2023年工業(yè)控制網(wǎng)絡(luò)安全態(tài)勢白皮書

2 4 5 5 5 6 6 6）（ 7 7）（ 7 8 8 8 9 9 11 11 12 12 13 13 13 14 14 14 15 15 15 16 163 16 17 19 23 27 29 32 33 36 37 37 40 43 46 48 48 49 50 50 50 51 51 53 54 56 59參考文獻 604應(yīng)用。隨著工業(yè)互聯(lián)網(wǎng)與自動控制技術(shù)的融合發(fā)展，數(shù)字時代的步伐愈發(fā)堅定，工業(yè)控制網(wǎng)絡(luò)在推動國家安全、經(jīng)濟繁榮中扮演著愈發(fā)關(guān)鍵的角色。中國互聯(lián)網(wǎng)絡(luò)信息中心發(fā)布的第52次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》顯示，工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)體系其中超過240家工業(yè)互聯(lián)網(wǎng)平臺具有一定影響力，一個綜合型、特色型、專業(yè)型的多層次工業(yè)互聯(lián)網(wǎng)平臺體系基本形成。隨著國家級工業(yè)互聯(lián)網(wǎng)安全技術(shù)監(jiān)測服務(wù)體系不斷完善，態(tài)勢感知、風(fēng)險預(yù)警和基礎(chǔ)資源匯聚能力進一步增強，“5G+工業(yè)互聯(lián)網(wǎng)”等融合應(yīng)用不斷涌現(xiàn)，快速發(fā)展。新一代互聯(lián)網(wǎng)技術(shù)的發(fā)展給工業(yè)互聯(lián)網(wǎng)帶來全新的發(fā)展機遇，但同時又帶來更加嚴峻的安全風(fēng)險與挑戰(zhàn)，工業(yè)互聯(lián)網(wǎng)安全問題不僅關(guān)系到每個企業(yè)和個體的切身利益，更關(guān)系到國家的長遠發(fā)展。為貫徹落實國家網(wǎng)絡(luò)安全、數(shù)據(jù)安全相關(guān)法律要求，進一步提升工業(yè)企業(yè)的工發(fā)展”的“2023年工業(yè)信息安全大會工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全專題論壇”在北京舉行，為工業(yè)控制網(wǎng)絡(luò)的安全發(fā)展籌謀定策。工控安全與網(wǎng)絡(luò)安全密切相關(guān)，保障工業(yè)控制系統(tǒng)的安全、保護關(guān)鍵信息基礎(chǔ)設(shè)施免受攻擊是確保國家安全的關(guān)鍵環(huán)節(jié)。在此背景下，東北大學(xué)“諦聽”網(wǎng)絡(luò)安全團隊基于自身傳統(tǒng)的安全研究優(yōu)勢開發(fā)設(shè)計并實現(xiàn)了“諦聽”網(wǎng)絡(luò)空間工控設(shè)備搜索引擎（并根據(jù)“諦聽”收集的各類安全數(shù)據(jù)，撰寫并發(fā)布《2023年工業(yè)控制網(wǎng)絡(luò)安全態(tài)勢白皮書》，讀者可以通過報告了解2023年工控安全相關(guān)政策法規(guī)報告及典型工控安全事件分析，同時報告對工控系統(tǒng)漏洞、聯(lián)網(wǎng)工控設(shè)備、工控蜜罐、威脅情報數(shù)據(jù)及工業(yè)互聯(lián)網(wǎng)安全創(chuàng)新發(fā)展情況進行了闡釋及分析，有助于全面了解工控系統(tǒng)安全現(xiàn)狀，多方位感知工控系統(tǒng)安全態(tài)勢，為研究工控安全相關(guān)人員提供參考。56準的技術(shù)水平、應(yīng)用效果和國際化程度顯著提高，基礎(chǔ)性、規(guī)范性、引領(lǐng)性作用凸顯，7）（）（89），家標(biāo)準正式發(fā)布，包括GB/T32914-2023《信息安全技術(shù)網(wǎng)絡(luò)安全服務(wù)能力要求》、序號序號月份 56789《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全技術(shù)要求可編程邏輯控制器（PLC開征求意見稿》《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全事件應(yīng)急預(yù)案（試行征求意見《民用航空生產(chǎn)運行工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護技2023年全球工控安全事件依然層出不窮，給工業(yè)企業(yè)數(shù)字化轉(zhuǎn)型帶來了極高的安絡(luò)面臨的風(fēng)險和發(fā)展趨勢，以此來制定更加有效的相關(guān)策略應(yīng)對未來可能遭受的攻擊。是Anonymous旗下的一個黑客主義行動組織，主要從事出于政Telegram小組提供的屏幕截圖看出，攻擊者設(shè)施部門。威脅行為者可以利用安全漏洞訪問歷史記錄、使設(shè)備崩潰或遠程執(zhí)行代碼。這些漏洞確定為使用備用路徑或通道繞過身份驗證、不受限制地上傳危險類型的文件、以為黑客提供對軍事基地的監(jiān)視能力，還可以讓他們滲透到操作技術(shù)（Operational“雙向”的，這意味著客戶可以用他們的數(shù)字貨幣獲取現(xiàn)金。根據(jù)其創(chuàng)始人Karel己的Java應(yīng)用程序遠程上傳到該公司的服務(wù)器上。該事件使攻擊者能夠讀取和解密激增。同日，據(jù)JPost報道，在灌溉系分，所有碼頭業(yè)務(wù)已恢復(fù)運營，并且在愛知縣警察本部和系統(tǒng)維護公司的共同調(diào)查下，表示，關(guān)鍵能源基礎(chǔ)設(shè)施的負責(zé)員工設(shè)法通過限制對Mockbin網(wǎng)絡(luò)資源服務(wù)PositiveTechnologies對這些樣本進行后續(xù)分析后認為被識別的惡意軟件是一個相當(dāng)復(fù)雜的模塊化后門，并稱之為MataDoor，其設(shè)計中源于以色列的設(shè)備進行攻擊并破壞了抽水系統(tǒng)的用戶界面，張貼了反以色列的信息。影響影響問 123456789 的漏洞。PLC(ProgrammableLogicController,可編程邏輯控制器、DCS(DistributedControlSystem,分布式控制系統(tǒng))、SCADA(SupervisoryControl數(shù)據(jù)采集與監(jiān)視控制系統(tǒng))乃至工業(yè)應(yīng)用軟件均被發(fā)現(xiàn)存在大量信息安全漏洞。相關(guān)羅克韋爾自動化(RockwellAutomation)全漏洞。諦聽團隊采集到的工控漏洞數(shù)據(jù)顯示，2023年工控安全漏洞數(shù)量較2022年相比有所回升，但2021年到2023年整體工控安全漏洞數(shù)量較2020年之前依舊偏少。漏洞走勢如圖4-1所示。根據(jù)圖表顯示，2015年至2020年期間，工控漏洞數(shù)量呈現(xiàn)顯著的遞增趨勢。對于這一現(xiàn)象，我們的團隊分析認為主要原因在于自2015年以來，技20年此類漏洞的挖掘達到頂峰，隨著新產(chǎn)品推出而產(chǎn)生的新漏洞數(shù)量自然出現(xiàn)明顯下降。圖4-22023年工控系統(tǒng)行業(yè)漏洞危險等級餅狀圖(數(shù)據(jù)來源CNVD、“諦聽”)如圖4-2是2023年工控系統(tǒng)行業(yè)漏洞危險等級餅狀圖，截至2023年12月31日，2023年新增工控系統(tǒng)行業(yè)漏洞119個，其中高危漏洞85個，中危漏洞31個，低危漏洞3個。與去年相比，漏洞數(shù)量增加了23個，中危和低危漏洞數(shù)量均有一定減少，高危數(shù)量顯著增加，其中，高危漏洞數(shù)量增加了50個，相比2022年高危漏洞總數(shù)增加了1.43倍。2023全年高危工控安全漏洞占全年漏洞總數(shù)的71%,與2022年相比增加了35%。綜合分析，這些趨勢表明2023年工控系統(tǒng)行業(yè)面臨更加嚴峻的漏洞安全挑戰(zhàn)。高危漏洞的占比提高意味著增加了系統(tǒng)受到攻擊的概率和危害程度。這也反映了攻擊者針對工控系統(tǒng)可能采用更為復(fù)雜和危險的攻擊手段。因此，業(yè)界在工控系統(tǒng)安全方面需要加強防護和響應(yīng)措施，以降低潛在的風(fēng)險。廠商具有的漏洞數(shù)量最多，多達87個。漏洞數(shù)量排在其后的廠商分別是：施耐德(Schneider)、LS電氣集團(LSELECTRIC)、羅克韋爾自動化(Ro以上數(shù)據(jù)表明，盡管在2023年新增工控漏洞數(shù)量相比2022年有所回升，但總體數(shù)23ATGsDevices24物聯(lián)網(wǎng)協(xié)議AMQPXMPP攝像頭協(xié)議“諦聽”官方網(wǎng)站()公布的數(shù)據(jù)為2017年以前的歷史數(shù)據(jù)，若圖5-1為2023年全球工控+物聯(lián)網(wǎng)設(shè)備暴露Top-10國家/地區(qū)。圖中顯示，與2022先的實力。其排名相較于與2022年進步較大，排名第三位?？康貙崿F(xiàn)互聯(lián)和數(shù)據(jù)交換。圖5-2和圖5-3分別為全球工控設(shè)備暴露Top10柱狀圖和全球物聯(lián)網(wǎng)設(shè)備暴露Top10柱狀圖?？梢钥吹?，在工控設(shè)備暴露排名中，加拿大超過了中流傳輸和數(shù)據(jù)交互的標(biāo)準。常見的攝像頭協(xié)議有ONVIF,hikvision,DahuaDvr等。圖美國是世界上工業(yè)化程度最高的國家之一，同時也是2023年全球工控設(shè)備暴露最多的國家，如圖5-5所示為美國2023年工控協(xié)議暴露數(shù)量和占比。由于日益增長的數(shù)術(shù)進步，提高生產(chǎn)效率。2023年6月，美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)發(fā)布機構(gòu)的網(wǎng)絡(luò)安全水平，以有效抵御潛在的網(wǎng)絡(luò)威脅。2023年8月，美國紐約州推出了該相較于2022年，今年美國在工控領(lǐng)域的安全事件有所減少，也得益于美國自身可以排查出相應(yīng)的安全隱患。3月21日，美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)發(fā)布藥領(lǐng)域，加拿大企業(yè)在全球市場上占據(jù)重要地位。通過圖5-6可以看到，在加拿大暴露綜上，相較于2022年，伴隨著經(jīng)濟的全面復(fù)蘇，受疫情的影響越來越少，工業(yè)控能等問題更加重視。加拿大暴露工控協(xié)議數(shù)量占比較2022年有較大變化。美國和加拿2023年，中國暴露的工控設(shè)備數(shù)量在全球范圍內(nèi)位居第二，并相較以往明顯增加。疫情期間，由于工控設(shè)備的封鎖，數(shù)量出現(xiàn)下降趨勢。然而，隨著2023年經(jīng)濟全面重從圖5-7國內(nèi)各地區(qū)工控設(shè)備暴露數(shù)量Top10柱狀圖中可以看出，在2023年內(nèi)，浙江省的工控設(shè)備暴露數(shù)量與去年相比有了大幅度的提高。在2023年之前，由于疫情的影響，全國多地停工停產(chǎn)，國內(nèi)工控設(shè)備暴露數(shù)量有所減少。但在2023年內(nèi)，在中2023年中國GDP同比增長5.2%,增速上漲了兩個百分點，也側(cè)面反映出工業(yè)方面的迅省工業(yè)增加值比去年增長4.9%,其中，規(guī)模以上工業(yè)增加值22388億元，增長6.0%3]。致了工業(yè)控制設(shè)備暴露數(shù)量的顯著增加。據(jù)中國工業(yè)新聞網(wǎng)公布的2023年中國工業(yè)百省登榜的縣級市高達24個，穩(wěn)居全國首位。從《浙江省推動新能源制造業(yè)高質(zhì)量發(fā)展實施意見(2023-2025年)》中可以看出，浙江省正積極在多種新能源領(lǐng)域做新的規(guī)劃31與制造業(yè)數(shù)字化轉(zhuǎn)型”為主題，由中國工業(yè)互聯(lián)網(wǎng)研究院和臺灣區(qū)電機電子工業(yè)同業(yè)公“諦聽”團隊統(tǒng)計了國內(nèi)暴露的各協(xié)議總量，從圖5-8中可以看出Modbus協(xié)議在網(wǎng)絡(luò)中暴露的數(shù)量最多，領(lǐng)先于第二位的Nport。Modbus協(xié)議是一種應(yīng)用于工業(yè)領(lǐng)域的通信協(xié)議，用于在各種工業(yè)設(shè)備之間進行數(shù)據(jù)交換。它由Modicon公司(現(xiàn)為施耐德電氣公司)于1979年開發(fā)，現(xiàn)已成為工業(yè)領(lǐng)MoxaNPort協(xié)議是一種專為MoxaNPort串口服務(wù)器設(shè)計的通信協(xié)議，基于TCP/IP協(xié)議，允許用戶通過網(wǎng)絡(luò)訪問連接到NPort服務(wù)器的串口據(jù)、控制串口參數(shù)、配置NPort服務(wù)器等功能，并提供簡單易用、安全可靠、靈活擴展33應(yīng)用程序或腳本等方式使用MoxaNPort協(xié)議訪問和管理串口設(shè)備。NiagaraFox是Tridium公司為其NiagaraFramework提供的通信協(xié)議之一。5.4俄烏沖突以來暴露設(shè)備數(shù)變化34探測發(fā)現(xiàn)協(xié)議探測發(fā)現(xiàn)協(xié)議探測端口Modbus502應(yīng)用于電子控制器MoxaNport4800Moxa專用的虛擬串口協(xié)議XMPPAMQP從圖5-10沖突后2023年俄羅斯各協(xié)議暴露設(shè)備數(shù)量來看，AMQP協(xié)議變化較大，在2023年2月到4月期間有大幅度的下降，之后回升并趨于平緩，小幅度下降；與AMQP在同一數(shù)量級的Modbus和Nport協(xié)議都略有下降，總體趨于平緩；其他協(xié)議整體變化幅度不大。36“諦聽”團隊對以上信息進行調(diào)查，調(diào)查結(jié)果顯示工業(yè)控制系統(tǒng)的暴露數(shù)量數(shù)據(jù)37圖6-12023年蜜罐各協(xié)議攻擊量(數(shù)據(jù)來源“諦聽”)圖6-1展示了不同協(xié)議下各蜜罐受到的攻擊量。從圖中可以看出ATGsDevices、OMRONFINs和DNP3協(xié)議下蜜罐所受攻擊量仍然保持在前三名，相較于2022年統(tǒng)計加。而OMRONFINs協(xié)議超過DNP3協(xié)議和Modbus協(xié)議上升至第二名，Modbus協(xié)議則降至第四名，這表明OMRONFINs協(xié)議受到的關(guān)注大幅度增加。另外，今年新增的Modbus/UDP協(xié)議具有簡便高效的特性，由于Modbus/UDP不需要建立持久連接，它更適用于一些實時性較強、要求低延遲的工業(yè)控制系統(tǒng)。然而，Modbus/UDP的使用增加了安全風(fēng)險，但是受限于應(yīng)用場景的限制，導(dǎo)致受到的攻擊量較小。這些變化表明工控系統(tǒng)協(xié)議在不斷發(fā)展，攻擊者的攻擊方向也在不斷調(diào)整和變化.前四種協(xié)議受攻擊總占比為66%,表明它們是攻擊者關(guān)注的重點。因此，工控網(wǎng)絡(luò)安全研究人員應(yīng)根據(jù)需求，加強這些協(xié)議下設(shè)備的網(wǎng)絡(luò)安全防護。“諦聽”網(wǎng)絡(luò)安全團隊對攻擊數(shù)據(jù)的源IP地址進行了分析統(tǒng)計，圖6-2展示了攻擊量最多的10個國家的攻擊源數(shù)量。從數(shù)據(jù)統(tǒng)計結(jié)果來看，美國的攻擊量處于首位，甚至超越其他9國總和，說明美國對于工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全領(lǐng)域的極大關(guān)注，其由于惡意活動和攻擊嘗試存在多樣性。荷蘭、比利時、俄羅斯、加拿大和英國的排名分別位列第二位至第六位，其攻擊量遠少于美國，統(tǒng)計數(shù)量總體差距不大。新加坡、保加利亞、西班牙和德國的排名分別位列第七位至第十位。圖6-22023年其他各國對蜜罐的攻擊量Top10(數(shù)據(jù)來源“諦聽”)對中國國內(nèi)攻擊源的IP地址進行相關(guān)分析，列出了前十名IP流量的省份排名，如圖6-3所示?？梢钥闯觯糁饕獓@在華北，東部沿海及中部地區(qū)，相較于2022年統(tǒng)計數(shù)據(jù)，浙江省IP攻擊量大幅度提升排在了第一位，北京則緊隨其后。浙江省和北京市統(tǒng)計數(shù)量占比高達65%,體現(xiàn)出二者在網(wǎng)絡(luò)安全支撐工作方面的領(lǐng)先地位。圖6-32023年中國國內(nèi)各省份流量(數(shù)據(jù)來源“諦聽”)40攻擊源攻擊總1414141攻擊源攻擊總4215高于其他國家，但低于去年同期數(shù)據(jù)。在美國東海岸地區(qū)Mo攻擊源攻擊總4297773321221111攻擊源攻擊總Japan7121于Modbus協(xié)議在工業(yè)自動化領(lǐng)域的廣泛應(yīng)用歷史較長，導(dǎo)致潛在度和已暴露的安全問題可能吸引了更多攻擊者的關(guān)注與嘗試，網(wǎng)絡(luò)環(huán)境中Mo43被攻擊的可能性。因此Modbus協(xié)議在工控系統(tǒng)中廣泛內(nèi)和國外的蜜罐程序不同，“E”和“E'”同一編號表示不同的攻擊類型，“M”中國華南地區(qū)美國西海岸圖6-4Ethernet/IP協(xié)議攻擊類型占比圖(數(shù)據(jù)來源“諦聽”)“諦聽”團隊將Ethernet/IP協(xié)議蜜罐部署在中國華南地區(qū)和美國西海岸，兩地區(qū)的經(jīng)濟發(fā)展迅速，網(wǎng)絡(luò)基礎(chǔ)設(shè)施完善且網(wǎng)絡(luò)活動相對頻繁。在這些經(jīng)濟科技發(fā)達的地區(qū)部署蜜罐，可以收集到更全面的攻擊信息，也易于發(fā)現(xiàn)新型攻擊手段。由圖6-4可知，中國華南地區(qū)的Ethernet/IP協(xié)議蜜罐捕獲的攻擊流量主要采用的攻擊類型為E-1、E-2、E-3,其中E-1約占所捕獲總流量的80%。美國西海岸地區(qū)的Ethernet/IP協(xié)議蜜罐捕獲的攻擊流量采用E'-1、E'-2、E'-3三種攻擊類型，其中，E'1以87%的高占比成為該地區(qū)Ethernet/IP協(xié)議蜜罐所捕獲的攻擊流量的主要攻擊類型。由此可見以上攻擊類型是對Ethernet/P協(xié)議進行攻擊的主要手段。“諦聽”團隊將Modbus協(xié)議蜜罐部署在中國華東地區(qū)和美國東海岸，兩地區(qū)均為工業(yè)發(fā)達地區(qū)，工業(yè)控制設(shè)備數(shù)量龐大，將Modbus協(xié)議蜜罐部署在該地區(qū)不但易于偽裝隱藏，且易于收集更多的攻擊信息，也易于發(fā)現(xiàn)新型的滲透攻擊手段。由圖6-5可知，中國華東地區(qū)的Modbus協(xié)議蜜罐捕獲的攻擊流量主要采用的攻擊類型為M-1、M-2類型，其中M-1攻擊類型占所捕獲總流量的35%,M-2攻擊類型占所捕獲總流量的31%。美國東海岸Modbus協(xié)議蜜罐捕獲的攻擊流量主要采用的攻擊類型為M-1、M'-2、M1-3,其中M1-1攻擊類型占所捕獲總流量的46%,約為M-2與M'-3兩種攻擊類型占比之和，M-2與M1-3相互之間占比差距較小。由此可見以上攻擊類型是對Modbus協(xié)議進行攻擊的主要手段。本團隊對Ethernet/IP和Modbus的ICS網(wǎng)絡(luò)流量進行了解析、建模、評估，但其中還存在部分未知的攻擊類型，針對未知的攻擊類型還需開展進一步的深入研究，以便提供更有效的ICS流量檢測與攻擊預(yù)警，評估其潛在的攻擊意圖，制定針對性的防御措施。46由“諦聽”網(wǎng)絡(luò)安全團隊開發(fā)并于2021年2月上線的威脅情報搜索引擎首先，與2022年類似，2023年占蜜罐數(shù)據(jù)最多的攻擊類型依然是“惡意IP”,達到了10.403‰(經(jīng)過In函數(shù)計算后),本團隊認為發(fā)起代理IP、命令執(zhí)行與控制攻擊、垃48決方案較為成熟，因此攻擊者更趨向于采用現(xiàn)抓取不到網(wǎng)絡(luò)流量導(dǎo)致后續(xù)檢測不到網(wǎng)絡(luò)攻擊的情況，因此網(wǎng)絡(luò)探針技術(shù)應(yīng)運而生，從圖6-7可以看出，相較與主流的網(wǎng)絡(luò)流量解析工具Wireshark,本團隊所研發(fā)的探針Honeyeye解析速度更快。Wireshark僅僅將捕獲的原始二進制數(shù)據(jù)保存在PCAP文件中，未對數(shù)據(jù)進行任何轉(zhuǎn)換。相比之下，Honeyeye捕獲網(wǎng)絡(luò)流量并進行解析后，將數(shù)據(jù)轉(zhuǎn)換為更易處理的格式，并以Json格式傳輸?shù)竭h端服務(wù)器，便于人員查看以及處理分本團隊開發(fā)的網(wǎng)絡(luò)安全態(tài)勢可視化系統(tǒng)便于用戶查看設(shè)備網(wǎng)絡(luò)情況以及通信數(shù)據(jù)，為用戶監(jiān)控設(shè)備網(wǎng)絡(luò)環(huán)境、查看網(wǎng)絡(luò)流量、發(fā)現(xiàn)網(wǎng)絡(luò)異常等提供了便利。Honeyeye把捕獲到的網(wǎng)絡(luò)流量數(shù)據(jù)的格式進行轉(zhuǎn)換并發(fā)送到遠端服務(wù)器后，網(wǎng)絡(luò)安全態(tài)勢可視化系統(tǒng)分析其中的數(shù)據(jù)并進行相關(guān)展示。網(wǎng)絡(luò)安全態(tài)勢可視化系統(tǒng)包括設(shè)備狀態(tài)監(jiān)測、網(wǎng)絡(luò)流量統(tǒng)計、工控協(xié)議數(shù)據(jù)包數(shù)量統(tǒng)計、設(shè)備交互地址統(tǒng)計等模塊，用戶通過此系統(tǒng)可查看設(shè)備的運行狀態(tài)、傳輸速率、