安帝速递|【工业网络安全月报2022年-05月】

安帝速递|【工业网络安全月报2022年-05月】

时间:2022-06-01作者:安帝科技

一、政策扫描

美国众议院提出《工业控制系统网络安全培训法案》,旨在加强美国的工控网络安全。美国拜登总统签署《国家网络安全防范联盟法案》,将用于确保关键基础设施免受网络攻击。欧盟也推出了关键领域网络安全新立法,关注关键基础设施,对关键行业组织实施共同的网络安全标准。美国针对供应链、量子技术以及网络犯罪方面也相继出台了新的标准。英国、意大利和印度也针对不同方面颁布了立法。
1、美国众议院提出《工业控制系统网络安全培训法案》
美国众议院5月16日提出了《工业控制系统网络安全培训法案》,以帮助加强国家的网络安全保护。该法案旨在修订2002年的《国土安全法》,以授权网络安全和基础设施安全局(CISA)建立工业控制系统网络安全培训计划并用于其他目的。
资料来源:https://industrialcyber.co/threats-attacks/new-industrial-control-systems-cybersecurity-training-bill-works-toward-bolstering-nations-cybersecurity-posture/

2、美国拜登总统签署《国家网络安全防范联盟法案》
5月12日,美国总统拜登签署了《国家网络安全防范联盟法案》,将用于确保关键基础设施免受网络攻击。国土安全部将和众多大学组成国家网络安全防范联盟(NCPC),对州及地方政府的响应责任人和官员进行网络安全培训。
资料来源:https://executivegov.com/2022/05/biden-inks-legislation-for-national-cybersecurity-preparedness-consortium/

3、美国总统拜登签署《优化网络犯罪度量法》
美国NIST推出《OT网络安全指南》草案,该草案指导如何提高运营技术(OT)系统的安全性,同时满足其性能、可靠性和安全要求,提供了OT和典型系统拓扑的概述,识别了OT支持的组织使命和业务功能的典型威胁,描述了OT中的典型漏洞,并提供了推荐的安全保护措施和应对措施来管理相关风险。
资料来源:https://industrialcyber.co/analysis/nist-sp-800-82-addresses-ot-systems-security-including-unique-performance-reliability-safety-requirements/

4、美国NIST发布卫星网络安全框架草案
5月5日,美国总统签署《优化网络犯罪度量法》。该法从网络犯罪分类、网络犯罪报告、全国犯罪被害调查、网络犯罪指标研究四大维度出发,综合改善了联邦政府“追踪、衡量、分析、起诉网络犯罪的方式”,帮助执法机构更好地识别网络安全威胁、防范黑客勒索攻击、起诉网络犯罪案件。
资料来源:https://www.securitymagazine.com/articles/97591-better-cybercrime-metrics-act-signed-into-law

5、美国总统拜登签署两项推进量子技术发展的指令
2022年5月4日,美总统拜登签署两项指令《关于加强国家量子倡议咨询委员会的行政命令》以及《国家安全备忘录(NSM)》,旨在推动量子信息科学(QIS)的研究与开发,并帮助美国计算机网络向后量子加密标准过渡。
资料来源:https://www.whitehouse.gov/briefing-room/statements-releases/2022/05/04/fact-sheet-president-biden-announces-two-presidential-directives-advancing-quantum-technologies

6、美国NIST推出《网络安全供应链风险管理》指南最终版
美国国家标准与技术研究院(NIST)5月5日发布了其针对系统和组织的基础C-SCRM指导文件的最终版本。网络安全供应链风险管理(C-SCRM)文件为企业提供了有关如何识别、评估、选择和实施风险管理流程以及减轻整个企业控制措施的指导,以帮助管理整个供应链中的网络安全风险。
资料来源:https://industrialcyber.co/analysis/nist-rolls-out-final-c-scrm-guidance-to-enhance-cybersecurity-secure-integrity-of-software-supply-chain/

7、欧盟推出关键领域网络安全新立法
欧盟已就新的立法达成政治协议,将对关键行业组织实施共同的网络安全标准,将涵盖在关键领域运营的大中型组织,其中包括公共电子通信服务、数字服务、废水和废物管理、关键产品制造、邮政和快递服务、医疗保健和公共管理的供应商。
资料来源:https://www.infosecurity-magazine.com/news/eu-cybersecurity-legislation/?&web_view=true

8、英国公布《数据改革法案》
5月10日,英国公布了《数据改革法案》。该法案将用于改革英国现有的《通用数据保护条例》和《数据保护法案》。并且,该法案寻求简化数据保护相关立法,通过创建一种更灵活的、以结果为中心的方法来减轻企业的负担,同时还引入了更明确的个人数据使用规则。
资料来源:https://www.computerweekly.com/news/252518054/Data-Reform-Bill-announced-in-Queens-Speech

9、英国政府发布《2022民用核网络安全战略》
英国政府发布了《2022民用核网络安全战略》。战略目标是以协作和成熟的方式有效管理和减轻英国民用核部门的网络风险,在应对和防范事件方面具有弹性,以加强英国民用核工业网络安全态势。
资料来源:https://industrialcyber.co/threats-attacks/new-uk-2022-civil-nuclear-cyber-security-strategy-focuses-on-building-cybersecurity-across-the-sector/

10、意大利发布《2022至2026年国家网络安全战略》
意大利政府5月25日发布《2022至2026年国家网络安全战略》,并加强了政府应对网络威胁和提高该国抵御网络攻击的能力的承诺。战略确定了三大基本目标以更好地应对国家面临的挑战,一是保护目标;二是响应目标;三是发展目标。
资料来源:https://securityaffairs.co/wordpress/131674/security/italy-national-cybersecurity-strategy.html

11、印度政府要求在六小时内报告网络安全事件
印度政府发布了新指令,要求组织在六小时内向计算机应急响应小组(CERT-IN)报告网络安全事件,即使这些事件是计算机系统的端口或漏洞扫描。CERT-IN小组表示已确定了导致安全事件分析和响应困难的具体差距,为了解决这些问题,它需要采取更积极的措施。
资料来源:https://www.bleepingcomputer.com/news/security/india-to-require-cybersecurity-incident-reporting-within-six-hours/

二、安全事件

北京通管局开展2022年电信和互联网行业网络与数据安全检查,工业互联网企业网络安全防护情况检查包括在内。美国能源部成立电能OT安全配置文件工作组,将提升电能OT系统的网络安全,同时与MITRE合作成立特别兴趣小组,重点关注ICS和OT框架中的安全漏洞。美国CISA扩大了爱达荷国家实验室CELR研究区的范围,将为ICS、OT环境提供交互式测试站点。惠誉评级表示对ICS/OT系统的网络攻击更有可能产生信用和ESG影响。以上事件表明美国政府愈发关注ICS/OT系统的网络安全,正在着手提升维护其安全性的能力。
1、北京通管局开展2022年电信和互联网行业网络与数据安全检查
北京通管局发布关于开展2022年电信和互联网行业网络与数据安全检查的通知。重点检查相关网络运行单位的关键信息基础设施和重要网络单元及承载的信息系统,包括但不限于:通信网络基础设施、工业互联网平台等。在工业互联网企业网络安全防护情况检查方面,重点检查工业互联网服务平台、工业互联网标识解析系统企业。
资料来源:https://bjca.miit.gov.cn/zwgk/tzgg/art/2022/art_6dad7c7ba2e54942bde655044f46deee.html

2、美国能源部成立电能OT安全配置文件工作组
美国能源部(DOE)、全球设备供应商和其他利益相关者5月25日宣布成立电能OT安全配置文件工作组。电能OT安全配置文件将用作设计、实施、测试和维护电能OT系统及其网络安全功能的基础,还将对全球的第三方评估组织和监管机构发挥作用。
资料来源:https://industrialcyber.co/analysis/new-electric-energy-ot-security-profile-working-group-set-up-as-part-of-isa99-standards-committee/

3、美国、澳大利亚、印度和日本宣布关于软件、供应链的网络安全举措
美国和三个盟国5月24日宣布了一项伙伴关系,各国将围绕加固软件、供应链和用户数据,共同开展若干网络安全举措。各国领导人承诺通过分享威胁信息和识别数字产品和服务供应链中的潜在风险,改善关键基础设施的集体网络安全。
资料来源:https://therecord.media/us-australia-india-and-japan-announce-cybersecurity-initiatives-on-software-supply-chains/?web_view=true

4、普京签署总统令:各部门机构设立IT安全部门
俄罗斯当地时间5月1日,俄罗斯总统普京正式签署了一份确保俄罗斯信息安全额外措施的总统令,下令俄罗斯所有部门、机构和骨干组织都需要设立IT安全部门。根据总统令的实际规定,自2025年1月1日起,俄罗斯国有企业和机构将禁止使用的不友好国家生产的信息和安全设备。
资料来源:https://www.163.com/dy/article/H6CV97O50511A5GF.html

5、韩国加入北约网络防御卓越中心
5月5日,韩国正式加入北大西洋公约组织(NATO)合作网络防御卓越中心(CCDCOE),成为首个加入该机构的亚洲国家。随着韩国加入CCDCOE,未来国情院将参加北约的网络联合训练并参与相关研究,让韩国在网络攻防方面进一步掌握发言权。
资料来源:https://world.huanqiu.com/article/47tI3EgGSDp

6、MITRE成立旨在加强ICS/OT网络防御的特别兴趣小组
MITRE与美国能源部(DOE)网络安全、能源安全和应急响应办公室(CESER)合作,宣布扩大通用弱点枚举/通用攻击模式枚举和分类计划,成立一个新的特别兴趣小组(SIG),重点关注工业控制系统(ICS)和运营技术(OT)框架中的安全漏洞。
资料来源:https://industrialcyber.co/cisa/cwe-capec-ics-ot-special-interest-group-focuses-on-security-weaknesses-within-these-environments/

7、爱达荷国家实验室的CELR研究区为ICS、OT环境提供交互式测试站点
美国CISA的工业控制系统(ICS)网络应急响应小组扩大了爱达荷国家实验室控制环境实验室资源(CELR)研究区的范围。实验室环境现在将为ICS和OT环境提供交互式测试站点,使政府和私营行业合作伙伴能够体验动态信息物理攻击的可能影响。
资料来源:https://industrialcyber.co/threats-attacks/idaho-national-laboratorys-celr-research-zone-delivers-interactive-test-site-for-ics-ot-environments/

8、惠誉评级表示对ICS/OT系统的网络攻击更有可能产生信用和ESG影响
在题为“美国运营技术中的网络风险(运营技术如何影响关键基础设施的网络风险)”的报告中,惠誉评级探讨了电力和公用事业以及供水和下水道行业的IT/OT挑战。报告显示,与对信息技术的相应攻击相比,对运营技术的攻击更有可能产生信用和ESG影响。
资料来源:https://industrialcyber.co/utilities-energy-power-water-waste/cyberattacks-on-ics-ot-systems-more-likely-to-have-credit-esg-impact-than-a-corresponding-it-attack-fitch-ratings-says/

9、加拿大空军关键供应商遭勒索软件攻击
加拿大、德国军方的独家战机培训供应商Top Aces透露,其已遭到LockBit勒索软件攻击,44GB内部数据疑似被泄露,该公司在5月11日的一份声明中表示正在对攻击事件开展调查。
资料来源:https://therecord.media/top-aces-ransomware-attack-lockbit/

10、美国农业机械制造商AGCO遭受勒索软件攻击
美国农业机械生产商巨头AGCO于5月6日宣布部分生产设施受到影响。AGCO仍在调查攻击的程度,但预计其业务运营将受到几天的不利影响,甚至可能更长的时间才能完全恢复所有服务,该公司可能会关闭其部分IT系统以防止攻击蔓延。
资料来源:https://www.bleepingcomputer.com/news/security/us-agricultural-machinery-maker-agco-hit-by-ransomware-attack/

三、漏洞态势

5月10日,西门子和施耐德发布漏洞公告,西门子楼宇自动化控制器PXC4.E16存在DoS漏洞,其他设备存在包括可导致DoS攻击、代码执行以及管理员账户劫持的高危漏洞,在真实的工业环境中将会造成严重的影响。信捷PLC编程软件存在高危漏洞,攻击者可以利用其将任意项目文件写入PLC并获得代码执行。InHand工业路由器存在17个漏洞,攻击者可链接使用其中某些漏洞获取root访问权限。uClibc库存在DNS漏洞,数百万个物联网产品面临安全威胁。Open Automation Software自动化软件平台存在超危漏洞,包括能源、航天等行业在内的众多ICS设备受到影响。Zyxel修复防火墙设备中的操作系统命令注入漏洞。思科修复正在被积极利用的IOS XR漏洞。
1、西门子修复其产品中的35个漏洞
西门子在5月10日发布了12条公告,涵盖35个漏洞。根据CVSS评分,最重要的公告涵盖了11个影响SICAM P850和P855设备的Web服务器漏洞。该公告涵盖的五个高危漏洞可能导致DoS攻击、代码执行、流量捕获和干扰设备功能、跨站脚本(XSS)攻击或访问设备的管理界面。
资料来源:https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-electric-address-43-vulnerabilities

2、施耐德修复其产品中的8个漏洞
施耐德电气在5月10日发布了3项公告,向客户通报了8个漏洞。其中6个漏洞影响了一些Wiser Smart家庭自动化产品,包括一个超危硬编码凭据漏洞,以及可用于暴力攻击、管理员账户劫持、跨域攻击和获取身份验证凭据的高危漏洞。
资料来源:https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-electric-address-43-vulnerabilities

3、西门子楼宇自动化控制器PXC4.E16存在DoS漏洞
Nozomi研究人员发现西门子楼宇自动化控制器PXC4.E16设备受到可用于拒绝服务(DoS)攻击的漏洞的影响。在创建或更新账户期间,Web应用程序未能强制执行PBKDF2派生密钥的成本因子上限,具有用户配置文件访问权限的攻击者可以通过以非常高的成本设置PBKDF2派生密钥然后尝试登录到如此修改的账户来通过CPU消耗导致DoS条件。
资料来源:https://www.securityweek.com/hackers-can-make-siemens-building-automation-controllers-unavailable-days

4、信捷PLC编程软件存在高危漏洞
信捷PLC编程软件中存在两个漏洞。第一个为zip slip漏洞CVE-2021-34605,该漏洞可以为攻击者提供具有程序权限的任意写入权限。第二个漏洞为CVE-2021-34606,一旦一个特制的恶意项目文件被信捷PLC编程软件打开,在加载新项目的过程中,将加载恶意DLL。
资料来源:https://industrialcyber.co/threats-attacks/clarotys-team82-finds-two-vulnerabilities-in-xinje-plc-program-tool-deployed-across-critical-infrastructure-sector/

5、InHand工业路由器存在17个漏洞
InHand Networks制造的无线工业路由器中存在17个漏洞,可能导致任意文件上传、代码执行、权限提升、操作系统命令注入和未经授权的固件更新。攻击者首先可以利用XSS漏洞盗取Cookie,如果没有获得特权访问,可以利用其中某两个漏洞进行提权。
资料来源:https://www.securityweek.com/critical-vulnerabilities-provide-root-access-inhand-industrial-routers

6、uClibc库的DNS漏洞影响数百万个物联网产品
两个流行C库uClibc和uClibc-ng存在DNS漏洞,这可能会使数百万物联网设备面临安全威胁。该漏洞是由库生成的DNS请求中包含的事务ID的可预测性引起的,这可能允许攻击者对目标设备执行DNS中毒攻击。
资料来源:https://thehackernews.com/2022/05/unpatched-dns-related-vulnerability.html

7、Open Automation Software自动化软件平台存在超危漏洞
Open Automation Software公司的开放自动化软件平台为ICS或IoT设备、数据库和自定义应用程序提供连接解决方案。该平台受到八个漏洞的影响,攻击者可以利用这些漏洞执行任意代码、DoS攻击、获取敏感信息和其他目的。
资料来源:https://www.securityweek.com/critical-vulnerabilities-found-open-automation-software-platform

8、Zyxel修复防火墙设备中的操作系统命令注入漏洞
Zyxel防火墙设备存在一个超危漏洞,被跟踪为CVE-2022-30525,CVSS评分9.8,该漏洞使未经身份验证的远程攻击者能够完成任意代码执行。某些防火墙版本的CGI程序中的命令注入漏洞可能允许攻击者修改特定文件,然后在易受攻击的设备上执行一些操作系统命令。
资料来源:https://thehackernews.com/2022/05/zyxel-releases-patch-for-critical.html

9、思科修复正在被积极利用的IOS XR漏洞
思科修复了IOS XR软件的中危漏洞CVE-2022-20821,CVSS评分6.5,攻击者正在积极利用该漏洞进行攻击。攻击者可以通过连接到开放端口上的Redis实例来利用此漏洞将任意文件写入容器文件系统,并检索有关Redis数据库的信息。
资料来源:https://www.securityweek.com/cisco-warns-exploitation-attempts-targeting-new-ios-xr-vulnerability

四、技术动向

微软推出托管服务,结合技术、威胁情报和技术人员帮助企业寻找恶意感染迹象或外包检测和响应事件的处理。容器编排器Kubernetes将使用Sigstore项目包含加密签名证书,以防止供应链攻击。印度科学研究所开发了一种真随机数生成器 (TRNG),可以改进数据加密,提供更高的安全性。Firefox引入了改进的进程隔离机制,通过降低攻击向量减少浏览器的攻击面。
1、微软通过托管服务来增强安全供应商的实力
微软针对中端市场推出了一套新的托管服务——微软安全专家,微软认为人手不足的组织将需要外部帮助来减少臃肿的攻击面并缓解危险的恶意软件攻击持续激增。这三项新的托管服务结合了技术、威胁情报和技术人员,可帮助企业寻找恶意感染迹象或外包检测和响应事件的处理。
资料来源:https://www.securityweek.com/microsoft-flexes-security-vendor-muscles-managed-services?&web_view=true

2、Kubernetes利用Sigstore阻止开源软件供应链攻击
容器编排器Kubernetes将使用Sigstore项目包含加密签名证书,以防止供应链攻击。使用Sigstore证书允许Kubernetes用户通过“让用户能够验证签名和对每个部署的Kubernetes二进制文件、源代码包和容器映像的来源有更大的信心。”
资料来源:https://www.zdnet.com/article/kubernetes-taps-sigstore-to-thwart-open-source-software-supply-chain-attacks/?web_view=true

3、IISc开发改进数据加密、网络安全的设备
印度科学研究所(IISc)的电气通信工程系(ECE)开发了一种破纪录的真随机数生成器 (TRNG),它可以改进数据加密并为信用卡详细信息等敏感数字数据提供更高的安全性、密码和其他个人信息,这种加密的强度取决于随机数生成的质量。
资料来源:https://indianexpress.com/article/cities/bangalore/iisc-develops-device-that-improves-data-encryption-cyber-security-7939587/?&web_view=true

4、Firefox首次推出改进的进程隔离以减少浏览器攻击面
Firefox引入了改进的进程隔离机制来减少浏览器的攻击面。当用户通过Firefox浏览网页时,该软件会将内容呈现到单独的进程中,与操作系统隔离并由单个特权父进程管理。该模型背后的原因是,如果内容过程中存在错误,则潜在的攻击向量是有限的。
资料来源:https://portswigger.net/daily-swig/firefox-debuts-improved-process-isolation-to-reduce-browser-attack-surface?&web_view=true

五、融资并购

工业互联网厂商天地和兴获得数亿元D轮投资。工业互联网安全厂商双湃智安完成数千万Pre-A轮融资。物联网安全厂商物盾安全获数千万元Pre-A轮融资。OT安全公司Network Perception融资1300万美元。OT远程访问公司Xona完成720万美元A轮融资。Sabanci收购OT安全公司Radiflow。
1、工业互联网厂商天地和兴获得数亿元D轮投资
天地和兴是一家专业从事工业控制系统信息安全防护、检测分析、安全评估与咨询服务的国家级高新技术企业。天地和兴的产品及解决方案已成功应用于电力、石油、石化、钢铁冶金和轨道交通、智能制造等多个关键基础设施领域百余家工业企业。
资料来源:https://www.ebrun.com/20220507/483400.shtml

2、工业互联网安全厂商双湃智安完成数千万Pre-A轮融资
双湃智安创新“三级联动”解决方案,致力于中国百万家工业企业,能够颠覆性替代传统解决方案,解决工业企业网络安全“看不见、投不起、没人管、响应长”的用户痛点,能够为企业提供高效、可信赖、易获取的工业互联网安全服务订阅(SECaaS)。
资料来源:https://mp.weixin.qq.com/s/7T6qKxFWL25APPMEVA7Tzw

3、物联网安全厂商物盾安全获数千万元Pre-A轮融资
物盾安全以智能电力物联网安全为入口,聚焦物联网边缘侧安全领域,以零信任为核心理念,致力于解决“物联网+边缘计算”场景下的安全问题,通过边缘计算本体防护、南向终端管控、北向可信接入以及云边协同安全管理,实现工业互联网中“最后一公里”的安全通讯。
资料来源:https://finance.sina.com.cn/tech/2022-05-18/doc-imcwipik0568578.shtml?finpagefr=p_114

4、OT安全公司Network Perception融资1300万美元
Network Perception是关键基础设施防火墙风险评估领域的领导者,并建立了一个平台来验证和可视化防火墙策略,以确保组织最重要的资产得到保护和合规。其NP-View平台最初由政府资助的研究团队开发,旨在帮助组织验证网络分段并识别网络漏洞。
资料来源:https://www.securityweek.com/ot-security-firm-network-perception-raises-13-million

5、OT远程访问公司Xona完成720万美元A轮融资
Xona支持专为运营技术(OT)和其他关键基础设施系统构建的无摩擦用户访问。Xona专有的协议隔离和零信任架构与技术无关并在几分钟内完成配置,可立即消除常见的攻击媒介,同时为授权用户提供从任何位置或设备对操作技术的无缝和安全控制。
资料来源:https://www.securityweek.com/ot-remote-access-firm-xona-raises-72-million-series-funding

6、Sabanci收购OT安全公司Radiflow
Radiflow为关键基础设施网络提供网络安全解决方案,包括风险管理、可见性和异常检测以及安全访问产品。此次收购为Radiflow提供了在OT安全市场上的独特地位。通过利用Sabanci集团广泛的工业足迹,Radiflow计划进一步优化其OT安全产品。
资料来源:https://industrialcyber.co/news/sabanci-group-to-acquire-radiflow-in-a-two-phase-process-focused-on-accelerating-growth/