11月20日,在5G+工業(yè)互聯(lián)網(wǎng)大會(huì)期間�,工業(yè)控制系統(tǒng)安全國(guó)家地方聯(lián)合工程實(shí)驗(yàn)室、奇安信行業(yè)安全中心共同發(fā)布了《2022中國(guó)工業(yè)數(shù)據(jù)勒索形勢(shì)分析報(bào)告》(簡(jiǎn)稱(chēng)《報(bào)告》)�����,結(jié)合奇安信集團(tuán)安服團(tuán)隊(duì)?wèi)?yīng)急處置案例�����,對(duì)2022年工業(yè)數(shù)據(jù)勒索形勢(shì)進(jìn)行了深入的分析��。
數(shù)據(jù)勒索是工業(yè)網(wǎng)絡(luò)攻擊最大來(lái)源
(資料圖片僅供參考)
本報(bào)告中將因?yàn)槔账鞑《竟魧?dǎo)致工業(yè)企業(yè)數(shù)據(jù)被加密����、竊取等事件定義為工業(yè)數(shù)據(jù)勒索事件����。《報(bào)告》顯示�,擁有豐富數(shù)據(jù)、數(shù)據(jù)勒索損失巨大的工業(yè)企業(yè)生產(chǎn)系統(tǒng)成為被勒索攻擊的首要目標(biāo)�。最近頻繁曝出針對(duì)大型工業(yè)企業(yè)的勒索事件,根據(jù)國(guó)家工信安全中心統(tǒng)計(jì)��,2021年公開(kāi)發(fā)布的工業(yè)領(lǐng)域勒索事件比2020年增長(zhǎng)約51.5%。
數(shù)據(jù)勒索也成為數(shù)量排名第一的工業(yè)網(wǎng)絡(luò)攻擊威脅源����,2022年1-9月,奇安信集團(tuán)安全服務(wù)中心共參與和處置了全國(guó)范圍內(nèi)174起工業(yè)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)事件����,其中與工業(yè)數(shù)據(jù)勒索相關(guān)的安全事件72起,占到工業(yè)安全應(yīng)急響應(yīng)事件的41.4%����。
2022年1-9月,從工業(yè)企業(yè)遭受數(shù)據(jù)勒索攻擊產(chǎn)生的影響來(lái)看����,攻擊者對(duì)系統(tǒng)的攻擊所產(chǎn)生的影響主要表現(xiàn)為數(shù)據(jù)丟失和系統(tǒng)/網(wǎng)絡(luò)不可用等�����。下圖為工業(yè)企業(yè)遭受攻擊后的影響分布�。
攻擊者將數(shù)據(jù)進(jìn)行竊取和加密,導(dǎo)致數(shù)據(jù)丟失���。在上述數(shù)據(jù)中����,有36起數(shù)據(jù)勒索應(yīng)急響應(yīng)事件導(dǎo)致工業(yè)企業(yè)數(shù)據(jù)丟失,占比50%�。有12起應(yīng)急響應(yīng)事件導(dǎo)致系統(tǒng)/網(wǎng)絡(luò)不可用,占比16.7%�����,攻擊者對(duì)系統(tǒng)重要數(shù)據(jù)庫(kù)進(jìn)行攻擊��,嚴(yán)重影響系統(tǒng)和業(yè)務(wù)的正常運(yùn)行�。
弱口令、歷史漏洞
是導(dǎo)致數(shù)據(jù)勒索的最大因素
從導(dǎo)致被勒索的原因來(lái)看�,在2022年1-9月工業(yè)數(shù)據(jù)勒索應(yīng)急響應(yīng)事件中,弱口令是工業(yè)企業(yè)遭受數(shù)據(jù)勒索失陷的重要原因�����,占比55.6%��。
由于弱口令賬號(hào)的低攻擊成本和高命中效果���,通過(guò)盜取弱口令賬號(hào)以橫向滲透獲得特權(quán)賬號(hào)��,進(jìn)而破壞或泄露重要數(shù)據(jù)資源的攻擊行為����,給數(shù)據(jù)安全管理帶來(lái)很大挑戰(zhàn)。
除弱口令之外�,未修復(fù)的歷史漏洞也是導(dǎo)致黑客攻擊的重要原因。通過(guò)對(duì)2022年1-9月工業(yè)數(shù)據(jù)勒索安全事件攻擊類(lèi)型進(jìn)行分析�����,漏洞利用攻擊手段占比最高�����,達(dá)到43.1%���。
不過(guò)在所有攻擊者利用的漏洞中�,僅有少數(shù)是未公開(kāi)的0day漏洞����,多以歷史漏洞為主����,歷史漏洞基本都是由于沒(méi)有及時(shí)升級(jí)、更新應(yīng)用造成的����。這也直接反映出客戶(hù)網(wǎng)絡(luò)運(yùn)維人員對(duì)下轄網(wǎng)絡(luò)資產(chǎn)動(dòng)態(tài)跟蹤不及時(shí)�、網(wǎng)絡(luò)運(yùn)維缺乏常態(tài)巡檢機(jī)制��、對(duì)存在的漏洞及安全威脅缺乏應(yīng)對(duì)等問(wèn)題���。
補(bǔ)短固底�����,做好基礎(chǔ)安全防護(hù)是當(dāng)務(wù)之急
面對(duì)復(fù)雜的安全形勢(shì)����,奇安信建議工業(yè)企業(yè)應(yīng)先做好基礎(chǔ)安全防護(hù)��,補(bǔ)短固底��,在有限資源條件下抵御大部分中低強(qiáng)度網(wǎng)絡(luò)攻擊�����,在此基礎(chǔ)上落實(shí)工業(yè)數(shù)據(jù)分類(lèi)分級(jí)�����,體系規(guī)劃安全防護(hù)體系,有序建設(shè)��,持續(xù)運(yùn)營(yíng)���。
具體包括以下四點(diǎn):
第一�����,補(bǔ)短固底��,做好基礎(chǔ)安全防護(hù)是當(dāng)務(wù)之急�。梳理業(yè)務(wù)���,識(shí)別重要數(shù)據(jù)集����;做好基礎(chǔ)網(wǎng)絡(luò)安全防護(hù)����;加強(qiáng)運(yùn)維和賬號(hào)安全防護(hù)�����;落實(shí)數(shù)據(jù)實(shí)體防護(hù);做好API接口安全防護(hù)���。
第二���,結(jié)合具體業(yè)務(wù)場(chǎng)景,做好工業(yè)數(shù)據(jù)分類(lèi)分級(jí)工作�����。在補(bǔ)齊短板后����,工業(yè)企業(yè)要盡快識(shí)別出要重點(diǎn)保護(hù)的數(shù)據(jù)。工業(yè)數(shù)據(jù)本身具有行業(yè)差異大����、數(shù)據(jù)類(lèi)型多的特點(diǎn),應(yīng)根據(jù)實(shí)際業(yè)務(wù)場(chǎng)景���,識(shí)別重要和敏感數(shù)據(jù)資產(chǎn)���,形成數(shù)據(jù)保護(hù)目錄,對(duì)數(shù)據(jù)進(jìn)行分類(lèi)分級(jí),做到“摸清家底�,識(shí)別關(guān)鍵,分清主次”�����。
第三�,系統(tǒng)治理,體系規(guī)劃新型數(shù)據(jù)安全防護(hù)體系�����。工業(yè)企業(yè)應(yīng)以數(shù)據(jù)分類(lèi)分級(jí)為基礎(chǔ)落實(shí)數(shù)據(jù)安全治理���。通過(guò)數(shù)據(jù)安全治理�����,摸清現(xiàn)有管理���、技術(shù)防護(hù)措施和執(zhí)行情況,結(jié)合政策法規(guī)���、行業(yè)規(guī)范以及業(yè)務(wù)和信息化戰(zhàn)略��,做好數(shù)據(jù)安全組織和制度建設(shè)��。
第四���,數(shù)據(jù)安全能力有序建設(shè),持續(xù)運(yùn)營(yíng)��。有序建設(shè)是在體系規(guī)劃的基礎(chǔ)上���,將工業(yè)企業(yè)數(shù)據(jù)安全工程任務(wù)進(jìn)行歸納����,從緊急程度�����、技術(shù)成熟度�、實(shí)施難度和預(yù)期效果等方面制定量化規(guī)則,明確建設(shè)優(yōu)先級(jí)�、實(shí)施周期和投入,完成工業(yè)企業(yè)數(shù)據(jù)安全場(chǎng)景建設(shè)管控��。
