2022工业互联网安全与发展分析报告
AI智能总结
主要观点 工业互联网安全漏洞数据增长放缓,但高危漏洞数量大幅增加。2022年,国内外三大漏洞平台共计新收录工控系统安全漏洞370个,较2021年的636个下降了41.8%。但高危漏洞数据持续高发,2022年高危漏洞占比68.9%比2021年的38.2%增长超百分之30点。 制造业是涉及漏洞最多的行业,也是网络攻击的重灾区。据统计,88.6%的新增工控系统安全漏洞会对制造业产生影响;奇安信安服团队全年处置的与工业互联网安全相关的应急响应事件中,24.6%发生在制造业,制造业面临严峻的网络安全挑战。 工业领域数据勒索安全事件频发。2022年,奇安信集团安全服务中心共参与和处置了全国范围内236起工业网络安全应急响应事件,其中与工业数据勒索相关的安全事件123起,占到工业安全应急响应事件的52.1%。数据泄露成工业企业面临的最大挑战。攻击者将数据进行窃取和加密,导致数据丢失,严重影响系统和业务的正常运行。 电力行业网络安全政策持续发布,政策红利不断释放。2022年,国家能源局和发改委先后发布四大文件,包括一项重点任务,三个管理办法。明确网络安全重点任务;加强全业务、全生命周期网络安全管理;围绕电力行业网络安全各环节,从监督管理职责、电力企业责任义务、监督检查等规范网络安全工作;落实电力行业网络安全保护等级划分和等级保护工作。 工业企业应高度重视工业领域数据安全问题,将网络安全和数据安全融合,规划新型安全防护体系,在体系规划的基础上,有序建设,持续运营。融入行业整体安全体系,重视面向行业应用的体系化整体方案。 2 摘要 根据三大漏洞平台的数据分析,2022年新增工业互联网安全漏洞370个。 新增工控系统安全漏洞的成因多样化特征依然明显,技术类型多达30种以上。其中, SQL注入漏洞数据最多。 在收录的工业控制系统漏洞中,台达电子(DeltaElectronics)是2022年工控新增漏洞最多的厂商。 三大漏洞平台收录的工业控制系统安全漏洞多数分布在制造业、能源、商业设施、水务、农业、石化等关键基础设施行业,其中制造业涉及漏洞数量最多。 针对制造业控制系统设备,按照PLC、SCADA、RTU、HMI、工业网络设备、工业网络软件、普通软件、其他进行设备分类,其中工业网络软件涉及的漏洞数据最多。 奇安信集团安全服务中心共参与和处置了全国范围内236起工业网络安全应急响应事件,其中69起因弱口令导致工业企业遭受攻击,弱口令成工业企业防护短板。 业务专网成攻击者攻击的首要目标。2022年,工业应急响应事件的影响范围主要集中在业务专网,占比64%。 漏洞利用是攻击者最常用的攻击手段。通过对2022年全年工业应急响应安全事件攻击类型进行分析,漏洞利用攻击手段占比最高,达到34.7%。 关键词:安全漏洞、应急响应、勒索攻击、工业数据安全、有序建设 目录 第一章工业互联网安全态势1 一、工业互联网安全漏洞态势分析1 (一)工业互联网安全漏洞总体态势1 (二)制造业安全漏洞态势分析3 (三)新公开工业互联网安全CVSS10.0高危漏洞5 二、工业互联网安全应急响应态势分析9 (一)工业领域数据勒索安全事件频发9 (二)工业应急响应事件受害者分析9 (三)工业应急响应事件攻击者分析11 第二章2022工业互联网安全发展13 一、工业互联网安全政策体系不断完善13 (一)2022年电力安全监管重点任务13 (二)关于进一步加强新能源汽车企业安全体系建设的指导意见13 (三)电力可靠性管理办法(暂行)13 (四)工业互联网专项工作组2022年工作计划14 (五)医疗卫生机构网络安全管理办法14 (六)电力行业网络安全管理办法15 (七)电力行业网络安全等级保护管理办法15 (八)工业和信息化领域数据安全管理办法(试行)15 二、工业互联网安全标准体系不断健全16 第三章工业互联网应急响应典型案例18 一、某制造企业遭TELLYOUTHEPASS勒索病毒攻击18 (一)事件概述18 (二)防护建议18 二、某交通运输企业遭MAGNIBER勒索病毒攻击19 (一)事件概述19 (二)防护建议20 三、某货运企业遭BURN勒索病毒攻击20 (一)事件概述20 (二)防护建议21 第四章工业互联网安全推进建议22 一、高度重视工业领域数据安全问题22 二、网络安全和数据安全融合,规划新型安全防护体系22 三、有序建设,持续运营22 附录一工业控制系统安全国家地方联合工程实验室24 附录二2022工业互联网安全重大事件25 第一章工业互联网安全态势 本章主要以工业控制系统安全国家地方联合工程实验室(以下简称:联合实验室)漏洞库收录的工业控制系统相关的漏洞信息和奇安信安全服务中心处理的工业安全应急事件统计数据为基础,从工控漏洞的月度分布、漏洞类型、危险等级、漏洞涉及厂商、重点行业漏洞分析等方面和工业应急处理事件的行业分布、失陷方式、影响范围和攻击类型等方面分析工业互联网的安全威胁态势、脆弱性以及发展变化趋势。 一、工业互联网安全漏洞态势分析 (一)工业互联网安全漏洞总体态势 在2022年,联合实验室综合参考了CommonVulnerabilities&Exposure(sCVE)、National VulnerabilityDatabase(NVD)和国家信息安全漏洞库(CNNVD)三大漏洞平台收录的工控系统安全漏洞信息共达370个,较2021年的636个下降了41.8%。工控系统漏洞数量月度分布如下图。 新增工控系统安全漏洞的成因多样化特征依然明显,技术类型多达30种以上。其中,SQL注入漏洞(54个)、缓冲区溢出漏洞(37个)和代码注入漏洞(26个)数量最多。2022年工控系统新增漏洞类型分布如下: 1 攻击者可以利用多样化的漏洞获取非法控制权、通过遍历的方式绕过验证机制、发送大量请求造成资源过载等安全事故。实际上,无论攻击者利用何种漏洞造成生产厂区的异常运行,均会影响工控系统组件及设备的可用性和可靠性。 在三大漏洞平台收录的工控系统漏洞中,高危漏洞占比68.9%,中危漏洞占比为20.5%,中高危漏洞占比高达89.4%。工业控制系统多应用于国家关键基础设施,一旦遭受网络攻击,会造成较为严重的损失。2022年工控系统新增漏洞危险等级分布如下: 在收录的工业控制系统漏洞中,涉及到的前十大工控厂商分别为台达电子(DeltaElectronics)、西门子(Siemens)、三菱(Mitsubishi)、3S-Smart、思科(Cisco)、艾默生 2 (Emerson)、罗克韦尔(Rockwell)、施耐德(Schneider)、欧姆龙(Omron)、霍尼韦尔 (Honeywell)。2022年工控新增漏洞涉及主要厂商情况如下图所示: 需要说明的是,虽然安全漏洞在一定程度上反映了工控系统的脆弱性,但不能仅通过被报告的厂商安全漏洞数量来片面判断比较厂商产品的安全性。因为一般来说,一个厂商的产品越是使用广泛,越会受到更多安全研究者的关注,因此被发现安全漏洞的可能性也越大。某种程度上来说,安全漏洞报告的厂商分布,更多程度上反映的是研究者的关注度。 (二)制造业安全漏洞态势分析 三大漏洞平台收录的工业控制系统安全漏洞多数分布在制造业、能源、商业设施、水务、农业、石化等关键基础设施行业。一个漏洞可能涉及多个行业,在370个漏洞中,有328个 漏洞涉及到制造业,也是占比最高的行业。涉及到的能源行业漏洞数量高达213个。对比 2021年的数据,依然是制造业和能源行业工控漏洞较多,应持续加强这两个行业工业安全建设。2022年工控新增漏洞行业分布图如下: 3 对2022年新增的与制造业相关的安全漏洞做进一步统计分析发现,SQL注入漏洞(54个)、缓冲区溢出漏洞(20个)、输入验证漏洞(14个)、路径遍历漏洞(14个)等最为常见。2021年制造业新增漏洞类型分布如下: 针对制造业控制系统设备,按照PLC、SCADA、RTU、HMI、工业网络设备、工业网络软件、普通软件、其他进行设备分类,涉及到的前五大设备漏洞中,工业网络软件最多,数量为63个,PLC设备(38个)、SCADA(21个)、工业网络设备(7个)和HMI(4个)。制造业新增漏洞设备类型数据如下: 4 (三)新公开工业互联网安全CVSS10.0高危漏洞 CVSS(CommonVulerabilityScoringSystem,通用漏洞评估方法)提供了一种捕获漏洞主要特征并生成反映其严重性的数字评分的方法。数字评分以文本形式来表示,通常将数字分数转换为定性表示形式(例如低,中,高),以帮助组织正确评估漏洞管理流程并确定漏洞修复优先级。 漏洞库平台根据CVSS分级标准对漏洞进行0至10之间的数字评分,10分为最高分,表示该漏洞的严重程度最高,一旦被攻击者利用,造成的损失也较大。本文分析2022年CVSSv3.X(CVSSv3.0或CVSSv3.1)为10的工业互联网安全高危漏洞,如表1所示,并对Rockwell和Siemens不同供应商的高危漏洞进行详细分析,并参考美国网络安全和基础设施安全局(CISA)的建议给出漏洞的缓解措施。 表1:CVSSv3.X为10的工业互联网安全高危漏洞 CVEID 漏洞类型 影响产品 供应商 自主/进口 1768COMPACTLOGIX控制器1769COMPACTLOGIX控制器 CVE-2022-1161 其他 COMPACTLOGIX5370控制器 Rockwell 进口 COMPACTLOGIX5380控制器COMPACTLOGIX5480控制器 5 紧凑型GUARDLOGIX5370控制器紧凑型GUARDLOGIX5380控制器CONTROLLOGIX5550控制器 CONTROLLOGIX5560控制器CONTROLLOGIX5570控制器CONTROLLOGIX5580控制器 GUARDLOGIX5560控制器GUARDLOGIX5570控制器 GUARDLOGIX5580控制器FLEXLOGIX1794-L34控制器DRIVELOGIX5730控制器 SOFTLOGIX5800控制器 SIMATICCP1242-7V2版本 SIMATICCP1243-1版本 SIMATICCP1243-7LTEEU版本 SIMATICCP1243-7LTEUS版本 SIMATICCP1243-8IRC版本 SIMATICCP1542SP-1IRCV2.0版本及之后 版本 SIMATICCP1543-1V3.0.22之前版本 缓冲区溢 出漏洞 SIMATICCP1543SP-1V2.0版本及之后版本 Siemens 进口 SIPLUSET200SPCP1542SP-1IRCTX RAILV2.0版本及之后版本 SIPLUSET200SPCP1543SP-1ISECV2.0版 本及之后版本 SIPLUSET200SPCP1543SP-1ISECTX CVE- RAILV2.0版本及之后版本 2022- SIPLUSNETCP1242-7V2版本 34819 SIPLUSNETCP1543-1V3.0.22之前版本 6 SIPLUSS7-1200CP1243-1版本 SIPLUSS7-1200CP1243-1RAIL版本 (一)RockwellAutomationLogixControllers安全漏洞CVE-2022-1161 相关系统:RockwellAutomationLogixControllers是美国RockwellAutomation公司的一个高性能控制平台。 威胁预警:CVSSv310 风险评估:成功利用该漏洞,攻击者可修改控制器的用户程序,下载包含恶意代码的程序。 受影响的产品: 1768COMPACTLOGIX控制器 1769COMPACTLOGIX控制器 COMPACTLOGIX5370控制器 COMPACTLOGIX5380控制器 COMP
