主要观点  2022年1-9月，奇安信集团安服团队共接到 工业数据勒索 应急服务需求 72起。医 疗和制造业 是攻击者攻击的主要目标 ，成工业数据勒索重灾区。  数据泄露成工业企业面临的最大挑战。攻击者将数据进行窃取 和加密，导致数据丢 失，严重影响系统和业务的正常运行。  业务专网成为攻击者攻击的首要目标。 工业企业在对 办公系统 进行安全防护建设的 同时，更应重视业务系统的 安全防护和安全管理。  弱口令成为工业企业防护短板。 弱口令账号的低攻击成本和高命中效果， 攻击者易 通过盗取弱口令账号以横向渗透获得特权账号，进而破坏或泄露重要数据资源 。  漏洞利用是攻击者最常用的攻击手段，攻击者利用的漏洞 仅有少数是未公开的 0day 漏洞， 多以历史漏洞为主 。这也直接反映出 工业企业 安全运维人员对下辖网络 资产动态跟踪不及时、 安全运维缺乏常态巡检机制、对存在的漏洞及安全威胁缺乏 应对等问题。  Phobos和Makop是最活跃的勒索病毒 。工业企业应重点防护并及时跟踪勒索病毒 传播变化趋势，随时调整应对策略。  基于工业数据勒索应急现状，提出防护建议。补短固底，做好基础安全防护是当务 之急；结合具体业务场景，做好工业数据分类分级； 系统治理， 规划新型 数据安全 防护体系；有序建设， 持续运营 。 目 录 第一章 2022年工业数据勒索安全态势 ................................ .......................... 1 第二章 工业数据勒索应急响应事件受害者分析 ................................ ............ 3 一、 医疗和制造业成工业数据勒索重灾区 ................................ ................ 3 二、 数据泄露成工业企业面临的最大挑战 ................................ ................ 3 三、 弱口令成为工业企业防护短板 ................................ ........................... 4 第三章 工业数据勒索应急响应事件攻击者分析 ................................ ............ 5 一、 业务专网成为攻击者攻击的首要目标 ................................ ................ 5 二、 漏洞利用是攻击 者最常用的攻击手段 ................................ ................ 5 三、 Phobos和Makop是最活跃的勒索病毒 ................................ .............. 6 第四章 工业数据勒索应急响应典型案例分析 ................................ ................ 7 一、 某制造企业遭 Phobos勒索病毒攻击 ................................ .................. 7 二、 某医疗卫生企业遭 Bonzon3 勒索病毒攻击 ................................ ........ 8 三、 某集成电路企业遭 Makop勒索病毒攻击 ................................ ........... 9 四、 某医疗企业 API存在安全漏洞导致数据泄露 ................................ ... 10 第五章 工业领域数据勒索安全防护建议 ................................ ..................... 12 一、 补短固底，做好基础安全防护是当务之急 ................................ ....... 12 二、 结合具体业务场景， 做好工业数据分类分级工作 .......................... 12 三、 系统治理，体系规划新型数据安全防护体系 ................................ ... 12 四、 数据安全能力有序建设， 持续运营 ................................ ................ 13 附录一 工业控制系统安全国家地方联合工程实验室 ................................ ...... 14 附录二 巽丰工控安全实验室 ................................ ................................ .......... 15 附录三 奇安信工业数据安全能力 ................................ ................................ ... 16 1 第一章 2022年工业数据勒索安全态势 勒索病毒是一种新型计算机病毒，主要以网络攻击勒索企业 /用户钱财为目的，利用 安全漏 洞、钓鱼邮件、网页挂马等形式传播，采取 锁定屏幕、数据窃取、 加密数据 和加密磁盘 等方式， 恐吓、 胁迫、 勒索 企业 /用户支付赎金。 本报告中将因为勒索病毒攻击导致工业企业数据被加密、 窃取等事件定义为工业数据勒索事件。 拥有丰富数据、 数据勒索损失巨大的工业企业生产系统成为被勒索攻击的首要目标。最近 频繁曝出 针对大型工业企业的 勒索事件 ，根据国家工信安全中心统计， 2021年公开发布的工业 领域勒索 事件比2020年增长约 51.5%。 数据勒索也成为数量排名第一的工业网络攻击威胁源，本文主要依据奇安信集团 安服数据 为基础， 从受害者和攻击者视角剖析工业数据勒索安全态势，通过分析典型案例，为工业企业 数据勒索提供安全建议。 2022年1-9月，奇安信集团 安全服务中心共参与和处置了全国范围内 174起工业网络安全 应急响应 事件， 其中 与工业数据 勒索相关的安全 事件 72起， 占到工业安全应急响应事件的 41.4%。 前三章节主要针对 2022年工业数据勒索相关的事件进行态势分析。 2022年1-9月工业数据勒索 应急响应服务月度统计情况具体如下： 2022年1-9月，奇安信应急响应中心 共处置和工业数据勒索相关的安全事件 72起。 2 2021年1-9月，工业企业数据 勒索病毒攻击态势在 5月份达到峰值，和 2021年同时期相 比较而言， 其攻击态势 有所增加 ，勒索攻击愈发具备针对性。 3 第二章 工业数据勒索 应急响应事件受害者分析 为进一步提高 工业企业 对突发数据勒索 安全事件的认识和处置能力，增强 工业企业 安全防 护意识，对 2022年1-9月处置的所有 数据勒索 应急响应事件从被攻击角度、受害者行业分布、 失陷原因 以及攻击行为造成的影响几方面进行统计分析， 剖析工业企业 内部网络安全现状。 一、 医疗和制造业成工业数据勒索重灾区 2022年1-9月工业数据勒索 应急响应处置事件 TOP3的行业分别为 医疗卫生行业 （36起） 、 制造业（20起） 、能源行业 （7起） ，事件处置数分别占 2022年1-9月工业数据勒索 应急处置事 件的 50.0%、27.8%、9.7%。 工业数据勒索 应急响应行业分布 TOP5详见下图： 从行业排名可知， 2022年1-9月攻击者的攻击对象主要分布于医疗卫生行业和 制造业。其 中，制造业遭受双重勒索 （“勒索 +窃取 ”）攻击导致数据泄露问题更加突出 。 二、 数据泄露成工业企业面临的最大挑战 2022年1-9月，从工业企业遭受数据勒索攻击产生的影响来看，攻击者对系统的攻击所产 生的影响主要表现为数据丢失和系统 /网络不可用等。下图为工业企业遭受攻击后的影响分布。 4 攻击者将数据进行窃取和加密，导致数据丢失 。在上述数据中，有 36起数据勒索应急响 应事件导致工业企业数据丢失，占比 50%。有 12起应急响应事件导致系统