2014年工控系统安全态势报告

NSFOCUS 2014 ICS SECURITY REPORT 2014 绿盟科技工控系统安全态势报告NSFOCUS ICS SECURITY REPORT 2014 年 8 月 本报告分析了工控系统自身的脆弱性以及所面临的安全威胁发展态势，着重对工控安全产业生态环境进行了调研。 基于这些研究成果可以看到，在每个垂直领域里面，都需要工控系统厂商、信息安全厂商、科研院所以及工控系统的用户群体的深度合作，通过构建产业联盟形成利益共同体，并集成各成员单位的产品与技术优势，通过合理分工协作，形成联盟层面的安全解决方案。报告还对典型工控行业进行了安全服务推广策略的讨论，包括培训、试点、评估、建设等。 本报告可以帮助读者了解工控系统安全领域的总体发展态势，并可作为工控安全领域的主管部门、工控系统用户以及工控安全服务商在决定下一步工控安全投入时的决策参考。 分析数据分析显示近 4 年来： 工控工控漏洞快速增长漏洞快速增长 工控系统公开漏洞数达到 549 个， 2011 年之后持续保持快速增长的势头。显然这对业务连续性、实时性要求高的工业控制系统来说，造成了极大的安全威胁。 能源行业易受攻击能源行业易受攻击 ICS-CERT 公布数据中，工控安全事件达 632件，而且多集中能源行业（59%）和关键制造业（20%）。工控安全事件呈快速增长的趋势。 国家支持的黑客国家支持的黑客攻击攻击 2014 年 6 月，“蜻蜓组织”利用恶意程序Havex（与震网类似），对欧、美地区的一千多家能源企业进行了攻击。这次事件表明，黑客组织（尤其是有某些国家幕后支持的黑客组织）已成为当前工控系统所面临的最大安全威胁。 研究目标与方法 安全事件分析 分析工业控制系统自身的脆弱性及所面临的安全攻击威胁及近期安全事件。 生态环境模型 根据 2014 年初2014 工业控制系统的安全研究与实践LHW2014中提出的生态环境模型，进行展开论述。 工控行业调研 本文调查了各方当前在政策发布、技术研究、 安全建设需求、 产品及服务开发等多方面的进展态势；并深入研究了发电、电网等几个典型行业工控系统的安全现状、存在的问题及市场需求。 历次报告积累 第一次报告，工控安全是什么 第二次报告，工控安全存在哪些问题 第三次报告，工控安全行业需求及发展态势 第四次报告，工控安全产品及解决方案 第五次报告，工控安全产业生态环境模型工控安全产业生态环境模型 工业控制系统安全与传统的信息安全不同， 它通常关注更多的是物理安全与功能安全， 而且系统的安全运行由相关的生产部门负责，信息部门仅处于从属的地位。随着信息化与工业化技术的深度融合以及潜在网络战威胁的影响，工业控制系统也将从传统的仅关注物理安全、 功能安全转向更为关注信息系统安全； 这种转变将在国家政策的推动下对传统的工业企业产生较大的影响。确保国计民生相关的工业控制系统安全已被提升到了国家安全战略的高度，再加上工业控制系统跨学科、跨行业应用的特殊性；使其安全保障体系的建立必须在国家、行业监管部门、工业控制系统企业（用户）、工业控制系统提供商、信息安全厂商等多方面的协同努力下才能够实现。 图 1.1 工控安全产业生态环境模型目录目录 工控系统的安全研究及发展态势分析 I 工控安全产业生态环境模型 . I 工控系统的安全威胁态势分析 1 工控系统的自身脆弱性 1 工控系统面临的安全威胁 7 工控安全领域的总体发展态势分析. 12 国外发展动态概述 12 国内政策法规动态 13 国内产业联盟动态 13 国内工控安全厂商动态 14 合作策略及建议 17 典型行业的工控安全发展态势分析. 18 发电行业的工控安全发展态势 18 电网行业的工控安全发展态势 26 结束语 33 附录 34 A.1 图表索引 34 A.2 联系作者 34 A.3 缩略语中英文对照 35 A.4 参考文献 36这里结合目录章节，对报告的主要内容提要如下： P2 工控系统的安全威胁态势分析 主要从近期公开的工控系统相关漏洞的统计分析结果以及对近期典型的工控安全攻击事件及新型攻击技术的分析，讨论工控系统当前所面临的安全威胁态势。 P13 工控安全领域的总体发展态势分析 依据工控安全产业生态模型相关的政府主管部门、 产业联盟、 科研院所及国内外友商的研究及产品服务发展动态情况，讨论工控安全领域的总体发展态势。 P19 典型行业的工控安全发展态势分析 针对上半年重点调研的发电、 电网等几个典型工控行业的结果，从行业政策动态，行业工控系统的安全现状、问题与需求， 当前制约该行业工控安全建设发展的主要因素等多个角度来讨论各行业的工控安全发展态势； 并在此基础上提出我们针对该行业的工控安全服务的推广策略。 Next chapter 工控系统的安全威胁态势分析 |工控系统的安全威胁态势分析 1 |工控系统工控系统的的安全威胁态势安全威胁态势分析分析 本章将从工业控制系统公开安全漏洞的统计分析以及对近期典型的工控安全攻击事件及新型攻击技术的分析等多个方面，讨论工控系统当前所面临的安全威胁态势。 工控工控系统系统的自身脆弱性的自身脆弱性 截至 2014 年 6 月，我们以绿盟科技安全漏洞库收录的工业控制系统相关的漏洞信息为基础，综合参考了美国 CVECVE、ICS-CERT 以及中国国家信息安全漏洞共享平台 所发布的漏洞信息CNVD ICSMM2014，共整理出了 549 个与工业控制系统相关的漏洞。本节将重点分析 2014 年新增漏洞的统计特征和变化趋势，主要涉及公开漏洞的总体变化趋势、漏洞的严重程度、漏洞所影响的工控系统类型、漏洞的危害等几个方面的对比分析。 公开漏洞数总体上保持公开漏洞数总体上保持快速快速增长的变化趋势增长的变化趋势 下图给出了截止到 2014 年 6 月之前所公开发布的工业控制系统相关漏洞按年度进行统计分析的结果。 图 1.2 公开的 ICS 漏洞的年度变化趋势 在 2011 年之前，公开披露的工业控制系统相关漏洞数量相当少，但在 2011 年出现快速增长，这可能是因为 2010 年的Stuxnet 蠕虫事件之后， 人们对工业控制系统安全问题持续关注以及工业控制系统厂商分析解决历史遗留安全问题所造成的。随着各方面对工业控制系统的安全日益重视，工业控制系统的相关公开漏洞数量仍将保持一个快速增长的总体趋势。 41165151014117135177640204060801001201401601802002014 绿盟科技工控系统安全态势报告 2 公开漏洞公开漏洞涉及涉及的的工控工控系统系统厂商厂商依然以国际厂商为主依然以国际厂商为主 通过对漏洞的统计分析， 下图给出了公开漏洞所涉及的主要工业控制系统厂商， 以及及各厂商的相关漏洞数及其占漏洞库中所有漏洞的比例情况。 分析结果表明， 公开漏洞所涉及的工业控制系统厂商仍然是以国际著名的工业控制系统厂商为主， 西门子 （Siemens） 、施耐德电气（Schneider）、研华科技（Advantech）、通用电气（GE）与罗克韦尔（Rockwell）占据漏洞数排行榜的前五名。用户的工控系统使用情况调研结果表明， 这些国际著名工控系统厂商的产品在国内市场上占据优势地位， 甚至某些产品在某些行业处于明显的垄断地位。 这种情况必然会造成这些厂商的产品倍受系统攻防双方的重视和关注， 而且也比较容易获得研究分析用户的产品，这很可能就是公开漏洞涉及到的工控系统厂商总是以国际厂商为主的主要原因。 这里需要说明的是， 虽然漏洞涉及的是系统自身的脆弱性问题， 但依然不能简单地通过这里的漏洞数量信息实现厂商之间产品安全性的横向对比（因为各厂商产品的漏洞数量不仅与产品自身的安全性有关，而且也和厂商的产品数量、产品的复杂度、受研究者关注程度以及工业控制系统厂商对自身系统安全性的自检力度等多种因素有关。因此，我们并不能简单地认为公开漏洞数量越多的厂商产品越不安全。），但是却可以 通过该信息评估用户工控系统所存在的安全脆弱性状况，并据此进行系统的安全加固、调整安全防护策略，来增强用户系统的整体安全防护能力。 图 1.3 公开漏洞所涉及到的主要工业控制系统厂商（Top10） |工控系统的安全威胁态势分析 3 图 1.4 给出了 2014 年上半年新增漏洞所涉及的工控厂商情况，与图 1.3 的总体情况相比有所变化。其中西门子以新增25 个公开漏洞，占比 39%依然位居首位，研华科技则以新增 10 个公开漏洞，占比 15.4%而升据第二。施耐德电气则以半年新增 4 个漏洞（占比 6%）依然位列三甲之内。但需要注意的是： 1） 日本横河电机株式会社(YOKOGAWA)首次进入我们的关注视野， 就以半年新增 4 个漏洞， 与施耐德电气并列 2014 半年度新增漏洞的第三名。 日本横河电机作为工业控制行业全球最为专业的跨国公司之一， 经营领域涉及测量、 控制、信息三大领域，其集散型控制系统（DCS 系统）、PLC 等工控产品在国内石油、化工等大型工厂生产过程也有较为广泛的应用。也应是我们需要重点关注研究的工控厂商之一。 2） 排名第四、第五的 Cogent、Ecava 则是两家专业的工控软件厂商，表明除了著名国际厂商之外，在工控软件某个子领域内相对领先的企业也日益受到关注。 图 1.4 2014 年新增工业控制系统漏洞所涉及到的主要厂商 Siemens, 25, 39%Advantech, 10, 16%Schneider, 4, 6%yokogawa, 4, 6%Cogent, 3, 5%Ecava, 3, 5%GE, 2, 3%Emerson, 2, 3%COPA-DATA, 2, 3%Triangle Microworks, 2, 3%others, 7, 11%20142014年年6464日本横河电机株式会社日本横河电机株式会社(YOKOGAWA)(YOKOGAWA)首次进入我们的关注视野，就以半年新增4个漏洞，与施耐德电气并列2014半年度新增漏洞的第三名。2014 绿盟科技工控系统安全态势报告 4 工控系统工控系统相关漏洞的严重性表明：工控系统相关漏洞的严重性表明：工控系统存在严重的安全隐患存在严重的安全隐患及被攻击及被攻击的威胁的威胁 因本文收集处理的公开漏洞以 CVE 收录的为主，所以本文在分析这些漏洞的严重性时，将主要根据 CVE 的 CVSS 评估值 来判断，并划分为高、中、低三种情况。 根据下图的统计分析，2014 年的新增漏洞中“高危”漏洞（CVSS 值范围 7.010.0）超过一半（51%），且基本上都是严重性程度为“中”以上（CVSS 值大于等于 4.0）的漏洞。这也表明了当前工控系统产品存在严重的安全隐患。 图 1.5 2014 年收录的新增漏洞按严重程度的分类情况 |工控系统的安全威胁态势分析 5 下图则是 2014 年度新增漏洞按照可能引起的攻击威胁分类的统计及占比分析结果中位居前五的威胁情况。 从图中可知：可引起业务中断的拒绝服务类漏洞占比最高(约 33%)，这对强调业务连续性的工控系统来说不是一个好消息。而位居其次的是缓冲区溢出类漏洞，其占比也高达 20%；对于当前具有规范性软件开发流程的软件企业来说，缓冲区溢出类这类软件编程不规范所造成的软件缺陷应是比较罕见的了，这也可以从侧面说明工控软件企业在软件开发的编码阶段缺乏严格的编程规范要求，从而造成这类漏洞占比较高的原因。当然占比较高的可造成信息泄露、远程控制及权限提升类的漏洞也必将是攻击者最为关注的，利用他们可以窃取制造企业的设计图纸、生产计划、工艺流程等敏感信息，甚至获得工控系统的控制权，干扰、破坏工控系统业务的正常生产或运营活动。 显然这些漏洞所可能造成的主要威胁的分类情况也可以从侧面表明当前工控系统安全所应关注的主要安全问题。 图 1.6 2014 年新增漏洞的威胁分类及占比分析 拒绝服务, 21, 33%缓冲区溢出, 13, 20%信息泄露, 10, 16