关键信息基础设施网络安全(物联网安全专题)监测月报202007期

  • A+
所属分类:云安全

1
概述
根据《网络安全法》和《关键信息基础设施安全保护条例(征求意见稿)》对关键信息基础设施定义和范围的阐述,关键信息基础设施(Critical InformationInfrastructure,CII)是指一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的信息基础设施,包括能源、交通、水利、金融、电子政务、公共通信和信息服务等关键行业和领域。
随着“互联网+”、“工业互联网”等战略的积极推进以及Lora、NB-IOT、eMTC等物联技术的快速发展,物联网与关键信息基础设施已开始深度融合,在提高相关行业的运行效率和便捷性的同时,也增加了其遭受网络攻击的风险。因此,亟需对关键信息基础设施的物联网网络安全问题加以重视和防护。
CNCERT依托宏观监测数据,对关键信息基础设施中的物联网“云管端”等层面的网络安全问题进行专项监测,以下是本月的监测情况。

2
端——物联网终端网络安全监测情况
( 1 ) 活跃通信物联网终端监测情况
本月抽样监测发现有18万台物联网终端设备与境外超过7万个IP地址进行了直接协议通信,其中包括工业控制设备894台,交换机、路由器设备124362台,网络监控设备60792台、联网打印机173个以及视频会议系统166个。
本月监测发现的物联网终端设备中涉及的主要厂商分布情况如下:
关键信息基础设施网络安全(物联网安全专题)监测月报202007期工业控制设备:主要厂商包括韦益可自控(25.11%)、罗克韦尔(14.44%)、施耐德(14.0%)、西门子(11.67%)、摩莎(9.67%)、欧姆龙(8.44%);其设备类型主要包括可编程控制器、串口服务器、工业交换机、通信适配器等,类型分布情况如图1所示。
关键信息基础设施网络安全(物联网安全专题)监测月报202007期
图1 活跃通信工控设备类型分布
关键信息基础设施网络安全(物联网安全专题)监测月报202007期交换机、路由器设备:主要厂商包括华三(50.10%)、锐捷(21.08%)、华为(18.77%)、中兴(5.89%)、思科(3.27%)、雷凌(0.30%);
关键信息基础设施网络安全(物联网安全专题)监测月报202007期网络监控设备主要厂商:包括海康威视(75.95%)、大华(18.64%)和雄迈(5.41%)。
关键信息基础设施网络安全(物联网安全专题)监测月报202007期联网打印机设备主要厂商:包括富士(49.13%)、柯尼卡美能达(15.03%)、佳能(12.72%)、兄弟(8.67%)、爱普生(9.83%)和惠普(4.62%)。
其中,针对监测到的联网监控设备进行弱口令检测,发现164台设备存在弱口令风险,包括海康威视设备140台和大华设备24台。
监测发现的活跃物联网终端设备中,排名前5的省份分别是山西、广东、吉林、浙江和江苏,各省份设备数量分布情况如图2所示。
关键信息基础设施网络安全(物联网安全专题)监测月报202007期
图2 活跃物联网设备省市分布
针对活跃工控设备的重点监测发现,本月工控设备与境外IP通信事件共125万起,涉及国家86个,主要境外IP数量的国家分布如表1所示。
表1 境外通信IP数量的国家分布
关键信息基础设施网络安全(物联网安全专题)监测月报202007期
( 2 ) 网络空间资源测绘组织活跃情况分析
本月抽样监测发现来自Shodan和ShadowServer等网络空间测绘组织针对工控设备的探测响应事件955起,涉及探测节点16个,探测协议包括Modbus、S7Comm、Fox、FINS、BACnet等,探测响应事件的协议分布如图3所示。
关键信息基础设施网络安全(物联网安全专题)监测月报202007期
图3 探测响应事件的协议分布

3
管——物联网网络安全事件监测
根据CNCERT监测数据,自2020年7月1日至31日,共监测到物联网(IoT)设备恶意样本10259个,家族分布如图4所示。发现样本传播服务器IP地址46800个,主要位于俄罗斯(16.7%)、巴西(11.6%)、格鲁吉亚(10.6%)、伊朗(6.2%)等。境内疑似被感染的设备地址达746万个,其中,浙江占比最高,为19.6%,其次是北京(14.7%)、台湾(12.9%)、广东(8.7%)等。详情参见威胁情报月报。

关键信息基础设施网络安全(物联网安全专题)监测月报202007期

图4 恶意样本家族分布

4
云——物联网云平台安全监测
( 1 ) 物联网云平台网络攻击监测情况
本月抽样监测发现,针对三一重工ROOTCLOUD、航天科工CASICloud、海尔COSMOPlat、浪潮M81、智能云科iSESOL、机智云GiZwits 等重点物联网云平台的网络攻击事件1796起,攻击类型涉及漏洞利用攻击、拒绝服务攻击、SQL注入攻击、跨站脚本攻击等。
本月重点物联网云平台攻击事件的平台分布如图5所示,涉及的攻击类型分布如图6所示。
关键信息基础设施网络安全(物联网安全专题)监测月报202007期
图5 物联网云平台攻击事件的平台分布
关键信息基础设施网络安全(物联网安全专题)监测月报202007期
图6 物联网云平台网络攻击类型分布
本月所监测到的针对重点云平台的网络攻击事件中,境外攻击源涉及美国、英国、法国等在内的国家53个,包含威胁源节点478个,其中发起攻击事件最多的境外国家Top10如图7所示。
关键信息基础设施网络安全(物联网安全专题)监测月报202007期
图7 物联网云平台网络攻击威胁源国家分布

5
电力行业监测
为了解关键信息基础设施联网电力系统的网络安全态势,本月重点对90余个电力WEB资产进行抽样监测,资产覆盖电力巡检系统、电力监测系统、电力MIS系统、电力办公系统、电力管控系统、智慧电站系统和电力智能系统等。分析发现,所监测电力资产IP均为NAT出口地址,分布于全国23个省、直辖市或自治区,资产地域分布TOP10如图8所示,资产类型分布如同9所示。

关键信息基础设施网络安全(物联网安全专题)监测月报202007期

图8 电力WEB资产地域分布
关键信息基础设施网络安全(物联网安全专题)监测月报202007期
图9 电力WEB资产类型分布
抽样监测发现,本月遭受攻击的电力资产87个,涉及攻击事件1545起(高危276起,中危502起,低危767起),资产类型覆盖电力办公系统、电力MIS系统、电力监测系统、电力运维系统、电力巡检系统、电力管控系统、电能管理系统和电力智能云系统等。详细的资产攻击分布如图10所示。
关键信息基础设施网络安全(物联网安全专题)监测月报202007期
图10 被攻击电力WEB资产类型分布
在针对电力WEB资产的网络攻击中,攻击类型涵盖Web应用攻击、命令注入攻击、恶意软件攻击、漏洞利用攻击、逻辑漏洞利用和资产扫描等。详细的攻击类型分布如图11所示。其中:漏洞利用攻击主要涉及Windows服务器远程桌面协议漏洞(CVE-2019-0708)和Linksys E系列路由器漏洞;命令注入攻击主要涉及DrayTek企业网络设备命令后注入(CVE-2020-8515);恶意软件攻击主要涉及Miraia僵尸网络、Polaris僵尸网络和物联网恶意软件下载器等;Web应用攻击JAWS Web服务器未授权执行Shell命令;资产扫描主要涉及基于Zmap工具的网络资产探测;逻辑漏洞利用主要涉及登陆绕过、验证逻辑不合理漏洞等。
关键信息基础设施网络安全(物联网安全专题)监测月报202007期
图11 攻击类型分布

在针对电力WEB资产的网络攻击事件中,境外攻击源涉及美国、俄罗斯、德国等在内的国家48个,包含威胁节点621个,通过关联威胁情报发现,大多数攻击IP均存在可疑或恶意信息标记等。其中发起攻击事件最多的境外攻击者信息如表2所示。

表2 电力WEB资产攻击源国家分布

关键信息基础设施网络安全(物联网安全专题)监测月报202007期

通过抽样监测和态势评估,目前联网电力资产仍然面临很多安全风险,存在诸多安全威胁,安全形势依旧严峻。CNCERT将持续对电力行业进行安全监测,对重点目标进行深入分析,定期通报电力行业网络安全态势。

6
总结

CNCERT通过宏观数据监测,发现物联网“云管端”三个方面的安全问题,然而目前所发现的安全问题仅仅是关键信息基础设施中物联网网络安全隐患的冰山一角。CNCERT将长期关注物联网网络安全问题,持续开展安全监测和定期通报工作。



原文来源:关键基础设施安全应急响应中心

关键信息基础设施网络安全(物联网安全专题)监测月报202007期

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: