關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全(物聯(lián)網(wǎng)安全專題)監(jiān)測月報202109期
1��、概述
根據(jù)《網(wǎng)絡(luò)安全法》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例(征求意見稿)》對關(guān)鍵信息基礎(chǔ)設(shè)施定義和范圍的闡述,關(guān)鍵信息基礎(chǔ)設(shè)施(Critical Information Infrastructure���,CII)是指一旦遭到破壞�、喪失功能或者數(shù)據(jù)泄露,可能嚴重危害國家安全�����、國計民生����、公共利益的信息基礎(chǔ)設(shè)施���,包括能源�����、交通����、水利���、金融�、電子政務(wù)��、公共通信和信息服務(wù)等關(guān)鍵行業(yè)和領(lǐng)域。
隨著“新基建”�����、“工業(yè)互聯(lián)網(wǎng)”等戰(zhàn)略的快速推進以及Lora���、NB-IOT��、eMTC�����、5G等技術(shù)的快速發(fā)展����,物聯(lián)網(wǎng)與關(guān)鍵信息基礎(chǔ)設(shè)施已開始深度融合���,在提高行業(yè)的運行效率和便捷性的同時�����,也面臨嚴峻的網(wǎng)絡(luò)安全和數(shù)據(jù)安全挑戰(zhàn)�。因此���,亟需對關(guān)鍵信息基礎(chǔ)設(shè)施的物聯(lián)網(wǎng)安全問題加以重視和防護��。
CNCERT依托宏觀數(shù)據(jù)��,對關(guān)鍵信息基礎(chǔ)設(shè)施中的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全等方面的問題進行專項監(jiān)測����,以下是本月的監(jiān)測情況。
2��、物聯(lián)網(wǎng)終端設(shè)備監(jiān)測情況
2.1 活躍物聯(lián)網(wǎng)設(shè)備監(jiān)測情況
本月對物聯(lián)網(wǎng)設(shè)備的抽樣監(jiān)測顯示�,國內(nèi)活躍物聯(lián)網(wǎng)設(shè)備數(shù)522139臺���,包括工業(yè)控制設(shè)備�����、視頻監(jiān)控設(shè)備����、網(wǎng)絡(luò)存儲設(shè)備(NAS)���、網(wǎng)絡(luò)交換設(shè)備�、串口服務(wù)器、打印機等21個大類����,涉及西門子、羅克韋爾���、歐姆龍���、海康威視��、大華�����、思科等49個主流廠商����。
在本月所發(fā)現(xiàn)的活躍物聯(lián)網(wǎng)設(shè)備中,判別疑似物聯(lián)網(wǎng)蜜罐設(shè)備103個�����,蜜罐偽裝成可編程邏輯控制器��、視頻監(jiān)控設(shè)備等設(shè)備,仿真了HTTP�、SNMP、S7Comm���、Modbus���、BACnet等常用協(xié)議。實際活躍的物聯(lián)網(wǎng)設(shè)備522036臺分布在全國各個省份�,重點分布在臺灣、廣東�����、浙江��、遼寧和江蘇等34個省級行政區(qū)��。各省份設(shè)備數(shù)量分布情況如圖1所示����。
圖1 活躍物聯(lián)網(wǎng)設(shè)備省份分布
2.2 特定類型物聯(lián)網(wǎng)設(shè)備重點分析
在發(fā)現(xiàn)的活躍物聯(lián)網(wǎng)設(shè)備中��,本月針對對工業(yè)控制設(shè)備開展重點分析���。國內(nèi)活躍工控設(shè)備1466臺�����,包括可編程邏輯控制器�、工業(yè)交換機、串口服務(wù)器����、通信適配器等13種類型,涉及西門子���、羅克韋爾���、施耐德、霍尼韋爾�����、歐姆龍等21個主流廠商�����。
在本月所發(fā)現(xiàn)的工控設(shè)備中�,基于資產(chǎn)的的Banner信息和ISP歸屬信息等進行綜合研判��,識別疑似蜜罐設(shè)備31個���,占比2.1 %,仿真協(xié)議包括Modbus�、S7Comm、SNMP和EtherNetIP等����,典型蜜罐特征如表1所示。
表1工控設(shè)備蜜罐特征
以設(shè)備118.24.*.209為例��,設(shè)備監(jiān)測信息如表2所示����。判定該資產(chǎn)為蜜罐仿真設(shè)備的原因主要是:1)唯一性標識信息重復(fù) 2)開放端口眾多 3)標識信息不合規(guī) 4)ISP為云服務(wù)提供商
表2 118.24.*.209設(shè)備監(jiān)測信息
去除占比2.1%的工控設(shè)備蜜罐,本月實際監(jiān)測發(fā)現(xiàn)活躍工控設(shè)備1435臺���。對這些設(shè)備進行漏洞識別,128臺設(shè)備識別到安全風險�����,包括高危漏洞設(shè)備61臺和中危漏洞設(shè)備67臺����。這些具有漏洞的工控設(shè)備主要分布在江蘇����、安徽����、廣東等16個省份,詳細的設(shè)備省份分布如圖2所示�����。
圖2 具有漏洞的工控設(shè)備省份分布
3�、掃描探測組織活動監(jiān)測情況
3.1 掃描探測組織活躍性分析
本月監(jiān)測發(fā)現(xiàn)來自Shodan、ShadowServer和密歇根大學等掃描探測組織的405個探測節(jié)點針對境內(nèi)14356萬個IP發(fā)起探測活動���,探測事件總計30583萬余起�����,涉及探測目標端口26660余個���,境內(nèi)IP地址分布于33個省級行政區(qū),以北京、上海�、廣東等省市居多。重點組織的探測活動情況如表3所示�����。
表3 重點組織的探測活躍情況
監(jiān)測發(fā)現(xiàn)的405個探測組織活躍節(jié)點���,分別包括Shodan探測節(jié)點39個���、Shadowserver探測節(jié)點288個、Umich探測節(jié)點68個和Rapid7探測節(jié)點10個�,主要分布在美國、荷蘭�����、冰島等地區(qū)�,詳細的地理位置分布如圖3所示。
圖3 探測組織活躍節(jié)點地理位置分布
按照探測組織節(jié)點活躍情況進行排序����,表3為最活躍的10個節(jié)點信息,主要是Shodan和Shadowserver組織的節(jié)點��,這十個節(jié)點的探測事件數(shù)達20469萬起���,占總事件的66.93%�。
表4 探測組織活躍節(jié)點Top10
3.2 探測組織行為重點分析——Shadowserver組織
為詳細了解探測組織的探測行為���,本月對Shadowserver組織的探測行為進行了重點監(jiān)測分析��。
( 1 ) Shadowserver探測節(jié)點整體活動情況
監(jiān)測發(fā)現(xiàn)Shadowserver組織活躍節(jié)點288個�����,探測事件90251424起����,探測目標端口1086個�,目標涉及境內(nèi)59615357個IP地址,覆蓋全國33個省級行政區(qū)��。監(jiān)測發(fā)現(xiàn)的最為活躍節(jié)點信息如表5所示���。
表5 Shadowserver探測節(jié)點活躍度Top排序
( 2 ) Shadowserver探測節(jié)點時間行為分析
圖4為為Shadowserver活躍節(jié)點按天的活躍熱度圖����。首先,從節(jié)點每天探測數(shù)據(jù)趨勢可以看出�����,每個節(jié)點的活躍度相對穩(wěn)定�,基本保持在同一個數(shù)量級下;其次����,不同節(jié)點的探測活躍度存在一定程度的差異,探測活躍高的節(jié)點日探測事件幾十萬起�����,而探測活躍低的節(jié)點日探測事件為幾萬起�����。同時�����,位于同網(wǎng)段的探測節(jié)點�,探測事件數(shù)量級基本保持一致,如IP為184.105.247.194��、184.105.247.208、184.105.247.216和184.105.247.235的節(jié)點���,日探測事件均為幾十萬起。對比前期關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全監(jiān)測月報中針對Shadowserver組織的行為分析可以看出�,探測節(jié)點時間行為分析規(guī)律與前期分析結(jié)果保持一致。
圖4 Shadowserver節(jié)點日活躍熱度圖
( 3 ) Shadowserver探測節(jié)點協(xié)議行為分析
圖5為Shadowserver 節(jié)點按協(xié)議統(tǒng)計的探測行為熱度圖��。從圖中可以看出如下幾點特征:第一�����,對于多數(shù)節(jié)點而言����,針對同一協(xié)議的探測頻率分布比較均勻,存在個別節(jié)點(如184.105.247.235)��,探測頻率比較高���;第二����,同一節(jié)點針對不同協(xié)議的探測頻度不同�����;第三,不同節(jié)點的探測協(xié)議分布不同�����,如DNS�、TFTP、NTP�����、RTSP等協(xié)議����,只有部分節(jié)點存在探測行為;第四���,對比不同協(xié)議的被探測頻率���,整體來講,針對傳統(tǒng)IT類協(xié)議的探測頻度占比較高����,而對于熟知端口內(nèi)工控物聯(lián)網(wǎng)協(xié)議(如Modbus)的探測本次分析未發(fā)現(xiàn)���。
圖5 Shadowserver 節(jié)點協(xié)議探測頻度熱度圖
4、重點行業(yè)物聯(lián)網(wǎng)網(wǎng)絡(luò)安全
4.1 物聯(lián)網(wǎng)行業(yè)安全概述
為了解重點行業(yè)物聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢�����,本月篩選了電力�����、石油����、車聯(lián)網(wǎng)和軌道交通等行業(yè)的2396個資產(chǎn)(含物聯(lián)網(wǎng)設(shè)備及物聯(lián)網(wǎng)相關(guān)的web資產(chǎn))進行監(jiān)測���。監(jiān)測發(fā)現(xiàn)���,本月遭受攻擊的資產(chǎn)有1110個,主要分布在北京����、浙江、廣東�、山東��、上海等32個省份�����,涉及攻擊事件22953起�。其中���,各行業(yè)被攻擊資產(chǎn)數(shù)量及攻擊事件分布如表6所示��,被攻擊資產(chǎn)的省份分布如圖6所示�����。
表6 行業(yè)資產(chǎn)及攻擊事件分布
圖6 重點行業(yè)被攻擊資產(chǎn)的省份分布
對上述網(wǎng)絡(luò)攻擊事件進行分析��,境外攻擊源涉及美國�����、韓國等在內(nèi)的國家78個��,攻擊節(jié)點數(shù)總計3398個�����。其中���,按照攻擊事件源IP的國家分布���,排名前5分別為美國(8386起)、南非(2929起)��、保加利亞(879起)�����、韓國(778起)�、和俄羅斯(650起)�����。
對網(wǎng)絡(luò)攻擊事件的類型進行分析�����,本月面向行業(yè)資產(chǎn)的網(wǎng)絡(luò)攻擊中����,攻擊類型涵蓋了遠程代碼執(zhí)行攻擊����、命令執(zhí)行攻擊����、SQL注入攻擊、漏洞利用攻擊���、掃描攻擊等���。詳細的攻擊類型分布如圖 7所示。
圖7 物聯(lián)網(wǎng)行業(yè)資產(chǎn)攻擊類型分布
4.2 特定攻擊類型分析
在針對重點行業(yè)物聯(lián)網(wǎng)資產(chǎn)的網(wǎng)絡(luò)攻擊事件中�����,本月重點分析了PHP-CGI遠程任意代碼執(zhí)行漏洞攻擊��,涉及攻擊事件1258起���。
漏洞分析:PHP是一種HTML內(nèi)嵌式的語言��,與微軟的ASP頗有幾分相似�,都是一種在服務(wù)器端執(zhí)行的嵌入HTML文檔的腳本語言,語言的風格有類似于C語言�����,現(xiàn)在被很多的網(wǎng)站編程人員廣泛的運用����。可以被各種Web服務(wù)器以多種方式調(diào)用�����,實現(xiàn)動態(tài)網(wǎng)頁的功能��。PHP處理參數(shù)的傳遞時存在漏洞��,在特定的配置情況下���,遠程攻擊者可能利用此漏洞在服務(wù)器上獲取腳本源碼或執(zhí)行任意命令。當PHP以特定的CGI方式被調(diào)用時(例如Apache的mod_cgid)�,php-cgi接收處理過的查詢格式字符串作為命令行參數(shù),允許命令行開關(guān)(例如-s����、-d 或-c)傳遞到php-cgi程序,導致源代碼泄露和任意代碼執(zhí)行。
本月攻擊事件中PHP-CGI遠程任意代碼執(zhí)行漏洞攻擊示例如圖8所示�����。如圖可以看出���,攻擊執(zhí)行方式與漏洞背景分析一致���,攻擊者傳遞-d命令到php-cgi程序,進行漏洞攻擊嘗試����。
圖8 PHP-CGI遠程任意代碼執(zhí)行漏洞攻擊示例
4.3 物聯(lián)網(wǎng)資產(chǎn)數(shù)據(jù)流轉(zhuǎn)情況
針對重點行業(yè)物聯(lián)網(wǎng)資產(chǎn)的數(shù)據(jù)流轉(zhuǎn)情況進行監(jiān)測,本月共有2192個行業(yè)資產(chǎn)存在與境外節(jié)點的通信行為�����,通信頻次為17556萬次����。通聯(lián)境外國家Top10排名如圖9所示,其中排名最高的是美國(通信6782萬次����,節(jié)點55萬個)���。各行業(yè)通聯(lián)事件及資產(chǎn)數(shù)量分布如圖10所示,其中通信頻次最多的為電力行業(yè)�����,涉及1612個資產(chǎn)的13856萬余次通信�。
圖9 境外通聯(lián)國家事件Top10
圖10 行業(yè)通聯(lián)事件資產(chǎn)分布
4.4 重點行業(yè)物聯(lián)網(wǎng)安全威脅情報
( 1 ) 攻擊節(jié)點威脅情報
在針重點行業(yè)物聯(lián)網(wǎng)資產(chǎn)的網(wǎng)絡(luò)攻擊中,本月發(fā)起攻擊事件最多的境外IP Top10信息如表7所示��,涉及攻擊事件8572起�,占攻擊總事件的37.35%。
表7 境外攻擊IP Top10
( 2 ) 數(shù)據(jù)訪問威脅情報
在針對重點行業(yè)物聯(lián)網(wǎng)資產(chǎn)的數(shù)據(jù)訪問事件中��,本月與境內(nèi)行業(yè)資產(chǎn)訪問頻次最多的境外IP Top10信息如表8所示�。
表8 數(shù)據(jù)訪問IP Top10
對重點行業(yè)物聯(lián)網(wǎng)安全態(tài)勢進行評估,目前重點行業(yè)中的物聯(lián)網(wǎng)資產(chǎn)仍然面臨較多網(wǎng)絡(luò)安全風險�����,頻繁遭受攻擊��,各行業(yè)應(yīng)提高防護意識����,加強本行業(yè)的網(wǎng)絡(luò)安全技術(shù)防護手段建設(shè)。
5���、總結(jié)
CNCERT通過宏觀數(shù)據(jù)監(jiān)測����,在活躍設(shè)備���、探測組織����、重點行業(yè)攻擊事件等方面發(fā)現(xiàn)多種物聯(lián)網(wǎng)安全問題�����,然而需要指出的是����,目前所發(fā)現(xiàn)的問題只是物聯(lián)網(wǎng)網(wǎng)絡(luò)安全的冰山一角,CNCERT將長期關(guān)注物聯(lián)網(wǎng)網(wǎng)絡(luò)安全問題��,持續(xù)開展安全監(jiān)測和定期通報工作�����,同時期望與各行業(yè)共同攜手,提高行業(yè)物聯(lián)網(wǎng)安全防護水平�����。
來源:關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心
在線咨詢
在線咨詢
0371-63319761