频道栏目
首页 > 安全 > 网络安全 > 正文

东北大学“谛听”网络安全团队:2016-2017年第一季度工业控制网络安全态势白皮书

2017-04-20 10:31:00           
收藏   我要投稿

东北大学“谛听”网络安全团队:2016-2017年第一季度工业控制网络安全态势白皮书。东北大学“谛听”网络安全团队根据“谛听”网络空间工控设备搜索引擎收集的各类安全数据,撰写并发布了2016-2017年第一季度工业控制网络安全态势白皮书,读者可以通过本白皮书对工控系统漏洞、联网工控设备、SCADA系统和安保摄像头的分布及2016年典型工控安全事件的阐述和分析,全面了解工业控制系统安全现状,多方位感知工业控制系统安全态势,为研究工控安全相关人员提供参考。

本白皮书分为9个部分,分别为前言、工控系统安全漏洞概况、联网工控设备分布、SCADA系统安全感知、联网安保摄像头、Struts2远程代码执行漏洞专题、2016典型工控安全事件分析、2016工控安全治理动态和总结。

谛听简介

东北大学“谛听”网络安全团队专注于工控系统网络安全研究,由东北大学计算机科学与工程学院姚羽教授及其博士、硕士研究生组成,早在2010年就开始相关领域的研究工作。2015年,为全面感知工控系统网络安全面临的严峻形势,东北大学“谛听”网络安全团队基于自身传统安全研究优势研究并实现了“谛听”网络空间工控设备搜索引擎,根据“谛听”收集的各类安全数据撰写工控网络安全白皮书,全面分析工业控制系统安全现状,多方位感知关键信息基础设施安全态势。

“谛听”乃是地藏菩萨经案下伏着的通灵神兽,可以通过听来辨认世间万物,传说是地藏菩萨的坐骑。将系统取名为“谛听”,就是取“谛听”辨识万物之意,意在搜寻暴露在互联网上的工业控制系统联网设备,维护工控系统安全、循迹恶意企图人士。

文章内容如下:

1. 前言

工业控制系统是电力、交通、能源、水利、冶金、航空航天等国家重要基础设施的“大脑”和“中枢神经”,超过80%的涉及国计民生的关键基础设施依靠工业控制系统实现自动化作业。随着经济与技术发展,工业控制系统在应对传统功能安全威胁的同时,也面临越来越多的病毒、木马、黑客入侵等工控信息安全威胁。

2014年2月27日,中共中央总书记、国家主席、中央军委主席习近平在中央网络安全和信息化领导小组第一次会议上讲话强调,没有网络安全就没有国家安全,没有信息化就没有现代化。

2016年4月19日的网络安全和信息化工作座谈会中习近平总书记又谈到推进网络安全和信息化建设,强调了加快构建关键信息基础设施安全保障体系,切实做好金融、能源、电力、通信、交通等领域的关键信息基础设施的安全防护。

2016年7月,为贯彻落实习近平总书记重要讲话精神,经中央网络安全和信息化领导小组批准,首次全国范围的关键信息基础设施网络安全检查工作正式启动,在网络安全新形势下,针对全国关键信息基础设施网络安全保护开展的全局性、基础性工作。

2016年10月,工业和信息化部印发《工业控制系统信息安全防护指南》,充分落实了国家关键信息基础设施安全保护要求,也为新时期、新形势下做好工控安全防护工作提供了重要的参考。

2016年11月7日,第十二届全国人大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》,进一步界定关键信息基础设施范围,对攻击、破坏我国关键信息基础设施的境外组织和个人规定相应的惩治措施。

2016年12月27日,国家互联网信息办公室发布了我国首个关于网络空间安全的战略《国家网络空间安全战略》,阐明了中国关于网络空间发展和安全的重大立场和主张,明确了战略方针和主要任务,是指导国家网络安全工作的纲领性文件。

“十三五”规划开始,网络空间安全已上升至国家安全战略,工控网络安全作为网络安全的中的薄弱而又至关重要部分,全方位感知工控系统的安全态势成为亟待解决的重要问题之一。为顺应国家形势,东北大学“谛听”网络安全团队基于自身传统的安全研究优势开发设计并实现了“谛听”网络空间工控设备搜索引擎(http://www.ditecting.com),并根据“谛听”收集的各类安全数据,撰写并发布了2016-2017年第一季度工业控制网络安全态势白皮书,读者可以通过报告对工控系统漏洞、联网工控设备、SCADA系统和安保摄像头的分布及2016年典型工控安全事件的阐述和分析,全面了解工业控制系统安全现状,多方位感知工业控制系统安全态势,为研究工控安全相关人员提供参考。

2. 工控系统安全漏洞概况

随着计算机和网络技术的发展,特别是两化融合以及物联网的快速发展,越来越多的通用协议、硬件和软件在工业控制系统产品中采用,并以各种方式与互联网等公共网络连接,使得针对工业控制系统的攻击行为大幅度增长。其中,最常见的攻击方式就是利用工业控制系统的漏洞,PLC(Programmable Logic Controller,可编程逻辑控制器)、DCS(DistributedControl System,分布式控制系统)、SCADA(Supervisory Control And DataAcquisition,数据采集与监视控制系统) 乃至应用软件均被发现存在大量信息安全漏洞,如 ABB 施耐德电气(Schneider)、通用电气(GE)、研华科技(Advantech)及罗克韦尔(Rockwell)等工业控制系统厂商产品均被发现包含各种信息安全漏洞。

\

图2-1 2000-2016年工控漏洞走势图(数据来源CNVD、“谛听”)

根据CNVD(国家信息安全漏洞共享平台)和“谛听”的数据,制作如图2-1所示的2000-2016年工控漏洞走势图。从图中可以看出,2010年之后工控漏洞数量显著增长,出现此趋势的主要原因可能是2010年后工业飞速发展,对工业控制系统的关注也显著增加。

如图2-2和2-3分别是工控系统行业漏洞危险等级饼状图和工控系统行业厂商漏洞数量饼状图,由图中可知,其中高危漏洞占所有漏洞中的48%,需要引起高度重视。对于厂商漏洞而言,Siemens占比最多,其他厂商占比大致相同,而Siemens的产品在全球范围内使用占比排名靠前,可见,这就使工控系统的安全潜在巨大风险。

截至2017年3月31日,2017年新增工控系统行业漏洞30个,其中高危漏洞15个,中危漏洞15个,这些数据都表明,工控行业漏洞情况不容乐观,需引起相关重视。

\

图2-2 工控系统行业漏洞危险等级饼状图(数据来源CNVD、“谛听”)

\

图2-3 工控行业厂商漏洞数量饼状图(数据来源CNVD、“谛听”)

3.联网工控设备分布

“谛听”网络空间工控设备搜索引擎共支持20种服务的协议指纹识别(包括18种工控服务、大华DVR和SNMP),如图3-1所示,想了解这些协议的详细信息请参照“谛听”网络安全团队以前发布的工业控制网络安全态势分析白皮书,或登录“谛听”官方网站查看,此处不再赘余。

\

图3-1 “谛听”网络空间工控设备搜索引擎支持的协议

根据“谛听”网络空间工控设备搜索引擎收集的数据,经“谛听”网络安全团队分析,得出如图3-2、3-3和3-4的可视化展示,下面做简要说明。

\

图3-2 “谛听”暴露工控设备总览全球视角

\

图3-3 全球工控设备暴露Top-10

如图3-2所示是以全球视角分析工控设备的暴露情况,图3-3是全球工控设备暴露Top-10,由图可知全球范围内美国暴露最多,加拿大位居第二,俄罗斯、法国、意大利等紧随其后,中国台湾排名全球第4。

美国作为世界上最发达的工业化国家,在互联网的新时代背景下,美国倡导“工业互联网”,将智能设备、人和数据连接起来,形成开放而全球化的工业网络。

加拿大的陆地面积大,拥有丰富的能源资源,在航空航天、有色冶金、信息通讯、电力水利、纸浆造纸和新能源新材料等产业方面拥有世界领先水平。

俄罗斯重工业发达,工业基础雄厚,部门全,核工业和航空航天业占世界重要地位,机械、钢铁、冶金、石油、天然气、煤炭、森林工业及化工等也较发达。

法国、意大利等国家大部分为欧盟成员国,是工业革命的发源地,目前也是世界上工业最发达的地区之一。

工业是台湾经济的重要支柱,经过几十年的发展,台湾基本上建立了部门比较齐全、以委托加工型态为主体、以高新科技产业中的信息电子产业、制造业中的钢铁、石油和纺织业等为支柱的工业体系,因此工控系统面临较大安全风险。

对于工控协议的暴露情况,Tridium Niagara Fox占比最多,其次分别为Modbus、EtherNet/IP和Siemens S7等。协议最初设计时候,为了兼顾工业控制系统通信的实时性,很多都忽略了协议通信的机密性、可认证性等。但是随着工业控制系统与信息网络的联系密切,传统观念认为工业内网与互联网物理隔离已经不存在了,所以几乎所有的现场总线协议都是明码通信。近几年,出现了很多针对工控网络的新型攻击方法,如PLC-Blaser病毒,这种病毒是研究人员在实验室测试成功的蠕虫病毒,它能够从一台PLC向另一台PLC传播而无需一台PC或服务器,它的设计是针对Siemens S7系列的PLC的。可见,越是使用广泛的协议越要保证其传输数据的安全性。

\

图3-4 “谛听”暴露工控设备总览中国视角

如图3-4所示,是以中国视角分析工控设备的暴露情况,其中中国台湾占比最大,其次分别为北京、浙江江苏上海的长江三角洲地区和黑吉辽的东三省地区,众所周知这些都是重点的经济发展区。而对于协议方面,Siemens S7使用最多,因国内使用Siemens产品较多。

由以上的统计图表和分析可知,越是重点的经济发展区,工控系统的暴露数量越多,也就越容易成为首要攻击的目标,需引起高度重视。

4.SCADA系统安全感知

工业控制SCADA(SupervisoryControl and Data Acquisition,数据采集与监控)系统,是由计算机设备、工业过程控制组件和网络组成的控制系统,对工业生产过程进行数据采集、监测和控制,保证工业生产过程的正常运转,它是电力、石油、冶金、天然气、铁路、供水、化工等关系国家命脉的基础产业的神经中枢。

2011年3月,安全研究人员路易吉·奥列马发布SCADA攻击代码到一个安全邮件列表。其中,有七个针对SCADA系统的安全漏洞,这表明SCADA也存在安全隐患。

而最新的调查显示,很多SCADA系统的用户名、密码和其他机密信息正在黑市任意地售卖,从而导致2014年针对SCADA系统的攻击数量相比2013年增长了一倍,如黑客就曾入侵过法国某水力发电SCADA系统,并放出了几张疑似的截图,如图4-1所示。

\

图4-1 法国疑似某水力发电工控SCADA系统

\

图4-2 分行业SCADA系统数量占比分布图

截至2017年3月31日,“谛听”网络空间工控设备搜索引擎扫描到了美国、中国和部分韩国日本的SCADA系统,根据国家文件中的分类标准,将得到的SCADA系统制作成了如图4-2和4-3所示的中国和美国分行业数量分布图,其中图4-2为分行业SCADA数量占比饼图,从图中可以看出,除未知行业以外,占比排名分别为水利、市政、工业制造、电力、环境保护、石油化工、医疗卫生、交通、煤炭。图4-3是中国和美国已知行业SCADA系统数量分布柱状图,从图中可以看出,对于中国而言,按数量排名分别是水利、市政、电力、工业制造、环境保护、石油化工、医疗卫生、交通和煤炭。对于美国而言,排名为工业制造、环境保护、水利、电力、石油化工、医疗卫生和交通。这些重要基础设施互相关联,构成复杂、庞大的体系,为国防安全、经济运行提供不可替代的物质和服务。如今,黑客已经从原来的攻击普通网络转向攻击关键信息基础设施,而对于其中的SCADA系统来说,一旦出现攻击,造成的损失可能是无法估量的,因此,对于SCADA安全来说,亡羊补牢固然重要,事前的预防则更为重要。

\

图4-3中国和美国已知行业SCADA系统数量柱状图

上一篇:ShadowBroker释放的NSA工具部分(windows)fb.py复现和中招检查方法
下一篇:4月18日 - 每日安全知识热点
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站