CNCERT:工業控制系統安全風險日漸嚴峻
2020年,全球突發新冠肺炎疫情,抗擊疫情成為各國的緊迫任務。不論是在疫情防控相關領域,還是在遠程辦公、教育、醫療及智能化生產等生產生活領域,大量新型互聯網產品和服務應運而生,在助力疫情防控的同時進一步推進社會數字化轉型。與此同時,安全漏洞、數據泄露、電信網絡詐騙、勒索病毒等網絡安全威脅日益凸顯,有組織、有目的的網絡攻擊數量增多,給網絡安全防護工作帶來更多挑戰。
日前,國家計算機網絡應急技術處理協調中心(CNCERT)發布的《2020年中國互聯網網絡安全報告》顯示,我國網絡安全法律法規體系日趨完善,網絡安全威脅治理成效顯著,但與此同時,APT攻擊行動高發,勒索病毒技術手段不斷升級,數據泄露風險突出,歷史重大漏洞利用問題嚴重;此外,網頁仿冒詐騙增多,工控系統安全風險嚴峻等新問題不斷涌現。
01、法律法規體系日趨完善威脅治理成效顯著
2020年,多項網絡安全法律法規面向公眾發布,我國網絡安全法律法規體系日臻完善。國家互聯網信息辦公室等12個部門聯合制定和發布《網絡安全審查辦法》,全國人大法工委就《數據安全法(草案)》和《個人信息保護法(草案)》征求社會公眾意見,《密碼法》正式施行。中共中央印發《法治社會建設實施綱要(2020-2025年)》,要求依法治理網絡空間,同時,國家發改委、工業和信息化部、公安部、交通運輸部、國家市場監督管理總局等多個部門陸續出臺相關配套文件,不斷推進我國各領域網絡安全工作。
2020年,CNCERT協調處置各類網絡安全事件約10.3萬起,同比減少4.2%。抽樣監測發現,被植入后門的網站數量同比減少37.3%,境內政府網站被植入后門的數量同比減少64.3%;被篡改的網站數量同比減少45.9%。根據其他相關報告,2020年我國境內DDoS攻擊次數減少16.16%,攻擊總流量下降19.67%;僵尸網絡控制端數量在全球占比下降至2.05%。
02、APT攻擊高發勒索病毒攻擊手段不斷升級
APT組織利用社會熱點、供應鏈攻擊等方式持續對我國重要行業實施攻擊。為長期控制重要目標從而竊取信息,部分APT組織利用網絡攻擊工具在入侵我國重要機構后長期潛伏,這些工具功能強大、結構復雜、隱蔽性強。
近五年來,感染計算機惡意程序的主機數量持續下降,并保持在較低水平,年均減少25.1%,然而勒索病毒持續活躍,2020年全年捕獲勒索病毒軟件78.1萬余個,較2019年增長6.8%。勒索病毒逐漸從“廣撒網”轉向定向攻擊,表現出更強的針對性,攻擊目標主要是大型高價值機構。同時,勒索病毒的技術手段不斷升級,自動化、集成化、模塊化、組織化特點越發明顯,攻擊技術呈現快速升級趨勢。采用P2P傳播方式的聯網智能設備惡意程序異常活躍,一些不法分子通過仿冒APP,運用定向投遞、多次跳轉、泛域名解析等多種手段規避監測。
03、數據泄露風險突出歷史重大漏洞利用問題嚴重
監測發現,公民個人信息未脫敏展示與非法售賣情況較為嚴重,2020年全年僅CNCERT就監測發現政務公開、招考公示等平臺未脫敏展示公民個人信息事件107起,涉及未脫敏個人信息近10萬條。2020年全年累計監測發現個人信息非法售賣事件203起,其中,銀行、證券、保險相關行業用戶個人信息遭非法售賣的事件占比較高,約占數據非法交易事件總數的40%。
近年來,微信小程序發展迅速,但也暴露出較為突出的安全隱患,特別是用戶個人信息泄露風險激增。CNCERT監測發現,平均1個小程序存在8項安全風險;未提供個人信息收集協議的超過80%;個人信息在本地儲存和網絡傳輸過程中未進行加密處理的超過60%;少數小程序則存在較嚴重的越權風險。
與此同時,國家信息安全漏洞共享平臺2020年全年新增收錄通用軟硬件漏洞數量創歷史新高,達20704個,同比增長27.9%;近五年來新增收錄漏洞數量呈顯著增長態勢,年均增長率為17.6%。一些典型漏洞為歷史上曾造成嚴重威脅的重大漏洞,雖然已曝光較長時間,但目前仍然受到攻擊者的重點關注,依然存在嚴重的安全隱患,針對此類漏洞的修復工作尤為重要和緊迫。
04、網頁仿冒詐騙增多工控系統安全形勢嚴峻
2019年以來,ETC系統在全國大力推廣,不法分子通過仿冒ETC相關頁面騙取個人銀行卡信息。2020年5月以來,以“ETC在線認證”為標題的仿冒頁面數量呈井噴式增長。此外,受新冠肺炎疫情影響,大量行政審批轉向線上。2020年年底,出現大量以“統一企業執照信息管理系統”為標題的仿冒頁面,僅11月~12月即監測發現此類仿冒頁面5.3萬余個。此外,監測還發現大量以“核酸檢測”“新冠疫苗預約”等為標題的仿冒頁面,其目的在于非法獲取用戶姓名、住址、身份證號、手機號等個人隱私信息。
監測發現,我國境內直接暴露在互聯網上的工業控制設備和系統存在高危漏洞,隱患占比仍然較高。在對能源、軌道交通等關鍵信息基礎設施的在線安全巡檢中發現,20%的生產管理系統存在高危安全漏洞。與此同時,工業控制系統已成為黑客攻擊利用的重要對象。為有效降低工業控制系統互聯網側的安全風險,各相關行業需加大資金投入力度,提升工業控制設備漏洞安全監測能力,加大處置力度,及時消除互聯網側安全風險暴露點。
