1

　　概述

　　根據(jù)《網(wǎng)絡(luò)安全法》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見稿）》對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施定義和范圍的闡述，關(guān)鍵信息基礎(chǔ)設(shè)施（Critical Information Infrastructure，CII）是指一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的信息基礎(chǔ)設(shè)施，包括能源、交通、水利、金融、電子政務(wù)、公共通信和信息服務(wù)等關(guān)鍵行業(yè)和領(lǐng)域。

　　隨著“新基建”、“工業(yè)互聯(lián)網(wǎng)”等戰(zhàn)略的快速推進(jìn)以及Lora、NB-IOT、eMTC、5G等技術(shù)的快速發(fā)展，物聯(lián)網(wǎng)與關(guān)鍵信息基礎(chǔ)設(shè)施已開始深度融合，在提高行業(yè)的運(yùn)行效率和便捷性的同時(shí)，也面臨嚴(yán)峻的網(wǎng)絡(luò)安全和數(shù)據(jù)安全挑戰(zhàn)。因此，亟需對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的物聯(lián)網(wǎng)安全問(wèn)題加以重視和防護(hù)。

　　CNCERT依托宏觀數(shù)據(jù)，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施中的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全等方面的問(wèn)題進(jìn)行專項(xiàng)監(jiān)測(cè)，以下是本月的監(jiān)測(cè)情況。

　　2

　　物聯(lián)網(wǎng)終端設(shè)備監(jiān)測(cè)情況

　　2.1活躍物聯(lián)網(wǎng)設(shè)備監(jiān)測(cè)情況

　　本月對(duì)物聯(lián)網(wǎng)設(shè)備的抽樣監(jiān)測(cè)顯示，國(guó)內(nèi)活躍物聯(lián)網(wǎng)設(shè)備數(shù)522139臺(tái)，包括工業(yè)控制設(shè)備、視頻監(jiān)控設(shè)備、網(wǎng)絡(luò)存儲(chǔ)設(shè)備（NAS）、網(wǎng)絡(luò)交換設(shè)備、串口服務(wù)器、打印機(jī)等21個(gè)大類，涉及西門子、羅克韋爾、歐姆龍、海康威視、大華、思科等49個(gè)主流廠商。

　　在本月所發(fā)現(xiàn)的活躍物聯(lián)網(wǎng)設(shè)備中，判別疑似物聯(lián)網(wǎng)蜜罐設(shè)備103個(gè)，蜜罐偽裝成可編程邏輯控制器、視頻監(jiān)控設(shè)備等設(shè)備，仿真了HTTP、SNMP、S7Comm、Modbus、BACnet等常用協(xié)議。實(shí)際活躍的物聯(lián)網(wǎng)設(shè)備522036臺(tái)分布在全國(guó)各個(gè)省份，重點(diǎn)分布在臺(tái)灣、廣東、浙江、遼寧和江蘇等34個(gè)省級(jí)行政區(qū)。各省份設(shè)備數(shù)量分布情況如圖1所示。

　　圖1 活躍物聯(lián)網(wǎng)設(shè)備省份分布

　　2.2特定類型物聯(lián)網(wǎng)設(shè)備重點(diǎn)分析

　　在發(fā)現(xiàn)的活躍物聯(lián)網(wǎng)設(shè)備中，本月針對(duì)對(duì)工業(yè)控制設(shè)備開展重點(diǎn)分析。國(guó)內(nèi)活躍工控設(shè)備1466臺(tái)，包括可編程邏輯控制器、工業(yè)交換機(jī)、串口服務(wù)器、通信適配器等13種類型，涉及西門子、羅克韋爾、施耐德、霍尼韋爾、歐姆龍等21個(gè)主流廠商。

　　在本月所發(fā)現(xiàn)的工控設(shè)備中，基于資產(chǎn)的的Banner信息和ISP歸屬信息等進(jìn)行綜合研判，識(shí)別疑似蜜罐設(shè)備31個(gè)，占比2.1 %，仿真協(xié)議包括Modbus、S7Comm、SNMP和EtherNetIP等，典型蜜罐特征如表1所示。

　　表1工控設(shè)備蜜罐特征

　　以設(shè)備118.24.*.209為例，設(shè)備監(jiān)測(cè)信息如表2所示。判定該資產(chǎn)為蜜罐仿真設(shè)備的原因主要是：1）唯一性標(biāo)識(shí)信息重復(fù) 2）開放端口眾多 3）標(biāo)識(shí)信息不合規(guī) 4）ISP為云服務(wù)提供商

　　表2 118.24.*.209設(shè)備監(jiān)測(cè)信息

　　去除占比2.1%的工控設(shè)備蜜罐，本月實(shí)際監(jiān)測(cè)發(fā)現(xiàn)活躍工控設(shè)備1435臺(tái)。對(duì)這些設(shè)備進(jìn)行漏洞識(shí)別，128臺(tái)設(shè)備識(shí)別到安全風(fēng)險(xiǎn)，包括高危漏洞設(shè)備61臺(tái)和中危漏洞設(shè)備67臺(tái)。這些具有漏洞的工控設(shè)備主要分布在江蘇、安徽、廣東等16個(gè)省份，詳細(xì)的設(shè)備省份分布如圖2所示。

　　圖2 具有漏洞的工控設(shè)備省份分布

　　3

　　掃描探測(cè)組織活動(dòng)監(jiān)測(cè)情況

　　3.1掃描探測(cè)組織活躍性分析

　　本月監(jiān)測(cè)發(fā)現(xiàn)來(lái)自Shodan、ShadowServer和密歇根大學(xué)等掃描探測(cè)組織的405個(gè)探測(cè)節(jié)點(diǎn)針對(duì)境內(nèi)14356萬(wàn)個(gè)IP發(fā)起探測(cè)活動(dòng)，探測(cè)事件總計(jì)30583萬(wàn)余起，涉及探測(cè)目標(biāo)端口26660余個(gè)，境內(nèi)IP地址分布于33個(gè)省級(jí)行政區(qū)，以北京、上海、廣東等省市居多。重點(diǎn)組織的探測(cè)活動(dòng)情況如表3所示。

　　表3 重點(diǎn)組織的探測(cè)活躍情況

　　監(jiān)測(cè)發(fā)現(xiàn)的405個(gè)探測(cè)組織活躍節(jié)點(diǎn)，分別包括Shodan探測(cè)節(jié)點(diǎn)39個(gè)、Shadowserver探測(cè)節(jié)點(diǎn)288個(gè)、Umich探測(cè)節(jié)點(diǎn)68個(gè)和Rapid7探測(cè)節(jié)點(diǎn)10個(gè)，主要分布在美國(guó)、荷蘭、冰島等地區(qū)，詳細(xì)的地理位置分布如圖3所示。

　　圖3 探測(cè)組織活躍節(jié)點(diǎn)地理位置分布

　　按照探測(cè)組織節(jié)點(diǎn)活躍情況進(jìn)行排序，表3為最活躍的10個(gè)節(jié)點(diǎn)信息，主要是Shodan和Shadowserver組織的節(jié)點(diǎn)，這十個(gè)節(jié)點(diǎn)的探測(cè)事件數(shù)達(dá)20469萬(wàn)起，占總事件的66.93%。

　　表4 探測(cè)組織活躍節(jié)點(diǎn)Top10

　　3.2探測(cè)組織行為重點(diǎn)分析——Shadowserver組織

　　為詳細(xì)了解探測(cè)組織的探測(cè)行為，本月對(duì)Shadowserver組織的探測(cè)行為進(jìn)行了重點(diǎn)監(jiān)測(cè)分析。

　?。?1 ） Shadowserver探測(cè)節(jié)點(diǎn)整體活動(dòng)情況

　　監(jiān)測(cè)發(fā)現(xiàn)Shadowserver組織活躍節(jié)點(diǎn)288個(gè)，探測(cè)事件90251424起，探測(cè)目標(biāo)端口1086個(gè)，目標(biāo)涉及境內(nèi)59615357個(gè)IP地址，覆蓋全國(guó)33個(gè)省級(jí)行政區(qū)。監(jiān)測(cè)發(fā)現(xiàn)的最為活躍節(jié)點(diǎn)信息如表5所示。

　　表5 Shadowserver探測(cè)節(jié)點(diǎn)活躍度Top排序

　?。?2 ） Shadowserver探測(cè)節(jié)點(diǎn)時(shí)間行為分析

　　圖4為為Shadowserver活躍節(jié)點(diǎn)按天的活躍熱度圖。首先，從節(jié)點(diǎn)每天探測(cè)數(shù)據(jù)趨勢(shì)可以看出，每個(gè)節(jié)點(diǎn)的活躍度相對(duì)穩(wěn)定，基本保持在同一個(gè)數(shù)量級(jí)下；其次，不同節(jié)點(diǎn)的探測(cè)活躍度存在一定程度的差異，探測(cè)活躍高的節(jié)點(diǎn)日探測(cè)事件幾十萬(wàn)起，而探測(cè)活躍低的節(jié)點(diǎn)日探測(cè)事件為幾萬(wàn)起。同時(shí)，位于同網(wǎng)段的探測(cè)節(jié)點(diǎn)，探測(cè)事件數(shù)量級(jí)基本保持一致，如IP為184.105.247.194、184.105.247.208、184.105.247.216和184.105.247.235的節(jié)點(diǎn)，日探測(cè)事件均為幾十萬(wàn)起。對(duì)比前期關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全監(jiān)測(cè)月報(bào)中針對(duì)Shadowserver組織的行為分析可以看出，探測(cè)節(jié)點(diǎn)時(shí)間行為分析規(guī)律與前期分析結(jié)果保持一致。

　　圖4 Shadowserver節(jié)點(diǎn)日活躍熱度圖

　　（ 3 ） Shadowserver探測(cè)節(jié)點(diǎn)協(xié)議行為分析

　　圖5為Shadowserver 節(jié)點(diǎn)按協(xié)議統(tǒng)計(jì)的探測(cè)行為熱度圖。從圖中可以看出如下幾點(diǎn)特征：第一，對(duì)于多數(shù)節(jié)點(diǎn)而言，針對(duì)同一協(xié)議的探測(cè)頻率分布比較均勻，存在個(gè)別節(jié)點(diǎn)（如184.105.247.235），探測(cè)頻率比較高；第二，同一節(jié)點(diǎn)針對(duì)不同協(xié)議的探測(cè)頻度不同；第三，不同節(jié)點(diǎn)的探測(cè)協(xié)議分布不同，如DNS、TFTP、NTP、RTSP等協(xié)議，只有部分節(jié)點(diǎn)存在探測(cè)行為；第四，對(duì)比不同協(xié)議的被探測(cè)頻率，整體來(lái)講，針對(duì)傳統(tǒng)IT類協(xié)議的探測(cè)頻度占比較高，而對(duì)于熟知端口內(nèi)工控物聯(lián)網(wǎng)協(xié)議（如Modbus）的探測(cè)本次分析未發(fā)現(xiàn)。

　　圖5 Shadowserver 節(jié)點(diǎn)協(xié)議探測(cè)頻度熱度圖

　　4

　　重點(diǎn)行業(yè)物聯(lián)網(wǎng)網(wǎng)絡(luò)安全

　　4.1物聯(lián)網(wǎng)行業(yè)安全概述

　　為了解重點(diǎn)行業(yè)物聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)，本月篩選了電力、石油、車聯(lián)網(wǎng)和軌道交通等行業(yè)的2396個(gè)資產(chǎn)（含物聯(lián)網(wǎng)設(shè)備及物聯(lián)網(wǎng)相關(guān)的web資產(chǎn)）進(jìn)行監(jiān)測(cè)。監(jiān)測(cè)發(fā)現(xiàn)，本月遭受攻擊的資產(chǎn)有1110個(gè)，主要分布在北京、浙江、廣東、山東、上海等32個(gè)省份，涉及攻擊事件22953起。其中，各行業(yè)被攻擊資產(chǎn)數(shù)量及攻擊事件分布如表6所示，被攻擊資產(chǎn)的省份分布如圖6所示。

　　表6 行業(yè)資產(chǎn)及攻擊事件分布

　　圖6 重點(diǎn)行業(yè)被攻擊資產(chǎn)的省份分布

　　對(duì)上述網(wǎng)絡(luò)攻擊事件進(jìn)行分析，境外攻擊源涉及美國(guó)、韓國(guó)等在內(nèi)的國(guó)家78個(gè)，攻擊節(jié)點(diǎn)數(shù)總計(jì)3398個(gè)。其中，按照攻擊事件源IP的國(guó)家分布，排名前5分別為美國(guó)（8386起）、南非（2929起）、保加利亞（879起）、韓國(guó)（778起）、和俄羅斯（650起）。

　　對(duì)網(wǎng)絡(luò)攻擊事件的類型進(jìn)行分析，本月面向行業(yè)資產(chǎn)的網(wǎng)絡(luò)攻擊中，攻擊類型涵蓋了遠(yuǎn)程代碼執(zhí)行攻擊、命令執(zhí)行攻擊、SQL注入攻擊、漏洞利用攻擊、掃描攻擊等。詳細(xì)的攻擊類型分布如圖 7所示。

　　圖7 物聯(lián)網(wǎng)行業(yè)資產(chǎn)攻擊類型分布

　　4.2特定攻擊類型分析

　　在針對(duì)重點(diǎn)行業(yè)物聯(lián)網(wǎng)資產(chǎn)的網(wǎng)絡(luò)攻擊事件中，本月重點(diǎn)分析了PHP-CGI遠(yuǎn)程任意代碼執(zhí)行漏洞攻擊，涉及攻擊事件1258起。

　　漏洞分析：PHP是一種HTML內(nèi)嵌式的語(yǔ)言，與微軟的ASP頗有幾分相似，都是一種在服務(wù)器端執(zhí)行的嵌入HTML文檔的腳本語(yǔ)言，語(yǔ)言的風(fēng)格有類似于C語(yǔ)言，現(xiàn)在被很多的網(wǎng)站編程人員廣泛的運(yùn)用?？梢员桓鞣NWeb服務(wù)器以多種方式調(diào)用，實(shí)現(xiàn)動(dòng)態(tài)網(wǎng)頁(yè)的功能。PHP處理參數(shù)的傳遞時(shí)存在漏洞，在特定的配置情況下，遠(yuǎn)程攻擊者可能利用此漏洞在服務(wù)器上獲取腳本源碼或執(zhí)行任意命令。當(dāng)PHP以特定的CGI方式被調(diào)用時(shí)（例如Apache的mod_cgid），php-cgi接收處理過(guò)的查詢格式字符串作為命令行參數(shù)，允許命令行開關(guān)（例如-s、-d 或-c）傳遞到php-cgi程序，導(dǎo)致源代碼泄露和任意代碼執(zhí)行。

　　本月攻擊事件中PHP-CGI遠(yuǎn)程任意代碼執(zhí)行漏洞攻擊示例如圖8所示。如圖可以看出，攻擊執(zhí)行方式與漏洞背景分析一致，攻擊者傳遞-d命令到php-cgi程序，進(jìn)行漏洞攻擊嘗試。

　　圖8 PHP-CGI遠(yuǎn)程任意代碼執(zhí)行漏洞攻擊示例

　　4.3物聯(lián)網(wǎng)資產(chǎn)數(shù)據(jù)流轉(zhuǎn)情況

　　針對(duì)重點(diǎn)行業(yè)物聯(lián)網(wǎng)資產(chǎn)的數(shù)據(jù)流轉(zhuǎn)情況進(jìn)行監(jiān)測(cè)，本月共有2192個(gè)行業(yè)資產(chǎn)存在與境外節(jié)點(diǎn)的通信行為，通信頻次為17556萬(wàn)次。通聯(lián)境外國(guó)家Top10排名如圖9所示，其中排名最高的是美國(guó)（通信6782萬(wàn)次，節(jié)點(diǎn)55萬(wàn)個(gè)）。各行業(yè)通聯(lián)事件及資產(chǎn)數(shù)量分布如圖10所示，其中通信頻次最多的為電力行業(yè)，涉及1612個(gè)資產(chǎn)的13856萬(wàn)余次通信。

　　圖9 境外通聯(lián)國(guó)家事件Top10

　　圖10 行業(yè)通聯(lián)事件資產(chǎn)分布

　　4.4重點(diǎn)行業(yè)物聯(lián)網(wǎng)安全威脅情報(bào)

　?。?1 ） 攻擊節(jié)點(diǎn)威脅情報(bào)

　　在針重點(diǎn)行業(yè)物聯(lián)網(wǎng)資產(chǎn)的網(wǎng)絡(luò)攻擊中，本月發(fā)起攻擊事件最多的境外IP Top10信息如表7所示，涉及攻擊事件8572起，占攻擊總事件的37.35%。

　　表7 境外攻擊IP Top10

　　圖片

　　（ 2 ） 數(shù)據(jù)訪問(wèn)威脅情報(bào)

　　在針對(duì)重點(diǎn)行業(yè)物聯(lián)網(wǎng)資產(chǎn)的數(shù)據(jù)訪問(wèn)事件中，本月與境內(nèi)行業(yè)資產(chǎn)訪問(wèn)頻次最多的境外IP Top10信息如表8所示。

　　表8 數(shù)據(jù)訪問(wèn)IP Top10

　　對(duì)重點(diǎn)行業(yè)物聯(lián)網(wǎng)安全態(tài)勢(shì)進(jìn)行評(píng)估，目前重點(diǎn)行業(yè)中的物聯(lián)網(wǎng)資產(chǎn)仍然面臨較多網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，頻繁遭受攻擊，各行業(yè)應(yīng)提高防護(hù)意識(shí)，加強(qiáng)本行業(yè)的網(wǎng)絡(luò)安全技術(shù)防護(hù)手段建設(shè)。

　　5

　　總結(jié)

　　CNCERT通過(guò)宏觀數(shù)據(jù)監(jiān)測(cè)，在活躍設(shè)備、探測(cè)組織、重點(diǎn)行業(yè)攻擊事件等方面發(fā)現(xiàn)多種物聯(lián)網(wǎng)安全問(wèn)題，然而需要指出的是，目前所發(fā)現(xiàn)的問(wèn)題只是物聯(lián)網(wǎng)網(wǎng)絡(luò)安全的冰山一角，CNCERT將長(zhǎng)期關(guān)注物聯(lián)網(wǎng)網(wǎng)絡(luò)安全問(wèn)題，持續(xù)開展安全監(jiān)測(cè)和定期通報(bào)工作，同時(shí)期望與各行業(yè)共同攜手，提高行業(yè)物聯(lián)網(wǎng)安全防護(hù)水平。