原创 | 工业互联网安全漏洞态势分析（2020年）

本文章主要以工业控制系统安全国家地方联合工程实验室漏洞库收录的工业控制系统相关的漏洞信息为基础，综合参考了CommonVulnerabilities & Exposures（CVE）、NationalVulnerability Database（NVD）、中国国家信息安全漏洞共享平台（CNVD）及国家信息安全漏洞库（CNNVD）所发布的漏洞信息，从工控漏洞的年度变化趋势、等级危害、漏洞类型、漏洞涉及行业、漏洞设备类型等方面分析工业控制系统的安全威胁态势及脆弱性。

本文章中的工控漏洞风险评估方法，基于通用漏洞评分系统，将可见性、可控性、漏洞利用目标服役情况等体现工控安全特性的指标纳入量化评估范围。该方法使用改进的工控漏洞风险评估算法，既可以生成工控漏洞的基础评分、生命周期评分，也可以用于安全人员结合实际工控安全场景的具体需求以生成环境评分。

工业互联网安全漏洞总体态势

根据中国国家信息安全漏洞共享平台最新统计，截止到2020年12月，CNVD收录的与工业控制系统相关的漏洞高达2955个，2020年新增的工业控制系统漏洞数量达到593个，工业控制系统漏洞数据再创历史新高，安全漏洞数量快速增长，整体形势严峻。CNVD工控新增漏洞年度分布如下所示：

图1  2000-2020年CNVD收录的工控系统漏洞数量分布图

在2020年，CommonVulnerabilities & Exposures（CVE）、NationalVulnerability Database（NVD）、中国国家信息安全漏洞共享平台（CNVD）及国家信息安全漏洞库（CNNVD）四大漏洞平台收录的漏洞信息共达到了804条漏洞，漏洞成因多样化特征明显，技术类型多达30种以上。其中，拒绝服务漏洞（111）、缓冲区溢出漏洞（99）和信息泄露漏洞(71)数量最为常见。2020年工控系统新增漏洞类型分布如下：

图2  2020年四大漏洞库平台收录的工控系统漏洞类型分布图

攻击者可以利用多样化的漏洞获取非法控制权、通过遍历的方式绕过验证机制、发送大量请求造成资源过载等安全事故。实际上，无论攻击者利用何种漏洞造成生产厂区的异常运行，均会影响工控系统组件及设备的可用性和可靠性。

在四大漏洞平台收录的工业控系统漏洞中，高危漏洞占比56.6%，中危漏洞占比为35.8%，中高危漏洞占比高达92.4%。在信息安全技术标准中定义：漏洞可以容易地对目标对象造成严重后果为高危漏洞，工业控制系统又多应用于国家关键基础设施，一旦遭受网络攻击，会造成较为严重的损失。

图3  2020年四大漏洞库平台收录的工控系统漏洞危险等级图

在收录的工业控制系统漏洞中，涉及到的前八大工控厂商分别为施耐德（Schneider）、西门子（Siemens）、研华（Advantech）、三菱（Mitsubishi）、摩莎（Moxa）、万可（WAGO）、思科（Cisco）和ABB。漏洞涉及主要厂商情况如下图所示：

图4  2020年四大漏洞库平台收录的工控设备厂商漏洞数据统计图

需要说明的是，虽然安全漏洞在一定程度上反映了工控系统的脆弱性，但不能仅通过被报告的厂商安全漏洞数量来片面判断比较厂商产品的安全性。因为一般来说，一个厂商的产品越是使用广泛，越会受到更多安全研究者的关注，因此被发现安全漏洞的可能性也越大。某种程度上来说，安全漏洞报告的厂商分布，更多程度上反映的是研究者的关注度。

在收录的工业控制系统安全漏洞中，多数分布在制造业、能源、水务、商业设施、石化、医疗、交通、农业、信息技术、航空等关键基础设施行业。一个漏洞可能涉及多个行业，在804个漏洞中，有708个漏洞涉及到制造业，也是占比最高的行业。涉及到的能源行业漏洞数量高达623个。制造业和能源行业工控漏洞较多，应加强这两个行业工业安全建设。漏洞行业分布图如下：

图5  2020年四大漏洞库平台收录的工控漏洞涉及行业分布图

工业互联网安全问题总结

安全漏洞数量快速增长，安全形势日益严峻。安全漏洞是工业互联网面临的首要安全问题之一。根据国家信息安全漏洞共享平台（CNVD）收录的工业控制系统漏洞显示，2020年工业控制系统安全漏洞高达593个，比2019年工控漏洞增长了180个，增长比例高达40%，漏洞数据再创历史新高。黑客通过工控系统设备存在的安全漏洞可攻击到生产网，一旦控制程序被篡改，将严重影响工业企业的生产运营，造成较为严重的损失。

制造业安全漏洞风险较高，攻击手段多样化。通过对2020年工业互联网安全新增漏洞涉及行业进行分析发现，制造业漏洞最多，攻击技术高达几十种，攻击破坏力较强，对关键基础设施的安全防护存在重大威胁。Dragos和X-Force发布的2020年《针对工控系统的勒索软件攻击评估报告》中显示，制造业是工业勒索软件增长最快的领域，从2018年到2020年数量增长了三倍。在过去两年，制造业也是勒索软件攻击最为频繁的行业。

转载请注明来源：关键基础设施安全响应中心

本文始发于微信公众号（关键基础设施安全应急响应中心）：原创 | 工业互联网安全漏洞态势分析（2020年）