中小企业如何做好工 业互联网安全防护 陶耀东 研究员 奇安信集团 副总工程师 工业控制系统安全国家联合实验室 目录 目录 工业互联网安全现状与趋势 中小企业面临的工业互联网安全挑战 怎样的防护方案对中小企业更适用吗? 中小企业工业互联网安全防护建议 安全漏洞数量快速增长,且高危漏洞呈高发态势  基于CNVD漏洞平台收录的漏洞为基础, 2018年全年,新增工控漏洞达到442个, 创历史新高  工业互联网安全风险突出,安全态势严峻  基于CVE、NVD、CNVD、CNNVD 漏洞平台收录的工控漏洞为基础, 2018全年,高危漏洞数量占比最高, 达到53.6% 攻击手段多样化明显,以制造业、能源行业为主  漏洞攻击类型多样化特征明显,技术类型 多达30种以上  无论攻击者无论利用何种漏洞造成生产厂 区的异常运行,均会造成严重的安全问题  漏洞涉及行业广泛,以制造业、能源 行业为主  制造业占比最高,高达30.6%,能源 行业涉及的相关漏洞占比高达23.9% 工业系统互联网暴露数量增多,攻击面增大  全球工控系统联网暴露组件总数量约为 17.6万个,暴露数量增加明显  中国工控系统暴露数量为6223,占比 3.5%,排名全球第五  以奇安信工业互联网安全大数据分析平 台——哈勃平台统计,工控设备暴露数 量基本处于稳定状态  工控设备:PLC、DCS、SCADA等设备 大型企业停产,损失越来越大:海德鲁&驱动人生 • 8月3日周五,台积电新机台安装引入疑似永恒之 蓝勒索病毒 • 数分钟内大规模攻击导致3个工厂停产,工业主 机蓝屏重启 • 损失惨重,3天损失近2亿美元、毛利降1% • 8月6日下午召开记者会:应对完毕。 • 3月19日 全球最大铝制造商 Norsk Hydro 欧美 多工厂遭“大规模的网络攻击”,工厂运营模式 改为“可以使用的”手动 • LockerGoga勒索软件是本次感染的源头,可加 密扩展名的文件:doc, dot, wbk... • 全球现货市场铝价上涨超1%下,股价下跌近3% 工业互联网安全事件层出不穷,整体形式严峻 2018年2月,台湾台达 电子公司修复了公司两 款工业自动化产品中的 多个漏洞,包括可导致 远程代码执行问题的缺 陷。 2018年4月,研究人员 在某些西门子继电保护 设备中找到多个潜在的 严重漏洞,它们可导致 变电站和其它供电设施 易遭黑客攻击。 2018年4月,德国纳图 医疗设备曝光多个漏洞, 可导致设备遭远程攻击。 该厂商已发布固件更新 予以修复。 2018 年4月 ,工 业 安 全 公 司 Applied Risk在新加 坡工控网络安全会议上披 露影响多家主要供应商安 全控制器 的 DoS 漏洞, 可能对设备和人员造成物 理伤害。 2018年4月,罗克韦尔 自动化通知客户称其工 业路由器易遭远程攻击, 原因是所使用的思科 IOS 软件中存在多个漏 洞。 2018年6月,德国安全 公司 ERNW 的研究人员 发现,瑞士工业技术公 司 ABB 的门禁通信系 统中存在多个严重漏洞。 2018年5月,施耐德电 气开发工具爆严重漏洞: 可远程代码执行。 2018年7月,西门子通 知消费者称,公司的某 些 SIPROTEC 中 继 保 护设备的 EN100 通信 模块中存在多个漏洞, 导致其易受 DoS 攻击。 2018年6月,日本横河 电 机 有 限 公 司 为 STARDOM 控 制 器 发 布 固件更新,解决可被远 程用于控制设备的一个 严重漏洞。 2018 年 8 月 , 两 家公 司研 究 人 员 在 艾 默 生 DeltaV DCS工作站中发现了多个严 重和高危漏洞,攻击者在目 标网络中横向移动并可能控 制其它DeltaV工作站。 2018年7月,西门子指 出,SICLOCK中央工厂 时钟系统共受六个漏洞 的影响,可致使设备宕 机、命令执行以及重启。 国内工业企业频繁遭到“永恒之蓝”&“挖矿”攻击 近两年奇安信应急响应过的工业企业网络攻击事件,涉及:汽车生产、智能制造、能源电力、烟草等行业, 工业主机成为最主要的 攻击对象。几十余家企业,大多数都导致了工业主机蓝屏,文件加密,生产停工 某汽车模具厂,停产 2017.05 某冷轧钢板厂,停产 2018.07 某炼钢厂,停产 2018.10 某关键IC厂,停产 2019.01 某奶粉企业,停产 2019.04 安全事件:某智能制造企业遭网络攻击停产 事件过程 2018年9月,某大型智能制造企业遭勒索病毒攻击,数 十台工业主机蓝屏重启,多条生产线停产,损失严重。 奇安信工业安全提供紧急安服响应,帮助快速恢复生产。 通过对现场网络安全风险评估,发现多个安全漏洞。 互联网 企业 网络 层/L4 IMO 生产 管理 层/L3 MES 在实验室仿真客户环境,还原攻击过程。 设备 用途 系统配置 存在漏洞 IMO OA服务器 CentOS 任意命令执行漏洞 MES 生产管理服务器 Win7 64位 “永恒之蓝”漏洞 上位机 控制PLC WinXP SP3,组态王, 远程堆溢出漏洞 双网卡配置 PLC 控制器 西门子300 拒绝服务漏洞 过程 监控 层/L2 现场 控制 层/L1 现场 设备 层/L0 上位机 PLC 马达 车间 工控安全事件回顾(某智能制造企业受到攻击而停产) 互联网 企业 网络 层/L4 生产 管理 层/L3 过程 监控 层/L2 现场 控制 层/L1 现场 设备 层/L0 Email 打印机 Web IMO 攻击者 工艺配方 1. 攻陷IMO服务器 攻击者利用办公网IMO服务器的任意执行漏洞,发起攻击获得服务器 权限。 2. 攻陷MES服务器 搜索内网发现MES主机,利用MES存在的“永恒之蓝”漏洞,获取权 限;将勒索病毒样本上传至MES主机运行,病毒在内网中蔓延传播。 MES 上位机 3、攻陷上位机 搜索内网发现双网卡配置的XPSP3上位机,利用上位机组态软件的远 程堆溢出漏洞,获取上位机权限。 PLC 马达 车间 4、攻击PLC 继续搜索发现西门子300控制器,向上位机投递PLC攻击软件,程序 运行后向PLC发送特制Crash漏洞攻击报文,致使PLC进入Defeat状 态,其控制的马达(生产线)停转。 攻击过程实验室复现 目录 目录 工业互联网安全现状与趋势 中小企业面临的工业互联网安全挑战 怎样的防护方案对中小企业更适用吗? 中小企业工业互联网安全防护建议 中小企业的定义 《关于印发中小企业划型标准规定的通知》 (二)工业。从业人员1000人以下或营业收入40000万元以下的为中小微型企业。 其中,从业人员300人及以上,且营业收入2000万元及以上的为中型企业; 从业人员20人及以上,且营业收入300万元及以上的为小型企业; 从业人员20人以下或营业收入300万元以下的为微型企业。 年收入在5000万美元至10亿美元之间的组织。 广义的中小企业: 有一定生产规模和网络化基础,在行业排名中处在中上水平的工业企业。 中小企业面临的安全挑战 中小企业而外的安全挑战 • 中小企业面临和大公司相同的威胁 有限的安全控制、人员分配、预算和流程使中小 型企业面临安全问题 • 无专门的OT安全团队,IT人员难以处理工业安全 中小企业 事件和策略实施 大企业 • 人才稀缺,难于跟大公司竞争相同网络安全人才 威胁、风险 CIMT2019 上500家工业企业调研 CIMT2019 中国国际机床展集中企业调研 企业调研结果分析  超过50%企业生产联网——工业互联网发展潜力大  超过50%的出现蓝屏重启(勒索)——安全事件频发、损失大  网络事件37%找安全厂商,36.4%找工控厂商——产业协同必要 案例一:某家具制造企业出现蓝屏、重启现象 工厂投资1.2亿元,拥有2.5万平方米数字化定制工厂,致 力于德国品质板式家具的研发与生产 。 2019年5月27日, 车间板件加工主机出现CPU使用率达100%现象,占用CPU 最高的进程为powershell.exe;同时,同时有其他板件加工 主机出现系统重启后,工控软件无法正常运行的现象。对问 题进行全面了解后,6月24日应急人员出发前往现场协助问 题处置。 事件分析: 整个厂区的网络结构较简单,车间近20台主机与办公网 主机路由可达,且均能上外网,最大的特点为网络未进行分 区分域规划(划分办公网与生产网)网络中无基本的安全防 护设备。另外,车间的主机密码存在相似、未满足密码复杂 度要求的现象。 当前生产网络中存在各类病毒:DTLMinner、驱动人生 病毒,可推测DTLMinner病毒为外部攻击、渗透进入。 案例二:某IC生产企业出现蓝屏、重启现象 2019年2月,该制造企业将机台设备集 体进行上线,卧式炉、厚度检测仪、四探针 测试仪、铜区等多个车间的机台主机以及 MES客户端都不同程度的遭受蠕虫病毒攻击, 出现蓝屏、重启现象。 事件分析: 操作站上抓取挖矿病毒样本、勒索蠕虫变 种样本,病毒可被检测,后端进行样本分析, 在 现 场 处 于 MES 网 络 的 主 机 上 , 同 时 发 现 “永恒之蓝”蠕虫变种和挖矿病毒。 目录 目录 工业互联网安全现状与趋势 中小企业面临的工业互联网安全挑战 现有防护方案对中小企业适用吗? 中小企业工业互联网安全防护建议 数据驱动安全理念,协同联动防护体系 威胁情报中心 工业互联网安全监测服务平台 态势感知层 数 据 工业安全监测控制平台 应急响应与托管服务中心 大数据安全分析 创新的安全服务 安全运营层 工业安全网关 工业安全检查评工具 工业安全监测 工业安全网闸 防护监测层 工业主机防护 工业安全实验室 情 报

pdf文档 北京网络安全大会 中小企业如何做好工业互联网安全防护

文档预览
中文文档 41 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共41页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
北京网络安全大会 中小企业如何做好工业互联网安全防护 第 1 页 北京网络安全大会 中小企业如何做好工业互联网安全防护 第 2 页 北京网络安全大会 中小企业如何做好工业互联网安全防护 第 3 页
下载文档到电脑,方便使用
本文档由 路人甲2022-09-01 08:24:08上传分享
给文档打分
您好可以输入 255 个字符
网站域名是多少( 答案:github5.com )
评论列表
  • 暂时还没有评论,期待您的金玉良言