网络空间高风险资产暴露情况如何？

近年来国内对工控、物联网等资产开展的安全治理工作显有成效。

1.工控资产暴露情况分析

工业互联网在第四次工业革命中扮演着关键角色，被纳入到多个国家的战略规划中，如 中国制造 2025、德国工业 4.0、美国先进制造和英国未来制造等。它旨在促进信息世界与物 理世界的深度融合与互动。随着各国政策的积极推动，工业互联网迅速发展起来。企业逐渐 实现了信息技术（IT）和运营技术（OT）的融合，打破了传统工业网络的封闭格局，并将更 多业务部署在工业云上。然而，这也给全球工业企业的工控资产带来了新的风险，使其更容 易暴露在互联网上，为潜在攻击者提供新的入口。 工控资产是工业互联网的重要组成部分，本节将重点研究国内工控资产的暴露情况，通 过对地理分布、协议分布和厂商分布三个维度进行详细分析，深入了解国内工业互联网的分 布现状。

1.1 地理分布

2023 年国内各省市前十工控资产暴露情况其中，台湾省数量暴露最多， 达到 1301 个；其余省份工控资产暴露情况则分布相对均衡，数量保持在 100 至 300 之间。 在 Top10 省份中，台湾省工控资产暴露数量超过其他省份数量近 4 倍多。

1.2 协议分布

工控协议是工控系统通信特有的协议。大部分工控协议为满足实时通信而忽略安全需求， 在工控安全面临的风险加剧的背景下，工控协议逐渐成为关注热点。 图 2.2 为工控资产的协议分布情况。其中，MODBUS 协议暴露数量最多，为 2,255 个。 MODBUS 是一种用于工业自动化系统的串行通信协议，主要功能是在工业环境中读取和写入 数据，如监控传感器状态、控制执行器操作等。其简单、可靠、易于实现的特点使其成为工 业控制系统中的一种常见通信标准。由于 MODBUS 协议中缺乏认证和授权机制，通信采用 明文传输易被捕获和解析，存在功能码存滥用等问题。

在 Top10 排名中，暴露数量排名靠前的协议还有 UMAS 和 IEC，暴露数量分别为 325 和 271。UMAS 是施耐德电气用于交换应用程序数据的平台私有协议，其功能是对 PLC 产品进 行配置和监控等操作。有研究表明 UMAS 协议的安全机制中存在缺陷，有被绕过的可能；而 IEC 工控协议是一组由 IEC（国际电工委员会）标准化的工业自动化通讯协议，涉及多个领域 的标准化，包括但不限于电力系统、电力设备、电信设备、工业自动化、信息技术、电子设 备等。该协议在通信中同样缺乏内建安全，可能存在潜在的安全性问题，如未经授权的访问、数据窃听或篡改。

随着工业体系的不断变革，工业互联网成为了工业经济的新型基础设施。在工业互联网 背景下，相关联的 Web 资产将成为未来攻击的入口之一。 图 2.3 对比了工控资产的协议类型。可见除了工控协议外，还有 Web 协议类型，其数量 占比约为 1.41%。

经分析，我们发现Web协议主要用于工业互联网平台日常业务的运维、管理需求。如图3.4 所示，以“中控（SUPCON）”为例，该公司是提供工业自动化、智能制造、智能交通等技术、 产品和解决方案的供应商。在 Web 协议相关的工控资产中，我们发现该公司工控产品存在泄 露的管理员登录页面，且默认显示用户名为 Admin。针对暴露的管理后台，攻击者可以通过 默认口令或口令尝试等方式获取系统的管理权限。

在众多国外厂商中，国内工控资产暴露最多的是施耐德。该厂商的工控设备种类较多， 并被广泛应用于能源、制造等多个基础设施行业。由于该厂商产品在中国市场的大量使用， 以及这些产品之间存在交互连接、远程监控维护等需求，因此存在暴露的情况。类似地，罗 克韦尔、倍福、欧姆龙等公司也在中国市场中占有较大比例，均暴露出较多的资产。

2.物联网资产暴露情况分析

近年针对物联网设备的攻击事件较多，一方面数量众多的物联网资产会为 DDoS、黑灰产 等需要大量设备资源的攻击提供“傀儡”，另一方面摄像头、网络附属存储（NAS）等设备 可能在被劫持后引发进一步的数据安全的风险。互联网暴露物联网资产数量庞大，给网络安全带来了严峻的挑战。为了全面了解物联网资产的暴露情况，我们将从设备类型、地理分布、 端口分布和厂商分布等维度，对国内网络空间中暴露的物联网资产进行分析。通过维度化的 分析，我们能够提前对物联网资产的风险项进行感知和探测。在进一步的梳理过程中，明确 资产漏洞对应的风险点，从而提前对相关方进行风险预警，并协助相关方采取安全规避措施 来降低潜在风险可能造成的危害，确保物联网资产的正常运行，免受恶意攻击者的侵入和破 坏。

2.1 类型分布

物联网设备种类繁多，涉及生产生活的方方面面，分析暴露的物联网资产类型有助于进 行针对性治理。从类型分布来看，摄像头、路由器、NAS 仍然为安全治理的重点对象。 图 2.6 为国内暴露的物联网资产类型分布情况。其中，排行前三的仍然为摄像头（52%）、 路由器（29%）和 NAS（14%）。结合 2022 年资产风险测绘情况我们可以发现，在国家开 展数次相关安全治理行动后，物联网整体资产暴露情况明显有大幅下降趋势。以摄像头为例， 2022 年互联网暴露的摄像头数量约为 345 万，而 2023 年摄像头暴露数量则降低到 113 万 左右。 鉴于物联网设备存在大量安全隐患，其安全治理工作仍是重中之重。虽然近年来国家开 展了数次安全治理工作，但仍有大量摄像头暴露在公网中。特别地，我们在日常的风险监测 过程中，仍能发现大量未经授权即可访问的摄像头资产，这些资产一旦被利用，将导致个人 隐私泄露、安全监控被破坏、敏感区域信息流程等安全问题的发生。

2.2 厂商分布

通过国内暴露的物联网资产厂商分布情况可大致掌握物联网发展趋势。从厂商分布情况 来看，2023 年各厂商数量呈现大幅减少的趋势。厂商数量排名情况基本保持不变，排名前三 的仍然为群晖、H1 厂商、华硕。 图 2.7 统计了国内网络空间中暴露的物联网厂商分布情况。其中，群晖公司的产品占比 最高，紧随其后的是 H1 厂商；其他厂商的分布相对平均，华硕、D 厂商和 H2 厂商相对较多。 可以发现，暴露数量靠前的厂商主要生产存储设备、路由器和安防设备（主要包括摄像头）。

国内暴露物联网资产地区分布情况。其中，暴露总数排名前三的省市分别为台 湾省、浙江省和广东省，分别为 98 万、41 万和 34 万个。排名靠前的地区普遍经济发达、 人口稠密，物联网资产总数多。

2.4 端口分布

为了梳理物联网资产在互联网暴露时常用的端口，本节对所有识别存活的物联网资产进 行了端口分布统计。 图 2.9 统计了物联网资产暴露的端口分布情况。可以发现，1900 端口暴露数量最多，占 到总数的 27% 以上。1900 端口通常与 UPnP 协议相关联，用于设备发现和描述。一些物联 网设备使用 UPnP 来自动配置和连接到网络。但是，该服务存在安全隐患，这些开放了 1900 端口的设备可被攻击者用于 DDoS 攻击、漏洞利用等；在开放数排名高的端口中，554 主要 负责 RTSP，是用于控制声音或影像的多媒体串流协议，主要用于网络摄像头；80 主要负责 HTTP 协议，用于 Web 访问；3702 主要负责 WS-Discovery 协议，这是一种网络服务发现协议， 旨在使设备能够动态地发现并与其他设备通信，但其同样存在安全隐患，可被用于 DDoS 反 射攻击。

3.安全设备资产暴露情况分析

安全设备作为内部网络的首要防线，其自身的安全风险应受到重点关注。除了承担安全 防御任务外，安全设备也常被视为企业内部系统的潜在入口之一。近年来，多家安全厂商相 继披露安全漏洞。这些漏洞若未及时修复，不仅可能成为攻击入口，更可能被黑客用作攻陷 内网的利器。对存在潜在威胁的安全设备进行深入分析，有助于及时了解设备的安全状况， 从而防止其成为潜在的攻击入口，保障内网安全。

3.1 类型分布

经统计，2023 年国内共有 3,141,432 个安全设备暴露在互联网上，与去年相比数量增加 了 47.7%。一方面可以看出国内各单位对于网络安全的重视程度正不断加深；但另一方面， 安全设备增加也导致攻击面的扩大，攻击者可能尝试针对这些设备进行扫描、攻击或滥用。 图 2.10 统计了安全设备的类型分布情况。其中，VPN 排名第一，占比达到 46%，同去年 排名一致，占比有所下降。虽然远程办公比例相较于去年有所下降，但可能一些单位出于减 小公网暴露面的目的，开始使用 VPN 来进行内网访问。防火墙也可以起到类似的效果，其数 量对比去年增加了 2.5 倍。排名第三的是 WAF，与去年相比未发生较大变化。

3.2 厂商分布

图 2.11 为暴露在互联网上的安全设备厂商分布情况。其中，暴露数量最多的是思科，数 量达 91 万；其次是 Zscaler 和 S1 厂商，数量分别为 48 万和 40 万。思科和 S1 厂商的产品 主要为防火墙、VPN 等，而 Zscaler 主要提供云上安全产品，包括安全网关、防火墙等。

3.3 地理分布

从地理分布来看，沿海、经济发达、人口稠密和重要行业、单位集中的地区安全设备资 产暴露数量偏多。 安全设备的暴露情况地区分布如图 2.12 所示。我们发现，排名前几的省份分别为北京市、 广东省、上海市和香港特别行政区，暴露数量分别约为 161 万、28 万、20 万、15 万。