11月20日,在5G+工业互联网大会期间,工业控制系统安全国家地方联合工程实验室、奇安信行业安全中心共同发布了《2022中国工业数据勒索形势分析报告》(简称《报告》),结合奇安信集团安服团队应急处置案例,对2022年工业数据勒索形势进行了深入的分析。
数据勒索是工业网络攻击最大来源
(资料图片仅供参考)
本报告中将因为勒索病毒攻击导致工业企业数据被加密、窃取等事件定义为工业数据勒索事件。《报告》显示,拥有丰富数据、数据勒索损失巨大的工业企业生产系统成为被勒索攻击的首要目标。最近频繁曝出针对大型工业企业的勒索事件,根据国家工信安全中心统计,2021年公开发布的工业领域勒索事件比2020年增长约51.5%。
数据勒索也成为数量排名第一的工业网络攻击威胁源,2022年1-9月,奇安信集团安全服务中心共参与和处置了全国范围内174起工业网络安全应急响应事件,其中与工业数据勒索相关的安全事件72起,占到工业安全应急响应事件的41.4%。
2022年1-9月,从工业企业遭受数据勒索攻击产生的影响来看,攻击者对系统的攻击所产生的影响主要表现为数据丢失和系统/网络不可用等。下图为工业企业遭受攻击后的影响分布。
攻击者将数据进行窃取和加密,导致数据丢失。在上述数据中,有36起数据勒索应急响应事件导致工业企业数据丢失,占比50%。有12起应急响应事件导致系统/网络不可用,占比16.7%,攻击者对系统重要数据库进行攻击,严重影响系统和业务的正常运行。
弱口令、历史漏洞
是导致数据勒索的最大因素
从导致被勒索的原因来看,在2022年1-9月工业数据勒索应急响应事件中,弱口令是工业企业遭受数据勒索失陷的重要原因,占比55.6%。
由于弱口令账号的低攻击成本和高命中效果,通过盗取弱口令账号以横向渗透获得特权账号,进而破坏或泄露重要数据资源的攻击行为,给数据安全管理带来很大挑战。
除弱口令之外,未修复的历史漏洞也是导致黑客攻击的重要原因。通过对2022年1-9月工业数据勒索安全事件攻击类型进行分析,漏洞利用攻击手段占比最高,达到43.1%。
不过在所有攻击者利用的漏洞中,仅有少数是未公开的0day漏洞,多以历史漏洞为主,历史漏洞基本都是由于没有及时升级、更新应用造成的。这也直接反映出客户网络运维人员对下辖网络资产动态跟踪不及时、网络运维缺乏常态巡检机制、对存在的漏洞及安全威胁缺乏应对等问题。
补短固底,做好基础安全防护是当务之急
面对复杂的安全形势,奇安信建议工业企业应先做好基础安全防护,补短固底,在有限资源条件下抵御大部分中低强度网络攻击,在此基础上落实工业数据分类分级,体系规划安全防护体系,有序建设,持续运营。
具体包括以下四点:
第一,补短固底,做好基础安全防护是当务之急。梳理业务,识别重要数据集;做好基础网络安全防护;加强运维和账号安全防护;落实数据实体防护;做好API接口安全防护。
第二,结合具体业务场景,做好工业数据分类分级工作。在补齐短板后,工业企业要尽快识别出要重点保护的数据。工业数据本身具有行业差异大、数据类型多的特点,应根据实际业务场景,识别重要和敏感数据资产,形成数据保护目录,对数据进行分类分级,做到“摸清家底,识别关键,分清主次”。
第三,系统治理,体系规划新型数据安全防护体系。工业企业应以数据分类分级为基础落实数据安全治理。通过数据安全治理,摸清现有管理、技术防护措施和执行情况,结合政策法规、行业规范以及业务和信息化战略,做好数据安全组织和制度建设。
第四,数据安全能力有序建设,持续运营。有序建设是在体系规划的基础上,将工业企业数据安全工程任务进行归纳,从紧急程度、技术成熟度、实施难度和预期效果等方面制定量化规则,明确建设优先级、实施周期和投入,完成工业企业数据安全场景建设管控。