根据《网络安全法》和《关键信息基础设施安全保护条例(征求意见稿)》对关键信息基础设施定义和范围的阐述,关键信息基础设施(Critical InformationInfrastructure,CII)是指一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的信息基础设施,包括能源、交通、水利、金融、电子政务、公共通信和信息服务等关键行业和领域。
随着“互联网+”、“工业互联网”等战略的积极推进以及Lora、NB-IOT、eMTC等物联技术的快速发展,物联网与关键信息基础设施已开始深度融合,在提高相关行业的运行效率和便捷性的同时,也增加了其遭受网络攻击的风险。因此,亟需对关键信息基础设施的物联网网络安全问题加以重视和防护。
CNCERT依托宏观监测数据,对关键信息基础设施中的物联网“云管端”等层面的网络安全问题进行专项监测,以下是本月的监测情况。
( 1 ) 活跃通信物联网终端监测情况
本月抽样监测发现有9万台物联网终端设备与境外超过5万个IP地址进行了直接协议通信,其中包括工业控制设备673台,交换机、路由器设备81564台,网络监控设备6416台、联网打印机177个以及视频会议系统28个。
本月监测发现的物联网终端设备中涉及的主要厂商分布情况如下:
工业控制设备:主要厂商包括韦益可自控(22.14%)、罗克韦尔(17.98%)、西门子(17.53%)、施耐德(15.75%)、摩莎(8.93%)、欧姆龙(8.92%);其设备类型主要包括可编程控制器、串口服务器、工业交换机、通信适配器等,类型分布情况如图1所示。
交换机、路由器设备:主要厂商包括华三(54.84%)、华为(21.47%)、锐捷(12.03%)、中兴(5.81%)、思科(4.91%)、雷凌(0.26%);
网络监控设备主要厂商:包括海康威视(78.49%)、大华(18.16%)和雄迈(3.55%)。
联网打印机设备主要厂商:包括富士(47.13%)、佳能(17.24%)、柯尼卡美能达(12.64%)、兄弟(9.77%)、爱普生(9.47%)和惠普(5.75%)。
针对活跃工控设备的重点监测发现,本月工控设备与境外IP通信事件共694万起,涉及国家70个,主要境外IP数量的国家分布如表1所示。
本月抽样监测发现来自Shodan和ShadowServer等网络空间测绘组织针对工控设备的探测响应事件929起,涉及探测节点15个,探测协议包括Modbus、S7Comm、Fox、FINS、BACnet等,探测响应事件的协议分布如图3所示。
( 1 ) 物联网云平台网络攻击监测情况
本月抽样监测发现,针对三一重工ROOTCLOUD、海尔COSMOPlat、航天云网CASICloud、智能云科iSESOL、徐工汉云HANYUN等重点物联网云平台的网络攻击事件6587起,攻击类型涉及漏洞利用攻击、拒绝服务攻击、命令注入攻击、SQL注入攻击、跨站脚本攻击、目录遍历攻击等。
本月重点物联网云平台攻击事件的平台分布如图4所示,涉及的攻击类型分布如图5所示。
本月所监测到的针对重点云平台的网络攻击事件中,境外攻击源涉及美国、俄罗斯、罗马尼亚等在内的国家51个,包含威胁源节点601个,其中发起攻击事件最多的境外国家Top10如图6所示。
本月对网关类设备进行了漏洞挖掘与安全监测,发现了某品牌网关类设备60023、8081端口和UPnP协议存在0-day漏洞。进一步抽样监测发现,本月针对上述0-day漏洞的攻击事件586932起,涉及到资产IP 30419个,威胁源IP 2154个。攻击详情如表 2所示,不同攻击类型的比例分布如图7所示。
表2 网关类设备攻击详情
图7 网关类资产攻击类型
受攻击设备主要分布在广东、安徽、浙江等省份,资产地域分布TOP10如图8所示:
CNCERT通过宏观数据监测,发现物联网“云管端”三个方面的安全问题,然而目前所发现的安全问题仅仅是关键信息基础设施中物联网网络安全隐患的冰山一角。CNCERT将长期关注物联网网络安全问题,持续开展安全监测和定期通报工作。
本文始发于微信公众号(网络安全应急技术国家工程实验室):关键信息基础设施网络安全(物联网安全专题)监测月报202010期
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论