《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 關鍵信息基礎設施網(wǎng)絡安全(物聯(lián)網(wǎng)安全專題)監(jiān)測月報202101期

關鍵信息基礎設施網(wǎng)絡安全(物聯(lián)網(wǎng)安全專題)監(jiān)測月報202101期

2021-03-24
來源: 關鍵基礎設施安全應急響應中心

  根據(jù)《網(wǎng)絡安全法》和《關鍵信息基礎設施安全保護條例(征求意見稿)》對關鍵信息基礎設施定義和范圍的闡述,,關鍵信息基礎設施(Critical InformationInfrastructure,,CII)是指一旦遭到破壞,、喪失功能或者數(shù)據(jù)泄露,,可能嚴重危害國家安全、國計民生,、公共利益的信息基礎設施,,包括能源,、交通,、水利、金融,、電子政務,、公共通信和信息服務等關鍵行業(yè)和領域。

  隨著“互聯(lián)網(wǎng)+”,、“工業(yè)互聯(lián)網(wǎng)”等戰(zhàn)略的積極推進以及Lora,、NB-IOT、eMTC等物聯(lián)技術的快速發(fā)展,,物聯(lián)網(wǎng)與關鍵信息基礎設施已開始深度融合,,在提高相關行業(yè)的運行效率和便捷性的同時,也增加了其遭受網(wǎng)絡攻擊的風險,。因此,,亟需對關鍵信息基礎設施的物聯(lián)網(wǎng)網(wǎng)絡安全問題加以重視和防護。

  CNCERT依托宏觀監(jiān)測數(shù)據(jù),,對關鍵信息基礎設施中的物聯(lián)網(wǎng)“云管端”等層面的網(wǎng)絡安全問題進行專項監(jiān)測,,以下是本月的監(jiān)測情況。

  2

  端——物聯(lián)網(wǎng)終端網(wǎng)絡安全監(jiān)測情況

 ?。?1 ) 活躍通信物聯(lián)網(wǎng)終端監(jiān)測情況

  本月抽樣監(jiān)測發(fā)現(xiàn)有24萬臺物聯(lián)網(wǎng)終端設備與境外超過9萬個IP地址進行了直接協(xié)議通信,,其中包括工業(yè)控制設備1243臺,交換機,、路由器設備155738臺,,網(wǎng)絡監(jiān)控設備76222臺、聯(lián)網(wǎng)打印機306個以及視頻會議系統(tǒng)139個,。

  本月監(jiān)測發(fā)現(xiàn)的物聯(lián)網(wǎng)終端設備中涉及的主要廠商分布情況如下:

  圖片工業(yè)控制設備:主要廠商包括西門子(33.39%),、韋益可自控(21.32%)、羅克韋爾(13.19%),、施耐德(9.65%),、歐姆龍(7.48%)、摩莎(6.76%),;其設備類型主要包括可編程控制器,、串口服務器,、工業(yè)交換機、通信適配器等,,類型分布情況如圖1所示,。

  微信圖片_20210324170829.jpg

  圖1 活躍通信工控設備類型分布

  圖片交換機、路由器設備:主要廠商包括華三(57.1%),、華為(21.83%),、銳捷(12.69%)、中興(4.78%),、思科(2.73%),、雷凌(0.28%);

  圖片網(wǎng)絡監(jiān)控設備主要廠商:包括??低暎?6.15%),、大華(25.72%)和雄邁(8.13%)。

  圖片聯(lián)網(wǎng)打印機設備主要廠商:包括富士(43.37%),、柯尼卡美能達(15.86%),、佳能(15.21%)、兄弟(11%),、愛普生(7.44%)和惠普(5.5%),。

  其中,針對監(jiān)測到的聯(lián)網(wǎng)監(jiān)控設備進行弱口令檢測,,發(fā)現(xiàn)82臺設備存在弱口令風險,,包括海康威視設備66臺和大華設備16臺,。

  監(jiān)測發(fā)現(xiàn)的活躍物聯(lián)網(wǎng)終端設備中,,排名前5的省份分別山西、廣東,、吉林,、浙江和江蘇,各省份設備數(shù)量分布情況如圖2所示,。

 微信圖片_20210324170843.jpg

  圖2 活躍物聯(lián)網(wǎng)設備省市分布

  針對活躍工控設備的重點監(jiān)測發(fā)現(xiàn),,本月工控設備與境外IP通信事件共260萬起,涉及國家97個,,主要境外IP數(shù)量的國家分布如表1所示,。

  表1 境外通信IP數(shù)量的國家分布

  微信截圖_20210324170908.png

  ( 2 ) 網(wǎng)絡空間資源測繪組織活躍情況分析

  本月抽樣監(jiān)測發(fā)現(xiàn)來自Shodan和ShadowServer等網(wǎng)絡空間測繪組織針對工控設備的探測響應事件739起,,涉及探測節(jié)點18個,,探測協(xié)議包括Modbus、S7Comm、Fox,、FINS,、BACnet等,探測響應事件的協(xié)議分布如圖3所示,。

  微信圖片_20210324171015.jpg

  圖3 探測響應事件的協(xié)議分布

  3

  管——物聯(lián)網(wǎng)網(wǎng)絡安全事件監(jiān)測

  根據(jù)CNCERT監(jiān)測數(shù)據(jù),,自2021年1月1日至31日,共監(jiān)測到物聯(lián)網(wǎng)(IoT)設備惡意樣本5175個,,,。發(fā)現(xiàn)樣本傳播服務器IP地址21萬5084個個,主要位于印度(65.9%),、巴西(16.8%),、俄羅斯(4.9%)、韓國(1.9%)等等,。境內(nèi)疑似被感染的設備地址達711萬個,,其中,浙江占比最高,,為20.0%,境內(nèi)感染設備分布如圖4所示,。詳情參見威脅情報月報,。

  微信圖片_20210324171047.jpg

  圖4 惡意樣本家族分布

  4  云——物聯(lián)網(wǎng)云平臺安全監(jiān)測

  ( 1 ) 物聯(lián)網(wǎng)云平臺網(wǎng)絡攻擊監(jiān)測情況

  本月抽樣監(jiān)測發(fā)現(xiàn),,針對寄云NeuSeer,、航天云網(wǎng)CASICloud、機智云Gizwits,、三一重工ROOTCLOUD,、海爾COSMOPlat、智能云科iSESOL,、徐工漢云HANYUN等重點物聯(lián)網(wǎng)云平臺的網(wǎng)絡攻擊事件3819起,,攻擊類型涉及漏洞利用攻擊、拒絕服務攻擊,、命令注入攻擊,、SQL注入攻擊、跨站腳本攻擊,、目錄遍歷攻擊等,。

  本月重點物聯(lián)網(wǎng)云平臺攻擊事件的平臺分布如圖5所示,涉及的攻擊類型分布如圖6所示,。

微信圖片_20210324171308.jpg

  圖5 物聯(lián)網(wǎng)云平臺攻擊事件的平臺分布

  微信圖片_20210324171323.jpg

  圖6 物聯(lián)網(wǎng)云平臺網(wǎng)絡攻擊類型分布

  本月所監(jiān)測到的針對重點云平臺的網(wǎng)絡攻擊事件中,,境外攻擊源涉及美國、挪威、俄羅斯等在內(nèi)的國家57個,,包含威脅源節(jié)點721個,,其中發(fā)起攻擊事件最多的境外國家Top10如圖7所示。

  微信圖片_20210324171422.jpg

  圖7 物聯(lián)網(wǎng)云平臺網(wǎng)絡攻擊威脅源國家分布

  5  電力行業(yè)監(jiān)測

  為了解關鍵信息基礎設施聯(lián)網(wǎng)電力系統(tǒng)的網(wǎng)絡安全態(tài)勢,,本月重點對90余個電力WEB資產(chǎn)進行抽樣監(jiān)測,,資產(chǎn)覆蓋電力巡檢系統(tǒng)、電力監(jiān)測系統(tǒng),、電力MIS系統(tǒng),、電力辦公系統(tǒng)、電力管控系統(tǒng),、智慧電站系統(tǒng)和電力智能系統(tǒng)等,。分析發(fā)現(xiàn),所監(jiān)測電力資產(chǎn)IP均為NAT出口地址,,分布于全國23個省,、直轄市或自治區(qū),資產(chǎn)地域分布TOP10如圖8所示,,資產(chǎn)類型分布如同9所示,。

  微信圖片_20210324171452.jpg

  圖8 電力WEB資產(chǎn)地域分布

  微信圖片_20210324171511.jpg

  圖9 電力WEB資產(chǎn)類型分布

  抽樣監(jiān)測發(fā)現(xiàn),本月遭受攻擊的電力資產(chǎn)49個,,涉及高危攻擊事件200余起,,資產(chǎn)類型覆蓋電力MIS系統(tǒng)、電力監(jiān)測系統(tǒng),、電能管理系統(tǒng),、電力巡檢系統(tǒng)、電力管控系統(tǒng),、電力辦公系統(tǒng)和電力運維系統(tǒng)等,。詳細的資產(chǎn)攻擊分布如圖10所示。

  微信圖片_20210324171524.jpg

  圖10 被攻擊電力WEB資產(chǎn)類型分布

  在針對電力WEB資產(chǎn)的網(wǎng)絡攻擊中,,攻擊類型涵蓋遠程代碼執(zhí)行攻擊,、任意命令執(zhí)行攻擊、Web應用攻擊,、邏輯漏洞利用攻擊,、目錄遍歷攻擊等。詳細的攻擊類型分布如圖 11所示,。其中:遠程代碼執(zhí)行攻擊主要涉及Struts2遠程代碼執(zhí)行漏洞,、phpunit遠程代碼執(zhí)行漏洞和柯達圖像查看器遠程代碼執(zhí)行漏洞;Web應用攻擊主要涉及跨站腳本攻擊和SQL注入攻擊,;漏洞利用攻擊主要涉及GPON家庭路由器安全漏洞攻擊,;命令注入攻擊主要涉及ZeroShell遠程指令執(zhí)行漏洞,;目錄遍歷攻擊主要涉及AppearTVMaintenance Centre路徑遍歷攻擊;邏輯漏洞利用主要涉及登陸繞過,、驗證邏輯不合理漏洞等,。

微信圖片_20210324171626.jpg

  圖11 攻擊類型分布

  在針對電力WEB資產(chǎn)的網(wǎng)絡攻擊事件中,境外攻擊源涉及美國,、韓國,、德國、法國,、菲律賓等在內(nèi)的國家20個,,包含威脅節(jié)點73個,通過關聯(lián)威脅情報發(fā)現(xiàn),,大多數(shù)攻擊IP均存在可疑或惡意信息標記等,。其中發(fā)起攻擊事件最多的境外攻擊者信息如表2所示。

  表2 電力WEB資產(chǎn)攻擊源國家分布

  微信截圖_20210324171659.png

  通過抽樣監(jiān)測和態(tài)勢評估,,目前聯(lián)網(wǎng)電力資產(chǎn)仍然面臨很多安全風險,,存在諸多安全威脅,安全形勢依舊嚴峻,。CNCERT將持續(xù)對電力行業(yè)進行安全監(jiān)測,,對重點目標進行深入分析,定期通報電力行業(yè)網(wǎng)絡安全態(tài)勢,。

  6 總結

  CNCERT通過宏觀數(shù)據(jù)監(jiān)測,,發(fā)現(xiàn)物聯(lián)網(wǎng)“云管端”三個方面的安全問題,然而目前所發(fā)現(xiàn)的安全問題僅僅是關鍵信息基礎設施中物聯(lián)網(wǎng)網(wǎng)絡安全隱患的冰山一角,。CNCERT將長期關注物聯(lián)網(wǎng)網(wǎng)絡安全問題,,持續(xù)開展安全監(jiān)測和定期通報工作,。

  


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權歸版權所有權人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權者,。如涉及作品內(nèi)容、版權和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected],。