關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全(物聯(lián)網(wǎng)安全專題)監(jiān)測月報202203期
1 概述
根據(jù)《網(wǎng)絡(luò)安全法》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見稿)》對關(guān)鍵信息基礎(chǔ)設(shè)施定義和范圍的闡述,關(guān)鍵信息基礎(chǔ)設(shè)施(Critical InformationInfrastructure,CII)是指一旦遭到破壞�����、喪失功能或者數(shù)據(jù)泄露���,可能嚴(yán)重危害國家安全��、國計(jì)民生�、公共利益的信息基礎(chǔ)設(shè)施�����,包括能源����、交通、水利���、金融����、電子政務(wù)����、公共通信和信息服務(wù)等關(guān)鍵行業(yè)和領(lǐng)域。
隨著“新基建”、“工業(yè)互聯(lián)網(wǎng)”等戰(zhàn)略的快速推進(jìn)以及Lora�����、NB-IOT�、eMTC、5G等技術(shù)的快速發(fā)展���,物聯(lián)網(wǎng)與關(guān)鍵信息基礎(chǔ)設(shè)施已開始深度融合����,在提高行業(yè)的運(yùn)行效率和便捷性的同時���,也面臨嚴(yán)峻的網(wǎng)絡(luò)安全和數(shù)據(jù)安全挑戰(zhàn)�。因此��,亟需對關(guān)鍵信息基礎(chǔ)設(shè)施的物聯(lián)網(wǎng)安全問題加以重視和防護(hù)��。
CNCERT依托宏觀數(shù)據(jù)�����,對關(guān)鍵信息基礎(chǔ)設(shè)施中的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全等方面的問題進(jìn)行專項(xiàng)監(jiān)測�����,以下是2022年3月的監(jiān)測情況����。
2 物聯(lián)網(wǎng)終端設(shè)備監(jiān)測情況
2.1 活躍物聯(lián)網(wǎng)設(shè)備監(jiān)測情況
本月對物聯(lián)網(wǎng)設(shè)備的抽樣監(jiān)測顯示,國內(nèi)活躍物聯(lián)網(wǎng)設(shè)備數(shù)496382臺�,包括工業(yè)控制設(shè)備、視頻監(jiān)控設(shè)備����、網(wǎng)絡(luò)存儲設(shè)備(NAS)、網(wǎng)絡(luò)交換設(shè)備����、串口服務(wù)器、打印機(jī)等14個大類��,涉及西門子���、羅克韋爾���、歐姆龍、?����?低暋⒋笕A�����、思科等49個主流廠商���。
在本月所發(fā)現(xiàn)的活躍物聯(lián)網(wǎng)設(shè)備中����,判別疑似物聯(lián)網(wǎng)蜜罐設(shè)備89個��,蜜罐偽裝成可編程邏輯控制器�����、視頻監(jiān)控設(shè)備等設(shè)備�,仿真了HTTP、SNMP����、S7Comm��、Modbus、BACnet等常用協(xié)議�。實(shí)際活躍的物聯(lián)網(wǎng)設(shè)備441164臺分布在全國各個省份,重點(diǎn)分布在臺灣��、廣東�、浙江、遼寧和江蘇等34個省級行政區(qū)�。各省份設(shè)備數(shù)量分布情況如圖1所示。
圖1 活躍物聯(lián)網(wǎng)設(shè)備省份分布
2.2 特定類型物聯(lián)網(wǎng)設(shè)備重點(diǎn)分析
在發(fā)現(xiàn)的活躍物聯(lián)網(wǎng)設(shè)備中����,本月針對對工業(yè)控制設(shè)備開展重點(diǎn)分析。國內(nèi)活躍工控設(shè)備1797臺��,包括可編程邏輯控制器���、工業(yè)交換機(jī)��、串口服務(wù)器���、通信適配器等9種類型,涉及西門子��、羅克韋爾�����、施耐德、霍尼韋爾�、歐姆龍等20個主流廠商。
在本月所發(fā)現(xiàn)的工控設(shè)備中���,基于資產(chǎn)的的Banner信息和ISP歸屬信息等進(jìn)行綜合研判��,識別疑似蜜罐設(shè)備19個��,占比1.06 %����,仿真協(xié)議包括Modbus����、S7Comm、SNMP和EtherNetIP等���,典型蜜罐特征如表1所示�����。
表1 工控設(shè)備蜜罐特征
以設(shè)備52.*.*.113為例�,設(shè)備監(jiān)測信息如表2所示。判定該資產(chǎn)為蜜罐仿真設(shè)備的原因主要是ISP為云服務(wù)提供商�����。
表1. 52.*.*.113設(shè)備監(jiān)測信息
去除占比1.06%的工控設(shè)備蜜罐��,本月實(shí)際監(jiān)測發(fā)現(xiàn)活躍工控設(shè)備1778臺��。對這些設(shè)備進(jìn)行漏洞識別�,83臺設(shè)備識別到安全風(fēng)險���,包括高危漏洞設(shè)備21臺和中危漏洞設(shè)備62臺����。這些具有漏洞的工控設(shè)備主要分布在遼寧�����、天津����、安徽等16個省份,詳細(xì)的設(shè)備省份分布如圖2所示�。
圖2 具有漏洞的工控設(shè)備省份分布
3 掃描探測組織活動監(jiān)測情況
3.1 掃描探測組織活躍性分析
本月監(jiān)測發(fā)現(xiàn)來自Shodan�����、ShadowServer和密歇根大學(xué)等掃描探測組織的402個探測節(jié)點(diǎn)針對境內(nèi)8998萬個IP發(fā)起探測活動��,探測事件總計(jì)15514萬余起��,涉及探測目標(biāo)端口26089余個����,境內(nèi)IP地址分布于34個省級行政區(qū)�,以北京、上海���、廣東等省市居多�����。重點(diǎn)組織的探測活動情況如表3所示�����。
表3 重點(diǎn)組織的探測活躍情況
監(jiān)測發(fā)現(xiàn)的402個探測組織活躍節(jié)點(diǎn)����,分別包括Shodan探測節(jié)點(diǎn)39個、Shadowserver探測節(jié)點(diǎn)288個�����、Umich探測節(jié)點(diǎn)65個和Rapid7探測節(jié)點(diǎn)10個����,主要分布在美國�����、荷蘭�、冰島等地區(qū),詳細(xì)的地理位置分布如圖3所示�。
圖3 探測組織活躍節(jié)點(diǎn)地理位置分布
按照探測組織節(jié)點(diǎn)活躍情況進(jìn)行排序,表3為最活躍的10個節(jié)點(diǎn)信息�����,主要是Shodan和Shadowserver組織的節(jié)點(diǎn)����,這十個節(jié)點(diǎn)的探測事件數(shù)達(dá)10636萬起,占總事件的67.4%。
表4 探測組織活躍節(jié)點(diǎn)Top10
3.2 探測組織行為重點(diǎn)分析——Shodan組織
為詳細(xì)了解探測組織的探測行為�����,本月對Shodan組織的探測行為進(jìn)行了重點(diǎn)監(jiān)測分析��。
(1)Shodan探測節(jié)點(diǎn)整體活動情況
監(jiān)測發(fā)現(xiàn)Shodan組織活躍節(jié)點(diǎn)39個���,探測事件71723339起�����,探測目標(biāo)端口13920個��,目標(biāo)涉及境內(nèi)71723339個IP地址�,覆蓋全國34個省級行政區(qū)��。監(jiān)測發(fā)現(xiàn)的最為活躍節(jié)點(diǎn)信息如表5所示���。
表5 Shodan探測節(jié)點(diǎn)活躍度Top排序
(2)Shodan探測節(jié)點(diǎn)時間行為分析
圖4為為Shodan活躍節(jié)點(diǎn)按天的活躍熱度圖����。首先�����,從節(jié)點(diǎn)每天探測數(shù)據(jù)趨勢可以看出,每個節(jié)點(diǎn)的活躍度相對穩(wěn)定��,基本保持在同一個數(shù)量級下��;其次����,不同節(jié)點(diǎn)的探測活躍度存在一定程度的差異,探測活躍高的節(jié)點(diǎn)日探測事件幾百萬起(如節(jié)點(diǎn)93.*.*.106和89.*.*.131)��,而探測活躍低的節(jié)點(diǎn)日探測事件為幾萬起(如節(jié)點(diǎn)89.*.*.16)���。同時,位于同網(wǎng)段的探測節(jié)點(diǎn)���,探測事件數(shù)量級基本保持一致�����,如節(jié)點(diǎn)71.*.*.185和節(jié)點(diǎn)71.*.*.186�����。對比前期關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全監(jiān)測月報中針對Shodan組織的行為分析可以看出���,探測節(jié)點(diǎn)時間行為分析規(guī)律與前期分析結(jié)果保持一致��。
圖4 Shodan節(jié)點(diǎn)日活躍熱度圖
(3)Shodan 探測節(jié)點(diǎn)協(xié)議行為分析
圖5為Shodan 節(jié)點(diǎn)按協(xié)議統(tǒng)計(jì)的探測行為熱度圖��。從圖中可以看出如下幾點(diǎn)特征:第一�����,對于多數(shù)節(jié)點(diǎn)而言����,同一節(jié)點(diǎn)針對不同協(xié)議的探測頻率分布是比較均勻的�,但存在個別節(jié)點(diǎn)的探測協(xié)議存傾向性,如節(jié)點(diǎn)66.*.*.138和節(jié)點(diǎn)66.*.*.119重點(diǎn)探測FTP����、Telnet、DNS和HTTP等協(xié)議��;第二���,針對同一協(xié)議�,不同節(jié)點(diǎn)間的探測頻度存在差異,如節(jié)點(diǎn)93.*.*.106針對多數(shù)協(xié)議探測頻度高達(dá)幾十萬起���,而節(jié)點(diǎn)66.*.*.146針對多數(shù)協(xié)議的探測頻度為幾千或幾萬起�����;第三����,對比不同協(xié)議的被探測頻率���,整體來講�,針對傳統(tǒng)IT類協(xié)議的探測頻度占比較高��,而對于工控物聯(lián)網(wǎng)協(xié)議(如Modbus)的探測頻度則占比較小��。
圖5 Shodan節(jié)點(diǎn)協(xié)議探測頻度熱度圖
4 重點(diǎn)行業(yè)物聯(lián)網(wǎng)網(wǎng)絡(luò)安全
4.1 物聯(lián)網(wǎng)行業(yè)安全概述
為了解重點(diǎn)行業(yè)物聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢����,本月篩選了電力�����、石油、車聯(lián)網(wǎng)和軌道交通等行業(yè)的2396個資產(chǎn)(含物聯(lián)網(wǎng)設(shè)備及物聯(lián)網(wǎng)相關(guān)的web資產(chǎn))進(jìn)行監(jiān)測����。監(jiān)測發(fā)現(xiàn),本月遭受攻擊的資產(chǎn)有1340個����,主要分布在北京、廣東����、浙江、山東����、上海等32個省份,涉及攻擊事件10727起���。其中�����,各行業(yè)被攻擊資產(chǎn)數(shù)量及攻擊事件分布如表6所示�,被攻擊資產(chǎn)的省份分布如圖6所示�����。
表6 行業(yè)資產(chǎn)及攻擊事件分布
圖6 重點(diǎn)行業(yè)被攻擊資產(chǎn)的省份分布
對上述網(wǎng)絡(luò)攻擊事件進(jìn)行分析,境外攻擊源涉及美國���、荷蘭等在內(nèi)的國家69個��,攻擊節(jié)點(diǎn)數(shù)總計(jì)1097個��。其中���,按照攻擊事件源IP的國家分布,排名前5分別為美國(2704起)����、和荷蘭(841起)、俄羅斯(734起)���、韓國(511起)和德國(430起)���。
對網(wǎng)絡(luò)攻擊事件的類型進(jìn)行分析�,本月面向行業(yè)資產(chǎn)的網(wǎng)絡(luò)攻擊中,攻擊類型涵蓋了遠(yuǎn)程代碼執(zhí)行攻擊��、命令執(zhí)行攻擊、SQL注入攻擊����、漏洞利用攻擊、掃描攻擊等���。詳細(xì)的攻擊類型分布如圖7所示�。
圖7物聯(lián)網(wǎng)行業(yè)資產(chǎn)攻擊類型分布
4.2 特定攻擊類型分析
在針對重點(diǎn)行業(yè)物聯(lián)網(wǎng)資產(chǎn)的網(wǎng)絡(luò)攻擊事件中�,本月重點(diǎn)分析的攻擊類型為ApacheLog4j2遠(yuǎn)程代碼執(zhí)行攻擊,涉及攻擊事件76起����。
漏洞分析:Log4j是Apache的一個開源項(xiàng)目,可以控制日志信息輸送到各種類型的目的地��,如控制臺��、文件����、套接口服務(wù)器等。Apache Log4j2是 Log4j的升級版本��,據(jù)分析����,該漏洞產(chǎn)生的原因在于Log4j在記錄日志的過程中會對日志內(nèi)容進(jìn)行判斷���,如果內(nèi)容中包含了${,則Log4j會認(rèn)為此字符屬于可替換的變量�,并且Log4j支持JNDI遠(yuǎn)程加載的方式替換變量值。只要是調(diào)用了Log4j的日志記錄功能����,并且有用戶可控的輸入,就可能導(dǎo)致JNDI注入���。
本月攻擊事件中Apache Log4j2遠(yuǎn)程代碼執(zhí)行攻擊示例如圖8所示��。如圖可以看出��,攻擊執(zhí)行方式與漏洞背景分析一致�����。
圖8Apache Log4j2遠(yuǎn)程代碼執(zhí)行攻擊示例
4.3 物聯(lián)網(wǎng)資產(chǎn)數(shù)據(jù)流轉(zhuǎn)情況
針對重點(diǎn)行業(yè)物聯(lián)網(wǎng)資產(chǎn)的數(shù)據(jù)流轉(zhuǎn)情況進(jìn)行監(jiān)測�,本月共有2350個行業(yè)資產(chǎn)存在與境外節(jié)點(diǎn)的通信行為�,通信頻次為14445萬次。通聯(lián)境外國家Top10排名如圖9所示�,其中排名最高的是美國(通信7720萬次,節(jié)點(diǎn)56萬個)�����。各行業(yè)通聯(lián)事件及資產(chǎn)數(shù)量分布如圖10所示���,其中通信頻次最多的為電力行業(yè)�,涉及1695個資產(chǎn)的10884萬余次通信����。
境外通聯(lián)國家事件Top10
圖10行業(yè)通聯(lián)事件資產(chǎn)分布
4.4 重點(diǎn)行業(yè)物聯(lián)網(wǎng)安全威脅情報
(1)攻擊節(jié)點(diǎn)威脅情報
在針重點(diǎn)行業(yè)物聯(lián)網(wǎng)資產(chǎn)的網(wǎng)絡(luò)攻擊中,本月發(fā)起攻擊事件最多的境外IPTop10信息如表7所示�����,涉及攻擊事件3429起���,占攻擊總事件的31.97%����。
表7 境外攻擊IP Top10
(2)數(shù)據(jù)訪問威脅情報
在針對重點(diǎn)行業(yè)物聯(lián)網(wǎng)資產(chǎn)的數(shù)據(jù)訪問事件中�����,本月與境內(nèi)行業(yè)資產(chǎn)訪問頻次最多的境外IP Top10信息如表8所示。
表8 數(shù)據(jù)訪問IP Top10
對重點(diǎn)行業(yè)物聯(lián)網(wǎng)安全態(tài)勢進(jìn)行評估�����,目前重點(diǎn)行業(yè)中的物聯(lián)網(wǎng)資產(chǎn)仍然面臨較多網(wǎng)絡(luò)安全風(fēng)險���,頻繁遭受攻擊����,各行業(yè)應(yīng)提高防護(hù)意識��,加強(qiáng)本行業(yè)的網(wǎng)絡(luò)安全技術(shù)防護(hù)手段建設(shè)�。
5 總結(jié)
CNCERT通過宏觀數(shù)據(jù)監(jiān)測,在活躍設(shè)備���、探測組織��、重點(diǎn)行業(yè)攻擊事件等方面發(fā)現(xiàn)多種物聯(lián)網(wǎng)安全問題�����,然而需要指出的是����,目前所發(fā)現(xiàn)的問題只是物聯(lián)網(wǎng)網(wǎng)絡(luò)安全的冰山一角,CNCERT將長期關(guān)注物聯(lián)網(wǎng)網(wǎng)絡(luò)安全問題���,持續(xù)開展安全監(jiān)測和定期通報工作,同時期望與各行業(yè)共同攜手�����,提高行業(yè)物聯(lián)網(wǎng)安全防護(hù)水平�����。
原文來源:關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心
在線咨詢
在線咨詢
0371-63319761