1、。NISIA 国家工业信息安全发展研究中心卡巴斯基2019年6月目录一、工业自动化系统漏洞分析”“.1（一）漏洞数量增加（二）漏洞修复卒低元：；.， 2 （三）漏洞影响大.： .丁：，. . .2 二、工业主机网络攻击分析. / : .a:-:. - 3 （一）工业控制系统主机遭入侵比例进一步增长., . : . 3 （二）恶意软件活动瞄准工业控制系统主机二：. 4 （三）互联网成为工业控制系统主机安全的最大威胁来源.4 三、关键事件分析.fa，乙.：.：.,. （一）“幽灵”和“熔断”漏洞. .5 （二）针对SCADA系统的新恶意软件VPNFilter. 6 （三）勒索软件攻击.7 （四）针

2、对工业企业的高级持续性威胁（APT）攻击8四、对策建议. 9 （一）提升工业主机安全防护水平. . .10 （二）完善工业企业信息安全管理体系. .10 （三）增强企业员工信息安全意识和技能. . . .11 一、工业自动化系统漏洞分析（一）漏洞数量增加2 018年，据ICS-CERT统计，全球涉及技术过程自动化管理系统组件漏洞共计415个，比2017年发现的漏洞数量增加了93个。其中，涉及工程软件143个、涉及SCADA/HMI组件81个、涉及工业用途网络设备66个、涉及PLC47个、涉及工业计算机和服务器19个，工业视频监控系统15个，其他44个。. 工程软件 SCADA/11明工业用途网

3、络设备PLC 工业计算机和服务器醺工业视频监控系统其他图1技术过程自动化管理系统中组件存在漏洞的情况1 （二）漏洞修复率低2018年，卡巴斯基实验室工业控制系统网络应急小组在工业系统和IIoT/IoT系统中，发现了61个漏洞，其中涉及IIoT 10个，涉及HMI5个，涉及外部软件17个，涉及PLC开发环境14个，涉及汽车软件15个。61个漏洞中仅有29个（4 7%）漏洞被修复。软件供应商不重视漏洞修复，推迟或拒绝修复相关漏洞。18 17 16 15 14 14 12 10 10 8 6 5 4 2 。lloT 即但外部软件PLC开发环境汽车软件图22018年卡巴斯基实验室工业控制系统网络应急小

4、组发现的漏洞按组件类型划分统计（三）漏洞影响大2018年，卡巴斯基识别CoDeSysRuntime （典型PLC开发环境）的14个漏洞，影响全球400多家工业自动化供应商的400多万台设备。2018年，卡巴斯基识别的61个漏洞中，46%的漏洞可被用于发起针对工业控制系统的远程代码或拒绝服务（Dos)2 攻击，21%的漏洞可被攻击者利用绕过系统身份验证。二、工业主机网络攻击分析（一）工业控制系统主机遭入侵比例进一步增长2018年，检测到恶意活动的工业控制系统主机占比达47. 2%，涉及SCADA服务器、数据存储服务器、数据网关、工程师和操作员工作站、人机界面等。从变化趋势来看，2018年，检测到

5、恶意活动的工业控制系统主机较2017年增长了3. 2%，且每月均同比增长。详见图3和图4。50% 40% 30% 20% 10% 。%图325.0% 20.0电也15.0咯也10.0% 5.0% 0.0% 44.0% 47.2% 2017年2018年201 7和201 8年度检测到恶意活动的工业控制系统主机占比1月2月3月4月5月6月7月8月9月JO月11月12月 2(117年2018年图42017和2018每月检测到恶意活动的工业控制系统主机占比3 （二）恶意软件活动瞄准工业控制系统主机2018年，检测到漏洞、后门、勒索木马、问谍木马等恶意软件活动的工业控制系统主机占比较2017年显著增长，

6、增幅分别为46.6%、31.3%、46.7%、27.9%。如图5所示。45坦4Jl% 3筑声地3.5% 3.44% 3.0% 2.S% 二三二 2A2剖2.0% .|. . L6S%. l.6S% 15% 1.0 o.s剖0.0司后门漏洞勒索木马间谍木马捕，筝 101！军图52017-2018检测到不同恶意软件活动的工业控制系统主机占比（三）互联网成为工业控制系统主机安全的最大威胁来源2018年，互联网、可移动设备、邮件依然是工业控制系统主机面临的三大威胁来源，从检测到上述威胁源的工业控制系统主机占比来看，互联网约26%，可移动设备约8%，邮件约4%。与2017年度相比，变化明显的是来自互联网