工业互联网网络安全情况通报(2024年第8期)
一、工业互联网安全监测情况
2024年8月,经监测发现网络攻击事件共51.89万次,环比上升15.8%,共涉及371家工业企业。截至8月末,监测联网工业企业3039家,其中重点工业企业540家。
从网络攻击类型方面看,网络嗅探占比最大,共50.34万次,环比上升22.6%,占网络攻击总数的97%。非法外联数量排名第二,占网络攻击总数的1%;挖矿事件数量增幅最大,环比上升151.2%;木马后门事件数量降幅最大,环比下降90.3%。
从网络攻击来源方面看,由境外IP发起的网络攻击29.47万次,占网络攻击总量的56.8%,以美国、英国和德国等国家居多。其中源自美国的最多,发起网络攻击19.94万次,占境外网络攻击总数的67.7%。
二、工业互联网网络安全分析
(一)非法外联分析
2024年8月,监测发现重点工业企业非法外联事件1256次,环比下降24.8%,占重点工业企业网络攻击总数的0.4%。对非法外联事件进行分析,外联通信次数前三的恶意IP分别为: 51.77.53.200、38.45.125.10和103.234.72.176,威胁类型均为恶意程序远控端,主动外联存在网络安全风险,疑似感染木马后门,建议企业根据威胁通报将恶意IP在网络出口拦截通信,及时对内网主机进行病毒查杀。
(二)木马后门分析
2024年8月,监测发现重点工业企业遭受的木马后门攻击数共259次,环比下降94.8%,占重点工业企业网络攻击总数的0.08%。活跃的木马后门威胁对象主要为Dark Cloud Trojan,木马后门危害较大,涉及到的工业企业应高度重视,积极整改处置。
(三)挖矿事件分析
2024年8月,监测发现重点工业企业挖矿事件数共1030次,环比上升151.2%,占重点工业企业网络攻击总数的0.3%。对挖矿事件分析发现,通信次数较多的矿池IP为3.64.163.50、13.248.169.48。挖矿事件是主机被渗透成功获取服务器权限后,植入挖矿木马,造成计算资源和电力资源的大量消耗,同时加大企业数据泄露风险,企业应高度重视,及时整改处置。
三、重点工业企业网络安全通报
省通信管理局开展工业互联网安全威胁监测与通报,指导督促工业企业整改修复网络安全威胁。2024年8月,向6家重点工业企业下发威胁信息处置通知单和安全分析报告。网络安全通报案例如下:
案例1:贵州某企业存在FTP匿名访问漏洞
2024年8月,工业互联网安全漏洞检测发现贵州某企业IP(1.**.10)存在FTP匿名访问漏洞,FTP 服务启用了匿名登录功能,可上传恶意文件,从而获取系统权限,并可能造成数据泄露,建议企业立即禁用FTP服务匿名登录。
案例2:贵州某企业感染木马后门
2024年8月,监测发现贵州某企业IP(117.*.*.234)遭受网络攻击感染木马后门,监测流量分析发现存在解析恶意域名ms.maimai666.com的通信行为,威胁类型为Dark Cloud Trojan(暗云)。建议企业立即核查局域网中与恶意域名通信的主机,对主机进行病毒查杀,漏洞扫描与修复。