过ln函数计算后),本团队认为发起代理IP、命令执行与控制攻击、垃圾邮件和洋葱路由攻击的攻击者IP在主观上均可以标识为“恶意IP”,这可能是“恶意IP”的关联占比最高的原因,未来工控产业可能需要更加严格地细分“恶意IP”的认证标准,将工控网络中的“恶意IP”概念与其他网络作准确的区别。
其次,与2022年相同的是,今年“命令执行与控制攻击”关联仍然占比排名第二, 但2023年“命令执行与控制攻击”关联占比有所回升。“命令执行与控制攻击”是指攻击者通过操控恶意代码或程序,在目标系统中执行指令并控制其行为。在工控网络中,攻击者可能通过远程命令执行,实现对工控系统的远程控制。这种情况下,攻击者可以修改控制系统的参数,改变生产流程,或者导致设备异常运行,造成生产中断或质量问题。因为工业控制系统负责监控和管理实际的物理过程,如电力系统、制造过程、水处理等,这种类型的攻击可能导致严重的安全威胁。
最后,在蜜罐数据中,攻击中涉及“代理IP”的情报数量最少。本团队推测:代理IP作为一种特殊的IP地址,依据通常的使用习惯,用户购买代理IP并不能随意使用。这些IP会由专门的管理人员进行监管,当发现某用户频繁通过特定的代理IP进行攻击,管理人员会迅速回收该IP,停止其使用权限。同时,当前针对“代理IP”攻击的防护解决方案较为成熟,因此攻击者更趋向于采用多种手段对工控系统进行全方位的攻击。
6.5 工控网络探针
6.5.1 数据处理之Honeyeye
随着信息网络与现代工业不断高度融合,大量工控系统逐渐与公共互联网连接,这为其本身带来了巨大的网络安全风险。如今网络攻击日益复杂和隐蔽,针对工控系统进行攻击的技术和方式层出不穷。传统的网络安全防护措施在面对网络攻击时,可能会出现抓取不到网络流量导致后续检测不到网络攻击的情况,因此网络探针技术应运而生,为网络安全防护提供数据支撑。网络探针是一个用于捕获网络数据并进行实时监控和分析的组件,它通常被部署在工控网络中的关键位置,对工控网络的安全防护有着十分重要的意义。
由“谛听”网络安全团队研发的Honeyeye工控网络探针主要由终端硬件和功能软件组成,支持30余种工控协议的解析。Honeyeye捕获到工控系统的网络流量之后,对其捕获到的数据进行分析和预处理,将网络流量数据解析成可读性更高以及机器更易处理的格式,然后将所需数据传输到数据中心。后续通过对Honeyeye输出的数据综合处理分析可实现对工控网络进行异常行为识别和处理。
图6-7 不同流量上Honeyeye和Wireshark解析时间对比(数据来源“谛听”)
从图6-7可以看出,相较与主流的网络流量解析工具Wireshark,本团队所研发的探针Honeyeye解析速度更快。Wireshark仅仅将捕获的原始二进制数据保存在PCAP文件中,未对数据进行任何转换。相比之下,Honeyeye捕获网络流量并进行解析后,将数据转换为更易处理的格式,并以Json格式传输到远端服务器,便于人员查看以及处理分析。
6.5.2 网络安全态势可视化
本团队开发的网络安全态势可视化系统便于用户查看设备网络情况以及通信数据,为用户监控设备网络环境、查看网络流量、发现网络异常等提供了便利。Honeyeye把捕获到的网络流量数据的格式进行转换并发送到远端服务器后,网络安全态势可视化系统分析其中的数据并进行相关展示。
网络安全态势可视化系统包括设备状态监测、网络流量统计、工控协议数据包数量统计、设备交互地址统计等模块,用户通过此系统可查看设备的运行状态、传输速率、实时流量统计、带宽变化等数据。此外用户可根据这些数据来判断设备和通信网络是否发生异常,以便减少突发事件,进而为网络安全提供保障。
7.工业互联网安全发展现状及未来展望
7.1 工业互联网安全发展现状
7.1.1 工业互联网安全产业发展现状
随着工业互联网的普及与发展,互联网与工业的融合不断向前推进,随之而来的是工业领域安全事件频发。企业对工控网络安全的关注加深,工业互联网安全需求量持续增大,据《中国工业信息安全产业发展态势研究》显示,2021年,我国工业信息安全产业规模达168亿元,其中工业互联网安全产业规模为75.7亿元[8];2022年,我国工业信息安全产业规模达204.86亿元,市场增长率达21.62%[9]。我国工业互联网安全市场需求不断增长、产业生态逐渐完善,整体产业规模呈持续增长态势。
目前,工业互联网安全产业的组成主要分为安全产品和安全服务两大类[10]。在安全产品方面,防护类产品主要包括边界和终端安全防护,这是目前市场上发展较为成熟且市场占有率较大的形态。在管理类产品方面,态势感知、安全合规管理和安全运维等产品成为安全厂商布局的重要方向。在国家和行业政策的推动下,我国工业企业对合规安全和内生安全的需求加速增长,未来这类产品的市场规模也将保持稳定增长。
在工业互联网安全服务方面,由于工业网络威胁趋向多样化和复杂化,传统的单一安全产品模式已经难以满足用户的安全防护需求。因此,以风险评估、安全管理咨询、安全应急响应、安全托管服务为主的安全服务受到更多关注。工业互联网安全评估和安全培训的需求逐渐增加,科研院所和高校对工业信息安全人才培养的重视也促使安全培训服务市场快速增长。
表7-1工业互联网安全产业结构
7.1.2 工业互联网安全技术发展现状
工业互联网安全是工业系统安全和网络空间安全相融合的领域,涵盖工业领域数字化、网络化、智能化过程中各个要素和各个环节的安全。我国工业互联网安全技术体系可以分为外建安全(IT安全)和内嵌安全(OT安全)两大类。随着工业互联网的加速推进,来自工控系统、工业智能设备、数据的安全问题不容忽视,以IT安全为主的安全产品和防护并不能满足工业互联网安全,目前IT安全和OT安全充分结合进行纵深发展。
随着大数据、云计算、人工智能、边缘计算等新一代信息技术在工业互联网领域快速应用,IT和OT的融合进程也在加速。这一系列技术的变化对安全理念和技术提出了新的要求,推动安全态势感知、安全可视化、威胁情报、大数据处理等新技术在工业互联网安全领域取得持续突破。促使定制化安全产品加速出现,满足客户不同产品形态、性能的需求;安全服务将由现场服务为主、远程服务为辅转向远程化、云化、自动化、平台化发展。整体而言,围绕设备、控制、网络、应用、数据五大安全领域,结合多领域、新技术的工业互联网安全解决方案将不断出现,为工业企业部署安全防护措施提供可参考的模式。
7.1.3 工业互联网安全目前面临的风险和挑战
工业互联网平台具有安全风险。工业互联网平台边缘层存在对海量工业设备状态感知、安全配置自动更新和主动管理等方面的不足,由此导致利用大量工业设备发起的高级持续性威胁(APT)攻击的感染范围更广、传播性更强。工业互联网平台上的工业应用系统越发多样,需要集成多个低耦合的工业微服务组件。然而,由于缺乏详细的安全设计,这些系统容易受到内部入侵、跳板入侵、内部外联、社会攻击和非法访问等多方面的安全威胁。
工业互联网网络具有安全风险。工业互联网标识解析系统是工业互联网网络结构的关键组成部分,是实现全球制造业发展和工业互联网运营的基础设施,为互联互通提供关键资源和基础服务。标识解析系统的安全性涉及到DNS、数字证书、域名注册、路由与IP地址等方面,很容易受到来自于外部的非法入侵。在5G网络安全方面,随着5G与工业互联网的深度融合,引入了边缘计算等新技术,大量工业设备接入网络。这一趋势打破了传统工业相对封闭可信的安全环境,导致了病毒、勒索软件、系统漏洞以及DDoS攻击等安全风险在工业领域不断增加,这些安全威胁对工业系统的威胁日益加剧。
工业互联网设备具有安全风险。在工业控制设备安全方面,工业控制系统虽然集成度高,但安全防护相对薄弱,存在被非法访问控制的风险,可能导致工业生产中断或设备损坏。不同工业控制设备的安全能力参差不齐,缺乏统一的安全标准和规范,这使得整体安全防护水平无法得到有效提升。工业主机安全风险方面,随着企业信息网络的广泛应用与不断改进,越来越多的工业主机被引入工业环境。这些主机系统的复杂性导致存在各种软硬件和接口漏洞,如操作系统漏洞、工控系统平台漏洞等,这些漏洞可能被黑客利用,从而导致系统被入侵和控制。
随着工业互联网发展的同时,其设备漏洞的数量和种类逐渐增多,这给企业甚至国家带来了极高的网络安全风险,如果能够及时发现设备漏洞的种类和数量并将其漏洞修复,那么将会规避大部分的网络威胁,根据CNVD统计的发生数量最多的100例漏洞类型来看,缓冲区溢出类型漏洞数量占比最多,以13%位居首位,任意文件上传类型漏洞数量最少,占比 4%,其他类型漏洞占比 44%[11],根据图7-1所示。
图7-1 Top100漏洞类型统计
7.2 政策标准完善
这些年来,我国工业互联网发展取得显著成效,政策体系持续健全,技术产业创新突破,数字赋能气势磅礴,生态建设日益完善。工业互联网作为新型工业化的重要组成部分和关键驱动,对实现量的增长、质的提升、技的进步、数的转型、碳的治理、链的安全具有重要作用[12]。
二十大以来,我国不断推动工业互联网创新战略走深走实,与我国的产业发展相互适应、齐头并进。2023年6月,工信部印发了《工业互联网专项工作组2023年工作计划》,启动“5G+工业互联网”512升级版工作方案,全方位、多层次的政策体系将持续引领“5G+工业互联网”向更大规模、更广范围、更深层次发展。《计划》要求,开展平台体系壮大行动。一是推动工业互联网平台在企业、园区、产业集群应用推广。二是强化平台设施建设,遴选跨行业跨领域综合型、面向重点行业和区域的特色型、面向特定技术领域的专业型工业互联网平台。三是加快工业设备和业务系统上云上平台,加速已有工业软件云化迁移。四是加快推进工业设备数据字典标准研制与推广应用。五是研制分类型工业互联网平台供应商能力画像,推动平台与用户需求对接与适配[13]。以《计划》为指引,未来将继续完善与制定政策,在工业互联网安全领域,积极制定并不断完善相关政策法规,以适应科技快速发展的变化;建立健全的标准体系,促进工业互联网安全的全面发展。政策标准将涉及设备安全、数据安全、应用安全等各个方面,并引入认证机制以确保相关产品和服务符合这些标准;加强规范管理,企业在工业互联网安全方面应建立完善的管理制度,确保各级责任和权限的明确,并通过有效的执行机制保障各项安全措施的实施。
总体来看,我国的工业互联网已实现起步发展,在基础设施建设、公共平台打造、优质企业及供应商培育、新模式新业态发展等方面初显成效。在未来的发展中,工业互联网将加速向细分垂直领域延伸,制定和完善政策,建立健全的标准体系,加强规范管理,深度解决行业发展的痛点问题。随着新型基础设施的建设量质并进,新模式、新业态的大范围推广,预计产业综合实力会显著提升。
7.3 安全技术融合
工业互联网的快速发展为制造业带来了前所未有的机遇,同时也伴随着新的安全挑战。将工业互联网安全与新兴技术(如人工智能、区块链和边缘计算等)深度融合,能够构建更强大、更可靠的工业互联网系统,为工业界带来持续的增长和繁荣。
人工智能与工业互联网安全结合为威胁检测和防御提供了更高效和准确的方法。通过运用机器学习和深度学习算法,可以实时监测并预警异常行为,增强对未知攻击和高级威胁的识别能力。
区块链技术的引入为工业互联网系统的数据和通信安全提供了新的保障。区块链技术以其分布式、不可篡改及可追溯性,为工业互联网数据和通信安全提供了有力保障。其去中心化特点减少了单点故障和攻击风险,强化了系统的稳健性和抗攻击性,同时也在身份验证、访问控制以及供应链安全管理等方面发挥重要作用。
边缘计算的发展为工业互联网安全带来了更高效的实时监测和响应能力。通边缘计算可以将计算和数据处理推向网络的边缘,减少了数据传输和处理的延迟。边缘计算还可结合安全技术,以实现分布式的入侵检测和防御,将安全功能与设备和传感器紧密集成,提高系统整体的安全性。
信息技术(IT)与操作技术(OT)的日益融合,驱动着工业数字化转型和制造业高质量发展。以工业互联网为代表的数字化应用正深刻改变着工业生产管理、运营决策及制造执行等多个环节。然而,IT与OT融合也加剧了工业生产安全问题的复杂性。因此,在数字化转型背景下,确保工业生产安全运行至关重要,企业须构建全面适应网络威胁变化的安全体系,实现IT与OT安全的有效融合。因此我们从网络融合[14]、安全标准[15]、授权访问[16]、实时监控和响应[17]四个方面深入探讨了IT与OT融合的关键要素。
网络融合:在将IT与OT网络整合为一个统一的架构时,必须认识到它们之间在网络通信协议、网络架构和安全需求方面的显著差异。虽然这种整合可以提高信息流通效率和实时性,但也带来了新的网络安全挑战,增加了潜在威胁的曝露范围,导致安全问题频发。因为传统的IT安全措施可能不足以应对工业控制系统的需求,同时OT系统的特殊性也需要考虑不同的安全策略。因此可以通过网络隔离和分段,确保IT和OT系统的独立性,以防止横向传播攻击。同时,加强访问控制和身份验证,实施严格的权限控制。对于敏感数据的传输,采用加密通信技术来保障数据的机密性。在防御层面,部署专门为IT和OT系统设计的防火墙和入侵检测系统(IDS),以及使用虚拟专用网络(VPN)来保障远程连接的安全性。此外,定期进行网络安全审计,漏洞管理也是确保网络安全的关键步骤。这种综合的安全策略旨在平衡信息流通效率和网络安全性,以应对不断演变的网络威胁。在追求高效性的同时,确保整合后系统的稳健性和抗攻击性,以应对日益复杂和智能化的网络威胁。
安全标准:建立适用于IT和OT的统一全标准是确保工业系统全面抵御威胁的基础。这种标准化的方法有助于统一安全策略、流程和技术实施,以确保在数字化转型过程中整体安全性的一致性。IT和OT通常涉及到不同的技术、流程和文化。通过建立统一的安全标准,可以确保在IT和OT之间实现一致性,消除可能存在的差异性和不一致性。而且统一的安全标准可以为IT和OT提供共同的风险评估方法,通过共享风险信息,可以更好地理解整个系统的安全状态。统一的安全标准确保在IT和OT之间制定一致的安全策略和控制措施,这包括身份和访问管理、数据加密、网络防御等方面,以确保全面的安全性覆盖。建立适用于IT与OT的统一安全标准有助于确保工业系统在数字化转型中更加安全、稳定,并能够有效地抵御各种威胁。这是一个综合性的方法,通过标准化的安全措施促使整个组织在IT和OT的融合中更好地应对安全挑战。
授权访问:通过身份验证、访问控制和权限管理等技术,限制对数据的访问权限,确保只有经过授权的人员能够访问关键系统和数据,从而有效保护敏感信息免受泄露。同时,采用数据加密算法对在IT和OT系统之间传输的数据进行加密,即使数据在传输过程中被截获,攻击者也无法轻松解读其内容。此外,对于存储在数据库或其他媒体上的数据,同样应采用适当的加密算法来提高数据安全性。
实时监控和响应:实现对IT和OT融合后网络攻击的实时监控和响应是关键的网络安全措施。首先,在攻击发生前利用安全信息与事件管理(Security information and event management ,SIEM)系统集成并分析来自各种IT和OT系统的安全事件日志,以实现对网络活动的实时监控,从而提前采取措施防止潜在的攻击和入侵行为。SIEM系统能够自动检测异常模式和潜在的威胁,提供及时的报警和警报。其次,在攻击实施过程期间,利用实时流量分析工具和结合深度学习技术的入侵检测方法,如入侵检测系统(IDS)和入侵防御系统(IPS),监控IT和OT系统之间的网络流量,通过检测异常流量模式、不寻常的通信和数据传输行为来发现潜在的攻击活动。另外,在网络中部署蜜罐,模拟真实系统,吸引攻击者并记录攻击活动。通过以上方法可以提供对潜在攻击者行为的实时了解,并帮助改善安全防护策略。最后,当攻击发生后,利用IT和OT系统之间实施网络隔离和切割策略,减少攻击传播的可能性。一旦检测到异常活动,迅速隔离受影响的部分,阻止潜在的威胁在终端设备上扩散,以降低损害程度。
7.4 产业协同创新
工业互联网与产业协同创新,宛若现代产业蓬勃发展的引擎,正在引领着各个领域的深刻演变。在这个充满无限机遇和巨大挑战的时代,人们对产业的前景充满期待,涉足多个至关重要的领域。其中,突破传统安全生产的束缚,有效建设业务安全,以及引领产业数字化智能化转型,成为引领未来的关键驱动力。这一系列展望不仅将为产业创新打下坚实基础,更将雕刻出一个更加活力充沛、可持续发展的未来画卷。
在安全生产方面,这是一个需要企业、政府、从业人员等多方通力合作的复杂系统工程。通过科学、规范、有序的安全生产管理,事故的发生概率得以有效降低,从而最大限度地保障从业人员的安全和健康。这全面的安全管理不仅是企业履行社会责任的体现,同时也是推动可持续经济发展的不可或缺的要素。在这一背景下,工业互联网技术的应用成为提升生产安全性的关键手段。通过实时监测和控制生产过程,工业互联网技术显著提高了生产的安全性水平。展望未来,工业互联网将更深度地与安全生产相融合,通过智能手段预防潜在事故风险,确保生产过程的持续稳定和可靠性。这不仅有助于保障从业人员的安全,也为企业履行社会责任、推动经济可持续发展提供了坚实的支持。
工业互联网在安全生产中的应用可以从4个方面展开:设备监测和维护,预警与预测,安全生产培训,协同管理[18]。在设备监测和维护方面,通过引入传感器和物联网技术,能够实时监测设备的运行状态和故障情况。这使得问题能够及时被发现和解决,通过工业互联网,设备的数据能够传输到云端进行深度分析和处理,从而有效避免因设备故障引发的安全生产事故,保障生产的稳定性和可靠性。在预警与预测方面,大数据和人工智能技术的运用成为了强有力的手段。通过对设备运行数据和环境数据的深度分析和预测,能够提前发现潜在的安全隐患和事故风险,并采取及时的措施进行防范。安全生产培训方面,借助工业互联网技术,企业能够为员工提供丰富的培训资源,包括在线课程和培训视频等。这样的培训方式有助于提高员工的安全意识和技能水平,使其更具备应对潜在危险的能力。最后,在协同管理方面,通过工业互联网平台的应用,企业内部和供应链之间实现了高效的信息共享和协作。这提高了安全管理的效率和准确性,使得各方能够更迅速、准确地响应潜在安全风险,共同维护整体生产体系的稳定和安全。综合来看,工业互联网技术全方位提升安全生产水平,通过监测、预警、培训和协同管理等手段,有效减少安全事故发生率。
产业数字化转型是通过全方位、多角度、全链条的数字技术改造,旨在解决企业和产业发展中的难题。这一过程涉及重新定义和设计产品、服务,以实现业务的转型、创新和增长。产业数字化转型对推动我国经济实现高质量发展具有至关重要的意义。工业互联网技术为产业数字化智能化转型提供了有力支持。借助工业互联网,企业能够实现生产环节的实时监测、数据交互和智能决策。这一技术连接了设备和系统,构建了更为智能的生产网络,使得信息能够更快速地流通,生产过程也更加智能化。工业互联网与产业数字化智能化转型相互促进,共同推动了企业数字化升级和产业创新。未来,随着工业互联网技术的不断发展,产业将更深度地整合先进的数字技术,包括更广泛的人工智能应用、更复杂的大数据分析,以及更为智能的自动化系统。这将进一步提升生产效率、产品质量和企业创新能力,引领产业朝着数字化时代的新高度发展。通过工业互联网在产业数字化智能化转型中的引领作用,企业将更好地适应未来数字化时代的挑战,实现可持续发展。
2023年10月,全球工业互联网大会在中国沈阳召开,本次会议以“赋能新型工业化 打造新质生产力”为主题,通过举办开幕式、主旨论坛、制造业数字化转型对接活动、专题论坛、平行论坛、工业互联网创新成果展等系列活动,助力推进工业互联网创新发展。会上发布了《工业互联网创新发展报告(2023)》。《报告》显示,当前,我国工业互联网发展取得显著成效。工业互联网功能体系不断完善,产业规模超1.2万亿元,5G基站达到313.8万个,培育50家“双跨”工业互联网平台,应用已拓展至45个国民经济大类,各地建设数字化车间和智能工厂近8000个,百余所院校增设工业互联网相关专业,多地设立产业投资基金,工业互联网平台创新合作中心会员单位超1100家[19]。虽然工业互联网已经融合进制造业,仍需在更多行业中深度融入,巩固跨界合作,提高应用深度与广度,为其他行业提供技术和解决方案支持,推动产业数字化全面向好发展。未来,工业互联网创新将持续引领我国产业的迭代创新,提升我国产业的核心竞争力。
8. 总结
2023年,工业控制网络安全仍然是我国发展的焦点。党的二十大报告对推进新型工业化和构建现代化基础设施体系进行了重大战略部署,其中工业互联网作为构建全面互联的关键基础设施被连续五年明确为政府工作报告的重点发展任务之一。这些举措旨在确保工业互联网的高质量发展,并加强工业互联网安全防护,表明政府对工业控制网络安全的高度重视。
然而,随着工业互联网应用范围的不断扩大,安全风险也随之增加。2023年,工控领域仍然面临着频发的安全事件,各类网络攻击威胁持续上升。特别值得关注的是,针对关键基础设施的攻击呈现上升趋势,这使得加强关键基础设施安全工作刻不容缓。全球工控设备暴露数量方面的排名发生了一定的变化,各国工控设备暴露数量回升。虽然2023年工控系统行业漏洞数量相比去年有所回升,但近几年的漏洞数量总体呈现下降趋势。这表明在政府及行业的共同努力下,工业控制网络的整体安全水平有所提升。威胁情报在工控网络安全领域中发挥着关键的作用,通过与蜜罐数据的关联分析,可以更好地理解网络攻击的趋势和威胁形势,从而采取更有针对性的防护措施。
总体而言,2023年工业控制网络安全在政府战略层面和实际执行层面都取得了一定的进展。工业互联网作为新一轮产业革命的推动力,得到了国家大力支持。在未来,工业互联网将促进不同产业之间的融合与创新,推动传统产业向高质量、高效率、高附加值的方向升级,加快智能制造、数字化转型和基础设施现代化的进程,为社会的可持续发展提供有力支持。
参考文献
[1] 国家信息安全漏洞共享平台工业控制系统漏洞列表[EB/OL].https://www.cnvd.org.cn/flaw/typelist?typeId=38.
[2] 国家信息安全漏洞共享平台工控漏洞子库[EB/OL].https://ics.cnvd.org.cn/index.
[3] 工业和信息化部关于印发工业控制系统网络安全防护指南的通知[EB/OL]https://www.miit.gov.cn/jgsj/waj/wjfb/art/2024/art_d29979a039b2482f939eb714d87536f3.html
[4] 2023年浙江经济“成绩单”出炉[EB/OL].https://zj.cnr.cn/gstjzj/20240124/t20240124_526569071.shtml
[5] GDP占全国9.9% 2023年中国工业百强县榜单出炉[EB/OL].https://www.cinn.cn/gongjing/202312/t20231207_277426.shtml
[6] 2023两岸工业互联网融合发展研讨会在昆山举办[EB/OL]. https://www.china-aii.com/newsinfo/6564481.html?templateId=1562271
[7] https://wap.miit.gov.cn/jgsj/waj/wjfb/art/2024/art_d29979a039b2482f939eb714d87536f3.html
[8] 工业信息安全产业市场增长率达32.94%产业将继续保持高景气度[EB/OL]https://finance.sina.com.cn/tech/roll/2023-01-16/doc-imyaiwqu5793049.shtml
[9] 我国工业信息安全产业发展趋势[EB/OL]https://mp.weixin.qq.com/s/svep5rMBfCgjnN68VIT8lg
[10] 我国工业互联网安全产业发展态势及路径[EB/OL]https://www.huxiu.com/article/444497.html
[11] 天融信发布《2023年网络空间安全漏洞态势分析研究报告》,持续加强防御力[EB/OL]https://www.163.com/dy/article/INMI1OS60519DG4H.html
[12] 中国经济网:工业互联网迎规模化发展https://baijiahao.baidu.com/s?id=1789021176572727690&wfr=spider&for=pc
[13] 工业互联网的2023:迈入新阶段、新方向、新模式|年度盘点https://www.thepaper.cn/newsDetail_forward_25794767
[14] 安启玲,郑通.工业互联网环境下IT/OT融合的安全防御技术的研究[J].中国新通信,2022,24(06):131-133.
[15] 彭瑜.IT/OT融合的全方位理解和实现途径[J].自动化仪表,2022,43(04):1-5+9.DOI:10.16086/j.cnki.issn1000-0380.2022030025.
[16] 石永杰.工业互联网环境下IT/OT融合的安全防御技术研究[J].信息技术与网络安全,2019,38(07):1-5+18.DOI:10.19358/j.issn.2096-5133.2019.07.001.
[17] 万乔乔,钟一冉,周恒等.一种IT和OT安全融合的思路[J].信息安全与通信保密,2023(01):79-86.
[18] 工业互联网+安全生产,如何实现双赢[EB/OL]https://www.sohu.com/a/740218876_121620216
[19] 产业规模逾万亿!实探2023全球工业互联网大会[EB/OL]https://baijiahao.baidu.com/s?id=1780140283141638111&wfr=spider&for=pc