事件概述
年3月7日起,委内瑞拉发生了持续了6天的大规模停电事故,刷新了迄今为止全球最大规模的停电记录。包括首都加拉加斯在内的大部分地区停电超过24小时,在委内瑞拉23个州中,一度有20个州全面停电,停电导致加拉加斯地铁无法运行,造成大规模交通拥堵,学校、医院、工厂、机场等都受到严重影响,手机和网络也无法正常使用。当地时间3月25日,委内瑞拉大部分地区再次停电。
工业控制网络系统安全已成为关键基础设施乃至整个经济社会的神经中枢,遭受攻击破坏发生重大安全事件,将导致能源、交通、通信、金融和国防等基础设施瘫痪,造成灾难性后果,严重危害国家安全和公共利益。
事件发生后,“谛听”团队针对委内瑞拉在断电事件前后的工控网络情况进行了相关分析。下图为委内瑞拉各州在断电前后暴露在互联网上的设备。
断电前,我们发现委内瑞拉通过工控协议、Dahua、snmp等通讯协议的暴露的设备数量为,其中使用工控协议通信的有23个;断电事件后,暴露设备总数为,其中仅包含5个使用工控协议通信的设备。26日,经历又一次全国大部分地区断电后,委内瑞拉暴露的设备再一次减少,其中snmp暴露个、Dahua暴露10个,没有感知到使用工控协议通信的设备。加拉加斯(委内瑞拉首都)在断电事件后暴露设备锐减至不足五分之一,其他各州在断电后暴露设备数量也大幅降低。
随着网络摄像头的普及,它被广泛应用于网络社交、防范安全隐患等各个方面。安保摄像头往往涉及大量设备及生产流程等重要信息,因此对安保摄像头等网络摄像头的安全防护也应引起重视。由下图3月21日委内瑞拉暴露的摄像头信息可以看出,部分工厂已经恢复生产。当地时间25日,委内瑞拉发生了新一轮大规模停电,目前暂无新暴露的摄像头信息。
暴露设备锐减的原因有以下可能:
1.网络攻击造成了设备无法正常使用或损坏等。
2.电站、输变电设备、线路层面可能遭到物理、电磁等人为攻击破坏。
3.部分设备做出相应的防护措施,无法感知。
4.部分地区的电力还没有恢复,设备无法正常工作。
委内瑞拉断电事件发生后,大量文章推测委内瑞拉断电事件是恶意攻击造成的,“谛听”团队通过对委内瑞拉断电事件前后工控网络系统的相关分析,也发现断电后工控网络系统各项数据均变化明显。大规模停电给委内瑞拉带来了重大损失,也给包括中国在内的世界各国以严重的警示,保卫国家关键基础设施安全不能有一丝毫松懈。
提升工业企业工控安全防护能力的建议:
1.提升企业安全管理水平,落实企业主体责任、落实监督管理责任。
2.提升工控安全态势感知能力,完善主动监测、被动诱捕、威胁情报获取等工控安全在线监测手段进行科学分析、精准预测。
3.提升安全防护能力,建设工控安全靶场、仿真测试等共性技术平台,研发工控安全防护技术工具集,加强分区隔离、安全交换、协议管控等关键技术攻关。
4.制定工业事件响应的预案。面对恶意攻击等意外业务无法正常运转时,需制定业务干扰最小化和快速恢复的预案。
预览时标签不可点收录于话题#个上一篇下一篇