安帝速递|【工业网络安全月报2022年-04月】
时间:2022-05-01 作者:安帝科技
一、政策扫描
工信部印发《工业互联网专项工作组2022年工作计划》,大力扶持工业互联网行业。发改委发布《电力可靠性管理办法 (暂行)》,对电力行业网络安全提出要求。美国NIST推出《OT网络安全指南》草案,美国众议员提出《能源网络安全大学领导力计划法案》,希望帮助美国能源基础设施解决日益增长的网络威胁挑战。
1、工信部印发《工业互联网专项工作组2022年工作计划》
据工业和信息化部4月13日消息,工信部近日印发《工业互联网专项工作组2022年工作计划》。《计划》的年度目标成果包括:继续支持符合条件的工业互联网企业通过资本市场融资。适时研究推进全面注册制改革,进一步提高发行制度包容性,为符合条件的工业互联网企业通过资本市场融资创造良好条件。持续深化新三板改革,建设北京证券交易所,不断提高工业互联网企业直接融资的服务能力。
资料来源:https://mp.weixin.qq.com/s/hTAcudwsEMl22jEg0bU8wQ
2、国家发展改革委发布《电力可靠性管理办法 (暂行)》
国家发展改革委发布《电力可靠性管理办法 (暂行)》。《办法》提出,电力网络安全坚持积极防御、综合防范的方针,坚持安全分区、网络专用、横向隔离、纵向认证的原则,加强全业务、全生命周期网络安全管理,提高电力可靠性。
资料来源:http://www.gov.cn/zhengce/zhengceku/2022-04/25/content_5687101.htm
3、美国NIST推出《OT网络安全指南》草案
美国NIST推出《OT网络安全指南》草案,该草案指导如何提高运营技术(OT)系统的安全性,同时满足其性能、可靠性和安全要求,提供了OT和典型系统拓扑的概述,识别了OT支持的组织使命和业务功能的典型威胁,描述了OT中的典型漏洞,并提供了推荐的安全保护措施和应对措施来管理相关风险。
资料来源:https://industrialcyber.co/analysis/nist-sp-800-82-addresses-ot-systems-security-including-unique-performance-reliability-safety-requirements/
4、美国NIST发布卫星网络安全框架草案
美国国家标准与技术研究院(NIST)发布了标题为“卫星地面部分:应用网络安全框架确保卫星指挥和控制”的文件草案。该文件为分类卫星指挥、控制和有效载荷系统的系统、流程和组件提供了指导,以确定网络安全风险态势并解决空间段管理和控制中的剩余风险。
资料来源:https://industrialcyber.co/threats-attacks/nist-works-on-applying-cybersecurity-framework-for-satellite-command-and-control-seeks-feedback/
5、美国CISA发布云安全指导文件
美国CISA发布云安全指导文件。其中一份文件是SCuBA技术参考架构(TRA),旨在帮助联邦机构采用技术进行云部署、适应性解决方案、安全架构、零信任和敏捷开发。第二份可扩展可见性参考框架(eVRF)指南,描述了一个框架,组织可以使用该框架来识别可用于缓解威胁的可见性数据,以及识别可见性差距。
资料来源:https://www.securityweek.com/proposed-us-guidance-legislation-show-increasing-importance-cloud-security?&web_view=true
6、美国众议员提出《能源网络安全大学领导力计划法案》
美国国会众议员提出《能源网络安全大学领导力计划法案》,希望帮助美国能源基础设施解决日益增长的网络威胁挑战。该法案将建立起能源网络安全大学领导力计划,为从事网络安全与能源基础设施研究的研究生及博士后研究员提供助学金和财政援助。
资料来源:https://www.cisa.gov/blog/2022/03/04/maturing-enterprise-mobility-towards-zero-trust-architectureshttps://carey.house.gov/media/press-releases/carey-ross-introduce-legislation-protect-energy-infrastructure-amid-growing
7、新加坡启动网络安全服务提供商许可框架
4月11日,新加坡网络安全局(CSA)宣布启动网络安全服务提供商的许可框架。即提供渗透测试和托管安全运营中心(SOC)监控服务的公司需要获得许可证才能在新加坡提供这些服务。CSA称,其中包括直接从事此类服务的公司和个人、支持这些公司的第三方供应商以及可许可网络安全服务的经销商。
资料来源:https://www.zdnet.com/article/singapore-begins-licensing-cybersecurity-vendors/
8、欧洲议会通过《数据治理法案》
2022年4月6日,欧洲议会通过《数据治理法案》。《数据治理法案》旨在促进整个欧盟内部和跨部门之间的数据共享,增强公民和公司对其数据的控制和信任,并为主要技术平台的数据处理实践提供一种新的欧洲模式,帮助释放人工智能的潜力。
资料来源:https://www.europarl.europa.eu/news/en/press-room/20220401IPR26534/data-governance-parliament-approves-new-rules-boosting-intra-eu-data-sharing
9、澳大利亚制定《国家数据安全行动计划》
4月6日,澳大利亚内政部发布了一份讨论文件,为制定《国家数据安全行动计划》提供磋商。《行动计划》是有关信任和保护的重要措施。为了实现澳大利亚国家数据战略,《行动计划》采取分阶段的方法,加强和协调澳大利亚政府、州和地区政府以及更广泛经济的数据安全政策制定。
资料来源:https://www.zdnet.com/article/australia-to-develop-a-data-security-framework/
二、安全事件
美国CISA将ICS行业纳入其联合网络防御协作(JCDC)计划,美国GAO要求加强关键基础设施的安全工作,体现了美国政府对工控以及关基网络安全的重视程度。Dragos和Skybox的数据显示,OT漏洞数量迅速增长,关基面临严峻威胁,多家美国公司联手组建OT网络安全联盟,将致力于保护美国工业控制系统(ICS)和关键基础设施资产。
1、美国GAO要求加强关键基础设施的安全工作
美国政府问责局(GAO)发布的一份新报告确定,美国需要采取行动改善关键基础设施的安全性。GAO报告指出,国土安全部需要加强其在确保关键基础设施部门网络安全和完成CISA转型活动方面的作用。
资料来源:https://industrialcyber.co/threats-attacks/dhs-needs-to-work-on-strengthening-critical-infrastructure-security-efforts-gao-reveals/
2、美国CISA将ICS行业纳入其联合网络防御协作(JCDC)计划
网络安全和基础设施安全局(CISA)4月20日扩大了其联合网络防御协作(JCDC)计划,包括由安全供应商、集成商和分销商组成的工业控制系统(ICS)行业。此举将加强美国政府对建立ICS和运营技术(ICS/OT)环境的网络安全态势和弹性的关注。
资料来源:https://industrialcyber.co/news/cisa-expands-its-jcdc-initiative-by-roping-in-critical-ics-industry-expertise/
3、美国能源部出资1200万美元以支持六个能源系统网络安全项目
美国能源部(DOE)宣布提供1200万美元的资金,用于支持六个由大学领导的项目,这些项目旨在加强美国能源系统内的网络安全。目标还在于领导新网络技术的研究、开发和演示(RD&D)。这笔资金还支持美国政府对保护关键基础设施和在全国范围内提高能源部门网络安全能力的承诺。
资料来源:https://industrialcyber.co/analysis/doe-funds-six-university-led-projects-with-aim-of-improving-cybersecurdoe-funds-six-university-led-projects-with-intention-of-improving-cybersecurity-of-energy-systems/
4、美国就用于破坏关键基础设施的ICS/SCADA恶意软件发出告警
美国能源部、CISA、NSA和FBI的一份联合公告称,身份不明的APT组织已经创建了专门的工具,能够对施耐德电气和欧姆龙公司的PLC以及开源OPC基金会的服务器造成重大破坏。一旦攻击者建立了对运营技术(OT)网络的初始访问权限,这些工具使他们能够扫描、破坏和控制受影响的设备。
资料来源:https://www.securityweek.com/us-warns-new-sophisticated-malware-can-target-icsscada-devices
5、多家美国公司联手组建OT网络安全联盟
工业巨头霍尼韦尔和网络安全公司Forescout、Claroty、NozomiNetworks和Tenable联合创立了OT网络安全联盟,将致力于保护美国工业控制系统(ICS)和关键基础设施资产。该联盟将与政府和行业利益相关者合作,开发供应商中立、基于标准的网络安全解决方案。
资料来源:https://industrialcyber.co/critical-infrastructure/ot-cyber-coalition-comes-together-to-build-protect-defend-ics-critical-infrastructure-assets-in-the-us/
6、Dragos报告显示欧洲工业基础设施面临网络威胁
根据工业网络安全公司Dragos的一份新报告,恶意网络行为者对欧洲的工业基础设施构成严重威胁,已知至少有10个黑客组织以欧洲组织为目标。在Dragos跟踪的大约3,200个OT特定漏洞中,有近500个直接影响欧洲的组织,其中100多个可被利用导致失去视野和/或失去控制。
资料来源:https://www.securityweek.com/europe-warned-about-cyber-threat-industrial-infrastructure
7、风力涡轮机巨头Nordex关闭IT系统以应对网络攻击
全球最大的风力涡轮机制造商之一NordexGroup成为网络攻击的受害者,该攻击迫使其关闭了多个系统。根据Nordex的说法,网络攻击是在早期发现的,但作为预防措施,该公司决定关闭“跨多个地点和业务部门的IT系统”。
资料来源:https://www.securityweek.com/wind-turbine-giant-nordex-shuts-down-it-systems-response-cyberattack
8、Skybox数据显示,2021年OT漏洞数量增加了88%
威胁情报公司SkyboxSecurity发布了2022年漏洞和威胁趋势报告。报告显示,OT漏洞数量从2020年的690个跃升至2021年的1,295个,增加了88%。与此同时,OT资产越来越多地与网络连接,使关键基础设施和其他重要系统面临潜在的破坏性破坏。
资料来源:https://industrialcyber.co/threats-attacks/critical-infrastructure-continues-to-be-targeted-as-ot-vulnerabilities-jump-88-percent-skybox-report-revealsot-vulnerabilities-jump-88-percent-as-critical-infrastructure-continues-to-be-targeted-skyb/
9、Mandiant推动针对OT、关键基础设施环境的主动安全措施
Mandiant提议在OT环境中部署主动安全评估,因为这涉及对对手技术的真实模拟,这些技术已被证明是发现企业环境中关键安全问题和高风险攻击路径的宝贵方法。OT环境的主动安全评估应包含OT威胁建模、威胁情报、风险管理、OT攻击生命周期、深度防御和深度检测。
资料来源:https://industrialcyber.co/threats-attacks/mandiant-pushes-for-proactive-security-measures-for-ot-critical-infrastructure-environments/
10、风力涡轮机巨头Nordex关闭IT系统以应对网络攻击
全球最大的风力涡轮机制造商之一NordexGroup成为网络攻击的受害者,该攻击迫使其关闭了多个系统。根据Nordex的说法,网络攻击是在早期发现的,但作为预防措施,该公司决定关闭“跨多个地点和业务部门的IT系统”。
资料来源:https://www.securityweek.com/wind-turbine-giant-nordex-shuts-down-it-systems-response-cyberattack
12、微软称俄罗斯对乌克兰发动了数百次网络攻击
微软披露了自俄乌战争爆发以来俄罗斯针对乌克兰的网络攻击的真实规模。在微软观察到的针对乌克兰数十家组织的破坏性攻击(2月23日至4月8日期间近40次)中,微软表示,32%的攻击直接针对乌克兰政府组织,超过40%的攻击目标针对关键基础设施组织。
资料来源:https://www.bleepingcomputer.com/news/security/microsoft-says-russia-hit-ukraine-with-hundreds-of-cyberattacks/
三、漏洞态势
4月12日,西门子和施耐德针对其产品发布了新漏洞公告,其中均包括可导致设备拒绝服务的高危漏洞。ABB网络接口模块存在三个高危漏洞,使工业系统面临遭受DoS攻击的风险。罗克韦尔自动化ICS漏洞公告和MicrosoftDefender for IoT中的两个远程代码执行漏洞的CVSS评分均为10.0,带来的后果十分严重。横河电机修复控制系统产品中的高危漏洞,可用于破坏或操纵物理过程。Elcomplus修复其SCADA产品中的9个漏洞。三菱控制器中存在高危漏洞,攻击者可利用其登录到PLC并访问受保护的文件。五眼联盟发布2021年最常被利用的15个漏洞。
1、西门子修复产品中的超危漏洞
西门子4月12日发布了11条新公告,两条公告中包括超危漏洞。其中之一涵盖了影响SIMATICEnergy Manager产品的三个漏洞,其中一个为反序列化漏洞,未经身份验证的攻击者可以利用其以高权限执行代码。另一个公告描述了影响SCALANCEX交换机的八个超危和高危漏洞。这些漏洞大多可以在无需身份验证的情况下被远程利用,使设备崩溃、获取敏感信息和执行任意代码。
资料来源:https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-fix-several-critical-vulnerabilities
2、施耐德修复产品中的2个漏洞
施耐德电气4月12日发布了两条新公告。第一条公告描述了IGSS(交互式图形SCADA系统)产品中的一个远程代码执行漏洞,该漏洞被描述为基于堆栈的缓冲区溢出,可以通过向目标系统发送特制消息来利用该漏洞。第二条公告描述了影响施耐德ModiconM340控制器以及这些设备通信模块的高危拒绝服务(DoS)漏洞,利用涉及向目标控制器发送特制的请求。
资料来源:https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-fix-several-critical-vulnerabilities
3、ABB网络接口模块存在高危漏洞
工业技术巨头ABB网络接口模块存在三个高危漏洞,这些漏洞影响SymphonyPlus SPIET800和PNI800,可实现控制网络和运行工程工具或人机界面(HMI)主机之间的通信。ABB表示,利用这些漏洞可能会导致工业环境中断,除了直接影响SPIET800和PNI800设备外,连接到这些设备的系统也将受到影响。
资料来源:https://www.securityweek.com/flaws-abb-network-interface-modules-expose-industrial-systems-dos-attacks
4、CISA发布有关罗克韦尔自动化ICS漏洞公告
美国网络安全和基础设施安全局(CISA)就影响罗克韦尔自动化控制器的严重漏洞发布了公告。公告描述了CVE-2022-1161,CVSS评分10.0。该漏洞可以远程触发,攻击复杂性低,成功利用此漏洞可能允许攻击者修改用户程序。
资料来源:https://www.zdnet.com/article/cisa-issues-alert-on-critical-ics-vulnerabilities-in-rockwell-systems/
5、横河电机修复控制系统产品中的高危漏洞
横河电机的CENTUMVP分布式控制系统(DCS)和用于CENTUM系统的ExaopcOPC服务器中存在10个漏洞。这些漏洞与硬编码凭据、路径遍历、命令注入、DLL劫持、不适当的访问权限和不受控制的资源消耗有关,其中部分漏洞属于高危漏洞,可被利用来访问数据、抑制警报、覆盖或删除文件、执行任意命令、崩溃服务器和提升权限。
资料来源:https://www.securityweek.com/yokogawa-patches-flaws-allowing-disruption-manipulation-physical-processes
6、Elcomplus修复其SCADA产品中的9个漏洞
Elcomplus的SmartPTTSCADA产品中存在9个漏洞,包括路径遍历、跨站脚本(XSS)、任意文件上传、授权绕过、跨站请求伪造(CSRF)和信息泄露问题。利用这些漏洞,攻击者可以上传文件、在系统上读取或写入任意文件、获取以明文形式存储的凭据、代表用户执行各种操作、执行任意代码以及提升访问管理员功能的权限。
资料来源:https://www.securityweek.com/several-critical-vulnerabilities-affect-smartppt-smartics-industrial-products
7、三菱控制器中存在高危漏洞
三菱MELSECiQ-F控制器的FX5U系列中存在高危漏洞。攻击者只需拥有对控制器的网络访问权限,或者在网络分段的情况下,访问具有PLC的本地网络就可以利用该漏洞。攻击者可以通过拦截流量或使用对某些文件的本地访问来计算口令的哈希值。拥有口令哈希并利用已发现的漏洞,攻击者可以绕过内置的安全机制登录到PLC。
资料来源:https://www.securitylab.ru/news/531249.php
8、Microsoft Defender for IoT中存在超危漏洞
Microsoft Defender for IoT中存在远程代码执行漏洞。其中CVE-2021-42311和CVE-2021-42313两个超危SQL注入漏洞的CVSS评分均为10.0,远程攻击者无需身份验证即可利用这些漏洞来实现任意代码执行。
资料来源:https://www.securityweek.com/critical-vulnerabilities-found-microsoft-defender-iot
9、五眼联盟发布2021年最常被利用的15个漏洞
五眼联盟4月27日联合发布了一份网络安全咨询,提供了2021年攻击者最常利用的15个漏洞和以及其他经常被利用CVE的详细信息。前15个漏洞包括称为Log4Shell的Log4j漏洞、跟踪为ProxyLogon的四个MicrosoftExchange漏洞,以及跟踪为ProxyShell的三个Exchange漏洞。
资料来源:https://industrialcyber.co/threats-attacks/global-cybersecurity-authorities-release-details-on-routinely-exploited-software-vulnerabilities-in-2021/
四、技术动向
谷歌与GitHub合作开发了一个解决方案,该解决方案应该有助于防止软件供应链攻击。Deepfence推出了新的开源工具PacketStreamer,它可以从多个来源捕获网络流量,以揭示潜在的黑客行为。
1、谷歌与GitHub推出供应链安全解决方案
谷歌与GitHub合作开发了一个解决方案,该解决方案应该有助于防止软件供应链攻击。该方法利用GitHubActions工作流程进行隔离,并利用Sigstore签名工具来确保真实性。目标是帮助在GitHub运行器上构建的项目达到较高的SLSA水平,这让消费者确信他们的工件是值得信赖和真实的。
资料来源:https://www.securityweek.com/google-teams-github-supply-chain-security
2、Deepfence推出PacketStreamer工具以揭示潜在的黑客行为
Deepfence推出了新的开源工具PacketStreamer,它可以从多个来源捕获网络流量,以揭示潜在的黑客行为。PacketStreamer传感器收集远程主机上的原始网络数据包,应用过滤器,并将它们转发到中央接收器进程,在那里它们以pcap格式写入。可以使用传输层安全性(TLS)压缩或加密流量流。
资料来源:https://portswigger.net/daily-swig/packetstreamer-new-tool-can-aid-research-by-revealing-potential-hacking-behaviors?&web_view=true
五、融资并购
工控安全厂商如磐科技获千万元天使轮投资。工业互联网技术服务平台创联科技完成数千万A+轮融资。网络空间测绘厂商华顺信安完成C轮数亿元融资。Fortress融资1.25亿美元以保护关键行业供应链。AirgapNetworks融资1300万美元。
1、工控安全厂商如磐科技获千万元天使轮投资
工控安全厂商如磐科技近日宣布完成千万元人民币天使轮融资。野草创投表示:如磐科技在工控安全未知威胁攻防领域具有长期与深度的技术积累,研发出了国内首个针对工业控制系统和工业软件的自动化漏洞挖掘系统。
资料来源:https://36kr.com/p/1717163793906944
2、工业互联网技术服务平台创联科技完成数千万A+轮融资
北京宏途创联科技有限公司完成梅花创投投资的数千万A+轮融资。创联科技为客户提供工业互联网的技术服务,通过其IU工业云平台,为客户提供标准化的工业互联网服务,帮助加速客户的其自动化、信息化、智能化流程改造过程。
资料来源:http://news.10jqka.com.cn/20220420/c638505444.shtml
3、工业互联网数智化解决方案提供商维拓科技获亿元B轮融资
维拓科技拥有研发、制造及服务的端到端工业软件,提供领先的工业创新平台和解决方案,覆盖上千家制造业客户、数百家头部企业,十六年的工业智力资产积累和行业最佳实践。
资料来源:https://mp.weixin.qq.com/s/PcOm7D4DcTXtZSw-TWYs5A
4、网络空间测绘厂商华顺信安完成C轮数亿元融资
网络空间测绘厂商华顺信安完成C轮数亿元融资。华顺信安即通过主动或被动探测的方法,来绘制网络空间上设备的网络节点和网络连接关系图,达到的效果是让客户了解自身网络资产状况,从而在相关网络攻击发生时,能较快速的对网络资产进行防护。
资料来源:https://36kr.com/p/1705808978712324
5、Fortress融资1.25亿美元以保护关键行业供应链
Fortress Information Security宣布完成融资1.25亿美元,该投资计划用于帮助关键行业运营商和政府机构保护其供应链。Fortress开发了一个平台,旨在帮助关键行业的组织评估、管理和解决与软件、资产和供应商相关的供应链风险。该解决方案是与电力公司合作开发的,该公司声称它现在被用于保护美国40%的电网。
资料来源:https://www.securityweek.com/fortress-raises-125-million-secure-critical-industry-supply-chains
6、Airgap Networks融资1300万美元
Airgap Networks宣布完成1300万美元A轮融资。Airgap开发了其无代理通用分段解决方案,可以通过提供可见性和管理功能来保护IT、OT和云系统。该平台旨在提供零信任、安全访问、勒索软件保护、网络访问控制和事件响应功能。
资料来源:https://www.securityweek.com/airgap-networks-raises-13-million-ransomware-kill-switch?&web_view=true