11月20日，在5G+工业互联网大会期间，工业控制系统安全国家地方联合工程实验室、奇安信行业安全中心共同发布了《2022中国工业数据勒索形势分析报告》(简称《报告》)，结合奇安信集团安服团队应急处置案例，对2022年工业数据勒索形势进行了深入的分析。

数据勒索是工业网络攻击最大来源

(资料图片仅供参考)

本报告中将因为勒索病毒攻击导致工业企业数据被加密、窃取等事件定义为工业数据勒索事件。《报告》显示，拥有丰富数据、数据勒索损失巨大的工业企业生产系统成为被勒索攻击的首要目标。最近频繁曝出针对大型工业企业的勒索事件，根据国家工信安全中心统计，2021年公开发布的工业领域勒索事件比2020年增长约51.5%。

数据勒索也成为数量排名第一的工业网络攻击威胁源，2022年1-9月，奇安信集团安全服务中心共参与和处置了全国范围内174起工业网络安全应急响应事件，其中与工业数据勒索相关的安全事件72起，占到工业安全应急响应事件的41.4%。

2022年1-9月，从工业企业遭受数据勒索攻击产生的影响来看，攻击者对系统的攻击所产生的影响主要表现为数据丢失和系统/网络不可用等。下图为工业企业遭受攻击后的影响分布。

攻击者将数据进行窃取和加密，导致数据丢失。在上述数据中，有36起数据勒索应急响应事件导致工业企业数据丢失，占比50%。有12起应急响应事件导致系统/网络不可用，占比16.7%，攻击者对系统重要数据库进行攻击，严重影响系统和业务的正常运行。

弱口令、历史漏洞

是导致数据勒索的最大因素

从导致被勒索的原因来看，在2022年1-9月工业数据勒索应急响应事件中，弱口令是工业企业遭受数据勒索失陷的重要原因，占比55.6%。

由于弱口令账号的低攻击成本和高命中效果，通过盗取弱口令账号以横向渗透获得特权账号，进而破坏或泄露重要数据资源的攻击行为，给数据安全管理带来很大挑战。

除弱口令之外，未修复的历史漏洞也是导致黑客攻击的重要原因。通过对2022年1-9月工业数据勒索安全事件攻击类型进行分析，漏洞利用攻击手段占比最高，达到43.1%。

不过在所有攻击者利用的漏洞中，仅有少数是未公开的0day漏洞，多以历史漏洞为主，历史漏洞基本都是由于没有及时升级、更新应用造成的。这也直接反映出客户网络运维人员对下辖网络资产动态跟踪不及时、网络运维缺乏常态巡检机制、对存在的漏洞及安全威胁缺乏应对等问题。

补短固底，做好基础安全防护是当务之急

面对复杂的安全形势，奇安信建议工业企业应先做好基础安全防护，补短固底，在有限资源条件下抵御大部分中低强度网络攻击，在此基础上落实工业数据分类分级，体系规划安全防护体系，有序建设，持续运营。

具体包括以下四点：

第一，补短固底，做好基础安全防护是当务之急。梳理业务，识别重要数据集；做好基础网络安全防护；加强运维和账号安全防护；落实数据实体防护；做好API接口安全防护。

第二，结合具体业务场景，做好工业数据分类分级工作。在补齐短板后，工业企业要尽快识别出要重点保护的数据。工业数据本身具有行业差异大、数据类型多的特点，应根据实际业务场景，识别重要和敏感数据资产，形成数据保护目录，对数据进行分类分级，做到“摸清家底，识别关键，分清主次”。

第三，系统治理，体系规划新型数据安全防护体系。工业企业应以数据分类分级为基础落实数据安全治理。通过数据安全治理，摸清现有管理、技术防护措施和执行情况，结合政策法规、行业规范以及业务和信息化战略，做好数据安全组织和制度建设。

第四，数据安全能力有序建设，持续运营。有序建设是在体系规划的基础上，将工业企业数据安全工程任务进行归纳，从紧急程度、技术成熟度、实施难度和预期效果等方面制定量化规则，明确建设优先级、实施周期和投入，完成工业企业数据安全场景建设管控。