当前位置: 首页 > 政务公开 > 网络信息安全 > 工作通知

工业互联网网络安全情况通报(2024年第6期)

发布时间:2024-07-23 16:05

一、工业互联网安全监测情况

2024年6月,经监测发现网络攻击事件共41.71万次,环比下降16.9%,共涉及391家工业企业遭受网络攻击。截至6月末,监测联网工业企业3212家,其中重点工业企业540家。

从网络攻击类型方面看,网络嗅探占比最大,共38.59万次,环比上升1.7%,占网络攻击总数的92.5%。暴力破解事件数量排名第二,占网络攻击总数的1.5%;命令执行攻击事件数量增幅最大,环比上升103%;异常流量事件数量降幅最大,环比下降39.2%。

从网络攻击来源方面看,由境外IP发起的网络攻击35.94万次,占网络攻击总量的86.2%,以美国、英国和德国等国家居多。其中源自美国的最多,发起网络攻击22.01万次,占境外网络攻击总数的61.2%。

二、工业互联网网络安全分析

(一)非法外联分析

2024年6月,监测发现重点工业企业非法外联事件1363次,占重点工业企业网络攻击总数的0.6%,环比上升21.9%。对非法外联事件进行分析,外联通信次数前三的恶意IP/域名分别为:185.215.113.66、193.32.16.234和43.138.105.110,威胁类型均为恶意程序远控端,主动外联存在网络安全风险,疑似感染木马后门,建议企业根据威胁通报将恶意IP在网络出口拦截通信,及时对内网主机进行病毒查杀。

(二)木马后门分析

2024年6月,监测发现重点工业企业遭受的木马后门攻击数共4495次,占重点工业企业网络攻击总数的2%,环比下降7.2%。活跃的木马后门威胁对象主要为Sality backdoor Trojan Activity Event in DNS Lookup(amsamex.com),木马后门危害较大,涉及到的工业企业应高度重视,积极整改处置。

(三)挖矿事件分析

2024年6月,监测发现重点工业企业挖矿事件数共1737次,占重点工业企业网络攻击总数的0.8%,环比上升22.8%。对挖矿事件分析发现,通信次数最多的矿池IP为13.248.169.48。挖矿事件是主机被渗透成功获取服务器权限后,植入挖矿木马,造成计算资源和电力资源的大量消耗,同时加大企业数据泄露风险,企业应高度重视,及时整改处置。

三、重点工业企业网络安全通报

省通信管理局开展工业互联网安全威胁监测与通报,指导督促工业企业整改修复网络安全威胁。2024年6月,向9家重点工业企业下发威胁信息处置通知单和安全分析报告,网络安全通报案例如下:

案例1:贵州某企业存在弱口令漏洞

2024年6月,工业互联网安全漏洞检测发现贵州某企业的管理系统(https://117.**.185:****)存在弱口令漏洞。建议企业及时进行系统账户审计,及时排查修改弱口令账户,口令应满足一定的复杂度,信息安全最佳实践的密码策略密码必须包含大写字母、小写字母、数字和特殊符号,长度大于8位。

案例2:贵州某企业感染挖矿木马

2024年6月,监测发现贵州某企业IP(117.*.*.208)遭受网络攻击感染挖矿木马,存在与矿池IP(76.223.54.146、13.248.169.48、178.128.242.134、199.247.27.41)和矿池域名(junk.soquare.com、loop.sawmilliner.com)的通信流量,从流量特征识别出挖矿行为,挖矿客户端软件为XMRig/2.8.3 (Windows NT 6.1; Win64; x64),感染挖矿木马的主机为windows操作系统。多次通报,威胁处置未见成效。建议企业立即核查局域网中与矿池IP通信的主机,对主机进行病毒查杀,漏洞扫描与修复,清除后门、异常进程、服务、系统账号和计划任务等。

【返回顶部】 【关闭窗口】 【打印本页】