2024年工業(yè)控制網(wǎng)絡安全態(tài)勢白皮書-63正式版

目錄1.........................................................................................................................................42.2024年工控安全相關政策法規(guī)標準.........................................................................................52.1《鐵路關鍵信息基礎設施安全保護管理辦法》...................................................................52.2《工業(yè)控制系統(tǒng)網(wǎng)絡安全防護指南》...................................................................................52.3《工業(yè)互聯(lián)網(wǎng)標識解析體系“貫通”行動計劃（2024-2026年）》62.4《工業(yè)領域數(shù)據(jù)安全能力提升實施方案（2024-2026年）》62.5《網(wǎng)絡安全標準實踐指南——網(wǎng)絡安全產(chǎn)品互聯(lián)互通資產(chǎn)信息格式》..........................62.6《數(shù)據(jù)安全技術數(shù)據(jù)分類分級規(guī)則》.................................................................................72.7《工業(yè)和信息化領域數(shù)據(jù)安全風險評估實施細則（試行）》...........................................72.8《電力網(wǎng)絡安全事件應急預案》...........................................................................................72.9《工業(yè)領域云安全實踐指南》...............................................................................................82.10《網(wǎng)絡數(shù)據(jù)安全管理條例》82.11《工業(yè)網(wǎng)絡安全態(tài)勢感知技術規(guī)范》82.12《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡安全》82.13《工業(yè)互聯(lián)網(wǎng)與電力行業(yè)融合應用參考指南（2024年）》..........................................92.14《關于提升新能源和新型并網(wǎng)主體涉網(wǎng)安全能力服務新型電力系統(tǒng)高質量發(fā)展》92.15《工業(yè)和信息化領域數(shù)據(jù)安全事件應急預案（試行）》92.16《工業(yè)和信息化領域數(shù)據(jù)安全合規(guī)指引》102.17《電力監(jiān)控系統(tǒng)安全防護規(guī)定》103.2024年典型工控安全事件.....................................................................................................123.1美國海軍造船廠遭勒索軟件攻擊泄露近17000人信息123.2俄羅斯地方電網(wǎng)遭網(wǎng)絡攻擊大停電，涉事黑客被起訴123.3烏克蘭使用破壞性ICS惡意軟件FUXNET攻擊俄羅斯基礎設施133.4美國多地水務工控系統(tǒng)疑遭俄攻擊.....................................................................................133.5俄黑客組織沙蟲發(fā)力，烏克蘭多處關鍵基礎設施被破壞.................................................133.6全球首例光伏電場網(wǎng)絡攻擊事件曝光.................................................................................143.7俄羅斯電力公司、IT公司和政府機構遭遇DECOYDOG木馬攻擊................................143.8城市供暖系統(tǒng)遭網(wǎng)絡攻擊被關閉，大量居民在寒冬下停暖近2天153.9全球領先的油田服務商美國哈里伯頓公司遭受網(wǎng)絡攻擊導致運營中斷.........................1523.10網(wǎng)絡攻擊迫使美國超級機場IT系統(tǒng)癱瘓、航班延誤.....................................................153.11勒索組織利用VEEAM軟件漏洞攻擊尼日利亞的關鍵基礎設施.....................................163.12黎巴嫩尋呼機爆炸，傳呼設備成為奪命炸彈163.13美國水務公司IT系統(tǒng)遭網(wǎng)絡攻擊計費系統(tǒng)暫停.............................................................163.14伊朗核設施等多部門遭網(wǎng)絡攻擊，美歐實施相關制裁舉措174.工控系統(tǒng)安全漏洞概況..........................................................................................................195.聯(lián)網(wǎng)工控設備分布.................................................................................................................235.1國際工控設備暴露情況285.2國內工控設備暴露情況305.3國內工控協(xié)議暴露數(shù)量統(tǒng)計情況.........................................................................................335.4俄烏沖突以來暴露設備數(shù)量變化.........................................................................................356.工控蜜罐數(shù)據(jù)分析.................................................................................................................386.1工控蜜罐全球捕獲流量概況386.2工控系統(tǒng)攻擊流量分析416.3工控系統(tǒng)攻擊類型識別446.4工控蜜罐與威脅情報數(shù)據(jù)關聯(lián)分析477.工業(yè)互聯(lián)網(wǎng)安全發(fā)展現(xiàn)狀及未來展望.....................................................................................517.1工業(yè)互聯(lián)網(wǎng)安全發(fā)展現(xiàn)狀517.1.1517.1.2527.2工業(yè)互聯(lián)網(wǎng)安全當前面臨風險與挑戰(zhàn)547.3工業(yè)互聯(lián)網(wǎng)安全發(fā)展趨勢與展望557.3.1557.3.2567.3.3安全技術升級與融合..................................................................................................578.......................................................................................................................................59參考文獻....................................................................................................................................6031.前言截至2024年11達102.6297.1%系迫在眉睫，是當下的首要任務。2024年22024—2026《2024年工業(yè)控制網(wǎng)絡安全態(tài)勢白皮書》，讀者可以通過報告了解2024年工控安全相2024知工控系統(tǒng)安全態(tài)勢，為研究工控安全相關人員提供參考。42.2024年工控安全相關政策法規(guī)標準2024工業(yè)互聯(lián)網(wǎng)的安全體系建設，為工業(yè)互聯(lián)網(wǎng)的穩(wěn)健發(fā)展提供堅實后盾。通過對2024年度發(fā)布的一系列政策法規(guī)標準進行梳理，并整合各大工業(yè)信息安全助讀者把握國家在工控安全領域的戰(zhàn)略走向。2.1《鐵路關鍵信息基礎設施安全保護管理辦法》2024年1月22023年第20號2024年2月1全體系建設。2.2《工業(yè)控制系統(tǒng)網(wǎng)絡安全防護指南》2024年1月30日，工業(yè)和信息化部發(fā)布《工業(yè)控制系統(tǒng)網(wǎng)絡安全防護指南》，指指南從安全管理、技術防護、安全運營和責任落實四個方面提出33項基線要求，重點推動解決走好新型工業(yè)化道路過程中工業(yè)控制系統(tǒng)網(wǎng)絡安全面臨的突出問題。52.3《工業(yè)互聯(lián)網(wǎng)標識解析體系“貫通”行動計劃（2024-2026年）》2024年1月31日，工業(yè)和信息化部等十二部門發(fā)布文件《工業(yè)互聯(lián)網(wǎng)標識解析體系“貫通”行動計劃（2024-2026年）》（以下簡稱《行動計劃》）?！缎袆佑媱潯访鞔_總體目標為“到2026年，建成自主可控的標識解析體系，在制造業(yè)及經(jīng)濟社會重點色低碳管理體系、強化安全管理能力、提升城市數(shù)字化水平，以及助力產(chǎn)業(yè)集群升級。2.4《工業(yè)領域數(shù)據(jù)安全能力提升實施方案（2024-2026年）》2024年2月23日，為了推動《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國網(wǎng)絡安全法》《工業(yè)和信息化領域數(shù)據(jù)安全管理辦法（試行）》等在工業(yè)領域落地實施，工業(yè)和信息化部發(fā)布《工業(yè)領域數(shù)據(jù)安全能力提升實施方案（2024-2026年）》（以下監(jiān)管能力、提升數(shù)據(jù)安全產(chǎn)業(yè)支撐能力?！秾嵤┓桨浮访鞔_提出到2026年底工業(yè)領域提供了明確方向和具體措施。2.5《網(wǎng)絡安全標準實踐指南——網(wǎng)絡安全產(chǎn)品互聯(lián)互通資產(chǎn)信息格式》2024年3月15日，全國網(wǎng)絡安全標準化技術委員會發(fā)布《網(wǎng)絡安全標準實踐指南——網(wǎng)絡安全產(chǎn)品互聯(lián)互通資產(chǎn)信息格式》?！毒W(wǎng)絡安全標準實踐指南》聚焦網(wǎng)絡安提供了重要保障。62.6《數(shù)據(jù)安全技術數(shù)據(jù)分類分級規(guī)則》2024年3月15日，全國網(wǎng)絡安全標準化技術委員會發(fā)布GB/T43697-2024國家標準《數(shù)據(jù)安全技術數(shù)據(jù)分類分級規(guī)則》（以下簡稱《規(guī)則》），以推動國家數(shù)據(jù)分類大學等36家單位共同研制，并在國家數(shù)據(jù)安全工作協(xié)調機制的指導下編制完成?！兑?guī)則》的發(fā)布為我國數(shù)據(jù)安全管理提供規(guī)范化指引。2.7《工業(yè)和信息化領域數(shù)據(jù)安全風險評估實施細則（試行）》2024年5月10日，工業(yè)和信息化部發(fā)布《工業(yè)和信息化領域數(shù)據(jù)安全風險評估實施細則（試行）》（以下簡稱《實施細則》），自2024年6月1日起施行?！秾嵤┘毢托畔⒒I域數(shù)據(jù)處理者規(guī)范開展數(shù)據(jù)安全風險評估工作，提升數(shù)據(jù)安全管理水平。2.8《電力網(wǎng)絡安全事件應急預案》2024年6月7全事件對電力系統(tǒng)的危害。《預案》所指的“電力網(wǎng)絡安全事件”包括因計算機病毒、網(wǎng)絡攻擊等因素導致電力網(wǎng)絡和信息系統(tǒng)受損，影響電力供應或系統(tǒng)穩(wěn)定運行的情況。力安全監(jiān)管司承擔，以確保電力系統(tǒng)的安全穩(wěn)定運行。72.9《工業(yè)領域云安全實踐指南》2024年7月232024安全體系，提高云環(huán)境下的安全保障能力。2.10《網(wǎng)絡數(shù)據(jù)安全管理條例》2024年9月30自2025年1月1日起施行。該《條例》規(guī)范了網(wǎng)絡數(shù)據(jù)安全管理，保護了個人、組織堅實基礎。2.11《工業(yè)網(wǎng)絡安全態(tài)勢感知技術規(guī)范》2024年9月30DB21/T4011—2024《工業(yè)網(wǎng)絡安全態(tài)勢感知技術規(guī)范》（以下簡稱《規(guī)范》）正式獲批，于2024年9月30日對外發(fā)布，并將于2024年10月30日起全面實施。《規(guī)范》規(guī)定了工業(yè)網(wǎng)絡安全作。該規(guī)范的發(fā)布將為行業(yè)提供一套全面的參考標準。2.12《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡安全》2024年10月8日，國家市場監(jiān)督管理總局（國家標準化管理委員會）批準發(fā)布了第1部分：8第2第3互聯(lián)網(wǎng)安全分類分級管理提供指導，助力企業(yè)網(wǎng)絡安全體系建設與能力提升。2.13《工業(yè)互聯(lián)網(wǎng)與電力行業(yè)融合應用參考指南（2024年）》2024年10月15（20248大應用模式、27類應用領域、85項原則、實施流程和要素保。2.14《關于提升新能源和新型并網(wǎng)主體涉網(wǎng)安全能力服務新型電力系統(tǒng)高質量發(fā)展》2024年10月30強管理和技術監(jiān)督，確保并網(wǎng)主體按照標準建設，避免“帶病入網(wǎng)”。此外，《通知》理，推動營造安全發(fā)展的良好環(huán)境。2.15《工業(yè)和信息化領域數(shù)據(jù)安全事件應急預案（試行）》2024年10月319事件的應對能力，從而有效地控制和減輕數(shù)據(jù)安全事件帶來的危害和損失，保護個人、組織合法權益，維護國家安全和公共利益。2.16《工業(yè)和信息化領域數(shù)據(jù)安全合規(guī)指引》2024年11月1916溝通，指導企業(yè)全面遵守相關法規(guī)，提高數(shù)據(jù)安全保障水平。2.17《電力監(jiān)控系統(tǒng)安全防護規(guī)定》2024年12月11全防護規(guī)定》（以下簡稱《規(guī)定》），并明確于2025年1月1日起實施。《規(guī)定》著應的安全穩(wěn)定運行。表2-12024國內部分出臺政策法規(guī)標準出臺政策法規(guī)標準11月《鐵路關鍵信息基礎設施安全保護管理辦法》21月《工業(yè)控制系統(tǒng)網(wǎng)絡安全防護指南》31月《工業(yè)互聯(lián)網(wǎng)標識解析體系“貫通”行動計劃（2024-2026年）》41月《基于隱私計算的電力數(shù)據(jù)共享業(yè)務互聯(lián)互通接口規(guī)范（征求意見稿）》52月2024年電力安全監(jiān)管重點任務》62月《工業(yè)領域數(shù)據(jù)安全能力提升實施方案（2024-2026年）》73月《網(wǎng)絡安全標準實踐指南——網(wǎng)絡安全產(chǎn)品互聯(lián)互通資產(chǎn)信息格式》83月《數(shù)據(jù)安全技術數(shù)據(jù)分類分級規(guī)則》《信息技術安全技術抗抵賴第1部分安全技術抗抵賴第93月3部分采用非對稱技術的機制》、《信息技術安全技術實體鑒別第4部分采和評價》104月《全國網(wǎng)絡安全標準化技術委員會2024年度工作要點》115月《工業(yè)和信息化領域數(shù)據(jù)安全風險評估實施細則（試行）》126月《電力網(wǎng)絡安全事件應急預案》136月《網(wǎng)絡安全物聯(lián)網(wǎng)安全與隱私家庭物聯(lián)網(wǎng)指南》147月《工業(yè)領域云安全實踐指南》159月《人工智能安全治理框架》169月《網(wǎng)絡安全標準實踐指南——敏感個人信息識別指南》179月《網(wǎng)絡數(shù)據(jù)安全管理條例》189月《工業(yè)網(wǎng)絡安全態(tài)勢感知技術規(guī)范》《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡安全第1部分：應用工業(yè)互聯(lián)網(wǎng)的工業(yè)企業(yè)防護要求》1910月《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡安全第2部分：平臺企業(yè)防護要求》《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡安全第3部分：標識解析企業(yè)防護要求》2010月《工業(yè)互聯(lián)網(wǎng)與電力行業(yè)融合應用參考指南（2024年）》2110月《關于提升新能源和新型并網(wǎng)主體涉網(wǎng)安全能力服務新型電力系統(tǒng)高質量發(fā)展》2210月《工業(yè)和信息化領域數(shù)據(jù)安全事件應急預案（試行）》2311月《工業(yè)和信息化領域數(shù)據(jù)安全合規(guī)指引》2411月《新型工業(yè)控制藍皮書》2512月《電力監(jiān)控系統(tǒng)安全防護規(guī)定》2612月《保護關鍵基礎設施(計算機系統(tǒng))條例草案》3.2024年典型工控安全事件2024在破壞性和規(guī)模上呈現(xiàn)出顯著增長趨勢，波及多個關鍵行業(yè)，包括能源、交通、軍工、制造等領域。以下將介紹2024年發(fā)生的一些典型工控安全事件，通過這些案例，可以更清晰地應對未來潛在的攻擊威脅。3.1美國海軍造船廠遭勒索軟件攻擊泄露近17000人信息2024年1月5日，意大利造船公司芬坎蒂尼集團（Fincantieri）的美國子公司芬坎蒂尼海事集團（FincantieriMarineGroup，F(xiàn)MG）向緬因州監(jiān)管機構提交了一封違規(guī)通2023年4月6日至2023年4月12環(huán)境中的某些系統(tǒng)國海軍學院在2023年4月的報道稱，該造船廠建造了美國海軍的自由級瀕海戰(zhàn)斗艦和星座級導彈護衛(wèi)艦。3.2俄羅斯地方電網(wǎng)遭網(wǎng)絡攻擊大停電，涉事黑客被起訴2024年2月2749實施網(wǎng)絡攻擊，導致沃洛格達地區(qū)38個村莊陷入黑暗，將面臨最長達8年的監(jiān)禁。該電網(wǎng)攻擊發(fā)生在一年前。俄羅斯聯(lián)邦安全局沃洛格達地區(qū)部門的新聞處向塔斯社表示：“我們已經(jīng)完成對黑客切斷沃洛格達地區(qū)38個定居點電力供應一事的刑事調查?！倍?9752023年2月巴巴耶沃區(qū)共38個定居點的電力供應。3.3烏克蘭使用破壞性ICS惡意軟件Fuxnet攻擊俄羅斯基礎設施2024年4月15日，SecurityWeek和Claroty部門的一個名為Blackjack的黑客組織對俄羅斯多個重要組織發(fā)起了攻擊。Blackjack披露了針對Moscollector的涉嫌攻擊的細節(jié)，Moscollector是一家總部位于莫斯科的公司，NOC們還聲稱已經(jīng)禁用了87000Fuxnet網(wǎng)”的惡意軟件，這使得他們能夠物理破壞傳感器設備。3.4美國多地水務工控系統(tǒng)疑遭俄攻擊2024年4月18Mandiant1月對美國得克薩斯州一處水處理設施發(fā)動網(wǎng)營，這類攻擊在過去是十分罕見的。去年11月，賓夕法尼亞州也遭到了類似的網(wǎng)絡攻擊，當時美國官員指責伊朗是幕后黑手。繆爾舒鎮(zhèn)城市經(jīng)理RamonSanchez告訴CNN統(tǒng)操作水罐的權限。Sanchez在一封電子郵件中表示，被攻擊的水罐溢出了大約30-45政府建議各州官員制定安全計劃，保護他們的水務系統(tǒng)免受黑客攻擊。3.5俄黑客組織沙蟲發(fā)力，烏克蘭多處關鍵基礎設施被破壞2024年4月19CERT-UASandworm）旨在破壞烏克蘭約20家關鍵基礎設施的運行。該黑客組織也被稱作APT44GRUCERT-UA2024年3APT44破壞了烏克蘭10個地區(qū)的能源、水務、供暖供應商的信息和通信系統(tǒng)。在某些情況下，Sandworm會通過操縱軟件供應鏈或者利用軟件提供商的權限來進入目標網(wǎng)絡，也可能部署被篡改的軟件或者利用軟件漏洞，成功滲透到系統(tǒng)中。CERT-UA對受影響實體的日志進行調查后發(fā)現(xiàn)，Sandworm主要依靠QUEUESEED/IcyWell/KapekaBIASBOAT、LOADGRIP、GOSSIPFLOW等惡意軟件對烏克蘭公共事業(yè)供應商進行攻擊。烏克蘭機構認為，這些攻擊的目的是增強俄羅斯導彈對目標基礎設施的打擊效果。3.6全球首例光伏電場網(wǎng)絡攻擊事件曝光2024年5月1Contec生產(chǎn)的SolarViewCompact大型光伏電網(wǎng)中的800臺遠程監(jiān)控設備，用于銀行賬戶盜竊。攻擊者利用了PaloAltoNetworks在2023年6月發(fā)現(xiàn)的一個漏洞（CVE-2022-29303Mirai5月7日，Contec版本。3.7俄羅斯電力公司、IT公司和政府機構遭遇DecoyDog木馬攻擊2024年6月6日，F(xiàn)reeBuf早報稱，俄羅斯的組織正遭遇網(wǎng)絡攻擊，這些攻擊被發(fā)現(xiàn)是傳遞一種名為DogWindows跟蹤這一活動集群，并將其歸因于一個名為“HellHounds”的高級持續(xù)威脅（APT）組織。HellHounds中，該小組利用了主要的入侵向量，從漏洞的Web服務到可信賴的關系。HellHounds首次被該公司記錄是在2023年11Dog木馬48工業(yè)公司和電信供應商。有證據(jù)表明，自2021年以來，該威脅行為者一直在針對俄羅斯公司，惡意軟件的開發(fā)可以追溯到2019年11月。3.8城市供暖系統(tǒng)遭網(wǎng)絡攻擊被關閉，大量居民在寒冬下停暖近2天2024年7月23日，有消息稱，今年1月中旬烏克蘭利沃夫市一家市政能源公司遭DragosFrostyGoop的新型惡意軟件。Dragos表示，F(xiàn)rostyGoop惡意軟件旨在通過ModbusICSModbus是一不太可能引起大范圍停運，但它表明惡意黑客正在加大對關鍵基礎設施（如能源電網(wǎng)）的攻擊力度。3.9全球領先的油田服務商美國哈里伯頓公司遭受網(wǎng)絡攻擊導致運營中斷2024年8月21CNN正在與網(wǎng)絡安全專家合作解決這一問題。3.10網(wǎng)絡攻擊迫使美國超級機場IT系統(tǒng)癱瘓、航班延誤2024年8月26日，美國西雅圖-塔科馬國際機場確認，日前出現(xiàn)的系統(tǒng)中斷可運營商最新消息，“西雅圖港，包括西雅圖-塔科馬機場的系統(tǒng)中斷仍在繼續(xù)。港口團索軟件組織或其他威脅行為者宣布對這次攻擊負責。3.11勒索組織利用Veeam軟件漏洞攻擊尼日利亞的關鍵基礎設施2024年9月13日，尼日利亞計算機應急響應中心（ngCERT）發(fā)布了緊急警報，VeeamBackupandReplication（VBR）軟件中的一個高危漏洞（CVE-2023-27532，CVSSv3：7.5分）進行攻擊，并且此次事件涉及Phobos勒索組織。CVE-2023-27532影響12及以下版本，允許攻擊者未經(jīng)授權訪問敏感數(shù)據(jù)，包括存儲在Veeam配置數(shù)據(jù)庫中的加密和明文憑據(jù)。攻Phobos勒索組織利用此Veeam漏洞攻擊尼日利亞的云基礎設施。成功入侵網(wǎng)絡后，攻擊者部署勒索軟件，加密關鍵數(shù)據(jù)，并向受害者索要贖金。3.12黎巴嫩尋呼機爆炸，傳呼設備成為奪命炸彈2024年9月17日下午，黎巴嫩首都貝魯特以及黎巴嫩東南部和東北部多地發(fā)生大量尋呼機（機）爆炸事件。黎巴嫩真主黨第一時間發(fā)布消息稱，爆炸發(fā)生在當?shù)貢r間下午3時30分左右，影響了真主黨各機構的“工作人員”，有“大量”人受傷。截至18日16時，以色列時報援引黎巴嫩公共衛(wèi)生部門數(shù)據(jù)稱，爆炸造成11人死亡，約4000人受傷，其中約500人雙目失明。當?shù)貢r間19日，包括對講機爆炸事件，黎巴嫩公共衛(wèi)生部長表示，爆炸事件已致37人死亡。3.13美國水務公司IT系統(tǒng)遭網(wǎng)絡攻擊計費系統(tǒng)暫停2024年10月7日，美國水務公司披露了一起網(wǎng)絡攻擊事件。這家總部位于新澤西州的美國水務公司擁有超過650024個州和18個軍事基地的1400多萬人提供供水服務。據(jù)報道，當?shù)貢r間10月3日該公司發(fā)現(xiàn)其系統(tǒng)受到了網(wǎng)絡攻擊，導致計司表示無法預測攻擊的全部影響，未來將根據(jù)調查結果采取進一步措施。3.14伊朗核設施等多部門遭網(wǎng)絡攻擊，美歐實施相關制裁舉措2024年10月12日，中東局勢持續(xù)緊張之際，伊朗于12日遭遇大規(guī)模網(wǎng)絡攻擊。前對以色列的導彈襲擊。美國試圖通過制裁阻止伊朗為其核計劃和導彈計劃提供資金。沖突、制裁等多方面因素交織下愈發(fā)復雜緊張。表3-12024年部分安全事件國家11月制造業(yè)安全設備的遠程命令注入漏洞被放在暗網(wǎng)出售21月制造業(yè)勒索軟件海軍造船廠遭泄露近17000人信息32月制造業(yè)配置錯誤公司密鑰等敏感數(shù)據(jù)遭暴露42月制造業(yè)勒索軟件1.5TB數(shù)據(jù)遭泄露52月俄羅斯能源業(yè)木馬攻擊地方電網(wǎng)遭攻擊，38個定居點大停電63月比利時制造業(yè)勒索軟件據(jù)73月俄羅斯勒索軟件87000個傳感器遭到禁用84月設備漏洞水處理設施遭攻擊，水罐溢出94月烏克蘭惡意軟件多處關鍵基礎設施被破壞105月能源業(yè)漏洞攻擊800賬戶盜竊116月俄羅斯多行業(yè)木馬攻擊IT48個組織遭攻擊。126月制造業(yè)惡意軟件工廠生產(chǎn)被迫中斷137月烏克蘭能源業(yè)惡意軟件市部分供暖停止兩天148月能源業(yè)核設施長期暴露關鍵安全信息158月制造業(yè)勒索軟件240G敏感信息遭泄露168月能源業(yè)勒索軟件油田服務商運營停止178月制造業(yè)惡意軟件生產(chǎn)能力受損188月物流業(yè)惡意軟件超級機場癱瘓、航班延誤199月尼日利亞勒索軟件云基礎設施遭攻擊并被索要贖金209月黎巴嫩通信業(yè)后門程序尋呼機爆炸造成大量人員傷亡219月交通業(yè)惡意軟件19個火車站遭到網(wǎng)絡攻擊2210月水利業(yè)勒索軟件1400多萬人用水受到影響2310月海灣地區(qū)勒索軟件大海灣地區(qū)關鍵基礎設施遭到攻擊2410月能源業(yè)核設施等多部門遭網(wǎng)絡攻擊2511月制造業(yè)勒索軟件75000個電子郵件地址和400000戶數(shù)據(jù)遭泄露4.工控系統(tǒng)安全漏洞概況隨著工業(yè)互聯(lián)網(wǎng)、工業(yè)4.0及5G網(wǎng)絡的蓬勃興起，傳統(tǒng)工業(yè)生產(chǎn)模式正加速向智成為常態(tài)，無論是PLC（ProgrammableLogicController，可編程邏輯控制器）、DCS（DistributedControlSystemSCADASupervisoryControlAndDataAcquisition，數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)），還是各類工業(yè)應用軟件，均廣泛暴露出眾多2024SiemensRockwellAutomationDeltaElectronicsAdvantech自動化公司（mySCADA）、施耐德（Schneider）等工業(yè)控制系統(tǒng)廠商均被發(fā)現(xiàn)包含各種信息安全漏洞。諦聽團隊采集到的工控漏洞數(shù)據(jù)顯示，2024年工控安全漏洞數(shù)量較20232021年到2024年整體工控安全漏洞數(shù)量較2020年之前依舊偏少。圖4-12014-2024年工控漏洞走勢圖（數(shù)據(jù)來源CNVD“諦聽”）根據(jù)（國家信息安全漏洞共享平臺和諦聽2014-2024年工控漏洞走勢如圖4-1所示。根據(jù)圖表顯示，2015年至2020年間，工控領域的漏洞數(shù)量呈2015統(tǒng)進行攻擊，從而導致工控漏洞的不斷增加。自2021年起，工控漏洞數(shù)量迎來了一個轉折點，從上年的568條下降至152條，之后漏洞數(shù)量總體呈出V字形的走勢，2022年僅有9620222024年發(fā)現(xiàn)的漏洞數(shù)量達到了207條，顯著高于2023年的119條。我們的團隊推測這一變化的原因是多方面的。首先，不同于日新月異的行業(yè)，工業(yè)控制領域較為成熟，相關產(chǎn)手段的影響下，2015-2020期間發(fā)現(xiàn)的新增漏洞中，多年長期運行在工控系統(tǒng)中的“存量”漏洞具有很大占比，到了2020年，這類“存量”漏洞的挖掘達到頂峰，而隨著新2023年和2024ERP量的上升是必然趨勢。圖4-22024年工控系統(tǒng)行業(yè)漏洞危險等級餅狀圖（數(shù)據(jù)來源CNVD“諦聽”）圖4-2是2024年工控高危漏洞業(yè)漏洞危險等級餅狀圖，截至2024年12月31日，2024年新增工控系統(tǒng)行業(yè)漏洞207個，其中高危漏洞122個，中危漏洞78個，低危漏洞7個。相較于去年，漏洞數(shù)量增加了88個，各種危險級別的漏洞數(shù)量都有所增長。其中，低危漏洞相較于去年依然維持約3%的總數(shù)占比，沒有較大變化。高危漏洞數(shù)量相較于去年增多了約1.4420232024年的高危漏洞整體占比從2023年的71%下降到了59%。2024年的中危漏洞相較于去年的數(shù)量出現(xiàn)了大幅度的增加，并且在2024年的整體工控漏洞數(shù)量中占據(jù)較大的比例。由此可見，2024年工控系推動工控系統(tǒng)的安全對抗技術發(fā)展迫在眉睫。圖4-32024年工控系統(tǒng)行業(yè)廠商漏洞數(shù)量柱狀圖（數(shù)據(jù)來源CNVD“諦聽”）如圖4-3是2024年工控系統(tǒng)行業(yè)廠商漏洞數(shù)量柱狀圖，圖中數(shù)據(jù)顯示，西門子（Siemens117RockwellAutomation38個漏洞。此外，臺達電子工業(yè)（DeltaElectronics）、研華科技（Advantech）、捷克工業(yè)自動化公司（mySCADA）、施耐德（Schneider）等廠商也存在著一定數(shù)量的工控數(shù)量呈現(xiàn)上升趨勢。以上數(shù)據(jù)表明，2024年的工控安全漏洞相對于2023年出現(xiàn)了較大幅度的增長，全全漏洞。雖然相較于前兩年來看，近幾年的安全漏洞數(shù)量維持在較低水平，但是2023年、2024年的安全漏洞數(shù)量呈現(xiàn)顯著的上升趨勢。各廠商應當密切關注工控行業(yè)漏洞，確保工控系統(tǒng)信息安全。5.聯(lián)網(wǎng)工控設備分布濟發(fā)展的基本要求，也是社會穩(wěn)定運行的重要基礎。根據(jù)2024年工業(yè)和信息化部印發(fā)設備、軟件、數(shù)據(jù)等資產(chǎn)，建立工業(yè)控制系統(tǒng)清單并定期更新，實施重點保護。開展戰(zhàn)略意義?！爸B聽”網(wǎng)絡空間工控設備搜索引擎共支持31種服務的協(xié)議識別，表5-1展示了參照“諦聽”網(wǎng)絡安全團隊之前發(fā)布的工控網(wǎng)絡安全態(tài)勢分析白皮書。表5-1“諦聽”網(wǎng)絡空間工控設備搜索引擎支持的協(xié)議工控協(xié)議Modbus502/503應用于電子控制器上的一種通用語言TridiumNiagaraFox1911Tridium公司專用協(xié)議，用于智能電網(wǎng)等領域NiagaraFox4911智能建筑、基礎設置管理、安防系統(tǒng)的網(wǎng)絡協(xié)議BACnet47808智能建筑的通信協(xié)議Devices10001工控協(xié)議MoxaNPort4800虛擬串口協(xié)議EtherNet/IP44818以太網(wǎng)協(xié)議Siemens102西門子通信協(xié)議20000分布式網(wǎng)絡協(xié)議Codesys2455ilonSmartserver1628/1629智能服務器協(xié)議RedlionCrimson3789工控協(xié)議60870-5-1042404系列協(xié)議9600歐姆龍工業(yè)控制協(xié)議CSPV42222工控協(xié)議GESRTP18245美國通用電器產(chǎn)品協(xié)議PCWorx1962菲尼克斯電氣產(chǎn)品協(xié)議ProConOs20547科維公司操作系統(tǒng)協(xié)議MELSEC-Q5006/5007三菱通信協(xié)議opc-ua4840UA接口協(xié)議DDP5002用于數(shù)據(jù)的傳輸和Profinet80基于工業(yè)以太網(wǎng)技術的自動化總線標準61850-8-1102系列協(xié)議Lantronix30718專為工業(yè)應用而設計，解決串口和以太網(wǎng)通信問題物聯(lián)網(wǎng)協(xié)議5672提供統(tǒng)一消息服務的應用層標準高級消息隊列協(xié)議XMPP5222的可擴展通訊和表示協(xié)議8089簡單對象訪問協(xié)議MQTT1883基于客戶端-服務器的消息發(fā)布/訂閱傳輸協(xié)議攝像頭協(xié)議DahuaDvr37777大華攝像頭與服務器通信協(xié)議hikvision81-90?？低晹z像頭與服務器通信協(xié)議ONVIF3702開放型網(wǎng)絡視頻接口標準協(xié)議“諦聽”官方網(wǎng)站（）公布的數(shù)據(jù)為2017年以前的歷史數(shù)據(jù)，若需要最新版的數(shù)據(jù)請與東北大學“諦聽”網(wǎng)絡安全團隊直接聯(lián)系獲取。根據(jù)“諦聽”5-1的柱狀圖展示，下面做簡要說明。圖5-1顯示了2024年全球工控+物聯(lián)網(wǎng)設備暴露Top-10國家/地區(qū)。分析圖中數(shù)據(jù)可知，國家排名與2023年的排名相比基本保持不變，排名前三的國家依然是相同的。機械領域表現(xiàn)突出，其排名與2023年相比保持不變，仍然位列第三。本章節(jié)著重介紹國內及美國、加拿大的工控設備暴露情況。圖5-1全球工控物聯(lián)網(wǎng)設備暴露Top10柱狀圖（數(shù)據(jù)來源“諦聽”）圖5-1顯示了2024年全球工控+物聯(lián)網(wǎng)設備暴露Top-10國家/地區(qū)。分析圖中數(shù)據(jù)可知，國家排名與2023年的排名相比基本保持不變，排名前三的國家依然是相同的。機械領域表現(xiàn)突出，其排名與2023年相比保持不變，仍然位列第三。本章節(jié)著重介紹國內及美國、加拿大的工控設備暴露情況。工業(yè)互聯(lián)網(wǎng)中設備之間的高效、可靠互聯(lián)和數(shù)據(jù)交換。圖5-2和圖5-3分別為全球工控設備暴露Top10柱狀圖和全球物聯(lián)網(wǎng)設備暴露Top10露排名中，美國、加拿大、中國分別位列前三。美國的漏洞數(shù)量遠超其他國家，達到143,999個。加拿大以22,427個漏洞排在第二，和美國相比，數(shù)量差距很大。接下來中16,49614,31211,30710,592西班牙（10,462）、英國（7,186）、意大利（7,034）和瑞典（7,026）的漏洞數(shù)量相對接近，顯示出這些國家在工控系統(tǒng)安全方面的問題比較一致。圖5-2全球工控設備暴露Top10柱狀圖（數(shù)據(jù)來源“諦聽”）圖5-3全球物聯(lián)網(wǎng)設備暴露Top10柱狀圖（數(shù)據(jù)來源“諦聽”）流傳輸和數(shù)據(jù)交互的標準。常見的攝像頭協(xié)議有ONVIF，hikvision，DahuaDvr等。圖5-4為全球攝像頭設備暴露Top102023一，中國位列第二，美國位列第三。圖5-4全球攝像頭設備暴露Top10柱狀圖（數(shù)據(jù)來源“諦聽”）5.1國際工控設備暴露情況國際工控設備的暴露情況以美國和加拿大為例進行簡要介紹。美國是世界上工業(yè)化程度最高的國家之一，同時也是2024年全球工控設備暴露最產(chǎn)效率。圖5-5為美國2024年暴露工控協(xié)議數(shù)量及占比。圖5-5美國工控協(xié)議暴露數(shù)量和占比（數(shù)據(jù)來源“諦聽”）20231613462024少至143998臺。這一變化不僅反映了美國在工業(yè)互聯(lián)網(wǎng)安全問題上的高度重視，也體現(xiàn)了其在加強相關安全措施方面所付出的努力。2024年6月13日，美國網(wǎng)絡安全和基CISA入2024年10月29日，CISA發(fā)布了《2025-2026財年國際戰(zhàn)略計劃》，旨在加強CISA與國網(wǎng)絡安全環(huán)境，保護關鍵基礎設施和敏感數(shù)據(jù)。2024年，加拿大的工控設備和物聯(lián)網(wǎng)設備暴露數(shù)量位居全球第三，與2023年的排術和自動化系統(tǒng)，推動數(shù)字化轉型。通過圖5-6可以看到，在加拿大暴露的工業(yè)協(xié)議數(shù)量中，排名第一，Modbus協(xié)議暴露數(shù)量排名第二。圖加拿大工控協(xié)議暴露數(shù)量和占比（數(shù)據(jù)來源“諦聽”）綜合來看，2024年相較于2023年，伴隨工業(yè)控制互聯(lián)網(wǎng)安全的發(fā)展，全球工控協(xié)入越來越多。加拿大工控協(xié)議設備暴露數(shù)量相比2023年略微降低。美國和加拿大作為控互聯(lián)網(wǎng)安全對國家經(jīng)濟發(fā)展的重要性。5.2國內工控設備暴露情況2024年，中國暴露的工控設備數(shù)量在全球范圍內依舊位居第二，相比于2023年，業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展戰(zhàn)略，今年以來，我國加快工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展，加速千行百業(yè)融合應用，為推動經(jīng)濟高質量發(fā)展提供強勁動能。工信部印發(fā)《打造“5G+工業(yè)互聯(lián)網(wǎng)”512促進實體經(jīng)濟和數(shù)字經(jīng)濟深度融合。下面詳細分析一下國內工控設備暴露情況。圖5-7為國內各地區(qū)設備暴露數(shù)量Top10所減少。2024業(yè)化邁出新的堅實步伐，工業(yè)體系全、品種多、規(guī)模大的優(yōu)勢進一步鞏固。預計全年，規(guī)模以上工業(yè)增加值同比增長5.7%國各地區(qū)工控設備暴露數(shù)量的減少，側面反映了國內工控互聯(lián)網(wǎng)安全防護水平的提升，工控互聯(lián)網(wǎng)安全工作卓有成效。圖5-7國內各地區(qū)工控設備暴露數(shù)量Top10（數(shù)據(jù)來源“諦聽”）20242024年前11個月，浙江省規(guī)模以上工業(yè)增加值同比增長了7.3%1.5個百分點省經(jīng)信廳表示，2025浙江特色的現(xiàn)代化產(chǎn)業(yè)體系，為浙江作為經(jīng)濟大省做出更大的貢獻。而在推進浙江省效執(zhí)行，實現(xiàn)工業(yè)的長期發(fā)展。2023年，臺灣在工控領域暴露的設備數(shù)量為15366臺，而到了2024年，設備數(shù)量減少至1300612月9日，2024動兩岸工業(yè)互聯(lián)網(wǎng)創(chuàng)新促進兩岸產(chǎn)業(yè)融合發(fā)展”為主題，發(fā)布了《2024兩岸工業(yè)互聯(lián)化協(xié)同、數(shù)字化管理、綠色化生產(chǎn)等方面的19個典型案例，充分展示了工業(yè)互聯(lián)網(wǎng)推成熱烈反響[9]。此次會議為進一步促進兩岸工業(yè)互聯(lián)網(wǎng)的融合發(fā)展奠定了堅實的基礎，也為兩岸產(chǎn)業(yè)在全球產(chǎn)業(yè)鏈中的升級與發(fā)展注入了新的活力與動力。與2023年相比較，北京市工控設備暴露數(shù)量排名小幅度下降，位列第三名，“十四五”以來，北京在數(shù)字經(jīng)濟產(chǎn)業(yè)的前沿領域不斷探索，催生出豐富的數(shù)字經(jīng)濟業(yè)態(tài)，全市規(guī)模以上工業(yè)增加值同比增長6.9%，居近年來的高位，對北京經(jīng)濟增長的貢獻率達15%制造業(yè)分別增長19.5%和18.4%；新能源汽車、工業(yè)機器人和風力發(fā)電機組產(chǎn)量分別增長5.5倍、62.8%和21.2%。這些競相跑出加速度的高技術制造業(yè)、戰(zhàn)略性新興產(chǎn)業(yè)，共同鋪展出北京制造業(yè)向高端化、智能化轉型的圖景。的發(fā)展，努力實現(xiàn)經(jīng)濟重振，為國家“振興東北”的戰(zhàn)略目標貢獻了重要力量。2024全球工業(yè)互聯(lián)網(wǎng)大會于2024年9月11日至14以造業(yè)數(shù)字供應鏈平臺等一系列創(chuàng)新成果2024年11月，遼寧省工業(yè)和信息化廳印發(fā)《遼寧省工業(yè)領域數(shù)據(jù)安全能力提升實施方案(2024-2026年)》，該文件中提到要以字遼寧20265G+5G+5G+5G+設備工業(yè)高質量發(fā)展取得積極進展。5.3國內工控協(xié)議暴露數(shù)量統(tǒng)計情況圖國內工控協(xié)議暴露數(shù)量和占比（數(shù)據(jù)來源“諦聽”）20245-8中的數(shù)據(jù)可以看出，Modbus協(xié)議暴露的數(shù)量位居首位，其次是MoxaNPort協(xié)議。Modbus協(xié)議是一種被廣泛應用于工業(yè)領域的通信協(xié)議，它是由Modicon公司（現(xiàn)施耐德電氣SchneiderElectric）于1979年發(fā)表。Modbus是一種主從式協(xié)議，一個主節(jié)點（master）與一個或多個從節(jié)點（slave）進行通信。Modbus協(xié)議兼容多種通信介質，常見的Modbus實現(xiàn)方式有基于串行通信的ModbusRTUModbusASCII和基于以太網(wǎng)的ModbusTCP/IP。Modbus協(xié)議具有開放性、易實現(xiàn)等特點，被廣泛應用于工業(yè)自動化、過程控制、監(jiān)測管理等領域。盡管Modbus存在著安全性低、實時性弱等局限性，但它仍然是當前工業(yè)領域最常用的通信協(xié)議之一。MoxaNPort協(xié)議是由Moxa公司開發(fā)，專為MoxaNPort串口設備聯(lián)網(wǎng)服務器設計ModbusTCP/IPTelnetMoxaNPort協(xié)議具輸?shù)阮I域。EtherNet/IPODVA（OpenDeviceNetVendorAssociation）推廣和維護，用于工業(yè)控制系統(tǒng)中的設備數(shù)據(jù)交換。EhterNet/IP支持顯示聯(lián)網(wǎng)領域中。Niagara協(xié)議是由TridumNiagaraFramework的一種通信協(xié)議。NiagaraFramework是一個基于Web的開放的集成平臺，能夠連接和協(xié)同不同制BASNiagara協(xié)議與Niagara生態(tài)系統(tǒng)緊密集成，提供了設備管理、數(shù)據(jù)采集、數(shù)據(jù)集成等功能，用于在Niagara節(jié)點之間進行高效的數(shù)據(jù)交換。OMRON協(xié)議是由OMRONOMRON公司自動化設備之間的數(shù)據(jù)交換，特別是用于通信。該協(xié)議能夠提供高效可靠的通信，互聯(lián)網(wǎng)、能源管理等領域。5.4俄烏沖突以來暴露設備數(shù)量變化2022間，網(wǎng)絡戰(zhàn)已然成為現(xiàn)代戰(zhàn)爭中不可或缺的一部分。網(wǎng)絡戰(zhàn)以其低成本高效能的特點，5-2列舉了目前俄羅斯和烏克蘭暴露工控設備的相關協(xié)議。表5-2俄羅斯、烏克蘭暴露工控設備相關協(xié)議探測發(fā)現(xiàn)協(xié)議探測端口協(xié)議概述Siemens102西門子通信協(xié)議Modbus502應用于電子控制器上的一種通用語言ilonSmartserver1628智能服務器協(xié)議MoxaNPort4800Moxa專用的虛擬串口協(xié)議XMPP5222的可擴展通訊和表示協(xié)議5672提供統(tǒng)一消息服務的應用層標準高級消息隊列協(xié)議60870-5-1042404系列協(xié)議趨勢。圖5-9展示了2024年烏克蘭各協(xié)議暴露設備的數(shù)量，可以看出AMQP協(xié)議暴露的設備數(shù)量總體從沖突前到24年1月下降幅度較大，后續(xù)隨小有波動，但總體呈現(xiàn)緩慢下降趨勢；Modbus協(xié)議協(xié)議在24年基本呈現(xiàn)平穩(wěn)下降趨勢；MoxaNPort協(xié)議在24年初小幅度上升，隨后趨于平穩(wěn)；其他協(xié)議呈現(xiàn)波動變化，整體比較穩(wěn)定。圖烏克蘭暴露設備數(shù)量變化（數(shù)據(jù)來源諦聽）圖5-10展示了2024年俄羅斯各協(xié)議暴露設備的數(shù)量，AMQP協(xié)議暴露設備數(shù)量在24年變化幅度不大，總體趨于穩(wěn)定；Modbus協(xié)議在24年3月到7月出現(xiàn)大幅度下降，24年8月到924年初水平；MoxaNPort協(xié)議在24年2月至6月逐漸下降，隨后緩緩回升；其他協(xié)議變化雖有波動，但幅度不大。圖5-10俄羅斯暴露設備數(shù)量變化（數(shù)據(jù)來源諦聽”)總體來看，2024年的關鍵時期集中在3月到6持續(xù)跟進情況。6.工控蜜罐數(shù)據(jù)分析隨著工業(yè)互聯(lián)網(wǎng)的持續(xù)演進，工業(yè)控制系統(tǒng)（ICS）所處的網(wǎng)絡安全環(huán)境愈發(fā)復雜諦聽”網(wǎng)絡安全團隊長期致諦聽”工控蜜罐。目前，諦聽”工控蜜罐已經(jīng)支持12種工控協(xié)議，并且在多個國家與地區(qū)實現(xiàn)部署。2021年，“諦聽網(wǎng)絡安全團隊進一步改進了基于蜜網(wǎng)的攻擊流量指紋識別方法（以下簡稱識別方法”出針對多類型攻擊流量且更加有效的工控系統(tǒng)防御措施。6.1工控蜜罐全球捕獲流量概況諦聽”工控蜜罐在原10種協(xié)議基礎上，于2022年新增了EGD協(xié)議，2023年進一步加入了Modbus/UDP協(xié)議。目前“諦聽”工控蜜罐涵蓋了Modbus、ATGsDevices、DNP3IEC104Niagara等12諦聽”工控蜜罐已經(jīng)部署在了中國華北2024年12月31“諦聽蜜罐成功收集到了大量攻擊數(shù)據(jù)。圖6-16-2和6-3展示了對這些數(shù)據(jù)統(tǒng)計和分析后的結果。下面將對各個圖表進行簡要的解釋說明。圖6-12024年蜜罐各協(xié)議攻擊量（數(shù)據(jù)來源“諦聽”）圖6-1展示了不同協(xié)議下各蜜罐受到的攻擊頻次。從圖中可以看出ModbusDNP3和ATGsDevices2023名前三的協(xié)議分別為ATGsDevices、OMRON和DNP3，而OMRON協(xié)議在Modbus協(xié)議從2023且受攻擊量遙遙領先其他協(xié)議，這表明Modbus協(xié)議受到的關注大幅度增加。此外，除OMRON和Modbus/UDP協(xié)議外，其他協(xié)議受攻擊的數(shù)量都相較于2023年均呈現(xiàn)79.9%，些協(xié)議下設備的網(wǎng)絡安全防護措施?！爸B聽”網(wǎng)絡安全團隊對攻擊數(shù)據(jù)的源地址進行了分析，統(tǒng)計了來自各個國家和地區(qū)的攻擊源數(shù)量信息。圖6-2特別呈現(xiàn)了攻擊次數(shù)最多的前十個國家的概況。從圖中數(shù)據(jù)可以觀察到，德國在攻擊量上顯著領先，以348,869次攻擊量位列第一，甚至超過了其他9國以117,364次攻擊量位列第二，盡管攻擊量遠低于德國，但依然遠在其他國家之上。加利亞、俄羅斯、日本和荷蘭排名第六至第十位，其攻擊量均低于1萬。圖6-22024年其他各國對蜜罐的攻擊量Top（數(shù)據(jù)來源諦聽）圖6-3對中國國內流量來源的地址進行分析，列出了流量排名前十的省份。41%22%，位列第二。雖然較2023年有所下降，并被北京超越，但其依然是國內流量的主要來源位。除此以外，江蘇和上海的流量占比也較高，分別為13%和11%，其余各省都低于3%。圖6-32024年中國國內各省份流量（數(shù)據(jù)來源“諦聽”）2024團隊會融合更多前沿技術，持續(xù)推進相關研究。6.2工控系統(tǒng)攻擊流量分析分析。隨后，我們選取了應用廣泛的Modbus和Ethernet/IP兩種協(xié)議，采用相應的識別兩個地區(qū)，分別對其部署的蜜罐所捕獲的攻擊流量數(shù)據(jù)進行了詳細的統(tǒng)計分析。對于Modbus協(xié)議，我們選擇了部署在中國華東地區(qū)和美國東海岸地區(qū)的蜜罐，統(tǒng)計結果如表6-1、6-2所示。表6-1中國華東地區(qū)Modbus蜜罐捕獲攻擊總量來源TOP10（數(shù)據(jù)來源“諦聽”）攻擊源攻擊總量平均攻擊數(shù)UnitedStates609755311.0Kingdom16962373.7Italy156211562.09641715.6Germany4812024.1Canada4681553.03223107.3Belgium2781422.0Greece151437.8Russia73164.6表6-2美國東海岸地區(qū)Modbus蜜罐捕獲攻擊總量來源TOP10（數(shù)據(jù)來源“諦聽”）攻擊源攻擊總量平均攻擊數(shù)UnitedStates30958143.87001225.7Belgium3241412.3Canada3071851.7UnitedKingdom236653.6Italy1401140.0Germany138413.4Netherlands110225.0Japan3374.7India2847.0根據(jù)表6-1、6-2可知，在攻擊總量來源方面，中國華東地區(qū)和美國東海岸地區(qū)Modbus協(xié)議蜜罐捕獲的攻擊總量中，來自美國的攻擊總量均顯著高于其他國家，且高于去年同期數(shù)據(jù)。在攻擊數(shù)量方面，美國仍在兩個地區(qū)中均排名第一且遠超于其他國家。以表6-2為例，美國在美國東海岸地區(qū)的攻擊數(shù)量約是排名第二的比利時的9.6倍。針對Ethernet/IP協(xié)議，我們選擇的是中國華南地區(qū)和美國西海岸地區(qū)部署的蜜罐，統(tǒng)計結果如表6-3、6-4所示。表6-3中國華南地區(qū)Ethernet/IP蜜罐捕獲攻擊總量來源TOP10（數(shù)據(jù)來源“諦聽”）攻擊源攻擊總量平均攻擊數(shù)States9123342.7136344.0Canada38351.1Belgium34331.0Netherlands1452.8UnitedStates531.7Germany551.0Seychelles321.5Kingdom321.5France212.0表6-4美國西海岸地區(qū)Ethernet/IP蜜罐捕獲攻擊總量來源TOP5（數(shù)據(jù)來源“諦聽”）攻擊源攻擊總量平均攻擊數(shù)UnitedStates11723903.0303545.6Canada50461.1Belgium37351.1Netherlands29142.1由表6-3、6-4分析可知，在攻擊總量來源和攻擊數(shù)量方面，美國在中國華南地區(qū)和美國西海岸地區(qū)的攻擊總量和攻擊數(shù)量均排名第一，且遠超其他國家。通過對Modbus協(xié)議蜜罐和Ethernet/IP現(xiàn)Modbus協(xié)議蜜罐遭受的攻擊次數(shù)高于Ethernet/IPModbus協(xié)議在工業(yè)自動化領域的廣泛和長期應用，使其潛在攻擊面更大，且協(xié)議的復雜度和已知安全漏洞可能吸引了更多攻擊者。同時，網(wǎng)絡中Modbus協(xié)議設備的數(shù)量和暴露程度可能也高于Ethernet/IPModbus協(xié)議蜜罐受到攻擊的概率。因此，雖然Modbus協(xié)議在工控系統(tǒng)中應用廣泛，但也面臨更高的攻擊風險。家攻擊總數(shù)的90%為了發(fā)現(xiàn)系統(tǒng)漏洞、測試防御機制，可能會進行大量的網(wǎng)絡掃描和攻擊模擬?！爸B聽”團隊布署的蜜罐能夠成功捕獲這些行為。6.3工控系統(tǒng)攻擊類型識別能夠對Ethernet/IP協(xié)議和Modbus6-4和圖6-5分別展示了對Ethernet/IP和Modbus協(xié)議蜜罐捕獲的攻擊流量的攻擊類型識別結果。其中，“E”代表Ethernet/IP協(xié)議，“M”代表Modbus協(xié)議。由于國內外使用的蜜罐程序有所不同，同一編號的“EE'MM'”也表示不同的攻擊類型。環(huán)形圖中的各個部分則對應不同的攻擊類型。圖6-4Ethernet/IP協(xié)議攻擊類型占比圖（數(shù)據(jù)來源“諦聽”）Ethernet/IP部署蜜罐，可以收集到更全面的攻擊信息，也易于發(fā)現(xiàn)新型攻擊手段。由圖6-4可知，中國華南地區(qū)的Ethernet/IP協(xié)議蜜罐捕獲的攻擊流量主要采用的攻擊類型為E-1、E-2、E-3、E-4、E-5，其中E-1以53%的高占比成為該地區(qū)Ethernet/IP協(xié)議蜜罐所捕獲的攻擊流量的主要攻擊類型。美國西海岸地區(qū)的Ethernet/IP協(xié)議蜜罐捕獲的攻擊流量采用E'-1、E'-2、E'-3、E'-4、E'-5五種攻擊類型，其中，E'-1約占所捕獲總流量的48%。由此可見以上攻擊類型是對Ethernet/IP協(xié)議進行攻擊的主要手段。圖6-5Modbus協(xié)議攻擊類型占比圖（數(shù)據(jù)來源“諦聽”）“諦聽”團隊將Modbus協(xié)議蜜罐部署在工業(yè)發(fā)達的中國華東地區(qū)和美國東海岸，這兩個地區(qū)的工業(yè)控制設備數(shù)量龐大，將Modbus協(xié)議蜜罐部署在兩地不但易于偽裝隱藏，且能夠收集更多的攻擊信息，也易于發(fā)現(xiàn)新型的滲透攻擊手段。由圖6-5國華東地區(qū)的Modbus協(xié)議蜜罐捕獲的攻擊流量主要采用的攻擊類型為M-1M-2M-3類型，這三種攻擊的數(shù)量大致相當，均約占捕獲總流量的23%Modbus協(xié)議蜜罐捕獲的攻擊流量主要采用的攻擊類型為M'-1、M'-2，其中M'-1攻擊類型占所捕獲總流量的40%占比約30%Modbus協(xié)議進行攻擊的主要手段。本團隊對Ethernet/IP和Modbus的ICS仍有一些未知的攻擊類型尚未被完全識別。針對這些未知攻擊，仍需深入研究和分析，以便更有效地檢測流量中的異常行為并進行攻擊預警，從而評估潛在的攻擊意圖，并制定相應的防御策略。6.4工控蜜罐與威脅情報數(shù)據(jù)關聯(lián)分析進行勒索。當前，工控攻擊展現(xiàn)出多樣化、廣泛傳播及難以溯源的特點。在此背景下，TI現(xiàn)潛在的威脅趨勢和攻擊模式，從而提前采取防范措施。我們的團隊對2024年全年采集到的威脅情報和蜜罐數(shù)據(jù)進行了關聯(lián)分析。由“諦聽”網(wǎng)絡安全團隊開發(fā)并于2021年2月上線的威脅情報搜索引擎（https://www.TI）是基于“諦聽”威脅情報中心而研發(fā)的應用服務。威脅情以威脅情報平臺為基石的網(wǎng)絡安全空間。2024將數(shù)據(jù)分為5（proxycommandexecutionandcontrolattacks（reputationspammingtor每種類型數(shù)據(jù)與蜜罐數(shù)據(jù)重疊部分在二者中的占比如圖6-6圖6-6威脅情報與蜜罐數(shù)據(jù)關聯(lián)占比（數(shù)據(jù)來源諦聽”）圖6-6中威脅情報數(shù)據(jù)來源于“諦聽”威脅情報中心，該系統(tǒng)所記錄的數(shù)據(jù)為安全的地址確實發(fā)生了工控攻擊，這可以讓系統(tǒng)更有針對性的對攻擊進行防御。下面對具體的數(shù)據(jù)進行分析。2022年和2023年類似，2024IPln函數(shù)計算后達到了9.871‰。本團隊認為發(fā)起代理IP、命令執(zhí)行與控制攻擊、垃圾郵件和洋蔥路由攻擊的地址，在主觀判斷上均可被歸類為“惡意IP”，IPIPIP但今年“命令執(zhí)行與控制攻擊”關聯(lián)占比出現(xiàn)了小幅度的下降。“命令執(zhí)行與控制攻擊”理過程，如電力系統(tǒng)、制造過程、水處理等，此類攻擊所構成的安全威脅極為嚴峻。IP作為一種特殊的資源，其使用常常受到嚴格管理。這些會由專門的管理人員進行監(jiān)管，一旦發(fā)現(xiàn)某用戶頻繁通過特定的代理發(fā)起攻擊行為，管理人員會迅速回收該IP得攻擊者更趨向于采用多樣化的手段對工控系統(tǒng)進行全方位的攻擊。為支撐高精度數(shù)據(jù)采集，“諦聽”團隊同步研發(fā)了工控網(wǎng)絡探針——一種專為工業(yè)控制系統(tǒng)設計的網(wǎng)絡數(shù)據(jù)捕獲與協(xié)議解析工具。支持超過30種工式轉換。不僅能夠高效捕獲原始網(wǎng)絡流量，還可以將網(wǎng)絡流量數(shù)據(jù)轉換為更json其進行異常檢測等進一步分析。圖6-7不同流量上Honeyeye和Wireshark解析時間對比（數(shù)據(jù)來源諦聽”）從圖6-7Wireshark針可以作為插件被其他框架所整合，從而提高的可用性。未來，將持續(xù)優(yōu)化其性能，擴展對更多工控協(xié)議的支持，并計劃加入對力。7.工業(yè)互聯(lián)網(wǎng)安全發(fā)展現(xiàn)狀及未來展望7.1工業(yè)互聯(lián)網(wǎng)安全發(fā)展現(xiàn)狀7.1.1工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)發(fā)展現(xiàn)狀業(yè)經(jīng)濟發(fā)展報告（2024年）》顯示，2023年我國包括安全在內的工業(yè)互聯(lián)網(wǎng)核心產(chǎn)業(yè)規(guī)模達1.399.80%2024年規(guī)模達到1.5310.65%。工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)分為安全產(chǎn)品和安全服務兩大類按照功能又劃分為防護類和管理類產(chǎn)、確保系統(tǒng)與業(yè)務流程符合安全規(guī)范，從根本上降低了風險發(fā)生的可能。MSS越來越多企業(yè)的青睞。務......國際企業(yè)在全球市場中憑借技術聯(lián)盟和跨行業(yè)合作已經(jīng)形成了多層次布局。數(shù)字化轉型提供了有力保障。表7-1工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)結構[18][19]一級分類二級分類典型產(chǎn)品或服務防護類產(chǎn)品防病毒軟件、應用白名單、工業(yè)安全審計等安全產(chǎn)品管理類產(chǎn)品態(tài)勢感知、安全合規(guī)管理、身份認證管理、資產(chǎn)管理、補丁管理等工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)結實施類服務安全集成、安全加固等構運營類服務安全應急、安全培訓、安全托管等

安全服務管理類服務安全運維管理、身份認證管理、安全結構管理等咨詢類服務安全評估、安全咨詢等7.1.2工業(yè)互聯(lián)網(wǎng)安全技術發(fā)展現(xiàn)狀擊手段層出不窮，從惡意軟件入侵、網(wǎng)絡釣魚到高級持續(xù)性威脅，攻擊方式花樣繁多。技術深度融合，成為了增強工業(yè)互聯(lián)網(wǎng)安全防護體系的必然選擇。序，幫助企業(yè)及時進行修復和防范。冊、認證和管理，確保只有合法的設備能夠接入，防止非法設備的入侵和攻擊，同時，管理。發(fā)現(xiàn)和處理潛在的安全威脅，實現(xiàn)邊緣設備、云端和本地系統(tǒng)之間的安全協(xié)同與聯(lián)動，設備進行聯(lián)動，共同應對安全威脅，提高整體安全防護能力。Azure等科技巨頭紛紛推出針對工信等通信運營商積極推進“5G+工業(yè)互聯(lián)網(wǎng)”的融合應用，通過構建高可靠性的5G專國電信合作實現(xiàn)了5G專網(wǎng)全覆蓋，打造了智能制造工廠，即所謂的“無人車間”。天中落地。7.2工業(yè)互聯(lián)網(wǎng)安全當前面臨風險與挑戰(zhàn)IoT5G據(jù)、云計算、人工智能等技術的深度融合，這使得其面臨的安全風險更為復雜和嚴峻，其中設備安全、平臺安全和網(wǎng)絡安全是最為突出的三個方面。量化設計，因此其計算和存儲能力受限，安全防護能力較低。APT對平臺安全構成直接威脅。網(wǎng)這種依賴于局域網(wǎng)的快速交換網(wǎng)絡中更容易迅速擴散。例如，Egregor是一種專門針對企業(yè)和工業(yè)控制系統(tǒng)的高危勒索軟件，一旦Egregor病毒侵入工控網(wǎng)絡，就會迅速加密系統(tǒng)中的關鍵數(shù)據(jù)和文件，導致生產(chǎn)流程中斷，嚴重威脅工控系統(tǒng)安全。5G網(wǎng)絡與工控網(wǎng)絡的深度融合也給工控網(wǎng)絡安全帶來了新的挑戰(zhàn)。5G網(wǎng)絡使得更多的物聯(lián)網(wǎng)設備得以接入網(wǎng)絡進行實時的數(shù)據(jù)交換，在5G網(wǎng)絡的切片結構導致網(wǎng)絡管理的復雜度增強的情況下，攻擊者有更多的機會找到并利用漏洞進行入侵。另外，5G技術的低延遲特性也使得攻擊者能夠更快地發(fā)動攻擊，并在更短的時間內造成更大的破壞。面對5G與工控網(wǎng)絡融合帶來的新風險，加強工控網(wǎng)絡的安全防護顯得尤為迫切。層次、立體化的安全防護體系，以應對不斷演變的安全威脅。7.3工業(yè)互聯(lián)網(wǎng)安全發(fā)展趨勢與展望7.3.1政策標準完善與優(yōu)化2024年1月30日，工業(yè)和信息化部發(fā)布了《工業(yè)控制系統(tǒng)網(wǎng)絡安全防護指南》。一個安全、可靠的網(wǎng)絡環(huán)境，推動工業(yè)數(shù)字化轉型的順利進行。2024年9月9會（簡稱“網(wǎng)安標委”）發(fā)布了《人工智能安全治理框架》1.0版（簡稱《框架》）。必須考慮其對社會和環(huán)境的影響，