2023年工业控制网络安全态势白皮书

2 4 5 5 5 6 6 6）（ 7 7）（ 7 8 8 8 9 9 11 11 12 12 13 13 13 14 14 14 15 15 15 16 163 16 17 19 23 27 29 32 33 36 37 37 40 43 46 48 48 49 50 50 50 51 51 53 54 56 59参考文献 604应用。随着工业互联网与自动控制技术的融合发展，数字时代的步伐愈发坚定，工业控制网络在推动国家安全、经济繁荣中扮演着愈发关键的角色。中国互联网络信息中心发布的第52次《中国互联网络发展状况统计报告》显示，工业互联网网络体系其中超过240家工业互联网平台具有一定影响力，一个综合型、特色型、专业型的多层次工业互联网平台体系基本形成。随着国家级工业互联网安全技术监测服务体系不断完善，态势感知、风险预警和基础资源汇聚能力进一步增强，“5G+工业互联网”等融合应用不断涌现，快速发展。新一代互联网技术的发展给工业互联网带来全新的发展机遇，但同时又带来更加严峻的安全风险与挑战，工业互联网安全问题不仅关系到每个企业和个体的切身利益，更关系到国家的长远发展。为贯彻落实国家网络安全、数据安全相关法律要求，进一步提升工业企业的工发展”的“2023年工业信息安全大会工业控制系统网络安全专题论坛”在北京举行，为工业控制网络的安全发展筹谋定策。工控安全与网络安全密切相关，保障工业控制系统的安全、保护关键信息基础设施免受攻击是确保国家安全的关键环节。在此背景下，东北大学“谛听”网络安全团队基于自身传统的安全研究优势开发设计并实现了“谛听”网络空间工控设备搜索引擎（并根据“谛听”收集的各类安全数据，撰写并发布《2023年工业控制网络安全态势白皮书》，读者可以通过报告了解2023年工控安全相关政策法规报告及典型工控安全事件分析，同时报告对工控系统漏洞、联网工控设备、工控蜜罐、威胁情报数据及工业互联网安全创新发展情况进行了阐释及分析，有助于全面了解工控系统安全现状，多方位感知工控系统安全态势，为研究工控安全相关人员提供参考。56准的技术水平、应用效果和国际化程度显著提高，基础性、规范性、引领性作用凸显，7）（）（89），家标准正式发布，包括GB/T32914-2023《信息安全技术网络安全服务能力要求》、序号序号月份 56789《网络关键设备安全技术要求可编程逻辑控制器（PLC开征求意见稿》《工业和信息化领域数据安全事件应急预案（试行征求意见《民用航空生产运行工业控制系统网络安全防护技2023年全球工控安全事件依然层出不穷，给工业企业数字化转型带来了极高的安络面临的风险和发展趋势，以此来制定更加有效的相关策略应对未来可能遭受的攻击。是Anonymous旗下的一个黑客主义行动组织，主要从事出于政Telegram小组提供的屏幕截图看出，攻击者设施部门。威胁行为者可以利用安全漏洞访问历史记录、使设备崩溃或远程执行代码。这些漏洞确定为使用备用路径或通道绕过身份验证、不受限制地上传危险类型的文件、以为黑客提供对军事基地的监视能力，还可以让他们渗透到操作技术（Operational“双向”的，这意味着客户可以用他们的数字货币获取现金。根据其创始人Karel己的Java应用程序远程上传到该公司的服务器上。该事件使攻击者能够读取和解密激增。同日，据JPost报道，在灌溉系分，所有码头业务已恢复运营，并且在爱知县警察本部和系统维护公司的共同调查下，表示，关键能源基础设施的负责员工设法通过限制对Mockbin网络资源服务PositiveTechnologies对这些样本进行后续分析后认为被识别的恶意软件是一个相当复杂的模块化后门，并称之为MataDoor，其设计中源于以色列的设备进行攻击并破坏了抽水系统的用户界面，张贴了反以色列的信息。影响影响问 123456789 的漏洞。PLC(ProgrammableLogicController,可编程逻辑控制器、DCS(DistributedControlSystem,分布式控制系统)、SCADA(SupervisoryControl数据采集与监视控制系统)乃至工业应用软件均被发现存在大量信息安全漏洞。相关罗克韦尔自动化(RockwellAutomation)全漏洞。谛听团队采集到的工控漏洞数据显示，2023年工控安全漏洞数量较2022年相比有所回升，但2021年到2023年整体工控安全漏洞数量较2020年之前依旧偏少。漏洞走势如图4-1所示。根据图表显示，2015年至2020年期间，工控漏洞数量呈现显著的递增趋势。对于这一现象，我们的团队分析认为主要原因在于自2015年以来，技20年此类漏洞的挖掘达到顶峰，随着新产品推出而产生的新漏洞数量自然出现明显下降。图4-22023年工控系统行业漏洞危险等级饼状图(数据来源CNVD、“谛听”)如图4-2是2023年工控系统行业漏洞危险等级饼状图，截至2023年12月31日，2023年新增工控系统行业漏洞119个，其中高危漏洞85个，中危漏洞31个，低危漏洞3个。与去年相比，漏洞数量增加了23个，中危和低危漏洞数量均有一定减少，高危数量显著增加，其中，高危漏洞数量增加了50个，相比2022年高危漏洞总数增加了1.43倍。2023全年高危工控安全漏洞占全年漏洞总数的71%,与2022年相比增加了35%。综合分析，这些趋势表明2023年工控系统行业面临更加严峻的漏洞安全挑战。高危漏洞的占比提高意味着增加了系统受到攻击的概率和危害程度。这也反映了攻击者针对工控系统可能采用更为复杂和危险的攻击手段。因此，业界在工控系统安全方面需要加强防护和响应措施，以降低潜在的风险。厂商具有的漏洞数量最多，多达87个。漏洞数量排在其后的厂商分别是：施耐德(Schneider)、LS电气集团(LSELECTRIC)、罗克韦尔自动化(Ro以上数据表明，尽管在2023年新增工控漏洞数量相比2022年有所回升，但总体数23ATGsDevices24物联网协议AMQPXMPP摄像头协议“谛听”官方网站()公布的数据为2017年以前的历史数据，若图5-1为2023年全球工控+物联网设备暴露Top-10国家/地区。图中显示，与2022先的实力。其排名相较于与2022年进步较大，排名第三位。靠地实现互联和数据交换。图5-2和图5-3分别为全球工控设备暴露Top10柱状图和全球物联网设备暴露Top10柱状图。可以看到，在工控设备暴露排名中，加拿大超过了中流传输和数据交互的标准。常见的摄像头协议有ONVIF,hikvision,DahuaDvr等。图美国是世界上工业化程度最高的国家之一，同时也是2023年全球工控设备暴露最多的国家，如图5-5所示为美国2023年工控协议暴露数量和占比。由于日益增长的数术进步，提高生产效率。2023年6月，美国网络安全和基础设施安全局(CISA)发布机构的网络安全水平，以有效抵御潜在的网络威胁。2023年8月，美国纽约州推出了该相较于2022年，今年美国在工控领域的安全事件有所减少，也得益于美国自身可以排查出相应的安全隐患。3月21日，美国网络安全和基础设施安全局(CISA)发布药领域，加拿大企业在全球市场上占据重要地位。通过图5-6可以看到，在加拿大暴露综上，相较于2022年，伴随着经济的全面复苏，受疫情的影响越来越少，工业控能等问题更加重视。加拿大暴露工控协议数量占比较2022年有较大变化。美国和加拿2023年，中国暴露的工控设备数量在全球范围内位居第二，并相较以往明显增加。疫情期间，由于工控设备的封锁，数量出现下降趋势。然而，随着2023年经济全面重从图5-7国内各地区工控设备暴露数量Top10柱状图中可以看出，在2023年内，浙江省的工控设备暴露数量与去年相比有了大幅度的提高。在2023年之前，由于疫情的影响，全国多地停工停产，国内工控设备暴露数量有所减少。但在2023年内，在中2023年中国GDP同比增长5.2%,增速上涨了两个百分点，也侧面反映出工业方面的迅省工业增加值比去年增长4.9%,其中，规模以上工业增加值22388亿元，增长6.0%3]。致了工业控制设备暴露数量的显著增加。据中国工业新闻网公布的2023年中国工业百省登榜的县级市高达24个，稳居全国首位。从《浙江省推动新能源制造业高质量发展实施意见(2023-2025年)》中可以看出，浙江省正积极在多种新能源领域做新的规划31与制造业数字化转型”为主题，由中国工业互联网研究院和台湾区电机电子工业同业公“谛听”团队统计了国内暴露的各协议总量，从图5-8中可以看出Modbus协议在网络中暴露的数量最多，领先于第二位的Nport。Modbus协议是一种应用于工业领域的通信协议，用于在各种工业设备之间进行数据交换。它由Modicon公司(现为施耐德电气公司)于1979年开发，现已成为工业领MoxaNPort协议是一种专为MoxaNPort串口服务器设计的通信协议，基于TCP/IP协议，允许用户通过网络访问连接到NPort服务器的串口据、控制串口参数、配置NPort服务器等功能，并提供简单易用、安全可靠、灵活扩展33应用程序或脚本等方式使用MoxaNPort协议访问和管理串口设备。NiagaraFox是Tridium公司为其NiagaraFramework提供的通信协议之一。5.4俄乌冲突以来暴露设备数变化34探测发现协议探测发现协议探测端口Modbus502应用于电子控制器MoxaNport4800Moxa专用的虚拟串口协议XMPPAMQP从图5-10冲突后2023年俄罗斯各协议暴露设备数量来看，AMQP协议变化较大，在2023年2月到4月期间有大幅度的下降，之后回升并趋于平缓，小幅度下降；与AMQP在同一数量级的Modbus和Nport协议都略有下降，总体趋于平缓；其他协议整体变化幅度不大。36“谛听”团队对以上信息进行调查，调查结果显示工业控制系统的暴露数量数据37图6-12023年蜜罐各协议攻击量(数据来源“谛听”)图6-1展示了不同协议下各蜜罐受到的攻击量。从图中可以看出ATGsDevices、OMRONFINs和DNP3协议下蜜罐所受攻击量仍然保持在前三名，相较于2022年统计加。而OMRONFINs协议超过DNP3协议和Modbus协议上升至第二名，Modbus协议则降至第四名，这表明OMRONFINs协议受到的关注大幅度增加。另外，今年新增的Modbus/UDP协议具有简便高效的特性，由于Modbus/UDP不需要建立持久连接，它更适用于一些实时性较强、要求低延迟的工业控制系统。然而，Modbus/UDP的使用增加了安全风险，但是受限于应用场景的限制，导致受到的攻击量较小。这些变化表明工控系统协议在不断发展，攻击者的攻击方向也在不断调整和变化.前四种协议受攻击总占比为66%,表明它们是攻击者关注的重点。因此，工控网络安全研究人员应根据需求，加强这些协议下设备的网络安全防护。“谛听”网络安全团队对攻击数据的源IP地址进行了分析统计，图6-2展示了攻击量最多的10个国家的攻击源数量。从数据统计结果来看，美国的攻击量处于首位，甚至超越其他9国总和，说明美国对于工业控制系统网络安全领域的极大关注，其由于恶意活动和攻击尝试存在多样性。荷兰、比利时、俄罗斯、加拿大和英国的排名分别位列第二位至第六位，其攻击量远少于美国，统计数量总体差距不大。新加坡、保加利亚、西班牙和德国的排名分别位列第七位至第十位。图6-22023年其他各国对蜜罐的攻击量Top10(数据来源“谛听”)对中国国内攻击源的IP地址进行相关分析，列出了前十名IP流量的省份排名，如图6-3所示。可以看出，攻击主要围绕在华北，东部沿海及中部地区，相较于2022年统计数据，浙江省IP攻击量大幅度提升排在了第一位，北京则紧随其后。浙江省和北京市统计数量占比高达65%,体现出二者在网络安全支撑工作方面的领先地位。图6-32023年中国国内各省份流量(数据来源“谛听”)40攻击源攻击总1414141攻击源攻击总4215高于其他国家，但低于去年同期数据。在美国东海岸地区Mo攻击源攻击总4297773321221111攻击源攻击总Japan7121于Modbus协议在工业自动化领域的广泛应用历史较长，导致潜在度和已暴露的安全问题可能吸引了更多攻击者的关注与尝试，网络环境中Mo43被攻击的可能性。因此Modbus协议在工控系统中广泛内和国外的蜜罐程序不同，“E”和“E'”同一编号表示不同的攻击类型，“M”中国华南地区美国西海岸图6-4Ethernet/IP协议攻击类型占比图(数据来源“谛听”)“谛听”团队将Ethernet/IP协议蜜罐部署在中国华南地区和美国西海岸，两地区的经济发展迅速，网络基础设施完善且网络活动相对频繁。在这些经济科技发达的地区部署蜜罐，可以收集到更全面的攻击信息，也易于发现新型攻击手段。由图6-4可知，中国华南地区的Ethernet/IP协议蜜罐捕获的攻击流量主要采用的攻击类型为E-1、E-2、E-3,其中E-1约占所捕获总流量的80%。美国西海岸地区的Ethernet/IP协议蜜罐捕获的攻击流量采用E'-1、E'-2、E'-3三种攻击类型，其中，E'1以87%的高占比成为该地区Ethernet/IP协议蜜罐所捕获的攻击流量的主要攻击类型。由此可见以上攻击类型是对Ethernet/P协议进行攻击的主要手段。“谛听”团队将Modbus协议蜜罐部署在中国华东地区和美国东海岸，两地区均为工业发达地区，工业控制设备数量庞大，将Modbus协议蜜罐部署在该地区不但易于伪装隐藏，且易于收集更多的攻击信息，也易于发现新型的渗透攻击手段。由图6-5可知，中国华东地区的Modbus协议蜜罐捕获的攻击流量主要采用的攻击类型为M-1、M-2类型，其中M-1攻击类型占所捕获总流量的35%,M-2攻击类型占所捕获总流量的31%。美国东海岸Modbus协议蜜罐捕获的攻击流量主要采用的攻击类型为M-1、M'-2、M¹-3,其中M¹-1攻击类型占所捕获总流量的46%,约为M-2与M'-3两种攻击类型占比之和，M-2与M¹-3相互之间占比差距较小。由此可见以上攻击类型是对Modbus协议进行攻击的主要手段。本团队对Ethernet/IP和Modbus的ICS网络流量进行了解析、建模、评估，但其中还存在部分未知的攻击类型，针对未知的攻击类型还需开展进一步的深入研究，以便提供更有效的ICS流量检测与攻击预警，评估其潜在的攻击意图，制定针对性的防御措施。46由“谛听”网络安全团队开发并于2021年2月上线的威胁情报搜索引擎首先，与2022年类似，2023年占蜜罐数据最多的攻击类型依然是“恶意IP”,达到了10.403‰(经过In函数计算后),本团队认为发起代理IP、命令执行与控制攻击、垃48决方案较为成熟，因此攻击者更趋向于采用现抓取不到网络流量导致后续检测不到网络攻击的情况，因此网络探针技术应运而生，从图6-7可以看出，相较与主流的网络流量解析工具Wireshark,本团队所研发的探针Honeyeye解析速度更快。Wireshark仅仅将捕获的原始二进制数据保存在PCAP文件中，未对数据进行任何转换。相比之下，Honeyeye捕获网络流量并进行解析后，将数据转换为更易处理的格式，并以Json格式传输到远端服务器，便于人员查看以及处理分本团队开发的网络安全态势可视化系统便于用户查看设备网络情况以及通信数据，为用户监控设备网络环境、查看网络流量、发现网络异常等提供了便利。Honeyeye把捕获到的网络流量数据的格式进行转换并发送到远端服务器后，网络安全态势可视化系统分析其中的数据并进行相关展示。网络安全态势可视化系统包括设备状态监测、网络流量统计、工控协议数据包数量统计、设备交互地址统计等模块，用户通过此系统可查看设备的运行状态、传输速率、