21.前言 52.2022年工控安全相關政策法規(guī)報告 62.1《工業(yè)和信息化領域數據安全管理辦法(試行)(征求意見稿)》 62.2《信息安全技術工業(yè)控制系統(tǒng)信息安全防護能力成熟度模型》 62.3《電力可靠性管理辦法(暫行)》 72.4《電力行業(yè)網絡安全管理辦法(修訂征求意見稿)》 7 72.6《關于開展網絡安全服務認證工作的實施意見(征求意見稿)》 82.7《關于修改〈中華人民共和國網絡安全法〉的決定(征求意見稿)》 82.8《信息安全技術關鍵信息基礎設施安全保護要求》 82.9《工業(yè)互聯(lián)網總體網絡架構》 92.10《網絡產品安全漏洞收集平臺備案管理辦法》 92.11《信息安全技術網絡安全服務能力要求》 92.12《信息安全技術關鍵信息基礎設施網絡安全應急體系框架》 93.2022年典型工控安全事件分析 113.1德國主要燃料儲存供應商遭網絡攻擊 113.2FBI警報：美國關鍵基礎設施正遭受BlackByte勒索軟件入侵 113.3白俄羅斯鐵路遭到Anonymou入侵，所有網絡服務中斷 113.4東歐大型加油站遭勒索攻擊，官網、APP等全部下線 123.5烏克蘭的能源供應商成為Industroyer2ICS惡意軟件的目標 1233.6農業(yè)機械巨頭愛科遭勒索攻擊，美國種植季拖拉機供應受影響 123.7得克薩斯州一家液化天然氣廠遭黑客攻擊導致爆炸 133.8伊朗lycaeumAPT組織利用新的DNS后門攻擊能源行業(yè) 133.9德國建材巨頭Knauf被BlackBasta勒索軟件團伙襲擊 133.10希臘天然氣分銷商DESFA部分基礎設施遭受網絡襲擊 143.11黑客組織GhostSec入侵以色列各地的55個PLC 143.12黑客組織KILLNET對美國機場網站發(fā)起分布式拒絕服務(DDoS)攻擊 143.13網絡攻擊導致丹麥最大鐵路公司火車全部停運 153.14烏克蘭政府機構和國家鐵路遭受新一波網絡釣魚攻擊 154.工控系統(tǒng)安全漏洞概況 175.聯(lián)網工控設備分布 205.1國際工控設備暴露情況 225.2國內工控設備暴露情況 245.3國內工控協(xié)議暴露數量統(tǒng)計情況 275.4俄烏沖突以來暴露設備數量變化 296.工控蜜罐數據相關分析 326.1工控蜜罐全球捕獲流量概況 326.2工控系統(tǒng)攻擊流量分析 346.3工控系統(tǒng)攻擊類型識別 376.4工控蜜罐與威脅情報數據關聯(lián)分析 396.5工控網絡探針 4147.工業(yè)互聯(lián)網安全創(chuàng)新發(fā)展 447.1工業(yè)互聯(lián)網與智能制造 457.2工業(yè)互聯(lián)網與產業(yè)數字化轉型 477.3工業(yè)互聯(lián)網與典型工業(yè)環(huán)境 488.總結 53參考文獻 541.前言5關鍵信息基礎設施是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業(yè)等重要行業(yè)和領域的，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統(tǒng)等，對國家的穩(wěn)定發(fā)展發(fā)揮著極端重要的作用。工業(yè)控制系統(tǒng)是關鍵信息基礎設施的關鍵核心。隨著制造強國、網絡強國戰(zhàn)略的持續(xù)推進，機械、航空、船舶、汽車、輕工、紡織、食品、電子等行業(yè)生產設備逐漸步入智能化階段。與此同時，5G技術、人工智能、云計算等新一代信息技術與制造技術的加速融合，使得工業(yè)控制系統(tǒng)正從封閉獨立逐步走向開放互聯(lián)。工業(yè)控制網絡正與IT網絡進行著深度融合，在促進工業(yè)進一步發(fā)展的同時，傳統(tǒng)信息網絡中的各種安全威脅已經逐步延伸至工業(yè)控制網絡中。在黨的二十大報告中，習近平總書記著重強調了：“要推進國家安全體系和能力現(xiàn)代化，堅決維護國家安全和社會穩(wěn)定?！苯陙?，網絡攻擊、網絡竊密等危及國家安全行為，給社會生產生活帶來了不少安全隱患。如何有效保障網絡與信息安全，是數字時代的重要課題。2022年4月，為貫徹落實2022年《政府工作報告》關于“加快發(fā)展工業(yè)互聯(lián)網”的部署要求，扎實推進《工業(yè)互聯(lián)網創(chuàng)新發(fā)展行動計劃(2021-2023年)》任務安排，工信部印發(fā)《工業(yè)互聯(lián)網專項工作組2022年工作計劃》。從夯實基礎設施、深化融合應用、強化技術創(chuàng)新、完善要素保障等方面，提出了網絡體系強基、標識解析增強、平臺體系壯大等15大類任務83項具體舉措。為順應當前形勢，東北大學“諦聽”網絡安全團隊基于自身傳統(tǒng)的安全研究優(yōu)勢開發(fā)設計并實現(xiàn)了“諦聽”網絡空間工控設備搜索引擎()，并根據“諦聽”收集的各類安全數據，撰寫并發(fā)布《2022年工業(yè)控制網絡安全態(tài)勢白皮書》，讀者可以通過報告了解2022年工控安全相關政策法規(guī)報告及典型工控安全事件分析，同時報告對工控系統(tǒng)漏洞、聯(lián)網工控設備、工控蜜罐、威脅情報數據及工業(yè)互聯(lián)網安全創(chuàng)新發(fā)展情況進行了闡釋及分析，有助于全面了解工控系統(tǒng)安全現(xiàn)狀，多方位感知工控系統(tǒng)安全態(tài)勢，為研究工控安全相關人員提供參考。2.2022年工控安全相關政策法規(guī)報告6隨著互聯(lián)網的快速發(fā)展，云計算等新型信息技術開始與傳統(tǒng)工業(yè)進行融合，工業(yè)控制系統(tǒng)逐漸走向智能化。但與此同時，一些網絡安全事件層出不窮，工業(yè)控制系統(tǒng)在信息安全方面受到了嚴峻挑戰(zhàn)。因此，我國開始逐步完善工業(yè)信息安全政策標準，以便于提升工業(yè)信息安全保障技術，推動整個安全產業(yè)的發(fā)展。通過梳理2022年度發(fā)布的相關政策法規(guī)報告，整理各大工業(yè)信息安全研究院及機構針對不同法規(guī)所發(fā)布的解讀文件，現(xiàn)摘選部分重要內容并對其進行簡要分析，以供讀者進一步了解國家層面關于工控安全領域的政策導向。2.1《工業(yè)和信息化領域數據安全管理辦法(試行)(征求意見稿)》2022年2月10日，工信部再次公開征求對《工業(yè)和信息化領域數據安全管理辦法 (試行)》(征求意見稿)的意見。此次發(fā)布的征求意見稿調整了數據定義、監(jiān)管機構和核心數據目錄備案等條款。在工業(yè)和信息化領域數據處理者責任方面，征求意見稿明確了其對數據處理活動負安全主體責任，對各類數據實行分級防護，保證數據持續(xù)處于有效保護和合法利用的狀態(tài)。該征求意見稿增加了核心數據跨主體處理以及日志留存條款，要求需要跨主體提供、轉移、委托處理核心數據時，應當評估安全風險，采取必要的安全保護措施，并經由地方工業(yè)和信息化主管部門(工業(yè)領域)或通信管理局(電信領域)或無線電管理機構(無線電領域)報工業(yè)和信息化部。工業(yè)和信息化部嚴格按照有關規(guī)定對其進行審查。2.2《信息安全技術工業(yè)控制系統(tǒng)信息安全防護能力成熟度模型》2022年4月15日，根據國家市場監(jiān)督管理總局、國家標準化管理委員會發(fā)布的中華人民共和國國家標準公告(2022年第6號)，國家標準GB/T41400-2022《信息安全技術工業(yè)控制系統(tǒng)信息安全防護能力成熟度模型》正式發(fā)布，并將于2022年11月進行正式實施。該標準由中國電子技術標準化研究院聯(lián)合“產學研用測”41家單位共同研制，意在貫徹落實《國務院關于深化“互聯(lián)網+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網的指導意見》有關要求、進一步推動工業(yè)企業(yè)落實《工業(yè)控制系統(tǒng)信息安全防護指南》防護要點。72.3《電力可靠性管理辦法(暫行)》2022年4月25日，國家發(fā)改委官網公布了《電力可靠性管理辦法(暫行)》，并于6月1日起開始實施?！掇k法》第七章對電力網絡安全做出了明確要求，其中提出了電力網絡安全堅持積極防御和綜合防范的方針；電力企業(yè)應當落實網絡安全保護責任，健全網絡安全組織體系；電力企業(yè)應當強化電力監(jiān)控系統(tǒng)安全防護；電力用戶應當根據國家有關規(guī)定和標準開展網絡安全防護，預防網絡安全事件，防止對公用電網造成影響；國家能源局依法依規(guī)履行電力行業(yè)網絡安全監(jiān)督管理職責等具體要求。2.4《電力行業(yè)網絡安全管理辦法(修訂征求意見稿)》2022年6月14日，國家能源局對《電力行業(yè)網絡與信息安全管理辦法》(國能安全〔2014〕317號，為加強電力行業(yè)網絡安全監(jiān)督管理以及規(guī)范電力行業(yè)網絡安全工作，根據《中華人民共和國網絡安全法》《中華人民共和國密碼法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《中華人民共和國計算機信息系統(tǒng)安全保護條例》《關鍵信息基礎設施安全保護條例》及國家有關規(guī)定，制定本辦法。)、《電力行業(yè)信息安全等級保護管理辦法》(國能安全〔2014〕318號，為規(guī)范電力行業(yè)網絡安全等級保護管理，提高電力行業(yè)網絡安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，根據《中華人民共和國網絡安全法》《中華人民共和國密碼法》《中華人民共和國計算機信息系統(tǒng)安全保護條例》《關鍵信息基礎設施安全保護條例》《信息安全等級保護管理辦法》等法律法規(guī)和規(guī)范性文件，制定本辦法。)進行修訂，形成了《電力行業(yè)網絡安全管理辦法(修訂征求意見稿)》《電力行業(yè)網絡安全等級保護管理辦法 (修訂征求意見稿)》，向社會公開征求意見。2.5《數據出境安全評估辦法》2022年7月7日，國家互聯(lián)網信息辦公室公布了《數據出境安全評估辦法》(以下簡稱《辦法》)，并于2022年9月1日起開始施行。出臺《辦法》是為了更好的落實《網絡安全法》、《數據安全法》、《個人信息保護法》的規(guī)定，并且有利于保護個人信息的權益，社會公共的利益，規(guī)范數據出境的活動以及維護國家的安全。該《辦法》8也規(guī)定了數據出境安全評估的范圍、條件和程序，并具體指明數據出境安全評估工作的方法。2.6《關于開展網絡安全服務認證工作的實施意見(征求意見稿)》2022年7月21日，市監(jiān)總局發(fā)布《關于開展網絡安全服務認證工作的實施意見(征求意見稿)》，公開征求意見至8月21日。應當依法設立從事網絡安全服務認證活動的認證機構，保證其具備從事網絡安全服務認證活動的專業(yè)能力，并嚴格經過市場監(jiān)管總局征求中央網信辦、公安部意見后批準取得資質。嚴格要求網絡安全服務認證機構公開認證收費標準和認證證書有效、暫停、注銷或者撤銷等狀態(tài)，按照有關規(guī)定報送網絡安全服務認證實施情況及認證證書信息。2.7《關于修改〈中華人民共和國網絡安全法〉的決定(征求意見稿)》2022年9月14日，國家互聯(lián)網信息辦公室會同相關部門起草了《關于修改〈中華人民共和國網絡安全法〉的決定(征求意見稿)》，并向社會公開征求意見。意見反饋截止時間為2022年9月29日。自2017年《中華人民共和國網絡安全法》開始實施后，其為維護網絡空間主權和國家安全、社會公共利益，保護公民等合法權益，提供了有力法律保障。隨著社會形勢的發(fā)展，擬對《中華人民共和國網絡安全法》進行修改，使其法律責任制度能夠更加完善，能夠更加有效的保障網絡的安全。2.8《信息安全技術關鍵信息基礎設施安全保護要求》2022年10月12日，國家標準化管理委員會發(fā)布2022年第14號中華人民共和國國家標準公告，批準發(fā)布國家標準GB/T39204-2022《信息安全技術關鍵信息基礎設施安全保護要求》，《信息安全技術關鍵信息基礎設施安全保護要求》規(guī)定了關鍵信息基礎設施運營者在識別分析、安全防護、檢測評估等方面的安全要求。此次標準的發(fā)布，意味著我國的國家關鍵信息基礎設施(電力，燃氣，水力，石化等)工業(yè)控制系統(tǒng)的網絡安全保護將納入國家監(jiān)督成為強制要求，標志著我國關鍵信息基礎設施安全保障體系的建設進一步完善，為運營者開展關鍵信息基礎設施的安全保護工作提供更有效的規(guī)范和引領。標準將于2023年5月1日開始實施。92.9《工業(yè)互聯(lián)網總體網絡架構》2022年10月14日，國家標準化管理委員會發(fā)布2022年第13號中華人民共和國國家標準公告，批準發(fā)布國家標準GB/T42021-2022《工業(yè)互聯(lián)網總體網絡架構》?！豆I(yè)互聯(lián)網總體網絡架構》是我國首個在工業(yè)互聯(lián)網網絡領域中發(fā)布的國家標準，其規(guī)范了工業(yè)互聯(lián)網工廠內外網絡架構的目標架構和功能要求，并且表明了工業(yè)互聯(lián)網網絡實施的框架以及對安全方面的要求，相關標準的規(guī)定有助于提升全行業(yè)全產業(yè)的數字化、網絡化以及智能化水平，能夠進一步促進相關產業(yè)向數字化轉型。該標準將于2023年5月1日開始實施。2.10《網絡產品安全漏洞收集平臺備案管理辦法》2022年10月28日，工業(yè)和信息化部近日印發(fā)《網絡產品安全漏洞收集平臺備案管理辦法》?！掇k法》規(guī)定，將采取網上備案的形式進行，通過工業(yè)和信息化部網絡安全威脅和漏洞信息共享平臺對漏洞收集平臺進行備案。相關參與者需在該共享平臺上如實填報網絡產品安全漏洞收集平臺的備案登記信息。該《辦法》將于2023年1月1日起施行。2.11《信息安全技術網絡安全服務能力要求》2022年11月9日，全國信息安全標準化技術委員會秘書處發(fā)布《信息安全技術網絡安全服務能力要求》(征求意見稿)，并向社會公開征求意見，該意見征求截止時間為12月9日。該文件嚴格要求了網絡安全服務機構所提供的安全服務應該具備的能力水平。該文件能夠對網絡安全服務機構開展網絡安全服務能力建設進行有效指導，同時也可以幫助政務部門以及關鍵信息基礎設施運營者選擇合適的網絡安全服務機構。2.12《信息安全技術關鍵信息基礎設施網絡安全應急體系框架》2022年11月17日，全國信息安全標準化技術委員會秘書處發(fā)布《信息安全技術關鍵信息基礎設施網絡安全應急體系框架》(征求意見稿)，并向社會征求意見，該意見征求截止時間為2023年1月16日。征求意見稿給出了關鍵信息基礎設施網絡安全應急體系框架，其中主要包括機構設立、分析識別以及事后恢復與總結等。該文件有助于關鍵信息基礎設施運營者建立健全網絡安全應急體系、開展網絡安全應急活動，同時可以為關鍵信息基礎設施安全保護的其他相關方提供參考。序號月份出臺政策12月《工業(yè)和信息化領域數據安全管理辦法(試行)》(征求意見稿)22月《工業(yè)和信息化部辦公廳關于做好工業(yè)領域數據安全管理試點工作的通知》32月《工業(yè)互聯(lián)網安全標準體系》44月《信息安全技術工業(yè)控制系統(tǒng)信息安全防護能力成熟度模型》54月《電力可靠性管理辦法(暫行)》66月《電力行業(yè)網絡安全管理辦法(修訂征求意見稿)》77月《數據出境安全評估辦法》87月《關于開展網絡安全服務認證工作的實施意見(征求意見稿)》97月《信息安全技術信息安全管理體系概述和詞匯》8月《公路水路關鍵信息基礎設施安全保護管理辦法(征求意見稿)》9月《關于修改(中華人民共和國網絡安全法)的決定(征求意見稿)》10月《信息安全技術關鍵信息基礎設施安全保護要求》10月《工業(yè)互聯(lián)網總體網絡架構》10月《數字化轉型價值效益參考模型》、《供應鏈數字化管理指南》、《生產設備運行管理規(guī)范》、《生產設備運行績效評價指標集》10月《網絡產品安全漏洞收集平臺備案管理辦法》11月《信息安全技術網絡安全服務能力要求》(征求意見稿)11月《信息安全技術關鍵信息基礎設施網絡安全應急體系框架》(征求意見稿)12月《工業(yè)互聯(lián)網企業(yè)網絡安全第4部分：數據防護要求》(征求意見稿)12月《電力行業(yè)網絡安全管理辦法》2012月《電力行業(yè)網絡安全等級保護管理辦法》2112月《工業(yè)和信息化領域數據安全管理辦法(試行)》3.2022年典型工控安全事件分析時至2022，全球局勢變化風云莫測，工控安全是國家安全保障、社會穩(wěn)定運行的重要基石。工控網絡的應用涉及了社會中的各個重要行業(yè)如通信、電力、燃油等。社會中的各個機構、組織、企業(yè)在疫情下穩(wěn)步的復產復工，恢復工作秩序，離不開工控網絡的安全。以下介紹2022年發(fā)生的一些典型工控安全相關事件，通過以下事件可以了解工業(yè)控制網絡環(huán)境下各種攻擊的技術特性和趨勢，以此來制定更加有效的相關策略應對未來可能遭受的攻擊。3.1德國主要燃料儲存供應商遭網絡攻擊2022年1月29日，德國的一家名為OiltankingGmbHGroup的石油儲存公司遭到了網絡攻擊。本次攻擊主要是針對Oiltanking公司以及礦物油貿易公司Mabanaft，對其造成了一定的影響。Oiltanking和Mabanaft在他們的聯(lián)合聲明中表示他們正在盡力解決該問題，并了解其波及的范圍。同時由于受到本次攻擊事件的影響，歐洲西北部地區(qū)餾分柴油的價格有略微的漲幅。3.2FBI警報：美國關鍵基礎設施正遭受BLACKBYTE勒索軟件入侵2022年2月11日，美國聯(lián)邦調查局和美國特勤局聯(lián)合發(fā)布了《聯(lián)合網絡安全咨詢公告》。公告中指出：名為BlackByte的軟件勒索組織在過去的3個月期間，入侵了至少3個美國關鍵基礎設施組織，尤其是政府設施、金融服務以及食品和農業(yè)領域。該組織會將其勒索軟件基礎設施出租給他人，以此來換取一定比例的勒索收益，該組織自2021年7月開始開發(fā)軟件漏洞，全球范圍內的企業(yè)都可能成為其目標。3.3白俄羅斯鐵路遭到ANONYMOU入侵，所有網絡服務中斷2022年2月27日，黑客組織Anonymou聲稱已經入侵了白俄羅斯鐵路的內部網絡，并且攻擊并關閉了其內部網絡的所有服務。目前網站pass.rw.by、portal.rw.by、rw.by都處于無法訪問的狀態(tài)，該國的鐵路系統(tǒng)被迫轉入手動控制模式，這對白俄羅斯鐵路列車的正常運營以及鐵路秩序都造成了極大的影響和破壞。Anonymou組織還入侵了白俄羅斯的武器制造商Tetraedr，并竊取了大約200GB的電子郵件。3.4東歐大型加油站遭勒索攻擊，官網、APP等全部下線2022年3月6日，東歐國家羅馬尼亞的一家加油站遭到了勒索軟件攻擊，該加油站的Fill&Go服務以及官方網站都因本次攻擊而被迫下線。本次攻擊影響到了該公司的大部分業(yè)務，導致了官網、APP都無法正常訪問，顧客只能使用現(xiàn)金和刷卡進行支付。這家公司名為Rompetrol，是羅馬尼亞國內最大的煉油廠PetromidiaNavodari的配套加油站運營商。攻擊者還入侵了Petromdia煉油廠內部的網絡，但該網絡的運營暫未發(fā)現(xiàn)受到了影響。3.5烏克蘭的能源供應商成為INDUSTROYER2ICS惡意軟件的目標2022年4月12日，一種新的能夠操控工業(yè)控制系統(tǒng)造成損害的惡意軟件最近將烏克蘭的一家能源供應商作為了攻擊的目標。該攻擊主要針對的是變電站，烏克蘭的計算機應急響應小組、網絡安全公司和微軟公司已經對其進行了分析。經分析發(fā)現(xiàn)，該攻擊行動與一個威脅組織Sandworm有關，該組織據信代表俄羅斯GRU軍事情報機構運作。根據網絡安全公司的說法，該攻擊的目的可能是在目標能源設施中執(zhí)行破壞性的操作進而導致停電，本次安全事件涉及了在ICS網絡以及運行Solaris和Linux的系統(tǒng)中部署的幾種惡意軟件。3.6農業(yè)機械巨頭愛科遭勒索攻擊，美國種植季拖拉機供應受影響2022年5月7日，美國農業(yè)機械巨頭愛科遭到了勒索軟件的攻擊，對部分生產設施的運營造成了影響，并且該影響可能會持續(xù)多天。本次事件中，愛科公司并沒有提供任何關于業(yè)務中斷的細節(jié)信息，為了阻止攻勢蔓延該公司可能會關閉部分系統(tǒng)。有經銷商表示，這導致拖拉機銷售在美國最重要的種植季節(jié)停滯不前。近一年來已經有多家農業(yè)供應鏈企業(yè)遭到攻擊，可見農業(yè)逐漸成為了勒索攻擊的重點目標。同時受到緊張的國際政治局勢的影響，部分網絡攻擊可能還具有報復性動機，目的是破壞美國關鍵基礎設施企業(yè)的生產活動。3.7得克薩斯州一家液化天然氣廠遭黑客攻擊導致爆炸2022年6月8日，德克薩斯州一家液化天然氣廠發(fā)生爆炸。爆炸發(fā)生在德克薩斯州金塔納島的自由港液化天然氣液化廠(名為FreeportLNG公司)和出口碼頭。華盛頓時報一國家安全作家Rogan證實：德克薩斯州的液化天然氣設施爆炸與APT組織進行的黑客活動一致。FreeportLNG擁有運營技術以及工業(yè)控制系統(tǒng)網絡檢測系統(tǒng)，但否認了將網絡攻擊視為事件發(fā)生的根本原因。除非FreeportLNG適當部署了OT/ICS網絡檢測系統(tǒng)并完成了取證調查，否則不能排除網絡攻擊。此次爆炸事故將對自由港液化天然氣的運營產生持久的影響。3.8伊朗LYCAEUMAPT組織利用新的DNS后門攻擊能源行業(yè)2022年6月10日，伊朗LycaeumAPT黑客組織使用新的基于.NET的DNS后門，以對能源和電信行業(yè)的公司進行攻擊。Lyceum曾使用DNS隧道后門瞄準中東的通信服務提供商。Zscaler最近的一項分析提出了一種新的DNS后門，該后門基于DIG.net開源工具可以執(zhí)行“DNS劫持”攻擊、執(zhí)行命令、丟棄更多有效負載并泄露數據。DNS劫持是一種重定向攻擊，它依賴于DNS查詢操作，將嘗試訪問合法站點的用戶帶到威脅參與者控制下的服務器上托管的惡意克隆。3.9德國建材巨頭KNAUF被BLACKBASTA勒索軟件團伙襲擊2022年7月19日消息，德國建材巨頭Knauf集團表示它已成為網絡攻擊的目標，該攻擊擾亂了其業(yè)務運營。據悉，網絡攻擊發(fā)生在6月29日晚上，目前，可耐夫仍在進行調查取證、事件處理和補救工作。雖然Knauf沒有公布他們所遭受的網絡攻擊的類型，但根據恢復正常運營的時間、影響和難度可以推斷這大概率是一起勒索軟件事件。名為BlackBasta的勒索軟件團伙已經在其勒索網站上發(fā)布公告宣布對這次攻擊負責，并于7月16日將Knauf列為受害者。勒索軟件團伙目前已經泄露了20%的被盜文件，超過350名訪問者訪問了這些文件。并非所有文件都已在線泄露的事實表明，威脅行為者仍有希望獲得成功的談判結果并獲得贖金。3.10希臘天然氣分銷商DESFA部分基礎設施遭受網絡襲擊2022年8月20日，希臘最大的天然氣分銷商DESFA表示在其部分基礎設施上遭受了網絡攻擊，攻擊者試圖非法訪問電子數據，并可能泄露了許多目錄和文件。8月19日，RagnarLocker勒索軟件組織在其暗網數據泄露網站上泄露了DESFA的數據樣本及被盜數據列表，這也證實了此次攻擊。泄露的數據樣本不包含機密信息。RagnarLocker在其暗網上表示，DESFA的系統(tǒng)中存在多個安全漏洞，會導致公司的敏感數據受到損害。RagnarLocker已將此類漏洞通知了DESFA，然而并沒有收到回應。因此RagnarLocker發(fā)布了從DESFA網絡下載的數據列表，并威脅如果DESFA沒有在規(guī)定時間內采取行動，也沒有聯(lián)系威脅行為者以解決安全問題，將發(fā)布文件列表中包含的所有文件。3.11黑客組織GHOSTSEC入侵以色列各地的55個PLC可編程邏輯控制器(PLC)，這些PLC被以色列組織用作“FreePalestine”運動的一部分。GhostSec于2015年首次被發(fā)現(xiàn)，自稱治安組織，最初成立的目的是針對宣揚伊斯蘭極端主義的ISIS網站。9月4日，GhostSec在其Telegram頻道上分享了一段視頻，展示了成功登錄PLC管理面板的過程，此外還轉儲了被黑客入侵控制器的數據。同時，GhostSec發(fā)布了更多的截圖，聲稱已經獲得了另一個控制面板的權限，可以用來改變水中的氯含量和PH值。工業(yè)網絡安全公司OTORIO對此事進行了更深入的調查后表示，發(fā)生此次入侵的原因可能是因為PLC可以通過互聯(lián)網訪問，而且使用的是可以輕易猜到的憑證。3.12黑客組織KILLNET對美國機場網站發(fā)起分布式拒絕服務(DDOS)攻擊2022年10月10日，親俄黑客組織KillNet聲稱對美國幾個主要機場的網站進行了大規(guī)模分布式拒絕服務(DDoS)攻擊，導致其無法訪問。DDoS攻擊通過垃圾請求使托管這些網站的服務器無法運作，使旅客無法連接并獲取有關其定期航班或預訂機場服務的更新。被攻擊的機場包括芝加哥奧黑爾國際機場(ORD)、奧蘭多國際機場(MCO)、丹佛國際機場(DIA)、鳳凰城天港國際機場(PHX)，以及肯塔基州、密西西比州和夏威夷的一些機場。雖然DDoS攻擊不會影響航班，但仍然對關鍵經濟部門的運作產生了不利影響，可能將會造成相關服務的暫緩甚至是癱瘓。KillNet的創(chuàng)始人KillMilk還表示，他們正在計劃進一步的攻擊，涉及更嚴重的技術，包括旨在破壞數據的擦除器攻擊。3.13網絡攻擊導致丹麥最大鐵路公司火車全部停運2022年11月5日，由于遭受了網絡攻擊導致服務器關閉，丹麥最大的鐵路運營公司DSB旗下所有列車均陷入停運，且連續(xù)數個小時未能恢復。遭受攻擊的是丹麥公司Supeo，該公司是一家專為鐵路、交通基礎設施和公共客運提供資產管理解決方案的外包供應商。Supeo可能經受了一次勒索軟件攻擊，但該公司并未披露任何信息。Supeo公司提供了一款移動應用，可供火車司機訪問各項關鍵運營信息，例如限速指標和鐵路運行信息。由于服務器關閉，導致該應用停止工作，司機們只能被迫停車，最終引發(fā)了列車運營中斷事件。3.14烏克蘭政府機構和國家鐵路遭受新一波網絡釣魚攻擊2022年12月8日，烏克蘭計算機應急響應小組報道，烏克蘭政府機構和國家鐵路遭受網絡釣魚攻擊。攻擊者被響應小組追蹤為UAC-0140，他們使用電子郵件分發(fā)由Delphi編程語言開發(fā)的名為DolphinCape惡意軟件。這種惡意軟件可以采集被攻擊電腦的信息，包括主機名、用戶名、比特率和操作系統(tǒng)版本等等，該軟件還會運行可執(zhí)行文件、提取其他關鍵數據、并對目標設備進行屏幕截圖等操作，嚴重影響被攻擊者的電腦的運行安全。烏克蘭安全官員認為，俄羅斯黑客是大多數攻擊的幕后黑手。序號時間國家/地區(qū)行業(yè)方式影響1德國制造業(yè)未知歐洲北部地區(qū)柴油漲價2荷蘭能源業(yè)勒索軟件石油裝卸和轉運受阻32月美國農業(yè)勒索軟件勒索高額贖金42月俄羅斯運輸業(yè)未知鐵路運營秩序受影響，資料泄露52月瑞士運輸業(yè)勒索軟件運營受到干擾63月羅馬尼亞能源業(yè)勒索軟件油站官網、APP無法訪問73月德國能源業(yè)勒索軟件近6000臺風力發(fā)電機失去遠程控制84月烏克蘭能源業(yè)惡意軟件變電站停電94月德國制造業(yè)網絡攻擊被迫關閉多個業(yè)務部門的系統(tǒng)4月加拿大制造業(yè)網絡攻擊航班延誤，大量旅客滯留機場5月美國農業(yè)勒索軟件公司被迫關閉系統(tǒng)、銷售停滯5月航空業(yè)勒索軟件航班延誤、旅客滯留機場6月美國建筑業(yè)惡意流量混合探測到更多新的惡意軟件變種和與攻擊者相關的TTP6月土耳其航空業(yè)未知嚴重的數據泄露6月美國能源業(yè)網絡攻擊液化天然氣廠的運營產生了持久影響7月德國制造業(yè)勒索軟件文件泄露、被索要高額贖金7月伊朗制造業(yè)網絡攻擊嚴重擾亂工廠運營7月西班牙工業(yè)網絡攻擊輻射警報網絡無法響應輻射激增事件8月希臘能源業(yè)勒索軟件大量數據遭到泄露208月英國醫(yī)療業(yè)網絡攻擊急救熱線持續(xù)性中斷219月巴勒斯坦工業(yè)網絡入侵多個PLC可以被攻擊者控制2210月美國航空業(yè)DDoS攻擊航空公司網站的服務器無法運作2310月德國新聞業(yè)勒索軟件系統(tǒng)陷入癱瘓，電子版文件無法訪問2411月烏克蘭互聯(lián)網勒索軟件惡意腳本入侵網絡2511月德國制造業(yè)網絡攻擊數據泄露，被索要贖金2612月烏克蘭運輸業(yè)網絡釣魚攻擊電腦被惡意操控、數據泄露2712月哥倫比亞能源業(yè)勒索軟件大量數據泄露2812月德國制造業(yè)網絡攻擊有可能造成數據泄露4.工控系統(tǒng)安全漏洞概況隨著工業(yè)4.0、智能制造、工業(yè)互聯(lián)網等概念的產生和發(fā)展，全球工控產業(yè)體系迅速擴大，工控系統(tǒng)的獨立性日益降低，理論上來說對工控系統(tǒng)的攻擊實現(xiàn)將更加簡單，例如PLC等ICS的核心構成將面對更多樣的攻擊手段、更隱蔽的攻擊形式等。相關數據顯示，2022年西門子(Siemens)、施耐德(Schneider)、北京亞控科技發(fā)展有限公司(WellinTech)、三菱(Mitsubishi)、歐姆龍(Omron)等工業(yè)控制系統(tǒng)廠商也均被發(fā)現(xiàn)包含各種信息安全漏洞。然而本團隊從采集到的工控漏洞數據中注意到，近兩年的工控安全漏洞數量呈逐年下降的趨勢。D根據CNVD(國家信息安全漏洞共享平臺)[1][2]和“諦聽”的數據，2012-2022年工控漏洞走勢如圖4-1所示。從圖中可以看出，2015年到2020年期間工控漏洞數量呈顯著的逐年增長趨勢，出現(xiàn)這種情況的主要原因，本團隊分析認為是：2015年后，技術融合加速工控產業(yè)發(fā)展的同時破壞了傳統(tǒng)工控系統(tǒng)的體系結構，在產業(yè)標準、政策尚不成熟的情況下攻擊者可能會采取更加豐富的攻擊手段攻擊工控系統(tǒng)，導致工控漏洞的數量逐年上升。然而從2021年開始，工控漏洞數量呈逐年下降的趨勢，與2020年的568條漏洞信息相比，2021年減少了416條，漏洞數量大幅降低，減少數量占2020年的73%，2022年的漏洞數量降幅雖不及2021年的73%，但仍達到了37%，本團隊猜測出現(xiàn)的原因是：一方面，由于新冠疫情在全球反復暴發(fā)，大量從業(yè)人員線上辦公，工控產業(yè)活力低下，導致工控攻擊目標的數量與類型較往年有所減少，工控漏洞的產生和發(fā)現(xiàn)可能會因此減少；另一方面，隨著工控信息安全政策、體系、法規(guī)的不斷完善，工控安全方面的產品體系和解決方案愈發(fā)健全，客觀上的漏洞數量下降應在情理之中。如圖4-2所示，2022年工控系統(tǒng)行業(yè)漏洞危險等級餅狀圖，截至2022年12月31日，2022年新增工控系統(tǒng)行業(yè)漏洞96個，其中高危漏洞35個，中危漏洞51個，低危漏洞10個。與去年相比，漏洞數量減少了56個，高危、中危和低危漏洞數量均有一定減少，其中，中高危漏洞數量減少了54個，占2021年中高危漏洞總數的39%。2022全年高危工控安全漏洞占全年漏洞總數量中的36%，與2021年相比相差不大。由此可見，今年的全球工控安全體系建設更加完備，工控產業(yè)相關廠商、企業(yè)的研究更加深入，情況較為樂觀，但同時高危漏洞數量占比仍然較大，需要持續(xù)完善工控方面的協(xié)議、政策，增加對工控信息安全產業(yè)的投入。以上數據表明，在2022年，雖然工控漏洞數量的降幅較2021年有所降低，但全球工控系統(tǒng)的安全維護水平依然持續(xù)提升；同時我們注意到高危漏洞數量占比變化不大，理想情況下，風險等級被標記為“高?！钡穆┒磾盗繎斣诠た叵嚓P協(xié)議、設備設計之初盡量避免，或在被工控系統(tǒng)安全人員發(fā)現(xiàn)時及時解決，其相比中低危漏洞具有更高的處理優(yōu)先級，故工控系統(tǒng)所遭受攻擊數量雖然在近兩年逐年減少，但工控系統(tǒng)所遭受的攻擊強度可能并沒有降低，或者說工控系統(tǒng)方面設計缺陷可能并沒有得到及時完善，同時工控產業(yè)相關單位有必要進一步加強對工業(yè)漏洞的防范，并持續(xù)增加對工控系統(tǒng)安全建設的投入。如圖4-3是2022年工控系統(tǒng)行業(yè)廠商漏洞數量柱狀圖，由圖中可知，西門子(Siemens)廠商具有的漏洞數量最多，多達37個。漏洞數量排在其后的廠商分別是：施耐德 (Schneider)、亞控科技(WellinTech)、三菱(Mitsubishi)、臺達(Delta)、歐姆龍 (Omron)，這些廠商也存在著一定數量的工控系統(tǒng)行業(yè)漏洞。由此可見，各個廠商應該密切關注工控系統(tǒng)行業(yè)漏洞，通過部署終端安全防護組件、部署防火墻、入侵檢測系統(tǒng)、入侵防護系統(tǒng)或安全監(jiān)測系統(tǒng)等方式進一步提升系統(tǒng)防護水平，確保工控系統(tǒng)信息安全。5.聯(lián)網工控設備分布“諦聽”網絡空間工控設備搜索引擎共支持31種服務的協(xié)議識別，表5-1展示了“諦聽”網絡安全團隊識別的工控協(xié)議等的相關信息。如想了解這些協(xié)議的詳細信息請參照“諦聽”網絡安全團隊之前發(fā)布的工控網絡安全態(tài)勢分析白皮書。工控協(xié)議ModbusTridiumNiagaraFoxSSL/NiagaraFoxBACnetATGsDevicesMoxaNportEtherNet/IPSiemensS7DNP3CodesysilonSmartserverRedlionCrimson3IEC60870-5-104OMRONFINSCSPV4GESRTPPCWorxProConOsMELSEC-Q端口502/5034911478081000148004481820000245578924049600222218245205475006/5007概述應用于電子控制器上的一種通用語言Tridium公司專用協(xié)議，用于智能電網等領域智能建筑、基礎設置管理、安防系統(tǒng)的網絡協(xié)議智能建筑的通信協(xié)議工控協(xié)議虛擬串口協(xié)議以太網協(xié)議西門子通信協(xié)議分布式網絡協(xié)議PLC協(xié)議智能服務器協(xié)議工控協(xié)議IEC系列協(xié)議歐姆龍工業(yè)控制協(xié)議工控協(xié)議美國通用電器產品協(xié)議菲尼克斯電氣產品協(xié)議科維公司操作系統(tǒng)協(xié)議三菱通信協(xié)議opc-ua4840OPCUA接口協(xié)議DDP5002用于數據的傳輸和DTU管理Profinet基于工業(yè)以太網技術的自動化總線標準IEC61850-8-1IEC系列協(xié)議Lantronix30718專為工業(yè)應用而設計，解決串口和以太網通信問題物聯(lián)網協(xié)議端口概述AMQP5672提供統(tǒng)一消息服務的應用層標準高級消息隊列協(xié)議XMPP5222基于XML的可擴展通訊和表示協(xié)議SOAP8089基于XML簡單對象訪問協(xié)議ONVIF3702開放型網絡視頻接口標準協(xié)議MQTT基于客戶端-服務器的消息發(fā)布/訂閱傳輸協(xié)議攝像頭協(xié)議端口概述DahuaDvr37777大華攝像頭與服務器通信協(xié)議hikvision81-90?？低晹z像頭與服務器通信協(xié)議“諦聽”官方網站()公布的數據為2017年以前的歷史數據，若需要最新版的數據請與東北大學“諦聽”網絡安全團隊直接聯(lián)系獲取。根據“諦聽”網絡空間工控設備搜索引擎收集的內部數據，經“諦聽”網絡安全團隊分析，得出如圖5-1的可視化展示，下面做簡要說明。年基本沒有發(fā)生太大變化。在全球范圍內，美國作為世界上最發(fā)達的工業(yè)化國家暴露出的工控設備仍然保持第一；中國繼續(xù)大力發(fā)展先進制造業(yè)，推動新型基礎設施建設，工業(yè)產值大幅增加，位居第二；2022年波蘭的GDP有所增長，暴露的工控設備也有所增長，位居第三。以下著重介紹國內及美國、波蘭的工控設備暴露情況。5.1國際工控設備暴露情況國際工控設備的暴露情況以美國和波蘭為例進行簡要介紹。美國是世界上工業(yè)化程度最高的國家之一，同時也是2022年全球工控設備暴露最多的國家，如圖5-2所示為美國2022年工控協(xié)議暴露數量和占比。自2012年美國通用電氣公司(GE)提出工業(yè)互聯(lián)網的概念以來，美國政府就十分重視工業(yè)控制領域。依托互聯(lián)網技術的發(fā)展優(yōu)勢，大力推動工控相關技術的發(fā)展，以應對經濟全球化可能帶來的機遇與挑戰(zhàn)。在推動工業(yè)互聯(lián)網革命的同時，美國政府也關注到了由于缺乏監(jiān)管而泄露的數據可能帶來的一系列互聯(lián)網安全問題。2022年9月，美國網絡安全和基礎設施安全局(CISA)發(fā)布了《2023年至2025年戰(zhàn)略規(guī)劃》(2023-2025StrategicPlan)，該規(guī)劃是CISA自2018年成立以來發(fā)布的首個綜合性戰(zhàn)略規(guī)劃，規(guī)劃中明確了美國未來三年網絡防御、減少風險和增強恢復能力、業(yè)務協(xié)作、統(tǒng)一機構4個總的網絡安全目標。雖然美國是最早投身網絡安全建設的國家之一，但在工業(yè)控制系統(tǒng)網絡安全方面的表現(xiàn)仍然有待提高。與2021年相比，美國2022年暴露的工控設備數有所減少?？赡苁鞘芏頌鯌?zhàn)爭的影響，美國政府認識到工控設備及其之上運行的大量關鍵基礎設施的重要性，因此更加重視工控領域的安全問題。2022年的全球網絡空間安全形勢愈發(fā)復雜，美國政府愈發(fā)重視工業(yè)控制系統(tǒng)安全。2022年波蘭工控設備暴露數量位居全球第三。波蘭地處歐洲中部，屬于發(fā)展中國家，但其人均GDP基本接近末流發(fā)達國家的水平。波蘭的工業(yè)化程度很高，是歐盟第六大工業(yè)強國，在波蘭的諸多工業(yè)產業(yè)中，以制造業(yè)的表現(xiàn)最為突出。據波蘭中央統(tǒng)計局發(fā)布的數據，自2022年年初，波蘭的工業(yè)產值一直以每月兩位數的速度在增長。通過圖5-3可以看到，在波蘭所暴露的協(xié)議中，Modbus協(xié)議的數量居于首位。Modbus協(xié)議由于其公開免費，部署較為簡單，自問世以來受到了諸多供應商的青睞，但由于其缺乏認證加密等機制，Modbus協(xié)議被廣泛使用的同時，也為波蘭工業(yè)控制系統(tǒng)的安全性帶來了巨大的風險。綜上，相較于2021年，美國政府在發(fā)展工業(yè)的同時，更加重視國家工控系統(tǒng)安全性的問題，2022年暴露的工控設備數量略有下降。而波蘭由于汽車制造業(yè)的繁榮發(fā)展，國家GDP增長的同時暴露的工控設備數量也大幅增長，這勢必會給國家的后續(xù)健康發(fā)展埋下一定的隱患。5.2國內工控設備暴露情況2022年中國暴露的工控設備數量排全球第二。近幾年來，中國的產業(yè)結構不斷優(yōu)化升級，工業(yè)互聯(lián)網發(fā)展迅速，實體經濟也在逐步轉型升級中。下面詳細分析一下國內工控設備暴露情況。在全國暴露工控設備數量的條形圖5-4中可以直觀的看出江蘇省的工控設備暴露數量躋身至全國首位，與去年相比，多省的工控設備暴露數量都有了很大程度的增長。2021年由于新冠疫情的肆虐，全國很多地方停工停產，國內工控設備暴露數量也隨之減少。2022年在政策穩(wěn)步推動、經濟企穩(wěn)復蘇及企業(yè)數字轉型需求增加等因素交織影響下，中國工業(yè)互聯(lián)網市場繼續(xù)保持穩(wěn)定增長，工業(yè)化與信息化在高層次進行了深度融合，國內工控設備暴露數量相比2021年有了爆發(fā)式增長。2022年，江蘇省是暴露工控設備數量最多的省份。據中國經濟新聞網報道，江蘇省2022年信息化和工業(yè)化融合發(fā)展水平指數達到66.4，年平均增速3%左右，較2022年全國平均水平59.6高出11.4%。發(fā)達的工業(yè)體系是江蘇省實現(xiàn)信息化和工業(yè)化的基礎。近年來，江蘇立足制造業(yè)優(yōu)勢，堅持“實體強基”，先后出臺《關于深化“互聯(lián)網+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網的實施意見》《江蘇省制造業(yè)智能化改造和數字化轉型三年行動計劃》等文件，把工業(yè)互聯(lián)網創(chuàng)新工程作為戰(zhàn)略性任務，融入到制造業(yè)數字化轉型全過程。制定實施《江蘇省加快推進工業(yè)互聯(lián)網創(chuàng)新發(fā)展三年行動計劃(2021—2023年)》等文件，推進“數實融合”發(fā)展[3]。江蘇省多年來一直以兩化(信息化、工業(yè)化)融合為行為指南，實現(xiàn)了多個行業(yè)智能化改造以及數字化轉型，其正以工業(yè)互聯(lián)網、大數據中心、5G基站等新基建夯實數據基底，著力打造領先世界的工業(yè)互聯(lián)生態(tài)圈。2022年，臺灣地區(qū)工控設備暴露數量依然名列前茅，位列全國第二。臺灣工業(yè)體系發(fā)展完善且依然在全國各地區(qū)中處于領先的位置，其與大陸的交流合作也十分密切。2022年九月，兩岸工業(yè)互聯(lián)網融合發(fā)展研討會在昆山舉辦，會上聚焦“產業(yè)升級”展開交流，助力雙方合作共贏。近年來，大陸在工業(yè)互聯(lián)網、大數據以及5G基站等新基建方面有著堅實的基底，而臺灣在集成電路等領域也積攢了雄厚的實力，雙方的交流合作有利于社會數字化轉型和智能化改造，推動工業(yè)互聯(lián)網在更廣范圍、更深程度、更高水平上融合創(chuàng)新。廣東2022年工控設備暴露數量排全國第三。近年來，廣東深化工業(yè)互聯(lián)網國家示范區(qū)建設，推進工業(yè)化和信息化深度融合成效顯著，工業(yè)互聯(lián)網相關企業(yè)數量也位居全國前列。據羊城新聞晚報報道，截至2022年6月底，廣東省累計推動2.25萬家規(guī)上工業(yè)企業(yè)運用工業(yè)互聯(lián)網數字化轉型，帶動65萬家中小企業(yè)“上云用云”。從制造業(yè)強省到數字化強省，廣東一直走在全國前面，廣東的工業(yè)互聯(lián)網企業(yè)也在加快全球化布局，輸出積累的數字化轉型經驗。長江三角洲地區(qū)工控設備暴露數量的排名變動不大。隨著經濟的逐步復蘇，長三角地區(qū)(江蘇、安徽、浙江和上海)正利用區(qū)位和資源優(yōu)勢，加速推進長三角工業(yè)互聯(lián)網一體化發(fā)展，為全國國際化、區(qū)域聯(lián)動發(fā)展等方面進行了前沿探索。2022年11月，為加快構建長三角工業(yè)互聯(lián)網體系，促進長三角產業(yè)轉型升級，長三角工業(yè)互聯(lián)網峰會在合肥市奧體中心隆重召開。此次大會全面展示了長三角區(qū)域工業(yè)互聯(lián)網的最新發(fā)展成果，推動長三角工業(yè)互聯(lián)網一體化發(fā)展再升級、再提速。把握重大戰(zhàn)略機遇，加快發(fā)展工業(yè)互聯(lián)網，是長三角實現(xiàn)制造業(yè)高質量發(fā)展、構筑工業(yè)競爭新優(yōu)勢的必然選擇[4]。北京今年排名相較去年有所下降，作為中國首都，北京經轉人流量過多，疫情時常反復，對工業(yè)互聯(lián)網的發(fā)展還是產生了一定的影響。并且現(xiàn)階段的北京，綠色發(fā)展是基礎，工業(yè)產業(yè)大量轉移出去，使暴露的工控設備數量與其他地區(qū)相比顯得相對較少。與2021年工控設備暴露數量相比，遼寧2022年工控設備暴露的數量反超黑龍江和吉林，成為東北地區(qū)工控設備暴露數量最多的省份。東北地區(qū)(遼寧、吉林、黑龍江)作為中國工業(yè)的搖籃，在我國發(fā)展史上寫下了光輝燦爛的篇章。遼寧省于2022年11月舉辦了全球工業(yè)互聯(lián)網大會，此次大會對于加快工業(yè)互聯(lián)網創(chuàng)新發(fā)展、推動數字遼寧智造強省建設取得新突破，具有重大意義。據遼寧省政府新聞辦報道，遼寧省認真貫徹習近平總書記關于工業(yè)互聯(lián)網創(chuàng)新發(fā)展的重要指示精神，把工業(yè)互聯(lián)網創(chuàng)新發(fā)展作為助推經濟高質量發(fā)展的重要力量，出臺了《工業(yè)互聯(lián)網創(chuàng)新發(fā)展三年行動計劃》等政策文件，設立了省級專項資金，加快推動制造業(yè)數字化轉型，使得遼寧省工業(yè)互聯(lián)網進入了新的發(fā)展階段[5]。中國工業(yè)互聯(lián)網研究院院長魯春叢于此次大會上發(fā)表了《全球工業(yè)互聯(lián)網創(chuàng)新發(fā)展報告》講話，他指出，未來五年將是工業(yè)互聯(lián)網從起步探索轉向快速發(fā)展的重要階段，也是我國推進新型工業(yè)化，加快建設制造強國、網絡強國、數字中國的關鍵時期[6]。當前，隨著技術的不斷發(fā)展，實現(xiàn)工業(yè)化和信息化高水平融合已是中國特色新型工業(yè)化道路的集中體現(xiàn)，工業(yè)互聯(lián)網為產業(yè)數字化、網絡化以及智能化發(fā)展提供了新的機遇。2022年，香港排名雖然較去年有所下降，但暴露設備數量卻上升了將近三倍。香港以往是一個主要以服務業(yè)為主的經濟體，所以香港的工控設備暴露數量并不能與廣東以及臺灣等地相比。但近年來，隨著5G專網工業(yè)模組成本的降低，香港積極資助5G技術應用，多方面推動5G發(fā)展，完善5G網絡覆蓋，開展5G企業(yè)網絡以及5G工業(yè)互聯(lián)網的融合應用以及部署，推動香港新型工業(yè)化的發(fā)展。香港抓住機遇，積極融入國家發(fā)展大局，為中國獨立自主建設工業(yè)互聯(lián)網絡起到了表率作用。5.3國內工控協(xié)議暴露數量統(tǒng)計情況“諦聽”團隊統(tǒng)計了國內暴露的各協(xié)議總量，從圖5-5中可以看出Modbus協(xié)議在網絡中暴露的數量最多，領先于第二位的MoxaNport。Modbus是一種串行通信協(xié)議，是Modicon公司(現(xiàn)在的SchneiderElectric)于1979年為使用可編程邏輯控制器(PLC)協(xié)議支持多個設備在同一網絡中的透明通信，幀格式緊湊、簡潔，兼容多種電氣接口。且Modbus憑借易部署、限制少、門檻低的優(yōu)點，成為工業(yè)領域通信協(xié)議的業(yè)界標準，是國內工業(yè)電子設備之間最常用的連接方式。然而該協(xié)議缺乏有效的認證和加密手段，亦缺少對功能碼的有效管理，因此造成許多安全問題，可見該協(xié)議排在國內暴露協(xié)議第一位屬情理之中。MoxaNport，Moxa串口服務器專為工業(yè)應用而設計，MoxaNport是其中的一個串口服務器系列，在世界范圍內具有廣泛的應用。不同配置和組合的服務器能滿足多種工業(yè)場景的需要，因此適用性強。TridiumNiagaraFox，TridiumNiagaraFox被廣泛應用于國家的智能建筑、設施管理、安防、電力、空調設備等領域。Tridium是Honeywell旗下獨立品牌運作的子公司，開發(fā)了軟件框架“NiagaraFramework”?；贜iagara框架，客戶可以開發(fā)專有產品和應用，也可以集成、連接各種智能設備和系統(tǒng)，不受生產廠家和協(xié)議的影響，在實現(xiàn)設備互聯(lián)的同時可以通過網絡進行實時控制和管理。NiagaraAX平臺時至今日已經整合了多種系統(tǒng)，例如建筑、園區(qū)的基礎硬件設施、安防系統(tǒng)、訪客管理、電網系統(tǒng)、設施管理等。NiagaraAX把這些設備和系統(tǒng)進行連接，使用TridiumNiagaraFox協(xié)議通信，具有極高的使用價值，因此排在第三位亦在意料之中。EtherNet/IP是由ODVA(OpenDeviceNetVendorAssociation)指定的工業(yè)以太網協(xié)議，它使用ODVA已知的應用層“通用工業(yè)協(xié)議”(CIP?)。CIP是一種由ODVA支持的開放工業(yè)協(xié)議，它被使用在例如EtherNet/IP等串行通信協(xié)議中。美國的工控設備制造商Rockwell/Allen-Bradley對EtherNet/IP進行了標準化處理，其他的廠商也在其設備上支持了EtherNet/IP協(xié)議。當前，EtherNet/IP的使用已經十分廣泛，然而協(xié)議層面的安全問題仍值得我們重視。BACnet是用于樓宇自動化和控制網絡的簡短形式的數據通信協(xié)議，亦是主要行業(yè)供應商產品中常用的自動化和控制協(xié)議之一，其目的是提高服務供應商之間的互操作性，減少因設備廠商的專有系統(tǒng)所造成的使用限制問題。此協(xié)議的泄露往往是由用戶缺乏安全意識導致，意味著該IP對應的行業(yè)供應商的產品設備已經暴露，因此容易造成用戶的網絡安全隱患和財產損失。5.4俄烏沖突以來暴露設備數量變化俄烏沖突開始于2022年三月份，目前俄羅斯和烏克蘭的緊張局勢依然在持續(xù)中，近期的沖突仍然在加劇。發(fā)動網絡戰(zhàn)能夠削弱一個國家的通信能力以及戰(zhàn)場感知能力，而且隨著軍隊依靠軟件，利用獲取的情報在戰(zhàn)場上進行部署，這場競賽變得越來越重要。為了能夠了解俄羅斯和烏克蘭的工控領域的相關狀況，“諦聽”網絡安全團隊對此進行了持續(xù)關注。表5-2列舉了俄羅斯、烏克蘭暴露工控設備的相關協(xié)議。探測發(fā)現(xiàn)協(xié)議探測端口協(xié)議概述SiemensS7西門子通信協(xié)議Modbus502應用于電子控制器上的一種通用語言ilonSmartserver智能服務器協(xié)議MoxaNport4800Moxa專用的虛擬串口協(xié)議XMPP5222基于XML的可擴展通訊和表示協(xié)議AMQP5672提供統(tǒng)一消息服務的應用層標準高級消息隊列協(xié)議IEC60870-5-1042404IEC系列協(xié)議同時，“諦聽”網絡安全團隊每月都會收集俄烏暴露的設備數量情況，根據收集的數據，得到了俄羅斯和烏克蘭自沖突爆發(fā)以來暴露的設備的數量變化情況。從圖5-6沖突前后俄羅斯各協(xié)議暴露設備數量來看，AMQP協(xié)議從沖突前到沖突開始持續(xù)到8月份變化幅度較大，總體呈現(xiàn)先降后升的趨勢，后續(xù)趨于平緩；SiemensS7協(xié)議從沖突前至3月份呈現(xiàn)下降趨勢，之后整體趨勢呈現(xiàn)先升后降；IEC60870-5-104協(xié)議整體變化趨勢與SiemensS7協(xié)議相同，但在11月至12月份突然呈現(xiàn)迅速上升的趨勢，猜測與11月發(fā)生了工控事件有關；ilonSmart-server協(xié)議在5月份變化較大，10月份之后呈現(xiàn)下降趨勢；其它協(xié)議整體的變化幅度不大。從圖5-7沖突前后烏克蘭各協(xié)議暴露設備數量變化情況中我們可以看到，首先AMQP、Modbus、MoxaNport、XMPP以及SiemensS7等協(xié)議從沖突前到4月份變化較大，猜測是期間發(fā)生了重大的工控事件導致的。隨后，除AMQP以外的四種協(xié)議在10月到12月份發(fā)生了小幅度的變化；其它兩種協(xié)議沒有變化?？傊?，從上面兩幅圖可以看出，俄烏暴露設備的數量變化較大的月份主要集中在3月至5月以及10月至12月這幾個月份，猜測其變化趨勢與當時發(fā)生的工控事件有直接或間接的關系，表5-3列舉自俄烏沖突以來與之相關的主要的工控事件。時間時間主要工控事件俄羅斯聯(lián)邦儲蓄銀行(Sberbank)和莫斯科交易所的網站遭到烏克蘭IT軍攻擊黑客組織“匿名者”入侵并泄漏了俄羅斯經濟發(fā)展部等政府單位以及俄羅斯國家原子能公司Rosatom數據，攻擊了包括俄羅斯航空公司PegasusFly、俄國防產品出口公司(Rosoboronexport)、俄羅斯緊急情況部、俄羅斯能源巨頭Rosneft位于德國的子公司以及俄羅斯管道巨頭Transneft內部研發(fā)部門Omega公司等相關網站黑客組織AnonGh0st入侵俄羅斯SCADA系統(tǒng)并共享了與供水系統(tǒng)相關的數據2022年3月俄羅斯黑客組織攻擊了覆蓋烏克蘭地區(qū)的美國衛(wèi)星運營商Viasat俄羅斯有關APT組織InvisiMole主要針對烏克蘭國家機構發(fā)起攻擊未知組織攻擊了烏克蘭互聯(lián)網服務提供商Triolan以及主要的通信運營商Ukrtelecom，導致網絡嚴重中斷未知組織入侵了包括烏克蘭政府機構、智囊團、國防軍招募和金融等相關網站烏克蘭某能源公司遭惡意軟件攻擊2022年4月俄羅斯石油巨頭GazpromNeft網站遭黑客攻擊2022年10月親俄黑客組織對美國關鍵基礎設施發(fā)起大規(guī)模攻擊2022年11月黑客成功入侵烏軍戰(zhàn)場指揮系統(tǒng)，戰(zhàn)場數據泄露2022年12月俄羅斯黑客試圖入侵北約某國的大型煉油廠未遂6.工控蜜罐數據相關分析如今，工業(yè)互聯(lián)網的蓬勃發(fā)展給工業(yè)控制領域帶來了新的發(fā)展機遇，與此同時也帶來了新的網絡安全問題。蜜罐技術是增強工控系統(tǒng)網絡安全防護能力的有效方法，東北大學“諦聽”網絡安全團隊對工控蜜罐技術展開了研究。經過多年努力，“諦聽”網絡安全團隊研發(fā)出了可以模擬多種工控協(xié)議和工控設備并且全面捕獲攻擊者流量的“諦聽”工控蜜罐。目前，“諦聽”蜜罐支持11種協(xié)議，且已經部署在多個國家和地區(qū)?！爸B聽”網絡安全團隊在2021年進一步改進了基于ICS蜜網的攻擊流量指紋識別方法(以下簡稱“識別方法”)，有效地提高了識別各類針對工控網絡的攻擊流量的效率，并根據不同類型的攻擊流量制定出更加有效的工控系統(tǒng)防御措施。6.1工控蜜罐全球捕獲流量概況ATGsDevicesDNPModbusEGD等11種協(xié)議，其中，EGD協(xié)議是今年新增的協(xié)議。目前“諦聽”工控蜜罐已經部署在了中國華北地區(qū)、中國華南地區(qū)、東歐地區(qū)、東南亞地區(qū)、美國東北部等國內外多個地區(qū)。截止到2022年12月31日，“諦聽”蜜罐收集到大量攻擊數據。圖6-1、6-2和6-3中展示了經過統(tǒng)計和分析后的數據。下面將對各個圖表進行簡要解釋說明。圖6-1展示了不同協(xié)議下各蜜罐受到的攻擊量。從圖中可以看出，ATGsDevices、DNP3和Modbus協(xié)議下蜜罐所受攻擊量仍然保持在前三名。但與2021年相比，曾大幅協(xié)議從第二名躍居第一，這表明ATGsDevices協(xié)議受到的關注大幅度增加。另外，今年新增的EGD協(xié)議具有簡便高效的特性，其所受攻擊量位于第六位。這些變化表明工控系統(tǒng)協(xié)議在不斷發(fā)展，攻擊者的攻擊方向也在不斷調整和變化。前四種協(xié)議所受的攻擊量總計占比接近70%，這表明這些協(xié)議比較受攻擊者的關注，因此工控網絡安全研究人員應根據需求情況，加強這些協(xié)議下設備的網絡安全防護?！爸B聽”網絡安全團隊對收集到的攻擊數據的IP來源進行分析，得到了來自不同國家和地區(qū)攻擊源的數量統(tǒng)計，圖6-2僅展示攻擊量最多的10個國家。從圖中可以看到，美國的攻擊量遙遙領先，甚至超過了其他9個國家攻擊量的總和；排在第二的國家是荷蘭，其攻擊量雖遠少于美國但也處于較高的數量水平，這在一定程度上表明兩國攻擊者對本國工控設備的高度關注。英國、俄羅斯和德國的攻擊量相差不大，分別位于第三到五位。從排名第六位的斯洛伐克開始，攻擊量顯著減少。對中國國內流量來源的IP地址進行相關分析，列出了IP流量的省份排名，如圖6-3所示，這里僅展示前十名。可以看到，來自中國華北地區(qū)的IP流量較多，北京同去年一樣排在了第一位，體現(xiàn)出其作為首都在網絡安全支撐工作方面的領先地位。山西省躍升至第二位，浙江省由去年的第五名上升至第三名，由此可見山西省和浙江省在網絡安全方面做出的努力。2022年，“諦聽”網絡安全團隊調整了已部署的蜜罐，拓展了蜜罐可支持協(xié)議的范圍，未來將會與更多高新技術應用進行融合，相關的研究將會持續(xù)推進。6.2工控系統(tǒng)攻擊流量分析“諦聽”團隊首先對來自不同地區(qū)的蜜罐捕獲的攻擊流量數據進行初步分析，然后使用識別方法對Modbus、Ethernet/IP兩個應用范圍較廣的協(xié)議進行攻擊流量檢測，并從每個協(xié)議在不同地區(qū)部署的蜜罐中選擇最具代表性的兩個地區(qū)進行攻擊流量數據統(tǒng)計。針對Modbus協(xié)議，我們選擇了中國華東地區(qū)和美國東海岸地區(qū)部署的蜜罐，統(tǒng)計攻擊源攻擊總量攻擊IP數量IP平均攻擊數Netherlands542263.8UnitedStates20084015.0China573599.7UnitedKingdom395849.4Germany727.2Japan62320.7Russia614.4Belgium4834Canada3421Greece攻擊源攻擊總量攻擊IP數量IP平均攻擊數UnitedStates8652433.6Netherlands28225.6Germany9.6China7.1UnitedKingdom747.6Singapore4230Belgium3828Canada22Ukraine919.0Japan818.0由表6-1、6-2可知，在攻擊總量來源方面，荷蘭在中國華東地區(qū)的攻擊總量顯著高于其他國家，且遠高于去年同期數據。在美國東海岸地區(qū)Modbus協(xié)議蜜罐捕獲攻擊總量中，美國仍然保持第一位，且與去年相比呈現(xiàn)上升趨勢。在攻擊IP數量方面，美國仍在兩個地區(qū)中均排名第一，并遠超于其他國家。以表6-2為例，美國在美國東海岸地區(qū)的攻擊IP數量約是排名第二的比利時的8.7倍。在IP平均攻擊數方面，荷蘭在兩個地區(qū)中均處于第一位。針對Ethernet/IP協(xié)議，我們選擇的是中國華南地區(qū)和美國西海岸地區(qū)部署的蜜罐，、6-4所示。攻擊源攻擊總量攻擊IP數量IP平均攻擊數UnitedStates4523.8China293.1Kazakhstan553.3Netherlands63.2Germany86Japan616.0India212.0Ukraine11UnitedKingdom11Vienna212.0攻擊源攻擊總量攻擊IP數量IP平均攻擊數UnitedStates333694.8ChinaGermany85Netherlands871.1Japan422.0由表6-3、6-4分析可知，在攻擊總量來源和攻擊IP數量方面，美國在兩個地區(qū)中均位列第一，且遠超其他國家。在IP平均攻擊數方面，哈薩克斯坦在中國華南地區(qū)排名第一，是排名第二的日本的3.05倍。美國在美國西海岸地區(qū)的IP平均攻擊數最高。通過上述統(tǒng)計的Modbus協(xié)議蜜罐和Ethernet/IP協(xié)議蜜罐捕獲的攻擊總量來源數據，可以看出Modbus協(xié)議蜜罐受攻擊的總次數遠大于Ethernet/IP協(xié)議蜜罐，推測其原因為Modbus協(xié)議具有公開免費、開源工具多、部署和維護簡單等特點，從而當前應用范圍更廣泛，因此所受攻擊更多。此外，在確定攻擊源的情況下，排名前三的國家的攻擊方來源數占總數的近90%，可能的原因包括：一是由于這些國家的公司提供的云服務器被租賃用于長期掃描；二是由于這些國家的安全行業(yè)從業(yè)者及研究人員較多，相關研究行為較活躍；三是由于這些國家存在大量惡意攻擊團隊，其對互聯(lián)網進行的惡意攻擊被諦聽部署的蜜罐有效誘捕。6.3工控系統(tǒng)攻擊類型識別“諦聽”網絡安全團隊提出一種基于ICS蜜網的攻擊流量指紋識別方法，針對Modbus、Ethernet/IP協(xié)議蜜罐捕獲的流量數據進行了攻擊類型識別。圖6-4和圖6-5分別顯示了對Modbus和Ethernet/IP協(xié)議蜜罐捕獲的攻擊流量的攻擊類型識別結果。其中的“E”表示Ethernet/IP協(xié)議，其中的“M”表示Modbus協(xié)議，由于國內和國外的蜜罐程序不同，“E”和“E'”同一編號表示不同的攻擊類型，“M”和“M'”同一編號表示不同的攻擊類型，環(huán)形圖中各部分為不同的攻擊類型。Ethernet/IP協(xié)議蜜罐部署地區(qū)為中國華南地區(qū)和美國西海岸，兩地區(qū)的經濟發(fā)展迅速，高新技術產業(yè)發(fā)達，各種網絡活動較頻繁。蜜罐部署在經濟科技發(fā)達地區(qū)，便于收集更多、更詳細的攻擊信息。由圖6-4可知，中國華南地區(qū)的Ethernet/IP協(xié)議蜜罐捕獲美國西海岸地區(qū)的Ethernet/IP協(xié)議蜜罐捕獲的攻擊流量采用E'-1、E'-2、E'-3三種攻擊類型，其中，E'-1以54%的高占比成為該地區(qū)Ethernet/IP協(xié)議蜜罐捕獲的攻擊流量的主要攻擊類型。由此可見以上攻擊類型是對Ethernet/IP協(xié)議蜜罐進行攻擊的主要手段。Modbus協(xié)議蜜罐部署地區(qū)為中國華東地區(qū)和美國東海岸，二者均為工業(yè)發(fā)達地區(qū)，蜜罐部署在該地區(qū)便于偽裝隱藏，且易于收集更多的攻擊信息。由圖6-5可知，中國華M'-2、M'-3，且相互之間占比差距較小。由此可見以上攻擊類型是對Modbus協(xié)議蜜罐進行攻擊的主要手段。本團隊對Ethernet/IP和Modbus的ICS網絡流量進行了解析、建模、評估，但其中還存在部分未知的攻擊類型，針對未知的攻擊類型還需進一步的研究，以便提供有效的ICS流量檢測與攻擊預警，評估其潛在的攻擊意圖，制定針對性的防御措施。6.4工控蜜罐與威脅情報數據關聯(lián)分析近年來，網絡安全風險持續(xù)向工業(yè)控制領域擴散，工控網絡也逐漸成為網絡安全的重要一環(huán)。當前工控攻擊具有類型豐富、途徑泛濫、追蹤困難等特點，傳統(tǒng)的被動式防御手段“老三樣”——防火墻、查殺病毒、入侵檢測以及針對單點的攻擊取證與溯源技術難以應對高級持續(xù)性威脅(APT)、新型高危漏洞等復雜安全威脅，而以威脅情報(TI)為基礎的分析技術能夠收集整合全球范圍內的分散攻擊與威脅，進而采取智能化的攻擊響應措施，實現(xiàn)大規(guī)模網絡攻擊的防護與對抗，本團隊也對2022全年采集到的大量威脅情報及蜜罐數據進行了關聯(lián)分析。 (https://www.TI)是基于“諦聽”威脅情報中心而研發(fā)的應用服務。威脅情報中心存有海量威脅情報數據，提供全面準確、內容詳細的相關決策支持信息，為行業(yè)系統(tǒng)安全提供保障。面對復雜的攻擊形式和不斷迭代的攻擊手段，建立完善的威脅情報搜40索引擎刻不容緩，旨在為工業(yè)、企業(yè)、組織以及個人提供更加全面的情報信息，打造以威脅情報平臺為基石的網絡安全空間。2022年“諦聽”蜜罐和威脅情報中心均采集到大量新數據，為探尋數據間潛在的相關性，“諦聽”團隊計算威脅情報數據和蜜罐數據的重疊部分，并根據攻擊類型的不同將數據分為5類。其中包括代理IP(proxy)、命令執(zhí)行與控制攻擊(commandexecutionandcontrolattacks)、惡意IP(reputation)、垃圾郵件(spamming)和洋蔥路由(tor)。每種類型數據與蜜罐數據重疊部分在二者中的占比如圖6-6，本團隊對該圖的分析如下。圖6-6中威脅情報數據來源于“諦聽”威脅情報中心，該系統(tǒng)所記錄的數據為安全網站或安全數據庫中的情報數據，本團隊根據情報數據攻擊類型不同分別記錄在不同的數據表中。而直接在部署在國內外網絡節(jié)點上的工控蜜罐通過模擬暴露在互聯(lián)網上的工業(yè)控制設備，開放設備對應工業(yè)網絡協(xié)議端口吸引攻擊者，在記錄每一次攻擊者的攻擊信息的同時，監(jiān)聽捕捉流經此