一体化工业信息安全态势，勒索病毒仍是最大威胁

（文章来源：智电网）

近日，工业控制系统安全国家地方联合工程实验室发布了《IT/OT一体化工业信息安全态势报告》。报告显示，工控系统相关漏洞增长情况居高不小，安全形势十分严峻。在2019年工业应急响应安全事件中，病毒攻击仍然是工业企业遭受失陷的主要原因，其中，病毒多为"永恒之蓝"蠕虫变种、挖矿蠕虫。

根据中国国家信息安全漏洞共享平台最新统计，截止到2019年12月，CNVD收录的与工业控制系统相关的漏洞高达2306个，2019年新增的工业控制系统漏洞数量达到413个，基本和2018年持平。而另据CVE、NVD、CNVD、CNNVD四大漏洞平台收录的漏洞信息显示，2019年共收录了690条漏洞工业控制系统漏洞。数据居高不下，安全形势十分严峻。

其中，高危漏洞占比57.3%，中危漏洞占比为35.5%，中高危漏洞占比高达92.8%。且漏洞成因多样化特征明显，技术类型多达30种以上。无论攻击者利用何种漏洞造成生产厂区的异常运行，均会影响工控系统组件及设备的可用性和可靠性。在收录的工业控制系统安全漏洞中，多数分布在制造业、能源、水务、商业设施、石化、医疗、交通、农业、信息技术、航空等关键基础设施行业。一个漏洞可能涉及多个行业，在690个漏洞中，有566个漏洞涉及到制造业，也是占比最高的行业。涉及到的能源行业漏洞数量高达502个。

造成工控系统暴露的主要原因之一是"商业网络（IT）"与"工业网络（OT）"的不断融合。随着云计算、物联网、大数据技术的广泛应用，工控系统已渐渐从最初的封闭状态向开放状态改变。暴露在互联网上的工业控制系统设备也随之越来越多，从而增加了攻击者的攻击面积。

根据Positive Technologies研究数据显示：当前全球工控系统联网暴露组件总数量约为22.4万个，同比去年增长27%。将可通过互联网访问的工业控制系统组件（工控设备、协议、软件、工控系统等）数量按照国家进行分类，美国联网的工控设备暴露情况最为严重，达到95661个，其次为德国，联网工控组件达到21449个，相比去年而言，中国工控系统互联网暴露数量呈现明显增长趋势，由6223个增长到16843个，增长比例高达2.7倍，排名第三。需要注意的是，一方面，某地区工控系统在互联网上暴露的越多，往往说明该地区工业系统的信息化程度越高，工业互联网越发达；而另一方面，暴露的比例越大，也往往意味着工控设备将直接面对来自互联网的威胁。

2019年奇安信工业安全应急响应中心和安全服务团队共同为全国工业企业提供应急求助273起，涉及医疗卫生、交通运输、制造业、能源等重要关键信息基础设施行业。数据显示，遭受勒索病毒攻击仍然是工业企业面临的最大挑战。需要注意的是，病毒攻击的主要目标是工业主机，然而工业主机大多数处于裸奔状态，因此，工业企业应落实工业主机的安全防护。

2019年2月，某大型制造企业的卧式炉、厚度检测仪、四探针测试仪、铜区等多个车间的机台主机以及MES（制造执行系统）客户端都不同程度的遭受蠕虫病毒攻击，出现蓝屏、重启现象。工业安全应急响应中心人员到达现场后发现，当前网络中存在的主要问题是工业生产网和办公网网络边界模糊不清，MES与工控系统无明显边界，在工业生产网中引入了"永恒之蓝"等勒索蠕虫变种，感染了大量主机。

随着工业安全形势的日益严峻，传统的"围墙式"网络安全建设、业务和安全"两张皮"、IT安全管理和OT安全管理"两张皮"式的安全防护体系已经不能满足越来越复杂的网络安全环境。规划建设三级协同的"工业互联网安全技术保障平台"有利于全面提高工业互联网安全建设水平。

平台基于"监测-响应"的技术路线进行建设实施，有利于工业生产的长期可靠、稳定运行。因此，旁路的、非侵入式的平台建设结合关键节点串接、阻断式的安全防护是工业互联网安全建设的发展趋势。

同时需要注意，目前很多企业存在着轻视安全运营的现象。对此报告认为，工业企业可以利用外部资源，特别是安全公司提供的远程、驻场或托管式安全运营服务开展工作。工业企业也可以把安全运营工作上移到集团、行业等平台，通过委托方式用专业安全团队来提供安全保障。基于此，不仅可以在威胁发现、风险预测、处置响应、追踪溯源等方面大幅度提高工业企业网络安全防护能力，还可以减少人力资源投入、降低工业企业安全运营成本。