中小企业如何做好工 业互联网安全防护 陶耀东 研究员 奇安信集团 副总工程师 工业控制系统安全国家联合实验室 目录 目录 工业互联网安全现状与趋势 中小企业面临的工业互联网安全挑战 怎样的防护方案对中小企业更适用吗？ 中小企业工业互联网安全防护建议 安全漏洞数量快速增长，且高危漏洞呈高发态势  基于CNVD漏洞平台收录的漏洞为基础， 2018年全年，新增工控漏洞达到442个， 创历史新高  工业互联网安全风险突出，安全态势严峻  基于CVE、NVD、CNVD、CNNVD 漏洞平台收录的工控漏洞为基础， 2018全年，高危漏洞数量占比最高， 达到53.6% 攻击手段多样化明显，以制造业、能源行业为主  漏洞攻击类型多样化特征明显，技术类型 多达30种以上  无论攻击者无论利用何种漏洞造成生产厂 区的异常运行，均会造成严重的安全问题  漏洞涉及行业广泛，以制造业、能源 行业为主  制造业占比最高，高达30.6%，能源 行业涉及的相关漏洞占比高达23.9% 工业系统互联网暴露数量增多，攻击面增大  全球工控系统联网暴露组件总数量约为 17.6万个，暴露数量增加明显  中国工控系统暴露数量为6223，占比 3.5%，排名全球第五  以奇安信工业互联网安全大数据分析平 台——哈勃平台统计，工控设备暴露数 量基本处于稳定状态  工控设备：PLC、DCS、SCADA等设备 大型企业停产，损失越来越大：海德鲁&驱动人生 • 8月3日周五，台积电新机台安装引入疑似永恒之 蓝勒索病毒 • 数分钟内大规模攻击导致3个工厂停产，工业主 机蓝屏重启 • 损失惨重，3天损失近2亿美元、毛利降1% • 8月6日下午召开记者会：应对完毕。 • 3月19日 全球最大铝制造商 Norsk Hydro 欧美 多工厂遭“大规模的网络攻击”，工厂运营模式 改为“可以使用的”手动 • LockerGoga勒索软件是本次感染的源头，可加 密扩展名的文件：doc, dot, wbk... • 全球现货市场铝价上涨超1%下,股价下跌近3% 工业互联网安全事件层出不穷，整体形式严峻 2018年2月，台湾台达 电子公司修复了公司两 款工业自动化产品中的 多个漏洞，包括可导致 远程代码执行问题的缺 陷。 2018年4月，研究人员 在某些西门子继电保护 设备中找到多个潜在的 严重漏洞，它们可导致 变电站和其它供电设施 易遭黑客攻击。 2018年4月，德国纳图 医疗设备曝光多个漏洞， 可导致设备遭远程攻击。 该厂商已发布固件更新 予以修复。 2018 年4月 ，工 业 安 全 公 司 Applied Risk在新加 坡工控网络安全会议上披 露影响多家主要供应商安 全控制器 的 DoS 漏洞， 可能对设备和人员造成物 理伤害。 2018年4月，罗克韦尔 自动化通知客户称其工 业路由器易遭远程攻击， 原因是所使用的思科 IOS 软件中存在多个漏 洞。 2018年6月，德国安全 公司 ERNW 的研究人员 发现，瑞士工业技术公 司 ABB 的门禁通信系 统中存在多个严重漏洞。 2018年5月，施耐德电 气开发工具爆严重漏洞： 可远程代码执行。 2018年7月，西门子通 知消费者称，公司的某 些 SIPROTEC 中 继 保 护设备的 EN100 通信 模块中存在多个漏洞， 导致其易受 DoS 攻击。 2018年6月，日本横河 电 机 有 限 公 司 为 STARDOM 控 制 器 发 布 固件更新，解决可被远 程用于控制设备的一个 严重漏洞。 2018 年 8 月 ， 两 家公 司研 究 人 员 在 艾 默 生 DeltaV DCS工作站中发现了多个严 重和高危漏洞，攻击者在目 标网络中横向移动并可能控 制其它DeltaV工作站。 2018年7月，西门子指 出，SICLOCK中央工厂 时钟系统共受六个漏洞 的影响，可致使设备宕 机、命令执行以及重启。 国内工业企业频繁遭到“永恒之蓝”&“挖矿”攻击 近两年奇安信应急响应过的工业企业网络攻击事件，涉及:汽车生产、智能制造、能源电力、烟草等行业， 工业主机成为最主要的 攻击对象。几十余家企业，大多数都导致了工业主机蓝屏，文件加密，生产停工 某汽车模具厂，停产 2017.05 某冷轧钢板厂，停产 2018.07 某炼钢厂，停产 2018.10 某关键IC厂，停产 2019.01 某奶粉企业，停产 2019.04 安全事件：某智能制造企业遭网络攻击停产 事件过程 2018年9月，某大型智能制造企业遭勒索病毒攻击，数 十台工业主机蓝屏重启，多条生产线停产，损失严重。 奇安信工业安全提供紧急安服响应，帮助快速恢复生产。 通过对现场网络安全风险评估，发现多个安全漏洞。 互联网 企业 网络 层/L4 IMO 生产 管理 层/L3 MES 在实验室仿真客户环境，还原攻击过程。 设备 用途 系统配置 存在漏洞 IMO OA服务器 CentOS 任意命令执行漏洞 MES 生产管理服务器 Win7 64位 “永恒之蓝”漏洞 上位机 控制PLC WinXP SP3，组态王， 远程堆溢出漏洞 双网卡配置 PLC 控制器 西门子300 拒绝服务漏洞 过程 监控 层/L2 现场 控制 层/L1 现场 设备 层/L0 上位机 PLC 马达 车间 工控安全事件回顾（某智能制造企业受到攻击而停产） 互联网 企业 网络 层/L4 生产 管理 层/L3 过程 监控 层/L2 现场 控制 层/L1 现场 设备 层/L0 Email 打印机 Web IMO 攻击者 工艺配方 1. 攻陷IMO服务器 攻击者利用办公网IMO服务器的任意执行漏洞，发起攻击获得服务器 权限。 2. 攻陷MES服务器 搜索内网发现MES主机，利用MES存在的“永恒之蓝”漏洞，获取权 限；将勒索病毒样本上传至MES主机运行，病毒在内网中蔓延传播。 MES 上位机 3、攻陷上位机 搜索内网发现双网卡配置的XPSP3上位机，利用上位机组态软件的远 程堆溢出漏洞，获取上位机权限。 PLC 马达 车间 4、攻击PLC 继续搜索发现西门子300控制器，向上位机投递PLC攻击软件，程序 运行后向PLC发送特制Crash漏洞攻击报文，致使PLC进入Defeat状 态，其控制的马达（生产线）停转。 攻击过程实验室复现 目录 目录 工业互联网安全现状与趋势 中小企业面临的工业互联网安全挑战 怎样的防护方案对中小企业更适用吗？ 中小企业工业互联网安全防护建议 中小企业的定义 《关于印发中小企业划型标准规定的通知》 （二）工业。从业人员1000人以下或营业收入40000万元以下的为中小微型企业。 其中，从业人员300人及以上，且营业收入2000万元及以上的为中型企业； 从业人员20人及以上，且营业收入300万元及以上的为小型企业； 从业人员20人以下或营业收入300万元以下的为微型企业。 年收入在5000万美元至10亿美元之间的组织。 广义的中小企业： 有一定生产规模和网络化基础，在行业排名中处在中上水平的工业企业。 中小企业面临的安全挑战 中小企业而外的安全挑战 • 中小企业面临和大公司相同的威胁 有限的安全控制、人员分配、预算和流程使中小 型企业面临安全问题 • 无专门的OT安全团队，IT人员难以处理工业安全 中小企业 事件和策略实施 大企业 • 人才稀缺，难于跟大公司竞争相同网络安全人才 威胁、风险 CIMT2019 上500家工业企业调研 CIMT2019 中国国际机床展集中企业调研 企业调研结果分析  超过50%企业生产联网——工业互联网发展潜力大  超过50%的出现蓝屏重启（勒索）——安全事件频发、损失大  网络事件37%找安全厂商，36.4%找工控厂商——产业协同必要 案例一：某家具制造企业出现蓝屏、重启现象 工厂投资1.2亿元，拥有2.5万平方米数字化定制工厂，致 力于德国品质板式家具的研发与生产 。 2019年5月27日， 车间板件加工主机出现CPU使用率达100%现象，占用CPU 最高的进程为powershell.exe；同时，同时有其他板件加工 主机出现系统重启后，工控软件无法正常运行的现象。对问 题进行全面了解后，6月24日应急人员出发前往现场协助问 题处置。 事件分析： 整个厂区的网络结构较简单，车间近20台主机与办公网 主机路由可达，且均能上外网，最大的特点为网络未进行分 区分域规划（划分办公网与生产网）网络中无基本的安全防 护设备。另外，车间的主机密码存在相似、未满足密码复杂 度要求的现象。 当前生产网络中存在各类病毒：DTLMinner、驱动人生 病毒，可推测DTLMinner病毒为外部攻击、渗透进入。 案例二：某IC生产企业出现蓝屏、重启现象 2019年2月，该制造企业将机台设备集 体进行上线，卧式炉、厚度检测仪、四探针 测试仪、铜区等多个车间的机台主机以及 MES客户端都不同程度的遭受蠕虫病毒攻击， 出现蓝屏、重启现象。 事件分析： 操作站上抓取挖矿病毒样本、勒索蠕虫变 种样本，病毒可被检测，后端进行样本分析， 在 现 场 处 于 MES 网 络 的 主 机 上 ， 同 时 发 现 “永恒之蓝”蠕虫变种和挖矿病毒。 目录 目录 工业互联网安全现状与趋势 中小企业面临的工业互联网安全挑战 现有防护方案对中小企业适用吗？ 中小企业工业互联网安全防护建议 数据驱动安全理念，协同联动防护体系 威胁情报中心 工业互联网安全监测服务平台 态势感知层 数 据 工业安全监测控制平台 应急响应与托管服务中心 大数据安全分析 创新的安全服务 安全运营层 工业安全网关 工业安全检查评工具 工业安全监测 工业安全网闸 防护监测层 工业主机防护 工业安全实验室 情 报