《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全(物聯(lián)網(wǎng)安全專題)監(jiān)測月報202109期

關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全(物聯(lián)網(wǎng)安全專題)監(jiān)測月報202109期

2021-10-20
來源:關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心

  1

  概述

  根據(jù)《網(wǎng)絡(luò)安全法》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見稿)》對關(guān)鍵信息基礎(chǔ)設(shè)施定義和范圍的闡述,,關(guān)鍵信息基礎(chǔ)設(shè)施(Critical Information Infrastructure,,CII)是指一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國家安全,、國計民生,、公共利益的信息基礎(chǔ)設(shè)施,,包括能源,、交通、水利,、金融,、電子政務(wù)、公共通信和信息服務(wù)等關(guān)鍵行業(yè)和領(lǐng)域,。

  隨著“新基建”,、“工業(yè)互聯(lián)網(wǎng)”等戰(zhàn)略的快速推進(jìn)以及Lora、NB-IOT、eMTC,、5G等技術(shù)的快速發(fā)展,,物聯(lián)網(wǎng)與關(guān)鍵信息基礎(chǔ)設(shè)施已開始深度融合,在提高行業(yè)的運行效率和便捷性的同時,,也面臨嚴(yán)峻的網(wǎng)絡(luò)安全和數(shù)據(jù)安全挑戰(zhàn),。因此,亟需對關(guān)鍵信息基礎(chǔ)設(shè)施的物聯(lián)網(wǎng)安全問題加以重視和防護(hù),。

  CNCERT依托宏觀數(shù)據(jù),,對關(guān)鍵信息基礎(chǔ)設(shè)施中的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全等方面的問題進(jìn)行專項監(jiān)測,以下是本月的監(jiān)測情況,。

  2

  物聯(lián)網(wǎng)終端設(shè)備監(jiān)測情況

  2.1活躍物聯(lián)網(wǎng)設(shè)備監(jiān)測情況

  本月對物聯(lián)網(wǎng)設(shè)備的抽樣監(jiān)測顯示,,國內(nèi)活躍物聯(lián)網(wǎng)設(shè)備數(shù)522139臺,包括工業(yè)控制設(shè)備,、視頻監(jiān)控設(shè)備,、網(wǎng)絡(luò)存儲設(shè)備(NAS)、網(wǎng)絡(luò)交換設(shè)備,、串口服務(wù)器,、打印機等21個大類,涉及西門子,、羅克韋爾,、歐姆龍、??低暋⒋笕A,、思科等49個主流廠商,。

  在本月所發(fā)現(xiàn)的活躍物聯(lián)網(wǎng)設(shè)備中,判別疑似物聯(lián)網(wǎng)蜜罐設(shè)備103個,,蜜罐偽裝成可編程邏輯控制器,、視頻監(jiān)控設(shè)備等設(shè)備,仿真了HTTP,、SNMP,、S7Comm、Modbus,、BACnet等常用協(xié)議,。實際活躍的物聯(lián)網(wǎng)設(shè)備522036臺分布在全國各個省份,重點分布在臺灣,、廣東,、浙江、遼寧和江蘇等34個省級行政區(qū)。各省份設(shè)備數(shù)量分布情況如圖1所示,。

  圖1 活躍物聯(lián)網(wǎng)設(shè)備省份分布

  2.2特定類型物聯(lián)網(wǎng)設(shè)備重點分析

  在發(fā)現(xiàn)的活躍物聯(lián)網(wǎng)設(shè)備中,,本月針對對工業(yè)控制設(shè)備開展重點分析。國內(nèi)活躍工控設(shè)備1466臺,,包括可編程邏輯控制器,、工業(yè)交換機、串口服務(wù)器,、通信適配器等13種類型,,涉及西門子、羅克韋爾,、施耐德,、霍尼韋爾、歐姆龍等21個主流廠商,。

  在本月所發(fā)現(xiàn)的工控設(shè)備中,,基于資產(chǎn)的的Banner信息和ISP歸屬信息等進(jìn)行綜合研判,識別疑似蜜罐設(shè)備31個,,占比2.1 %,,仿真協(xié)議包括Modbus、S7Comm,、SNMP和EtherNetIP等,,典型蜜罐特征如表1所示。

  表1工控設(shè)備蜜罐特征

  以設(shè)備118.24.*.209為例,,設(shè)備監(jiān)測信息如表2所示,。判定該資產(chǎn)為蜜罐仿真設(shè)備的原因主要是:1)唯一性標(biāo)識信息重復(fù) 2)開放端口眾多 3)標(biāo)識信息不合規(guī) 4)ISP為云服務(wù)提供商

  表2 118.24.*.209設(shè)備監(jiān)測信息

  去除占比2.1%的工控設(shè)備蜜罐,本月實際監(jiān)測發(fā)現(xiàn)活躍工控設(shè)備1435臺,。對這些設(shè)備進(jìn)行漏洞識別,,128臺設(shè)備識別到安全風(fēng)險,包括高危漏洞設(shè)備61臺和中危漏洞設(shè)備67臺,。這些具有漏洞的工控設(shè)備主要分布在江蘇,、安徽、廣東等16個省份,,詳細(xì)的設(shè)備省份分布如圖2所示,。

  圖2 具有漏洞的工控設(shè)備省份分布

  3

  掃描探測組織活動監(jiān)測情況

  3.1掃描探測組織活躍性分析

  本月監(jiān)測發(fā)現(xiàn)來自Shodan、ShadowServer和密歇根大學(xué)等掃描探測組織的405個探測節(jié)點針對境內(nèi)14356萬個IP發(fā)起探測活動,,探測事件總計30583萬余起,,涉及探測目標(biāo)端口26660余個,境內(nèi)IP地址分布于33個省級行政區(qū),,以北京,、上海、廣東等省市居多。重點組織的探測活動情況如表3所示,。

  表3 重點組織的探測活躍情況

  監(jiān)測發(fā)現(xiàn)的405個探測組織活躍節(jié)點,,分別包括Shodan探測節(jié)點39個、Shadowserver探測節(jié)點288個,、Umich探測節(jié)點68個和Rapid7探測節(jié)點10個,,主要分布在美國、荷蘭,、冰島等地區(qū),,詳細(xì)的地理位置分布如圖3所示。

  圖3 探測組織活躍節(jié)點地理位置分布

  按照探測組織節(jié)點活躍情況進(jìn)行排序,,表3為最活躍的10個節(jié)點信息,,主要是Shodan和Shadowserver組織的節(jié)點,這十個節(jié)點的探測事件數(shù)達(dá)20469萬起,,占總事件的66.93%,。

  表4 探測組織活躍節(jié)點Top10

  3.2探測組織行為重點分析——Shadowserver組織

  為詳細(xì)了解探測組織的探測行為,本月對Shadowserver組織的探測行為進(jìn)行了重點監(jiān)測分析,。

 ?。?1 ) Shadowserver探測節(jié)點整體活動情況

  監(jiān)測發(fā)現(xiàn)Shadowserver組織活躍節(jié)點288個,探測事件90251424起,,探測目標(biāo)端口1086個,,目標(biāo)涉及境內(nèi)59615357個IP地址,覆蓋全國33個省級行政區(qū),。監(jiān)測發(fā)現(xiàn)的最為活躍節(jié)點信息如表5所示,。

  表5 Shadowserver探測節(jié)點活躍度Top排序

  ( 2 ) Shadowserver探測節(jié)點時間行為分析

  圖4為為Shadowserver活躍節(jié)點按天的活躍熱度圖,。首先,,從節(jié)點每天探測數(shù)據(jù)趨勢可以看出,每個節(jié)點的活躍度相對穩(wěn)定,,基本保持在同一個數(shù)量級下;其次,,不同節(jié)點的探測活躍度存在一定程度的差異,,探測活躍高的節(jié)點日探測事件幾十萬起,而探測活躍低的節(jié)點日探測事件為幾萬起,。同時,,位于同網(wǎng)段的探測節(jié)點,探測事件數(shù)量級基本保持一致,,如IP為184.105.247.194,、184.105.247.208、184.105.247.216和184.105.247.235的節(jié)點,日探測事件均為幾十萬起,。對比前期關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全監(jiān)測月報中針對Shadowserver組織的行為分析可以看出,,探測節(jié)點時間行為分析規(guī)律與前期分析結(jié)果保持一致。

  圖4 Shadowserver節(jié)點日活躍熱度圖

 ?。?3 ) Shadowserver探測節(jié)點協(xié)議行為分析

  圖5為Shadowserver 節(jié)點按協(xié)議統(tǒng)計的探測行為熱度圖,。從圖中可以看出如下幾點特征:第一,對于多數(shù)節(jié)點而言,,針對同一協(xié)議的探測頻率分布比較均勻,,存在個別節(jié)點(如184.105.247.235),探測頻率比較高,;第二,,同一節(jié)點針對不同協(xié)議的探測頻度不同;第三,,不同節(jié)點的探測協(xié)議分布不同,,如DNS、TFTP,、NTP,、RTSP等協(xié)議,只有部分節(jié)點存在探測行為,;第四,,對比不同協(xié)議的被探測頻率,整體來講,,針對傳統(tǒng)IT類協(xié)議的探測頻度占比較高,,而對于熟知端口內(nèi)工控物聯(lián)網(wǎng)協(xié)議(如Modbus)的探測本次分析未發(fā)現(xiàn)。

  圖5 Shadowserver 節(jié)點協(xié)議探測頻度熱度圖

  4

  重點行業(yè)物聯(lián)網(wǎng)網(wǎng)絡(luò)安全

  4.1物聯(lián)網(wǎng)行業(yè)安全概述

  為了解重點行業(yè)物聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢,,本月篩選了電力,、石油、車聯(lián)網(wǎng)和軌道交通等行業(yè)的2396個資產(chǎn)(含物聯(lián)網(wǎng)設(shè)備及物聯(lián)網(wǎng)相關(guān)的web資產(chǎn))進(jìn)行監(jiān)測,。監(jiān)測發(fā)現(xiàn),,本月遭受攻擊的資產(chǎn)有1110個,主要分布在北京,、浙江,、廣東、山東,、上海等32個省份,,涉及攻擊事件22953起。其中,,各行業(yè)被攻擊資產(chǎn)數(shù)量及攻擊事件分布如表6所示,,被攻擊資產(chǎn)的省份分布如圖6所示,。

  表6 行業(yè)資產(chǎn)及攻擊事件分布

  圖6 重點行業(yè)被攻擊資產(chǎn)的省份分布

  對上述網(wǎng)絡(luò)攻擊事件進(jìn)行分析,境外攻擊源涉及美國,、韓國等在內(nèi)的國家78個,,攻擊節(jié)點數(shù)總計3398個。其中,,按照攻擊事件源IP的國家分布,,排名前5分別為美國(8386起)、南非(2929起),、保加利亞(879起),、韓國(778起)、和俄羅斯(650起),。

  對網(wǎng)絡(luò)攻擊事件的類型進(jìn)行分析,,本月面向行業(yè)資產(chǎn)的網(wǎng)絡(luò)攻擊中,攻擊類型涵蓋了遠(yuǎn)程代碼執(zhí)行攻擊,、命令執(zhí)行攻擊,、SQL注入攻擊、漏洞利用攻擊,、掃描攻擊等,。詳細(xì)的攻擊類型分布如圖 7所示。

  圖7 物聯(lián)網(wǎng)行業(yè)資產(chǎn)攻擊類型分布

  4.2特定攻擊類型分析

  在針對重點行業(yè)物聯(lián)網(wǎng)資產(chǎn)的網(wǎng)絡(luò)攻擊事件中,,本月重點分析了PHP-CGI遠(yuǎn)程任意代碼執(zhí)行漏洞攻擊,,涉及攻擊事件1258起。

  漏洞分析:PHP是一種HTML內(nèi)嵌式的語言,,與微軟的ASP頗有幾分相似,,都是一種在服務(wù)器端執(zhí)行的嵌入HTML文檔的腳本語言,語言的風(fēng)格有類似于C語言,,現(xiàn)在被很多的網(wǎng)站編程人員廣泛的運用,。可以被各種Web服務(wù)器以多種方式調(diào)用,,實現(xiàn)動態(tài)網(wǎng)頁的功能,。PHP處理參數(shù)的傳遞時存在漏洞,在特定的配置情況下,,遠(yuǎn)程攻擊者可能利用此漏洞在服務(wù)器上獲取腳本源碼或執(zhí)行任意命令,。當(dāng)PHP以特定的CGI方式被調(diào)用時(例如Apache的mod_cgid),php-cgi接收處理過的查詢格式字符串作為命令行參數(shù),,允許命令行開關(guān)(例如-s、-d 或-c)傳遞到php-cgi程序,,導(dǎo)致源代碼泄露和任意代碼執(zhí)行,。

  本月攻擊事件中PHP-CGI遠(yuǎn)程任意代碼執(zhí)行漏洞攻擊示例如圖8所示,。如圖可以看出,攻擊執(zhí)行方式與漏洞背景分析一致,,攻擊者傳遞-d命令到php-cgi程序,,進(jìn)行漏洞攻擊嘗試。

  圖8 PHP-CGI遠(yuǎn)程任意代碼執(zhí)行漏洞攻擊示例

  4.3物聯(lián)網(wǎng)資產(chǎn)數(shù)據(jù)流轉(zhuǎn)情況

  針對重點行業(yè)物聯(lián)網(wǎng)資產(chǎn)的數(shù)據(jù)流轉(zhuǎn)情況進(jìn)行監(jiān)測,,本月共有2192個行業(yè)資產(chǎn)存在與境外節(jié)點的通信行為,,通信頻次為17556萬次。通聯(lián)境外國家Top10排名如圖9所示,,其中排名最高的是美國(通信6782萬次,,節(jié)點55萬個)。各行業(yè)通聯(lián)事件及資產(chǎn)數(shù)量分布如圖10所示,,其中通信頻次最多的為電力行業(yè),,涉及1612個資產(chǎn)的13856萬余次通信。

  圖9 境外通聯(lián)國家事件Top10

  圖10 行業(yè)通聯(lián)事件資產(chǎn)分布

  4.4重點行業(yè)物聯(lián)網(wǎng)安全威脅情報

 ?。?1 ) 攻擊節(jié)點威脅情報

  在針重點行業(yè)物聯(lián)網(wǎng)資產(chǎn)的網(wǎng)絡(luò)攻擊中,,本月發(fā)起攻擊事件最多的境外IP Top10信息如表7所示,涉及攻擊事件8572起,,占攻擊總事件的37.35%,。

  表7 境外攻擊IP Top10

  圖片

  ( 2 ) 數(shù)據(jù)訪問威脅情報

  在針對重點行業(yè)物聯(lián)網(wǎng)資產(chǎn)的數(shù)據(jù)訪問事件中,,本月與境內(nèi)行業(yè)資產(chǎn)訪問頻次最多的境外IP Top10信息如表8所示,。

  表8 數(shù)據(jù)訪問IP Top10

  對重點行業(yè)物聯(lián)網(wǎng)安全態(tài)勢進(jìn)行評估,目前重點行業(yè)中的物聯(lián)網(wǎng)資產(chǎn)仍然面臨較多網(wǎng)絡(luò)安全風(fēng)險,,頻繁遭受攻擊,,各行業(yè)應(yīng)提高防護(hù)意識,加強本行業(yè)的網(wǎng)絡(luò)安全技術(shù)防護(hù)手段建設(shè),。

  5

  總結(jié)

  CNCERT通過宏觀數(shù)據(jù)監(jiān)測,,在活躍設(shè)備、探測組織,、重點行業(yè)攻擊事件等方面發(fā)現(xiàn)多種物聯(lián)網(wǎng)安全問題,,然而需要指出的是,目前所發(fā)現(xiàn)的問題只是物聯(lián)網(wǎng)網(wǎng)絡(luò)安全的冰山一角,,CNCERT將長期關(guān)注物聯(lián)網(wǎng)網(wǎng)絡(luò)安全問題,,持續(xù)開展安全監(jiān)測和定期通報工作,同時期望與各行業(yè)共同攜手,,提高行業(yè)物聯(lián)網(wǎng)安全防護(hù)水平,。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]