【连载】2016年中国网络空间安全年报(五)

2016年中国网络空间安全年报

2.3. 攻击目标分析

2.3.1. 受攻击站点操作系统与主流系统一致

图 2‑4 受攻击站点操作系统分布

根据风暴中心统计结果显示,在被攻击的网站群中,操作系统占比最大的分别为Windows、CentOS,ubuntu操作系统,三者占比高达总量的91%,这些类型也是我国网站群中使用较多的操作系统类型,具有典型的代表意义。

2.3.2. 高威胁的攻击源有多站点攻击迹象

根据风暴中心对几个重要行业站点受攻击的情况分析,政府机构与教育行业仍是最主要的受攻击目标,这与这两个行业的公众影响力有着直接的联系。

图 2‑5 受攻击域名类型分布TOP5

根据玄武盾统计的攻击排行TOP 10的IP进行检索,发现黑客的攻击目标不是单一的,往往攻击过大量的目标。

图 2‑6 TOP10 IP的攻击域名数量

根据分析得出,攻击多个域名的IP大部分为上级监测所使用的IP,也有部分IP是黑客团队所发起的网站群攻击行为,玄武盾中一旦识别到这类恶意攻击行为,即频繁多目标攻击的IP将会列入低信誉度的IP情报库,这类IP将会在后期出现可疑行为时被第一时间阻断。

3. 暴露在互联网中的工控设备安全现状

工控即工业自动化控制,主要是指使用计算机技术,微电子技术,电气手段,使工厂的生产和制造过程更加自动化、效率化、精确化,并具有可控性及可视性,小到随身使用的电子设备,大到电站电网、航空航天等,但随着工业信息化的发展,生产安全和公共安全正面临巨大的威胁,其造成的后果不容小觑。本章节主要结合2016年安恒研究院的分析成果,对全球及全国工控安全现状做简要阐述。

根据2000年以来ics.cnvd.org.cn(CNVD即国家信息安全漏洞共享平台)披露的工控系统行业的漏洞数量来看,2010年后越来越多的工控安全漏洞被披露,其中西门子等厂商的产品存在的安全威胁相对较大。

图 3‑1 自2000年起工控安全漏洞数量增长趋势(数据来源于CNVD)

工控漏洞在2010年之后始终开始保持增长趋势,从整体分析,出现此趋势一方面在于工业信息化的飞速发展,另一方面与受震网病毒的影响后网络安全意识有所提高有着较为直接的关系。综合近几年互联网中爆发的工控安全事件,可发现大部分攻击的根源都来自于利用了脆弱性较大的安全漏洞。

如下图,基于近几年披露的工控安全漏洞的等级来看,可以看到近94%的漏洞属于高中危漏洞,而高中危漏洞的严重性相比于其它漏洞而言危害更大。

图 3‑2 近年来工控系统安全漏洞安全等级数量及其占比

3.1. 工控安全事件频发并严重影响生产生活

自2010年震网病毒的爆发之后,各工业大国逐渐重视工控安全问题,工信部曾下发《关于加强工业控制系统信息安全管理的通知》、《工业控制系统信息安全防护指南》等,多次强调工业信息安全的重要性和紧迫性。根据目前互联网中披露的工控安全事件来看,各行各业均受到不同程度的安全威胁,本小节选取互联网典型工控安全事件做简单回顾。

1) Operation GHOUL(食尸鬼)行动

2016年8月,卡巴斯基安全实验室揭露了针对工控行业的“食尸鬼”网络攻击活动,攻击通过伪装阿联酋国家银行电邮,使用鱼叉式钓鱼邮件,对中东和其它国家的工控组织发起了定向网络入侵。攻击中使用键盘记录程序HawkEye收集受害系统相关信息。

“食尸鬼”攻击行动使用了商业现成的恶意软件,虽然没有创新,但其结合了社会工程学中人的因素,针对目标机构特定人员进行了成功的定向入侵渗透。

图 3‑3 工控设备现场

虽然这只是众多攻击中的一个案例,但可以看出工控行业在网络安全方面远远落后于攻击者。安全永远是一个棘手的问题,不能只单纯依靠技术来解决,在这起事件中可见人员安全意识同样重要,完善的安全监测防御技术和人员的安全意识因素必须综合考虑。

2) 伊朗黑客攻击美国大坝事件

图 3‑4 美国司法部公开指责涉事黑客

2016年3月24日,美国司法部公开指责7名伊朗黑客入侵了纽约鲍曼水坝(Bowman Avenue Dam)的一个小型防洪控制系统。幸运的是,经执法部门后期调查确认,黑客还没有完全获得整个大坝计算机系统的控制权,仅只是进行了一些信息获取和攻击尝试。这些伊朗黑客可能为伊朗伊斯兰革命卫队服务,他们还涉嫌攻击了包括摩根大通、美国银行、纽约证券交易所在内的46家金融机构。

电力、水力等行业与人们的生活密不可分,以上事件可看到,工控安全事件随时会危及到公众的安全,且造成的后果十分严重。相关工控厂商及安全厂商需要更加重视工控安全,及时发现、排除安全隐患,才能提升整体安全水平,从而更好地为公众服务、保障人们的安全。

3.2. 互联网中工控协议识别

如计算机通讯一样,工控系统中的通信协议也存在众多标准,其中包括众多私有协议,而众多工控协议在传输的过程中并不采取加密措施、协议本身也无认证步骤,因此可以根据协议的弱点进行攻击。

在众多公开或私有协议中可分为这大概几类:

  • 标准协议:国际标准或公认的标准协议,如Modbus、DNP3、IEC104等。
  • 私有公开:只有厂商自己设备支持并提供官方协议文档,如Omron FINS协议、三菱Melsec协议等。
  • 私有不公开协议:只有厂商自己设备支持且官方不提供协议文档,如S7、西门子PPI协议、GE SRTP等。

安恒可对上述协议进行探测,下文针对主流的工控协议进行简单的描述和说明。

  • SIEMENS

s7协议是SIEMENS s7协议族的标准通信协议,使用s7-应用接口的通信不依赖特定的总线系统。

  • CoDeSys

CoDeSys编程接口在全球范围内使用广泛,全球上百个设备制造商的自动化设备中都是用了该编程接口。

  • GE-SRTP

GE-SRTP协议由美国通用电气公司开发,GE PLC可以通过GE-SRTP进行数据通信和数据传输。

  • omron

欧姆龙PLC使用网络协议FINS进行通信,可通过多种不同的物理网络,如以太网、控制器连接等。

  • Modbus

Modbus协议是应用于电子控制器上的一种协议。通过此协议设备间可以通信。它已成为一通用工业标准。

  • Fox

Fox协议是Tridium公司开发的Niagara框架的一部分,广泛应用于楼宇自动化控制系统。

  • EtherNet/IP

Ethernet/IP是一个面向工业自动化应用的工业应用层协议。它建立在标准UDP/IP与TCP/IP协议之上,利用固定的以太网硬件和软件,为配置、访问和控制工业自动化设备定义了一个应用层协议。

  • DNP

DNP(Distributed Network Protocol,分布式网络规约)是一种应用于自动化组件之间的通讯协议,常见于电力、水处理等行业。SCADA可以使用DNP协议与主站、RTU、及IED进行通讯。

  • BACnet

楼宇自动控制网络数据通讯协议(BACnet)是针对采暖、通风、空调、制冷控制设备所设计,同时也为其他楼宇控制系统(例如照明、安保、消防等系统)的集成提供一个基本原则。

  • MELSEC-Qmelsecq

MELSEC-Q系列设备使用专用的网络协议进行通讯,该系列设备可以提供高速、大容量的数据处理和机器控制。

  • HART-IP

HART协议是美国Rosement公司于1985年推出的一种用于现场智能仪表和控制室设备之间的通信协议。现已成为全球智能仪表的工业标准 。

  • PCWorx

PCWorx协议由菲尼克斯电气公司开发,目前广泛使用于工控系统。

未完待续

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2017-01-27

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

疑似中国黑客盗售超2亿条日本个人身份信息

近日,一份 FireEye iSIGHT Intelligence 报告显示一名疑似来自中国的黑客在地下黑市中兜售约 2 亿名日本用户的个人身份信息(Perso...

13040
来自专栏企鹅号快讯

博览安全圈:挪威290万公民数据或遭黑客窃取

【IT168 资讯】为了响应国家号召,加强全民网络安全意识,我们会经常性的为大家奉上最具代表性的安全事件。 1. 挪威290万用户的医疗数据或被黑客窃取 近日,...

19780
来自专栏大数据文摘

盘点美国七大最严重的政府数据泄露事件

20620
来自专栏阮一峰的网络日志

关于 public.resource.org

版权制度中有一个原则,那就是政府文件是没有版权的,属于公共领域,任何人都可以自由使用。这是因为政府文件来自于纳税人的税款,理应属于全社会所有。 可是,虽然没有版...

30720
来自专栏企鹅号快讯

“商贸信”病毒重新活跃 四天狂发20万钓鱼邮件

12月上旬在全球范围大范围爆发的“商贸信”病毒近日再度复苏。根据腾讯安全御见情报中心检测发现,自12月11日起,“商贸信”病毒开始重新活跃,并在国内地区呈现爆发...

429100
来自专栏企鹅号快讯

济西站构建大数据运营网络,打造智能化列车加工厂

济西站瞄准职工对美好生活的需求,携手创建和谐共生、清洁美丽、文明向上的职场环境。 站区生活一体化 济西站秉承站区一家人、运输一盘棋、管理一体化的思想,将互联网+...

29570
来自专栏程序员互动联盟

黑客拿个人隐私数据干什么?

当黑客攻击网站系统, 偷走个人隐私数据, 对您的网站或者其他受害者来说风险着什么? 你的名字和邮件地址对网络犯罪者来说有什么价值?为此 CIO.com针对个人隐...

43340

安全使用网上银行的重要建议

数以百万计的巴克莱银行客户现在通过易于使用的智能手机App和在线银行技术来管理他们的财务,使他们可以随时随地自由体验银行服务。

12950
来自专栏大数据文摘

2014国内外数据泄密事件大盘点

27440
来自专栏FreeBuf

浅析煤炭企业如何进行工控安全建设

煤炭工业控制系统是整个煤炭企业安全生产监控系统信息的集成,它需要一个快速、安全、可靠的网络平台为大量的信息流动提供支撑,同时要有一个功能全面的安全生产信息应用系...

12330

扫码关注云+社区

领取腾讯云代金券