關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全(物聯(lián)網(wǎng)安全專題)監(jiān)測(cè)月報(bào)202205期
1 概述
根據(jù)《網(wǎng)絡(luò)安全法》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見稿)》對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施定義和范圍的闡述���,關(guān)鍵信息基礎(chǔ)設(shè)施(Critical Information Infrastructure�����,CII)是指一旦遭到破壞����、喪失功能或者數(shù)據(jù)泄露��,可能嚴(yán)重危害國(guó)家安全�����、國(guó)計(jì)民生、公共利益的信息基礎(chǔ)設(shè)施���,包括能源�、交通���、水利、金融����、電子政務(wù)、公共通信和信息服務(wù)等關(guān)鍵行業(yè)和領(lǐng)域��。
隨著“新基建”�����、“工業(yè)互聯(lián)網(wǎng)”等戰(zhàn)略的快速推進(jìn)以及Lora�����、NB-IOT�����、eMTC、5G等技術(shù)的快速發(fā)展���,物聯(lián)網(wǎng)與關(guān)鍵信息基礎(chǔ)設(shè)施已開始深度融合����,在提高行業(yè)的運(yùn)行效率和便捷性的同時(shí)����,也面臨嚴(yán)峻的網(wǎng)絡(luò)安全和數(shù)據(jù)安全挑戰(zhàn)。因此�,亟需對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的物聯(lián)網(wǎng)安全問(wèn)題加以重視和防護(hù)。
CNCERT依托宏觀數(shù)據(jù)�����,對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施中的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全等方面的問(wèn)題進(jìn)行專項(xiàng)監(jiān)測(cè)���,以下是2022年5月的監(jiān)測(cè)情況���。
2 物聯(lián)網(wǎng)終端設(shè)備監(jiān)測(cè)情況
2.1 活躍物聯(lián)網(wǎng)設(shè)備監(jiān)測(cè)情況
本月對(duì)物聯(lián)網(wǎng)設(shè)備的抽樣監(jiān)測(cè)顯示,國(guó)內(nèi)活躍物聯(lián)網(wǎng)設(shè)備數(shù)473597臺(tái)�,包括工業(yè)控制設(shè)備、視頻監(jiān)控設(shè)備、網(wǎng)絡(luò)存儲(chǔ)設(shè)備(NAS)�����、網(wǎng)絡(luò)交換設(shè)備���、串口服務(wù)器��、打印機(jī)等15個(gè)大類��,涉及西門子���、歐姆龍��、?����?低?����、三星��、索尼、思科等48個(gè)主流廠商�。
在本月所發(fā)現(xiàn)的活躍物聯(lián)網(wǎng)設(shè)備中,判別疑似物聯(lián)網(wǎng)蜜罐設(shè)備79個(gè)���,蜜罐偽裝成可編程邏輯控制器���、視頻監(jiān)控設(shè)備等設(shè)備,仿真了HTTP��、SNMP����、S7Comm、Modbus�����、BACnet等常用協(xié)議���。實(shí)際活躍的物聯(lián)網(wǎng)設(shè)備473518臺(tái)分布在全國(guó)各個(gè)省份��,重點(diǎn)分布在臺(tái)灣����、廣東、浙江�、遼寧和江蘇等34個(gè)省級(jí)行政區(qū)。各省份設(shè)備數(shù)量分布情況如圖1所示��。
圖1 活躍物聯(lián)網(wǎng)設(shè)備省份分布
2.2 特定類型物聯(lián)網(wǎng)設(shè)備重點(diǎn)分析
在發(fā)現(xiàn)的活躍物聯(lián)網(wǎng)設(shè)備中�����,本月針對(duì)對(duì)工業(yè)控制設(shè)備開展重點(diǎn)分析�����。國(guó)內(nèi)活躍工控設(shè)備1599臺(tái)�,包括可編程邏輯控制器、工業(yè)交換機(jī)�、串口服務(wù)器、通信適配器等9種類型�,涉及西門子��、羅克韋爾�、施耐德、霍尼韋爾����、歐姆龍等20個(gè)主流廠商。
在本月所發(fā)現(xiàn)的工控設(shè)備中,基于資產(chǎn)的的Banner信息和ISP歸屬信息等進(jìn)行綜合研判�����,識(shí)別疑似蜜罐設(shè)備18個(gè)��,占比1.13 %�����,仿真協(xié)議包括Modbus�����、S7Comm���、SNMP和EtherNetIP等�����,典型蜜罐特征如表1所示���。
表1 工控設(shè)備蜜罐特征
以設(shè)備139.*.*.227為例,設(shè)備監(jiān)測(cè)信息如表2所示�����。判定該資產(chǎn)為蜜罐仿真設(shè)備的原因主要是ISP為云服務(wù)提供商。
表2. 139.*.*.227設(shè)備監(jiān)測(cè)信息
去除占比1.13%的工控設(shè)備蜜罐�����,本月實(shí)際監(jiān)測(cè)發(fā)現(xiàn)活躍工控設(shè)備1581臺(tái)����。對(duì)這些設(shè)備進(jìn)行漏洞識(shí)別,93臺(tái)設(shè)備識(shí)別到安全風(fēng)險(xiǎn)�,包括高危漏洞設(shè)備36臺(tái)和中危漏洞設(shè)備57臺(tái)。這些具有漏洞的工控設(shè)備主要分布在遼寧��、天津���、安徽等16個(gè)省份���,詳細(xì)的設(shè)備省份分布如圖2所示。
圖2 具有漏洞的工控設(shè)備省份分布
3 掃描探測(cè)組織活動(dòng)監(jiān)測(cè)情況
3.1 掃描探測(cè)組織活躍性分析
本月監(jiān)測(cè)發(fā)現(xiàn)來(lái)自Shodan����、ShadowServer和密歇根大學(xué)等掃描探測(cè)組織的402個(gè)探測(cè)節(jié)點(diǎn)針對(duì)境內(nèi)7649萬(wàn)個(gè)IP發(fā)起探測(cè)活動(dòng)�����,探測(cè)事件總計(jì)12191萬(wàn)余起,涉及探測(cè)目標(biāo)端口21687余個(gè)���,境內(nèi)IP地址分布于34個(gè)省級(jí)行政區(qū)��,以北京�����、上海��、廣東等省市居多����。重點(diǎn)組織的探測(cè)活動(dòng)情況如表3所示����。
表3 重點(diǎn)組織的探測(cè)活躍情況
監(jiān)測(cè)發(fā)現(xiàn)的402個(gè)探測(cè)組織活躍節(jié)點(diǎn),分別包括Shodan探測(cè)節(jié)點(diǎn)36個(gè)�����、Shadowserver探測(cè)節(jié)點(diǎn)288個(gè)��、Umich探測(cè)節(jié)點(diǎn)68個(gè)和Rapid7探測(cè)節(jié)點(diǎn)10個(gè),主要分布在美國(guó)��、荷蘭����、冰島等地區(qū),詳細(xì)的地理位置分布如圖3所示��。
圖3 探測(cè)組織活躍節(jié)點(diǎn)地理位置分布
按照探測(cè)組織節(jié)點(diǎn)活躍情況進(jìn)行排序�,表3為最活躍的10個(gè)節(jié)點(diǎn)信息,主要是Shodan和Shadowserver組織的節(jié)點(diǎn)�,這十個(gè)節(jié)點(diǎn)的探測(cè)事件數(shù)達(dá)8076萬(wàn)起,占總事件的66%����。
表4 探測(cè)組織活躍節(jié)點(diǎn)Top10
3.2 探測(cè)組織行為重點(diǎn)分析——Shodan組織
為詳細(xì)了解探測(cè)組織的探測(cè)行為,本月對(duì)Shodan組織的探測(cè)行為進(jìn)行了重點(diǎn)監(jiān)測(cè)分析��。
(1)Shodan探測(cè)節(jié)點(diǎn)整體活動(dòng)情況
監(jiān)測(cè)發(fā)現(xiàn)Shodan組織活躍節(jié)點(diǎn)36個(gè)��,探測(cè)事件88302352起���,探測(cè)目標(biāo)端口14456個(gè)��,目標(biāo)涉及境內(nèi)56718510個(gè)IP地址�,覆蓋全國(guó)34個(gè)省級(jí)行政區(qū)���。監(jiān)測(cè)發(fā)現(xiàn)的最為活躍節(jié)點(diǎn)信息如表5所示��。
表5 Shodan探測(cè)節(jié)點(diǎn)活躍度Top排序
(2)Shodan探測(cè)節(jié)點(diǎn)時(shí)間行為分析
圖4為Shodan活躍節(jié)點(diǎn)按天的活躍熱度圖��。首先�����,從節(jié)點(diǎn)每天探測(cè)數(shù)據(jù)趨勢(shì)可以看出����,每個(gè)節(jié)點(diǎn)的活躍度相對(duì)穩(wěn)定�,基本保持在同一個(gè)數(shù)量級(jí)下;其次�����,不同節(jié)點(diǎn)的探測(cè)活躍度存在一定程度的差異�,探測(cè)活躍高的節(jié)點(diǎn)日探測(cè)事件幾十萬(wàn)起,而探測(cè)活躍低的節(jié)點(diǎn)日探測(cè)事件為幾萬(wàn)起��。同時(shí)�����,位于同網(wǎng)段的探測(cè)節(jié)點(diǎn),探測(cè)事件數(shù)量級(jí)基本保持一致�,如IP為71.*.*.185、71.*.*.200��、71.*.*.142���、71.*.*.131和71.*.*.186的節(jié)點(diǎn)���,日探測(cè)事件均為幾十萬(wàn)起。對(duì)比前期關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全監(jiān)測(cè)月報(bào)中針對(duì)Shodan組織的行為分析可以看出����,探測(cè)節(jié)點(diǎn)時(shí)間行為分析規(guī)律與前期分析結(jié)果保持一致。
圖4 Shodan節(jié)點(diǎn)日活躍熱度圖
(3)Shodan探測(cè)節(jié)點(diǎn)協(xié)議行為分析
圖5為Shodan 節(jié)點(diǎn)按協(xié)議統(tǒng)計(jì)的探測(cè)行為熱度圖�����。從圖中可以看出如下幾點(diǎn)特征:第一��,對(duì)于多數(shù)節(jié)點(diǎn)而言��,同一節(jié)點(diǎn)針對(duì)不同協(xié)議的探測(cè)頻率分布是比較均勻的,但存在個(gè)別節(jié)點(diǎn)的探測(cè)協(xié)議存傾向性����,如節(jié)點(diǎn)66.*.*.138和節(jié)點(diǎn)66.*.*.119重點(diǎn)探測(cè)FTP、Telnet和LDAP等協(xié)議���;第二,針對(duì)同一協(xié)議�����,不同節(jié)點(diǎn)間的探測(cè)頻度存在差異���,如節(jié)點(diǎn)93.*.*.106針對(duì)多數(shù)協(xié)議探測(cè)頻度高達(dá)幾十萬(wàn)起�����,而節(jié)點(diǎn)89.*.*.16針對(duì)多數(shù)協(xié)議的探測(cè)頻度為幾千或幾萬(wàn)起��;第三�����,對(duì)比不同協(xié)議的被探測(cè)頻率����,整體來(lái)講,針對(duì)傳統(tǒng)IT類協(xié)議的探測(cè)頻度占比較高�����,而對(duì)于Modbus等工控類的協(xié)議探測(cè)頻度則占比較小���。
圖5 Shodan節(jié)點(diǎn)協(xié)議探測(cè)頻度熱度圖
4 重點(diǎn)行業(yè)物聯(lián)網(wǎng)網(wǎng)絡(luò)安全
4.1 物聯(lián)網(wǎng)行業(yè)安全概述
為了解重點(diǎn)行業(yè)物聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)�,本月篩選了電力����、石油、車聯(lián)網(wǎng)和軌道交通等行業(yè)的2396個(gè)資產(chǎn)(含物聯(lián)網(wǎng)設(shè)備及物聯(lián)網(wǎng)相關(guān)的web資產(chǎn))進(jìn)行監(jiān)測(cè)����。監(jiān)測(cè)發(fā)現(xiàn),本月遭受攻擊的資產(chǎn)有1438個(gè)�����,主要分布在北京����、廣東�、浙江�����、山東�、上海等32個(gè)省份,涉及攻擊事件15580起��。其中����,各行業(yè)被攻擊資產(chǎn)數(shù)量及攻擊事件分布如表6所示����,被攻擊資產(chǎn)的省份分布如圖6所示。
表6 行業(yè)資產(chǎn)及攻擊事件分布
圖6 重點(diǎn)行業(yè)被攻擊資產(chǎn)的省份分布
對(duì)上述網(wǎng)絡(luò)攻擊事件進(jìn)行分析��,境外攻擊源涉及美國(guó)�、荷蘭等在內(nèi)的國(guó)家56個(gè),攻擊節(jié)點(diǎn)數(shù)總計(jì)1140個(gè)��。其中���,按照攻擊事件源IP的國(guó)家分布���,排名前5分別為美國(guó)(6844起)��、和荷蘭(2434起)����、俄羅斯(1498起)���、韓國(guó)(775起)��、和新加坡(253起)�����。
對(duì)網(wǎng)絡(luò)攻擊事件的類型進(jìn)行分析����,本月面向行業(yè)資產(chǎn)的網(wǎng)絡(luò)攻擊中�,攻擊類型涵蓋了遠(yuǎn)程代碼執(zhí)行攻擊、命令執(zhí)行攻擊����、SQL注入攻擊、漏洞利用攻擊����、掃描攻擊等�����。詳細(xì)的攻擊類型分布如圖 7所示��。
圖7物聯(lián)網(wǎng)行業(yè)資產(chǎn)攻擊類型分布
4.2 特定攻擊類型分析
在針對(duì)重點(diǎn)行業(yè)物聯(lián)網(wǎng)資產(chǎn)的網(wǎng)絡(luò)攻擊事件中��,本月重點(diǎn)分析的攻擊類型為WordPress信息泄露漏洞攻擊��,涉及攻擊事件169起��。
漏洞分析:WordPress是使用PHP語(yǔ)言開發(fā)的博客平臺(tái),用戶可以在支持PHP和MySQL數(shù)據(jù)庫(kù)的服務(wù)器上架設(shè)屬于自己的網(wǎng)站����。也可以把 WordPress當(dāng)作一個(gè)內(nèi)容管理系統(tǒng)(CMS)來(lái)使用。攻擊者或者攻擊程序構(gòu)造了/wp-json/wp/v2/users/ 的URL并使用GET去獲取相關(guān)的返回信息���,返回的信息內(nèi)可能包含了管理員賬戶����。通過(guò)獲取的賬戶信息��,攻擊者通過(guò)登錄相關(guān)賬戶,然后對(duì)系統(tǒng)內(nèi)容或本地文件等進(jìn)行操作��。
本月攻擊事件中WordPress信息泄露漏洞攻擊示例如圖8所示���。如圖可以看出�����,攻擊執(zhí)行方式與漏洞背景分析一致�����。
圖8 WordPress信息泄露漏洞攻擊示例
4.3 物聯(lián)網(wǎng)資產(chǎn)數(shù)據(jù)流轉(zhuǎn)情況
針對(duì)重點(diǎn)行業(yè)物聯(lián)網(wǎng)資產(chǎn)的數(shù)據(jù)流轉(zhuǎn)情況進(jìn)行監(jiān)測(cè)����,本月共有2288個(gè)行業(yè)資產(chǎn)存在與境外節(jié)點(diǎn)的通信行為����,通信頻次為13445萬(wàn)次。通聯(lián)境外國(guó)家Top10排名如圖9所示����,其中排名最高的是美國(guó)(通信5953萬(wàn)次,節(jié)點(diǎn)94萬(wàn)個(gè))��。各行業(yè)通聯(lián)事件及資產(chǎn)數(shù)量分布如圖10所示,其中通信頻次最多的為電力行業(yè)����,涉及1648個(gè)資產(chǎn)的10363萬(wàn)余次通信。
圖9 境外通聯(lián)國(guó)家事件Top10
圖10行業(yè)通聯(lián)事件資產(chǎn)分布
4.4 重點(diǎn)行業(yè)物聯(lián)網(wǎng)安全威脅情報(bào)
(1)攻擊節(jié)點(diǎn)威脅情報(bào)
在針重點(diǎn)行業(yè)物聯(lián)網(wǎng)資產(chǎn)的網(wǎng)絡(luò)攻擊中���,本月發(fā)起攻擊事件最多的境外IP Top10信息如表7所示��,涉及攻擊事件5998起��,占攻擊總事件的38.50%�。
表7 境外攻擊IP Top10
(2)數(shù)據(jù)訪問(wèn)威脅情報(bào)
在針對(duì)重點(diǎn)行業(yè)物聯(lián)網(wǎng)資產(chǎn)的數(shù)據(jù)訪問(wèn)事件中���,本月與境內(nèi)行業(yè)資產(chǎn)訪問(wèn)頻次最多的境外IP Top10信息如表8所示�。
表8 數(shù)據(jù)訪問(wèn)IP Top10
對(duì)重點(diǎn)行業(yè)物聯(lián)網(wǎng)安全態(tài)勢(shì)進(jìn)行評(píng)估�����,目前重點(diǎn)行業(yè)中的物聯(lián)網(wǎng)資產(chǎn)仍然面臨較多網(wǎng)絡(luò)安全風(fēng)險(xiǎn)�,頻繁遭受攻擊�,各行業(yè)應(yīng)提高防護(hù)意識(shí),加強(qiáng)本行業(yè)的網(wǎng)絡(luò)安全技術(shù)防護(hù)手段建設(shè)�。
5 總結(jié)
CNCERT通過(guò)宏觀數(shù)據(jù)監(jiān)測(cè)��,在活躍設(shè)備�、探測(cè)組織�、重點(diǎn)行業(yè)攻擊事件等方面發(fā)現(xiàn)多種物聯(lián)網(wǎng)安全問(wèn)題,然而需要指出的是�����,目前所發(fā)現(xiàn)的問(wèn)題只是物聯(lián)網(wǎng)網(wǎng)絡(luò)安全的冰山一角�,CNCERT將長(zhǎng)期關(guān)注物聯(lián)網(wǎng)網(wǎng)絡(luò)安全問(wèn)題,持續(xù)開展安全監(jiān)測(cè)和定期通報(bào)工作��,同時(shí)期望與各行業(yè)共同攜手�,提高行業(yè)物聯(lián)網(wǎng)安全防護(hù)水平。
來(lái)源:關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心
在線咨詢
在線咨詢
0371-63319761