工业企业网络安全风险与员工安全意识

工业企业网络安全风险

与员工安全意识提纲从奥运安全看网络战工控安全风险与特点国外安全大事件分析事故中安全意识问题安全办公与安全出行1从奥运安全看网络战奥运为什么需要网络安全赞助商2008北京夏季奥运会每天网络告警1100万到1200万次其中一些破坏性攻击具有政治动机出现假冒奥运会官网，骗钱盗信息2010温哥华冬季奥运会在乌克兰发现假冒的温哥华组委会网站发现使用奥林匹克主题的搜索引擎毒化，用户访问指向到发布恶意软件的网站2012伦敦夏季奥运会开幕前，东欧黑客对伦敦奥运会的IT基础架构进行了约10分钟的漏洞扫描开幕当日，奥林匹克场馆电力系统遭到40分钟大规模DDoS攻击，但未成功发现由国家赞助的网络攻击迹象奥运为什么需要网络安全赞助商

2016年里约夏季奥运会在虚假网站上未经授权的售票政府和与奥运相关的组织（例如反兴奋剂机构）的数据泄漏针对政府和奥林匹克赞助商网站的DDoS攻击，峰值为300-500Gbps2018年平昌冬奥会开幕式当天遭黑客攻击官网宕机12小时赛场附近网络瘫痪观众无法打票入场媒体中心瘫痪直播无法观看奥运网络安全风险发展趋势普通网民奥运机构赞助商目标目的网络诈骗政治主张国家较量组织黑产集团黑客组织国家组织奥运网络安全保障难在哪时间长总会期长达30余天前后历时近4年人员多仅志愿者人数就可能达到上百万系统复杂科技奥运

意味着更多的新型数字化产品、系统被应用必须要采用“新一代企业网络安全框架”保障冬奥系统安全首个奥运网络安全赞助商

2019.12.26：奥运历史的新篇章2020.8.7：新联合logo启用奇安信不愧是北京冬奥会可以信赖的合作伙伴——韩子荣，北京冬奥组委专职副主席、秘书长2工控安全风险与特点工业互联网本身就建立在一个不可信、不可靠的网络环境中，但仍要努力保证其“可用性、实时性”四大应用场景智能化生产个性化定制网络化协同服务化延伸三大安全特征超期服役带洞工作带毒运行三项基本要求低延时高可靠广覆盖工业互联网安全特点

工业互联网的安全漏洞与暴露问题勒索病毒打破了传统的工业安全认知台积电遭勒索攻击2018年8月，全球最大的半导体制造商台积电遭到了勒索病毒攻击，几小时内台湾工厂生产线全数停产。此次病毒疑似去年全球爆发的“永恒之蓝”勒索病毒变种，在安装新机台时带入，造成台积电三季度损失1.7亿美元。国内外工业企业成为勒索攻击的重灾区法国雷诺汽车受勒索病毒入侵，多个工厂被迫停工日产汽车桑德兰工厂IT系统受到感染，被迫停产西班牙电信公司大量电脑受到感染，造成业务瘫痪德国汉堡火车站系统被攻击，陷入瘫痪

……“永恒之蓝”勒索蠕虫事件近几年奇安信公司处理过的网络攻击事件，涉及汽车生产、智能制造、电子加工、烟草、电力、能源等行业几十余家企业，大多数都导致了工业主机蓝屏，文件加密，生产停工2017.052018.072018.10某汽车模具厂，停产某冷轧钢板厂，停产某炼钢厂，停产2019.01某芯片厂，停产奇安信参与处置的工业安全事件工业互联网安全常见安全隐患点U盘管控互联网暴露漏洞补丁分区隔离双网卡问题安全软件远程维修外包商/供应商……口令管理3国外安全大事件分析

震网病毒发现时间：2010年7月传播方式：U盘攻击原理：利用windows系统和西门子系统的7个漏洞攻击对象：工厂企业的控制系统破坏影响：入侵全球至少4.5万个工业控制系统，伊朗布舍尔核电站被迫推迟发电历史评价：全球第一种投入实战的“网络武器”供应链攻击案例-震网病毒5家最早遭到攻击的伊朗公司FooladTechnicInternationalEngineeringCo,网络服务提供商，为伊朗工业设施（钢铁和电力）生产自动化系统BehpajoohCo.Elec&Comp.Engineering,网络服务提供商，开发自动化工业系统–全球范围Stuxnet感染的源头NedaIndustrialGroup（内达实业集团），电子元件供应商Control-GostarJahedCompany,网络服务提供商KalaElectric，铀浓缩离心机生产商乌克兰大停电自2007年被首次披露以来，BlackEnergy经历了多次的变种和升级，并且对乌克兰电力系统进行多轮次的“狂轰滥炸”。2016年，BlackEnergy持续对乌克兰境内的多个工业系统发动攻击，并且在2016年的12月，再次造成了乌克兰某电力企业一次小规模停电事故。2015年12月23日，也就是2015年的圣诞节前夕，22.5万名用户的电力中断攻击武器：BlackEnergy，远控后门攻击武器：KillDisk，破坏，延缓回复沙特大赦之夜攻击事件2016年11月17日晚（伊斯兰教的大赦之夜LailatalQadr）GACA（沙特国家民航总局）等至少6家沙特重要机构遭到了严重的网络攻击Shamoon2.02012年8月15号，公司休假沙特石油巨头SaudiAmeraco，3万多台电脑上的文件遭到损毁CuttingSwordofJustice组织宣称负责，疑似来自伊朗攻击武器：Shamoon2015年9月2号溺水的叙利亚难民男孩AlanKurdi+委内瑞拉大停电事件2019年3月7日，委内瑞拉开始全国性的大面积停电。这次大停电主要影响首都加拉加斯，以及该国23个州中的至少20个，影响人群接近3000万人委内瑞拉官方：委内瑞拉最大的古里水电站受到反对派和美国网络攻击导致机组停机所致临时总统胡安·瓜，认为本次事故是由于古里水电站送出线路廊道发生火灾引起送出三回765千伏线路(SanGeronimoB~Malena段)跳闸，导致国家中心变电站失压美国铝业巨头遭勒索攻击，损失4900万美元2019年3月，全球最大的铝制造商之一NorskHydro（挪威海德鲁公司）在一份监管公告中承认，网络攻击影响了该公司多个业务区的运营，严重的勒索软件攻击导致其全球计算机网络系统宕机，迫使该公司某些操作回到人工过程时代。此次网络攻击由一种名为“LockerGoga”的勒索软件造成.4月30日,NorskHydro发布了调查公告，勒索软件攻击使其无法连接其铝材挤压解决方案业务(ExtrudedSolutions)的生产系统，致使数家工厂停工，造成了极其严重的运营挑战和经济损失。第一季度网络攻击的整体财务影响估计为4900万美元，Hydro挤压解决方案部门的销量在第一季度下降到了33.3万吨，而去年同期的销售量为36.2万吨。丰田五周两遭网络攻击，310万日本车主信息泄露2019年3月，据外媒报道，日本汽车制造商丰田宣布了第二次数据泄露，这是该公司在过去五周内发生的第二次网络安全事件。第一起事件发生在澳大利亚子公司，但此次受攻击的地点是在日本的几家分公司。黑客入侵了公司的IT系统，并访问了几家销售子公司的数据。丰田表示，黑客入侵的服务器存储了多达310万客户的销售信息，丰田和雷克萨斯车主的数据面临风险。德国军工巨头莱茵金属遭恶意软件袭击总部位于德国的德国莱茵金属公司（Rheinmetall）于2019年9月宣布，由于受到恶意软件攻击，其在美国，巴西和墨西哥的汽车工厂的生产受到了严重干扰。攻击涉及一个未知的恶意软件，于9月24日晚上开始。导致该恶意软件进入IT系统的工厂受到“重大破坏”。公司认为，从攻击中恢复需要花费两到四周的时间，并且估计从第二次攻击开始，该事件将导致每周损失300万欧元至400万欧元。助听器制造商Demant被勒索，损失达9500万美元

作为全球领先的助听器制造商的迪曼特集团（Demant）表示，它在2019年9月经历了一次“严重事件”。

该集团的IT基础架构受到网络犯罪的打击。虽然关闭多个站点和业务部门中的IT系统来对问题做出快速反应，但是整个价值链的关键业务流程仍然受到事件的影响，包括研发，生产和分销。”。这些中断的累积影响将对该公司2019全年造成5500万至6.5亿丹麦克朗（合8000-9500万美元）的负面财务影响。4事故中安全意识问题

2017.5.12永恒之蓝勒索蠕虫事件一机双网缺乏有效管理缺陷设备被带出办公区协同办公网络未全隔离防火墙未关闭445端口办公网与生活网未隔离外网设备分散无人管理99国受灾，国内已知超过5万设备感染，实际总感染量至少20万，企业、机构是主要陷落区安全意识问题是WannaCry穿透内网的主要原因某知名汽车制造企业遭勒索病毒攻击现场回顾2018年7月，某知名汽车零部件生产企业工业生产网络遭受”永恒之蓝”勒索病毒的攻击酸轧生产线一台Windows服务器主机出现蓝屏、重启现象。当日晚上，4台服务器出现重启现场工程师对病毒进行了手动处理9月10日，除重卷、连退生产线外，其他酸轧、包装、镀锌生产线全部出现蓝屏/重启现象此时，病毒已对正常生产造成严重影响问题研判各条产线互通互联，无明显边界和隔离生产线为了远程维护方便，分别开通了3个运营商ADSL拨号，控制网络中的主机在无安全措施下访问外网控制网中提供网线接入，工程师可随意使用自己的便携机接入网络U盘随意插拔，无制度及管控措施员工使用ghost导致共享设备被感染现场回顾2019年1月，某地交通运输管理机构及下属公司发生频繁报毒事件一台共享打印机的电脑频繁报毒，无法清理干净报毒总是发生在两名员工打印Word文档时问题诊断经调查，两名员工均擅自安装了一个网络来源的Ghost版本Windows该Ghost版本有毒员工擅自安装的原因是：设备老旧，无法安装新版Windows内部员工违规上传系统代码至开源网站2019年初，某大型企业进行全企业所有业务部门的IT资产梳理整顿时发现：该企业的某门户系统源代码，被泄露到Github中。该系统为企业内部技术团队自行开发，因此代码中直接带有企业品牌和设计的关键元素信息，以及部分登陆验证确认机制详情，会被恶意攻击者利用制作针对性钓鱼网站经调查，代码被上传原因为企业内部开发团队的新入职员工没有遵循开发安全管理规范，为个人工作便利违规分享，造成代码泄漏。内鬼违规风险第三方供应商泄露企业核心文档数据2020年3月，某大型地方企业在项目实施阶段发现互联网上有公开分享的项目架构材料，其中涉及与总部互通的核心系统实施方案，系统架构和部署逻辑等详细关键敏感信息。经分析，泄露由于其服务商技术人员因内部需要擅自利用第三方开放平台分发未脱敏的资料。事发后相关团队立刻组织迅速关停该文档分享链接，并对持续2个月的全网监测。供应商违规泄露方案文档，造成某大型企业核心文件泄露供应链泄露实战攻防：针对某超大型水利设施的供应链攻击正面攻击失败正面攻击官网、办公网、生产网，均失败2020年9月公开情报收集网搜：喜报、合作等信息，找到OA开发商入侵供应商找到开发商内部服务器安全漏洞，拿下找到运营人该开发商使用内部专用聊天软件，但该分析发现，该软件“准明文”存储聊天记录通过IP检索、聊天记录综合分析，锁定3名为该水利设施提供驻场服务的运营人员中间人攻击通过中间人攻击，截获聊天软件升级密钥定向投毒向三名运营人员定向发送恶意升级补丁攻破内网拿下运维机，截获OA后台密码，突破内网安全意识薄弱点：忽视供应商风险（管理）、漏洞修复不及时（运营）、聊天记录准明文存储（开发）实战攻防：针对某新型装备制造企业的客服攻击正面攻击失败正面攻击官网、办公网、生产网，均失败2020年9月诱骗客客服冒充客户向微信客服发送带毒压缩包，屡次尝试未果套路客服多人沟通、威胁投诉最终迫使客服入套突破内网客服人员点开带毒压缩包后，电脑被控该企业内网主要使用AD域（微软的一种域管理方案）认证方式高危AD域漏洞未修复（CVE-2020-1472，2020.08.12发布）域控制器被拿下攻破域帐号3万多员工域帐号4万余电脑帐号被控攻破邮件系统找到邮件系统管理员登录邮件管理系统攻破数据系统分析邮件关键字，找到数据管理员，攻破数据服务器，获得海量使用记录，照片等安全意识薄弱点：情急之下未能坚守底线（运营）、漏洞修复不及时实战攻防：针对某大型冶金企业的连环攻击攻破官网利用该企业官网反序列化漏洞成功突破2020年9月攻破数据库查看数据库配置文件获取数据库明文密码，拿下数据库弱口令爆破弱口令成功爆破：门禁系统、智能决策系统、制造执行系统、数据管理系统、数据库11台、Windows服务器79台、4个产线的18个工控系统截获客户信息截获1500家客户的客户信息A-B主机发现该运维人员登录A主机A主机再登录B主机攻破数据系统发现网卡切换软件安全漏洞，成功入侵生产内网目标机找到密码本监测发现一运维人员终端上存有密码本A-B主机定位A-B两台主机均在生产网中，均为双网卡安全意识薄弱点：明文口令、密码本、弱口令5安全办公与安全出行

内网为保证办公安全，政企机构往往会把内部网络与互联网隔离开来。私自搭建WiFi热点，并将内网中的设备与热点相连，将会在内网边界上打开突破口，使网络隔离完全失效。一旦内网出现突破口，木马、病毒、黑客，都会乘虚而入。WannaCry勒索蠕虫会攻击隔离网设备的重要原因之一就是有员工在内网之中自搭乱建WiFi热点。内网必须禁止随身WiFi私建WIFI热点的风险WiFi易成突破口，私建网络是祸根

电子邮箱电子邮件是政企机构办公的重要工具。中国境内企业级电子邮箱活跃用户规模约为1.2亿。企业级用户平均每天收发到电子邮件约16.1亿封。特别提示：切勿使用办公邮箱注册游戏、购物、社交、论坛等第三方应用账户，否则会有如下风险：您的办公邮箱中会收到很多垃圾邮件。一旦第三方应用平台被黑，您办公邮箱的帐号和密码也可能会同时泄露，造成邮件中的机密外泄。办公邮箱密码泄露，可能引发连锁反应，进而泄露机构内网帐号，导致内网被黑客入侵。办公邮箱不乱用，到处注册风险多

窃密邮件2016年6月，一封带毒邮件盗走日大型旅社800万用户资料。勒索邮件下面这封不起眼的邮件携带了一个ZIP格式的附件，解压后生成一个JS文件，它实际上是一个勒索软件，一旦点击打开，电脑中所有的办公文档、照片、视频都会被加密，只有向勒索者支付赎金后才能解密。勒索软件中招后屏幕的现象邮件附件常带毒，陌生来源勿打开

系统管理员<abcdefg@263.com>邮件显示名邮件地址邮箱域名邮箱帐号电子邮箱收件人的信息由邮件显示名和邮件地址两部分组成，而邮件地址又是由邮箱帐号和邮箱域名组成。特别提示：显示名很容易被仿冒邮件的显示名通常可以由发件人任意编写.骗子们经常把邮件显示名伪装成：管理员、XX机构、XX领导等。邮箱帐号也可能被仿冒如，真实邮箱是zhangsan@263.com,仿冒邮箱却是zhangsan@，不仔细看很难分辨。所以，收到邮件不能光看显示名，还要认真查看发件人的邮件地址以及邮箱域名，稍不留心就可能上当受骗。收信看清发件人，冒名顶替要当心2016年美国大选，黑客组织冒充Google邮件系统安全管理员给希拉里竞选团队负责人发信，骗取了负责人的邮箱密码，盗取并公布了希拉里竞选团队的机密邮件，最终使得希拉里败选，特朗普上台。希拉里竞选团队成员WilliamRinehart收到的伪装成Google安全团队的鱼叉邮件OA钓鱼冒充系统管理员发送的欺诈邮件被称为OA钓鱼。OA钓鱼多用于盗号。OA钓鱼最危险，美国大选也中招安全性升级OA钓鱼手法OA钓鱼的目的是诱骗受害者在虚假的登录页面上输入帐号和密码，进而实现盗号。OA钓鱼的“理由”有很多，左边几个都是，您能认得出吗？邮箱扩容邮箱停用员工离职邮箱搬家骗你上当有理由，仿冒登录盗帐号

尽量不要在微信上谈工作微信是比较开放的社交环境，不适合谈论工作。办公社交建议使用企业级社交软件。保存文件尽量不要