安全月报-12月

安全月报-12月

时间:2021-01-02作者:安帝科技


一、政策扫描
中央网信委印发《“十四五”国家信息化规划》,对我国“十四五”时期信息化发展作出部署安排。《“十四五”国家标准体系建设规划》发布,安全标准被重点提及。2021年工业互联网安全标准体系正式发布,对促进网络安全产业高质量发展具有重要支撑作用。《中国工业信息安全产业发展白皮书(2020-2021)》、《工业互联网流量安全分析白皮书(2021)》相继发布。美国联邦贸易委员会修订其数据保护政策。鉴于俄罗斯对网络战的极度担忧,乌克兰总统颁布信息安全战略。

1、中央网信委印发《“十四五”国家信息化规划》
12月27日,中央网络安全和信息化委员会印发《“十四五”国家信息化规划》。《规划》再次强调了安全与发展的辩证关系以及网络安全关口前移、防患于未然的发展理念;强调了以网络安全自主防御能力为主的网络安全保障体系和能力建设。明确了关键信息基础设施安全、网络安全和数据安全的重点工程和重大任务。确立了网络安全做为新兴数字产业的战略定位。强化了对数据安全保障能力建设的要求。
资料来源:http://www.cac.gov.cn/2021-12/27/c_1642205312337636.html

    2、《“十四五”国家标准体系建设规划》发布安全标准被重点提及
    国家标准化管理委员会会同有关部门组织编制了《“十四五”推动高质量发展的国家标准体系建设规划》。《规划》第14点指出,要建设网络安全标准。推动关键信息基础设施安全保护、数据安全、个人信息保护、数据出境安全管理、网络安全审查、网络空间可信身份、网络产品和服务、供应链安全、5G安全、智慧城市安全、物联网安全、工业互联网安全、车联网安全、人工智能安全等重点领域国家标准研制,完善网络安全标准体系,支撑网络强国建设。
    资料来源:https://gkml.samr.gov.cn/nsjg/bzjss/202112/t20211214_338077.html

      3、2021年工业互联网安全标准体系正式发布
      12月9日,在工业和信息化部网络安全管理局指导下,工业信息安全产业发展联盟、工业互联网产业联盟、工业和信息化部商用密码应用推进标准工作组共同发布《工业互联网安全标准体系(2021年)》。工业互联网安全标准体系包括分类分级安全防护、安全管理、安全应用服务等3个类别、16个细分领域以及76个具体方向,对于发挥标准规范引领作用、推动建立网络安全分类分级管理制度、强化工业互联网企业安全防护能力,促进网络安全产业高质量发展具有重要支撑作用。
      资料来源:https://mp.weixin.qq.com/s/EAtOE5CrjUI2CPbW1Y6gvA

        4、《中国工业信息安全产业发展白皮书(2020-2021)》发布
        《中国工业信息安全产业发展白皮书(2020-2021)》发布。白皮书预计,2021年我国工业信息安全市场增长率将达31.83%,市场整体规模将增长至167.01亿元。白皮书显示,2020年我国工业信息安全产业规模在疫情背景下逆势上扬达126.69亿元,增长率为27.02%。其中,工业信息安全产品类市场规模达43.97亿元,占市场总额的81.3%,全服务类市场规模为10.11亿元,占比达18.7%。
        资料来源:http://finance.people.com.cn/n1/2021/1208/c1004-32302844.html

          5、印度将推出国家网络安全战略
          印度的新网络安全战略即将推出,新网络安全战略的主要交付成果之一是为不同实体确定和成立监管机构,例如计算机应急响应小组CERT-In、网络犯罪协调中心、国防网络局和国家关键信息基础设施保护中心NCIIPC。
          资料来源:https://www.govinfosecurity.com/indias-national-cybersecurity-strategy-awaiting-approval-a-17829?&web_view=true

            6、国家工信安全中心发布《工业互联网流量安全分析白皮书(2021)》
            在2021年中国工业信息安全大会上,国家工业信息安全发展研究中心发布了《工业互联网流量安全分析白皮书》。《白皮书》针对工业互联网流量分布广、采样位置分散、格式多元异构、协议私有且繁杂等方面的特性,面向当前工业互联网流量安全分析面临的挑战,提出工业互联网流量安全分析技术框架,归纳工业互联网流量安全分析关键技术,梳理工业互联网流量安全分析典型应用与部署场景。
            资料来源:https://www.secrss.com/articles/37703

              7、美国联邦贸易委员会修订其数据保护政策
              美国联邦贸易委员会(FTC)已修订其数据保护政策,对处理客户信息的金融机构实施更严格的规定。此次修订是该规则历史上的第一次,旨在解决近年来困扰金融服务行业的信息安全复杂性显著增加和破坏性数据泄露的无情链。添加的新要求包括,金融机构必须履行例如书面风险评估、渗透测试和漏洞评估以及员工培训的义务。
              资料来源:https://portswigger.net/daily-swig/ftc-implements-tougher-data-protection-rules-to-safeguard-customer-information?&web_view=true

                8、乌克兰总统颁布信息安全战略
                12月28日,乌克兰总统已执行乌克兰国家安全与国防委员会2021年10月15日“关于信息安全战略”的决定,该法令自发布之日起生效。该文件指出,俄罗斯的信息政策不仅对乌克兰构成威胁。俄罗斯开展的特别信息行动针对的是关键的民主机构(包括选举),俄罗斯的特别服务部门则试图激化乌克兰和其他民主国家的内部冲突。
                资料来源:https://www.ukrinform.net/rubric-polytics/3376991-president-enacts-ukraines-information-security-strategy.html?&web_view=true

                  二、安全事件
                  美国联邦调查局(FBI)就针对古巴关键基础设施的勒索软件攻击发出警告。北美天然气供应商巨头Superior Plus遭勒索软件攻击,再次为关键基础设施敲响警钟。澳大利亚电力供应商CS Energy遭勒索软件攻击,但发电并未受到影响。科罗拉多电力公司却没有这么幸运,网络攻击对其系统造成了严重破坏。微软研究显示:对物联网/OT设备的攻击数量不断增加。比利时国防部确认遭受利用Log4j漏洞的网络攻击。

                  1、美国联邦调查局警告古巴勒索软件攻击关键基础设施
                  美国联邦调查局(FBI)就针对古巴关键基础设施的勒索软件攻击发出警告。FBI称,截至2021年11月,古巴勒索软件背后的团伙设法危害了美国政府、医疗保健、金融、信息技术和制造部门的至少49个实体。
                  资料来源:https://www.securityweek.com/fbi-warns-cuba-ransomware-attacks-critical-infrastructure

                    2、北美天然气供应商巨头Superior Plus遭勒索软件攻击
                    北美天然气供应商巨头Superior Plus证实,它在12月12日发现了勒索软件攻击,破坏了其计算机系统。Superior Plus表示已采取措施保护其系统,并聘请独立的网络安全专家来减轻勒索软件攻击对其数据和运营的影响,并确定客户安全或安全以及个人数据没有受到影响。
                    资料来源:https://www.cpomagazine.com/cyber-security/natural-gas-supplier-superior-plus-suffers-a-ransomware-attack-similar-to-colonial-pipelines/

                      3、澳大利亚电力供应商CS Energy遭勒索软件攻击
                      12月9日,澳大利亚电力供应商 CS Energy 遭到勒索软件攻击,但该公司表示发电并未受到影响,攻击于11月27日被发现。勒索软件团伙Conti声称对此次澳大利亚电力公司 CS Energy的攻击负责。CS Energy 表示,勒索软件破坏了其公司网络上的设备,该公司正在努力恢复受影响的系统。
                      资料来源:https://www.securityweek.com/australian-electricity-provider-cs-energy-hit-ransomware/

                        4、网络攻击对科罗拉多电力公司造成严重破坏
                        科罗拉多州的电力合作社Delta-Montrose电力协会(DMEA)在11月7日发现其内部网络遭到破坏,网络攻击导致其电话、电子邮件、账单和客户帐户系统中断,该公司还确认遭到软件攻击,内部文件已“损坏”。DMEA表示其90%的内部控制和系统被破坏,大部分可追溯到20多年的历史数据被泄露。
                        资料来源:https://www.securityweek.com/cyberattack-causes-significant-disruption-colorado-electric-utility/

                          5、微软研究显示:对物联网/OT设备的攻击数量不断增加
                          根据微软的一项新研究,对物联网和OT设备的攻击数量正在增加。参与调查的600多名受访者中有44%表示,他们的组织在过去两年中经历了涉及IoT或OT设备的网络事件。39%的人表示这样的设备是攻击的目标,35%的人表示该设备被用来进行更广泛的攻击。
                          资料来源:https://www.microsoft.com/en-us/download/details.aspx?id=103698/

                            6、比利时国防部确认遭受利用Log4j漏洞的网络攻击
                            比利时国防部发言人表示,国防部在12月16日发现其计算机网络受到攻击,该部已采取措施隔离受影响的网络区域。并且证实这次攻击是成功利用了log4j2漏洞,部分计算机网络暂时无法使用,处于瘫痪状态。比利时政府暂未将此次袭击归咎于任何团体或民族国家。
                            资料来源:https://www.vrt.be/vrtnws/nl/2021/12/20/defensie-slachtoffer-zware-cyberaanval-deel-netwerk-al-dagen-pl/

                              三、漏洞态势
                              myPROHMI/SCADA产品存在严重漏洞,在全球范围内用于能源、食品和农业、水和交通系统部门的该产品受影响。步行式金属探测器中的漏洞可能允许攻击者操纵安全设备,给用户带来安全风险。施耐德电气EVlink电动汽车充电桩存在严重漏洞,面临被攻击的风险。谷歌发现超过35,000个Java包受Log4j漏洞影响,占比8%。SonicWall远程访问设备、Kaseya Unitrends备份设备存在严重漏洞,均带来了远程代码执行的风险。僵尸网络Moobot盯上海康威视设备漏洞。DataVault加密软件中的漏洞影响多个存储设备。

                              1、myPROHMI/SCADA产品存在严重漏洞
                              研究人员在捷克工业自动化公司mySCADA的myPRO产品中发现了12个漏洞。myPRO是一套HMI/SCADA系统,专为可视化和控制工业过程而设计。mySCADA在8.20.0版本修复了四个高危漏洞,可利用这些漏洞获取敏感信息或远程上传任意文件而无需身份验证。8.22.0版修复了八个漏洞,有七个是严重漏洞。其中一个严重漏洞可用于绕过身份验证,一个与后门帐户有关,而其余漏洞可被远程、未经身份验证的攻击者利用以进行操作系统命令注入。
                              资料来源:https://www.securityweek.com/several-critical-vulnerabilities-found-mypro-hmiscada-product?&web_view=true/

                                2、步行式金属探测器中的漏洞可能允许攻击者操纵安全设备
                                CiscoTalos最近在Garrett Metal Detectors的设备中发现了9个漏洞,这些漏洞可能允许远程攻击者绕过身份验证要求、操纵金属探测器配置,甚至在设备上执行任意代码。这些漏洞特别存在于Garretti C模块中,该模块为安全检查站常用的Garrett PD6500i或Garrett MZ6100步行式金属探测器提供网络连接。
                                资料来源:https://blog.talosintelligence.com/2021/12/vuln-spotlight-garrett-metal-detector.html?&web_view=true/

                                  3、施耐德电气EVlink电动汽车充电桩存在严重漏洞
                                  施耐德电气已修复了7个使其EVlink电动汽车充电站容易受到远程黑客攻击的新漏洞,有1个严重漏洞和6个高危漏洞,包括跨站请求伪造(CSRF)和跨站脚本(XSS)漏洞,其中最严重的是一个服务器端请求伪造(SSRF)漏洞,CVSS评分9.3。施耐德警告称,这些漏洞可能会导致“充电站的设置和账户遭到篡改和泄露,可能导致拒绝服务攻击。
                                  资料来源:https://www.securityweek.com/new-flaws-expose-evlink-electric-vehicle-charging-stations-remote-hacking/

                                    4、谷歌:超过35,000个Java包受Log4j漏洞影响
                                    谷歌开源团队扫描了Maven中央Java包存储库,发现35,863个包(占总数的8%)正在使用易受Log4Shell漏洞和CVE-2021-4504 6RCE攻击的Apache Log4j库版本。专家指出,直接依赖项约占受影响软件包的7,000个,大多数受影响的工件都与间接依赖相关。并确定只有48%受漏洞影响的工件已得到修复。
                                    资料来源:https://securityaffairs.co/wordpress/125845/security/log4j-java-packages-flaws.html/

                                      5、SonicWall远程访问设备存在严重漏洞
                                      SonicWall敦促其客户尽快解决影响其安全移动访问(SMA)100系列设备的8个已修复的漏洞。其中最严重的是CVE-2021-20038,CVSS评分9.8,未经身份验证的攻击者可利用其导致基于堆栈的缓冲区溢出并在易受攻击的设备上实现代码执行。
                                      资料来源:https://www.securityweek.com/sonicwall-customers-warned-high-risk-flaws-remote-access-appliances
                                      KaseyaUnitrends/

                                        6、备份设备中存在严重漏洞
                                        Kaseya修复了其Unitrends备份设备中的12个漏洞,包括两个严重漏洞,每个漏洞都会带来远程代码执行风险。其中未经身份验证的SQL注入漏洞(跟踪为CVE-2021-43035,CVSS评分9.8)使潜在攻击者有可能在Postgres超级用户帐户下注入任意SQL查询。
                                        资料来源:https://portswigger.net/daily-swig/critical-web-security-flaws-in-kaseya-unitrends-nbsp-backup-appliances-remediated-after-researchers-disclosure?&web_view=true/

                                          7、思科修复Catalyst PON企业交换机的严重漏洞
                                          思科已修复Catalyst无源光网络(PON)系列交换机光网络终端和策略套件中的严重漏洞。其中最严重的漏洞是CVE-2021-34795和CVE-2021-40113,CVSS评分均为10.0,允许未经身份验证的远程攻击者使用具有默认静态密码的调试帐户登录受影响的设备,或执行命令注入攻击。
                                          资料来源:https://www.securityweek.com/cisco-plugs-critical-holes-catalyst-pon-enterprise-switches/

                                            8、僵尸网络Moobot盯上海康威视设备漏洞
                                            基于Mirai的Moobot僵尸网络通过利用海康威视产品网络服务器中的严重漏洞迅速传播,影响海康威视的70多个摄像机和NVR,攻击者可利用该漏洞获得root访问权限并完全接管易受攻击的设备,而无需任何形式的用户交互。Fortinet警告说,攻击者正试图利用该漏洞来部署各种有效载荷,使他们能够探测设备或提取敏感数据。
                                            资料来源:https://securityaffairs.co/wordpress/125409/malware/moobot-botnet-hikvision.html
                                            DataVault/

                                              9、加密软件中的漏洞影响多个存储设备
                                              由ENC Security制造并被多家供应商使用的DataVault加密软件受到几个密钥推导函数问题的影响。攻击者可以利用该漏洞获取用户密码。DataVault是一种保护用户数据的高级加密软件,它为多个系统提供全面的军用级数据保护和安全功能。包括WD、Sony和Lexar在内的多个供应商都在使用DataVault软件。
                                              资料来源:https://securityaffairs.co/wordpress/126166/hacking/datavault-encryption-software-flaws.html/

                                                四、技术动向
                                                针对铺天盖地的Apache Log4j漏洞,CISA发布扫描器以识别受其影响的Web服务。微软将Secured-core概念扩展到服务器,采用虚拟机监控程序保护的代码完整性来抵御勒索软件等威胁。

                                                1、CISA发布扫描器以识别受Apache Log4j漏洞影响的Web服务
                                                美国网络安全和基础设施安全局(CISA)宣布发布一款开源扫描器,用于识别受Apache Log4j远程代码执行漏洞影响的Web服务。以下是log4j-scanner中实现的功能列表:支持URL列表。对60多个HTTP请求标头进行模糊测试。对HTTPPOST数据参数进行模糊测试。对JSON数据参数进行模糊测试。支持用于漏洞发现和验证的DNS回调。WAF绕过有效载荷。
                                                资料来源:https://securityaffairs.co/wordpress/125892/security/cisa-scanner-log4j-flaws.html/

                                                  2、微软将Secured-core概念扩展到服务器
                                                  微软已将其在2019年应用于PC的Secured-core概念扩展到服务器、Windows Server和Azure Stack HCI。Secured-core认为微软与硬件制造商合作,以确保他们的产品包括TPM2.0模块,在BIOS中默认启用安全启动,并使用动态信任根进行测量技术,允许使用英特尔的可信执行技术(TXT)和AMD的安全虚拟机(SVM)。一旦这些元素到位,微软相信硬件更难受到基于固件的攻击,并且不太容易运行未经验证的代码。
                                                  资料来源:https://www.theregister.com/2021/12/08/microsoft_extends_securedcore_concept_to_servers/?&web_view=true/

                                                    五、融资并购
                                                    瑞数信息完成C3轮亿元级融资。数据安全公司闪捷信息完成6亿元人民币B轮融资。赛宁网安C+轮融资再获8000万。美创科技完成新一轮亿元级融资。Claroty融资4亿美元,收购医疗物联网安全公司Medigate。铁路网络安全公司Cylus融资3000万美元。

                                                    1、瑞数信息完成C3轮亿元级融资
                                                    瑞数信息于12月17日正式宣布完成亿元级C3轮融资。瑞数信息是中国动态安全技术的创新者和Bots自动化攻击防护领域的专业厂商。瑞数信息提供涵盖Web、App和API的全渠道应用安全、业务安全、数据安全、云安全等在内的专业网络安全产品及服务。
                                                    资料来源:https://mp.weixin.qq.com/s/SbQt0GVgMu_VyYo6s3zM7Q/

                                                      2、闪捷信息完成6亿元人民币B轮融资
                                                      闪捷信息完成6亿元人民币B轮融资。作为数据安全领域的领军企业,闪捷信息基于多年技术积累与创新,构建了覆盖大数据安全、云数据安全、应用数据安全、数据防泄漏、工业互联网安全和数据安全治理的全栈数据安全产品体系与服务能力,已广泛应用于数千家行业客户。
                                                      资料来源:http://www.secsmart.com/news/news_1243.html/

                                                        3、赛宁网安C+轮融资再获8000万
                                                        南京赛宁信息技术有限公司再获8000万C+轮融资。2021年赛宁网安在行业政策催化、市场需求爆发、客户充分认可的前提下,实现了业绩的高速增长,同时也获得了资本的高度青睐。本轮融资后,赛宁网安将持续加强产品研发和市场投入,全面提升产品核心竞争力,时刻关注网络安全发展态势,成为中国真正具有创造力和竞争力的网络安全企业。
                                                        资料来源:https://www.dwcon.cn/post/1020/

                                                          4、Claroty融资4亿美元,收购医疗物联网安全公司Medigate
                                                          工业网络安全公司Claroty 12月8日宣布已在E轮融资中筹集了4亿美元,并透露已达成协议收购医疗物联网安全公司Medigate。Claroty提供旨在帮助组织发现、管理和保护其OT、IoT和IIoT资产的解决方案。其产品提供可见性、威胁检测、安全远程访问以及风险和漏洞管理功能。Claroty所有新资金都用于收购Medigate。Medigate开发了一个医疗物联网安全平台,提供资产发现、漏洞识别和风险评估、保护、监控和优化功能。
                                                          资料来源:https://www.securityweek.com/claroty-raises-400-million-acquires-healthcare-iot-security-firm-medigate/

                                                            5、铁路网络安全公司Cylus融资3000万美元
                                                            铁路网络安全公司Cylus在B轮融资中筹集了3000万美元。Cylus构建了一个网络安全解决方案CylusOne,以保护全球干线和城市铁路公司免受一系列威胁和风险。Cylus的解决方案为所有铁路系统提供持续监控和360度实时保护,无论其规模和地理位置如何,从而实现实时威胁检测、高级取证和缓解、简化安全操作等。
                                                            资料来源:https://techcrunch.com/2021/12/15/cylus-raises-30m-series-b-to-help-protect-trains-and-metros-worldwide//