工业自动化系统威胁分析报告

工业自动化系统威胁 分析 定性数据统计分析pdf销售业绩分析模板建筑结构震害分析销售进度分析表京东商城竞争战略分析 报告1一、工业自动化系统漏洞分析（一）漏洞数量增加其他44个。SCAD,\/陨IJ.._业用途网络设备PLC其他图1技术过程自动化管理系统中组件存在涌洞的情况工业计算机和服务器工业视频监控系统2018年，据ICS-CERT统计，全球涉及技术过程自动化管理系统组件涌洞共计415个，比2017年发现的涌洞数量增加了93个。其中，涉及工程软件143个、涉及SCADA/HMI组件81个、涉及工业用途网络设备66个、涉及PLC47个、涉及工业计算机和服务器19个，工业视频监控系统15个，17141510“°皿汽车软件PLC开发环境（二）漏洞修复率低412181612018年，卡巴斯基实验室工业控制系统网络应急小组在工业系统和IIoT/IoT系统中，发现了61个涌洞，其中涉及IIoT10个，涉及HMI5个，涉及外部软件17个，涉及PLC开发环境14个，涉及汽车软件15个。61个漏洞中仅有29个(47%）漏洞被修复。软件供应商不重视涌洞修复，推迟或拒绝修复相关涌洞。5086402图22018年卡巴斯基实验室工业控制系统网络应急小组发现的涌洞按组件类型划分统计（三）漏洞影响大2018年，卡巴斯基识别CoDeSysRuntime（典型PLC开发环境）的14个漏洞，影响全球400多家工业自动化供应商的400多万台设备。22018年，卡巴斯基识别的61个漏洞中，46％的涌洞可被用于发起针对工业控制系统的远程代码或拒绝服务(DoS)攻击，21％的涌洞可被攻击者利用绕过系统身份验证。二｀工业主机网络攻击分析（一）工业控制系统主机遭入侵比例进一步增长2018年，检测到恶意活动的工业控制系统主机占比达50%140%JO%20%1U%0%心．0%47.2o/心2018年图32017和2018年度检测到恶意活动的工业控制系统主机古比15.0%20.11°1.。15'.0%10.0%0.11%1月2月3月4月5月6月7月8月9月10月l1月12月47.2%，涉及SCADA服务器、数据存储服务器、数据网关、工程师和操作员工作站、人机界面等。从变化趋势来看，2018年，检测到恶意活动的工业控制系统主机较2017年增长了3.2%，且每月均同比增长。详见图3和图4。凶l7年．扭18年3图42017和2018每月检测到恶意活动的工业控制系统主机古比.;..5%3．如344%3.0%25%2..忱一.,lI一.,ll2.L去'tL芘％1.6汴lO?．05节0沪1.59,后门漏洞勒索木马间谍木马邓7年U功1呤i（二）恶意软件活动瞄准工业控制系统主机2018年，检测到涌洞、后门、勒索木马、间谍木马等恶意软件活动的工业控制系统主机占比较2017年显著增长，增幅分别为46.6%、31.3%、46.7%、27.9%。如图5所示。图52017-2018检测到不同恶意软件活动的工业控制系统主机占比（三）互联网成为工业控制系统主机安全的最大威胁来源2018年，互联网、可移动设备、邮件依然是工业控制系4统主机面临的三大威胁来源，从检测到上述威胁源的工业控制系统主机占比来看，互联网约26%，可移动设备约8%，邮件约4%。与2017年度相比，变化明显的是来自互联网的威8v8国，胁，增长约20%。详见图6。30'.OO句27.3%26.1%25.(矜AI22冗令20.Q(l,'ii15.OO/450%0，仍o可移动设备邮件．印17年上半年匾2Ol7年下半年a201贮仁上半年卿20l�下半年图62017-2018年卡巴斯基拦截主要威胁源的工业控制系统主机古比二关键事件分析（一）“幽灵”和“熔断＂漏洞(CVE-2017-5754／熔断）涌洞。2018年初，研究人员在英特尔、ARM64和AMO的处理器中发现了三个允许未授权访问虚拟内存内容的漏洞，分别是边界检查绕过(CVE-2017-5753／幽灵）、分支目标注入(CVE-2017-5715/幽灵）和恶意数据缓存加载5幽灵和熔断攻击都允许用户级别的程序获取其他程序的数据，其中，熔断攻击甚至还允许其读取内核内存。该问题巨经影响到许多运行Windows、,macOS、Linux、AndroidiOS和ChromeOS的电脑、服务器和移动设备，这些设备都使用了易受攻击的微处理器。事实证明，含有受攻击处理器的工业设备，如SCADA服务器、工业主机和网络设备等也被证明易受熔断和幽灵攻击的影响。思科是最早公布其产品受涌洞影响的公司之一，受影响的设备包括800系列的集成多业务路由器和4000系列的工业以太网交换机。随后，菲尼克斯电气、横河电机、西们子、施耐德电气、ABB和OSisoft等厂商也相继发布了关于熔断和幽灵涌洞对其产品影响的通知。除了有关熔断和幽灵的信息外，西门子的报告称其解决 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 还受到2018年5月发现的一类被称为SpectreNG（下一代幽灵）漏洞的影响。（二）针对SCADA系统的新恶意软件VPNFilter2018年5月，研究人员发现一个新的恶意软件VPNFi1ter。该恶意软件至少感染了54个国家的50万台路由器和NAS设备。VPNFilter具有复杂的模块化架构，可以通过组件来实现各种功能，包括收集网络流量与数据、执行命令和控制设备、拦截数据包、监控Modbus协议以及通过匿名Tor网络与命令服务器通信。该恶意软件利用多个巳知涌洞来感染设备，但其感染向量尚不清楚。在感染期间，该恶意软件将安装一个组件，而该组件在重新启动后仍然存在，并且能够下载其它恶意模块。6工业信息安全产业界也需要密切关注VPNFilter,因为该恶意软件可以窃取凭据、检测工业SCADA设备并利用僵尸网络中的受感染设备执行多种攻击。（三）勒索软件攻击尽管全球遭受勒索软件攻击的用户数量正在下降，但在工业领域遭受勒索软件攻击的工控机的比例巳经从1.2％上升到1.6%。尽管上升幅度不大，但从Wannacry和ExPetr事件来看，勒索软件给工业企业带来的危险不容小视。根据卡巴斯基实验室工业控制系统网络应急响应小组数据，2018年下半年，被勒索软件感染的工控机的比例从1.6％增长至2%。对许多工业企业来讲，恶意勒索软件WannaCry至今仍然是迫切的威胁。根据卡巴斯基实验室的数据，2018年第三季度，Wa,nnaCry在恶意勒索软件排行首位，被其攻击的用户比例达到了28.72%。即使在勒索病毒事件爆发整整一年之后，这种恶意软件仍在继续感染工业企业的控制网络。2018年3月，美国航空企业波音公司的系统遭到了WannaCry的攻击；8月3曰，台湾晶圆制造商台积电的几家工厂遭勒索软件WannaCry入侵。根据公开的消息，感染是在安装一种新的生产工具软件的时侯发生的，供应商未经安全检查就将软件连接到了网络中。感染迅速蔓延，袭击了台南、新竹和台中的工厂。导致该公司在台湾工厂停工了三天。72018年11月28日发生在莫斯科缆车交通系统的事件，这与另一种勒索软件攻击有关。根据运营公司通告，文件被加密到“主机”上，进而对公司服务器发起了攻击。莫斯科缆车交通系统的工作人员迅速采取行动，让所有乘客在车站下车并中断了道路通行。为了破解这些文件，入侵者索要比特币赎金，赎金的数额取决于支付的速度。两天后，缆车交通系统才恢复正常工作。（四）针对工业企业的高级持续性威胁(APT)攻击1.Shamoonv.3攻击2018年12月10日，意大利石油天然气公司Saipem称其位于中东、印度、苏格兰和意大利的服务器遭到了网络攻击。后来明确，攻击中使用了一种新的Shamoon蠕虫－Shamoonv3。这起网络攻击事件影响了大约300到400台的服务器以及多达100台的个人电脑。在Saipem公司的网络攻击事件发生后，赛们铁克发现了沙特阿拉伯和阿联酋另外两家石油天然气公司也同时遭受到了类似的攻击。2012,年，Shamoon恶意软件在SaudiAramco和Rasgas两家石油公司的网络被感染后浮出水面。2016年至2017年期间，攻击者同时使用Shamoon软件变体(Shamoonv2)和恶意软件StoneDrill发动了新的一轮恶意攻击。8在2018年的袭击中，另一个恶意软件Filerase与Shamoonv3同时被发现。这个恶意软件可以删除受感染电脑上的文件。2018年10月17日，ESET公司研究人员公布了BlackEnergy组织的相关信息，被发现的恶意软件和这些网络攻击背后的组织被称为GreyEnergy。该组织主要针对中欧和东欧不同组织的工业网络进行攻击，主要攻击对象包括能源公司、运输企业和其他行业的组织，是重点攻击管理关键基础设施的组织。GreyEnergy的恶意软件具有模块化架构，允许攻击者在需要时入侵DLL库中实现不同的功能，手机用户注册的账户数据，主要通过钓鱼邮件和损害公司公共网络服务器的方式完成初始感染。然而，攻击者可能并不局限于这些方式。该组织还曾成功侵入了受害者的路由器，安装了针对不同目标及通过公司网络传播的模块和脚本。四、对策建议92018年，工业控制系统涌洞有增无减，波及的工业控制系统组件和工业企业范围不断扩大。恶意软件不断通过互联网、可移动设备以及邮件等渠递向工业企业渗透，越来越多工业控制系统主机遭受攻击。全球工业控制系统信息安全状况不容乐观、安全形势仍在恶化，对企业工业企业安全防护能力建设也提出了更多的需求以及更高的要求。对此，建议从工业主机安全防护、企业信息 安全管理 企业安全管理考核细则加油站安全管理机构环境和安全管理程序安全管理考核细则外来器械及植入物管理 、人员信息安全意识几个方面着手，积极采取措施，提升工业控制系统安全防护水平。（一）提升工业主机安全防护水平采用防病毒技术，提升网络病毒查杀能力。定期更新防病毒数据库，及时升级病毒查杀软件，提高病毒识别、验证和清除能力；定期检查防病毒组件运行状态，确保所有工业控制系统软件、操作系统文件以及可移动介质处于监测和保护范围之内。安装应用程序白名单软件，提升恶意软件拦截能力。加快应用程序安全性验证，持续强化白名单特征信誉库建设，保证白名单的全面性和纯净性；提升白名单技术管控能力，实现对可执行文件、脚本、证书、网络等的全面监管；集成白名单在技术与防病毒工具，有效查杀可绕过白名单机制的高级恶意软件。部署主机加固技术，提升主机操作系统安全级别。采取封堵无关端口、限制用户访问、强制访问控制等措施，对工业主机资源的访问权限进行安全控制，解决用户身份伪造、系统及数据完成性破坏、恶意攻击、数据遗失等安全问题。（二）完善工业企业信息安全管理体系组织领导方面，成立工业信息安全领导小组，负责统筹协调工业信息安全工作，制定并落实内外网安全隔离、移动设备管控和邮件安全 管理制度 档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载 。资源投入方面，明确各信息10安全岗位责任人，确保工业控制系统要害部门、要害部位高级技术人员的配比符合企业信息安全需求；将工控安全支出纳入企业年度预算，保证工控安全防护技术开发以及三方安全服务的购买、运行、更新和维护获得足额的资金支持。风险监测处置方面，积极构建企业侧态势感知手段，实现对工业企业内网工控设备资产的动态管控、系统异常操作监控、恶意探测攻击行为发现、网络威胁告警等，精准掌握工业企业工控安全态势；建立安全风险通报制度、安全事件响应流程，提高应对工控安全事件的情报共享能力和应急处置能力，预防和减少工控安全事件造成的损失和危害，保障工业生产正常运行。（三）增强企业员工信息安全意识和技能安全意识方面，制定企业工控安全教育和培训计划，将员工工控安全贵任纳入年度考核，执行严格的奖励和惩罚措施；定期开展工业信息安全专题讲座和警示教育，提升员工对信息安全的认识，转变职工观念，加强其自身安全行为 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 。安全技能方面，聘请工控安全领域专家，组织工控安全理论培训和操作演示，提升重要岗位、重要部位管理技术人员安全防护技能；模拟真实网络攻防环境，开展实际操作演练，及时发现工控安全薄弱点，提升企业应对现实网络攻击事件的能力；动员企业工控安全专业队伍，积极参加行业协会、产业联盟等组织开展的工控安全重要赛事、工业信息安11全重大会议，支持工控安全部门开展同行交流，派遣技术人员国家级工业信息安全研究机构培训深造，确保企业工控安全防护能力建设与业界发展同步。12