安帝速递|【工业网络安全月报2022年-12月】

安帝速递|【工业网络安全月报2022年-12月】

时间:2022-12-31 作者:安帝科技

一、政策扫描

国内通过征求国家标准和印发管理办法,加强了工业领域数据安全管理以及电力行业网络安全监督管理。美国发布技术规则和寻求网络安全意见,以加强和改进对关键基础设施的保护。
欧盟通过立法加强对关键基础设施的保护。瑞士政府要求修改法律,强制关键基础设施提供商报告网络攻击,以掌握全国网络威胁情况。
1、国家标准《工业互联网企业网络安全 第4部分:数据防护要求》公开征求意见
12月1日,全国信息安全标准化技术委员会发布关于征求国家标准《工业互联网企业网络安全 第4部分:数据防护要求》(征求意见稿)意见的通知,标准规定了不同级别工业互联网数据的安全防护流程、防护要求和安全管理要求。标准适用于应用工业互联网的工业企业、工业互联网平台企业、工业互联网标识解析企业开展数据防护。
资料来源:https://www.tc260.org.cn/front/postDetail.html?id=20221201145510

2、国家能源局印发《电力行业网络安全管理办法》
12月12日,国家能源局印发《电力行业网络安全管理办法》,为加强电力行业网络安全监督管理。办法明确,电力企业是本单位网络安全的责任主体,负责本单位的网络安全工作。电力企业应当建立健全网络安全管理、评价考核制度体系,成立工作领导机构,明确责任部门,设立专职岗位,定义岗位职责,明确人员分工和技能要求,建立健全网络安全责任制。
资料来源:http://zfxxgk.nea.gov.cn/2022-11/16/c_1310683235.htm

3、工信部印发《工业和信息化领域数据安全管理办法(试行)》
12月13日,工信部印发《工业和信息化领域数据安全管理办法(试行)》,为规范工业和信息化领域数据处理活动,加强数据安全管理和保障数据安全。办法明确,工业和信息化领域数据包括工业数据、电信数据和无线电数据等。
资料来源:https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2022/art_e0f06662e37140808d43d7735e9d9fd3.html

4、TSA寻求关于改进运输系统地面网络风险管理的反馈
TSA寻求关于改进运输系统地面网络风险管理的反馈
资料来源:https://www.federalregister.gov/documents/2022/11/30/2022-25941/enhancing-surface-cyber-risk-management

5、NERC发布安全集成战略
12月13日,北美电力可靠性公司(NERC)发布了安全集成战略,旨在将网络和物理安全集成到电网规划、设计和运营中。该战略侧重于风险识别和验证、确定优先级以及开发可能的缓解措施,进一步概述了电力可靠性组织(ERO)的优先事项,以通过与电力部门利益相关者的合作来加强安全集成。
资料来源:https://g.yam.com/VTdvt

6、DHS、CISA发布更新受保护的关键基础设施信息计划的技术规则
12月21日,美国国土安全部(DHS)和网络安全和基础设施安全局(CISA)发布了一项技术规则,以改进和现代化受保护的关键基础设施信息(PCII)计划的各个方面,该项目为提交给国土安全部的网络和物理基础设施信息提供法律保护。
资料来源:https://g.yam.com/ke8VU

7、欧盟议会批准保护基本基础设施的新法规
欧盟议会批准了关于加强欧盟基本基础设施保护的规定,以统一关键基础设施的定义,实现成员国之间的一致性。该规则涉及能源、运输、银行、金融市场基础设施、数字基础设施、饮水和废水、食品(包括生产、加工和运送)、卫生、公共行政和空间等部门。
资料来源:https://g.yam.com/b8alG

8、瑞士政府希望实施报告网络攻击的强制性义务
瑞士政府要求议会修改《信息安全法》,强制关键基础设施提供商向国家网络安全中心(NCSC)报告网络攻击,此举旨在揭露黑客并更广泛地对该国的网络威胁发出警报。瑞士政府表示,公众、当局和公司每天都面临着网络攻击的风险,由于向NCSC报告是自愿的,因此目前没有关于网络攻击的总体情况。
资料来源:https://www.infosecurity-magazine.com/news/swiss-government-wants-to/

二、安全事件

本月监测到勒索事件13起、APT攻击12起、数据泄露事件32起。其中典型的事件有哥伦比亚能源供应商EPM遭受勒索攻击、俄罗斯第二大银行VTB遭到大规模DDoS攻击、Royal勒索组织攻击了Intrado等。
1、哥伦比亚能源供应商EPM遭到BlackCat团伙的勒索攻击
哥伦比亚能源公司Empresas Públicas de Medellín(EPM)遭到了BlackCat/ALPHV的勒索攻击,公司运营和在线服务暂时中断。12月13日,该公司要求约4000名员工居家工作,且IT基础设施瘫痪,公司的网站也不再可用。进一步的调查表明,黑客可能在攻击期间窃取了EPM的大量数据。
资料来源:https://g.yam.com/MisWm

2、俄罗斯第二大银行VTB遭到大规模DDoS攻击
俄罗斯第二大金融机构VTB银行表示,由于持续的DDoS(分布式拒绝服务)攻击,其网站和移动应用程序暂时关闭。VTB表示,DDoS攻击是有计划和精心策划的,其特定目的是通过中断银行服务给客户带来不便。
资料来源:https://g.yam.com/gKAUo

3、https://g.yam.com/gKAUo

12月27日,Royal勒索组织声称对针对电信公司Intrado的网络攻击负责。据相关人士透露,攻击于12月1日开始,最初的赎金为6000万美元。Royal声称已从受感染的Intrado设备中获取内部文件、护照和员工驾照,并共享了一个52.8 MB的文件作为泄露的证据。目前Intrado未就此次网络攻击发表公开声明。
资料来源:https://g.yam.com/RwX1M

4、4亿Twitter用户数据在暗网上出售
名为“Ryushi”的攻击者声称获得了4亿名Twitter用户的数据并将试图其出售。攻击者表示数据是通过漏洞抓取的,其中包括名人、政客、公司、普通用户的电子邮件和电话号码,以及大量OG和特殊用户名。
资料来源:https://securityaffairs.co/wordpress/139993/data-breach/twitter-400-million-users-leak.html

5、Sargent -Lundy遭受勒索攻击
美国有线电视新闻网透露,黑客对位于芝加哥的Sargent & Lundy工程公司发起了勒索攻击袭击。该公司设计了900多个发电站和数千英里的电力系统,并持有这些项目的敏感数据。调查人员称,该事件已得到控制和补救,似乎并未对其它电力行业的公司造成影响。
资料来源:https://g.yam.com/tLlqH

6、InfraGard的用户信息数据库在暗网上出售
12月10日, InfraGard的80000多名成员的联系信息数据库在Breached论坛上被公开出售。
InfraGard是美国联邦调查局(FBI)运行的一个项目,旨在与私营部门建立网络和物理威胁信息共享合作关系。FBI表示正在积极调查此事,目前无法提供任何额外信息。
资料来源:https://krebsonsecurity.com/2022/12/fbis-vetted-info-sharing-network-infragard-hacked/

7、德国跨国工业公司ThyssenKrupp遭到网络攻击
德国跨国工业工程和钢铁生产公司ThyssenKrupp声称其材料服务部和公司总部遭到网络攻击。目前,该公司尚未披露此次攻击的类型,也没有黑客团伙声称对此次事负责。该公司发言人表示此次攻击没有造成任何损害,也没有任何迹象表明数据已被盗或修改。
资料来源:https://securityaffairs.co/wordpress/139870/hacking/thyssenkrupp-targeted-cyberattack.html

8、Raspberry Robin恶意软件以电信和政府为目标
12月20日,TrendMicro发布Raspberry Robin恶意软件分析报告,并表示大多数受害者为政府机构或电信组织。恶意软件包含真实和虚假的有效载荷,当检测到沙盒工具时则加载虚假的有效载荷以逃避安全分析工具的检测和研究。
资料来源:https://www.trendmicro.com/en_us/research/22/l/raspberry-robin-malware-targets-telecom-governments.html

三、漏洞态势

台达电子、三菱电机和罗克韦尔的工业产品存在安全漏洞。Fortinet修复了FortiOS SSL-VPN缓冲区溢出漏洞。Internet Explorer零日漏洞和MacOS安全机制绕过漏洞被披露。
1、Delta Electronics修补工业网络设备中的安全漏洞
研究人员发现Delta Electronics的DVW-W02W2-E2和DX-2100-L1-CN设备存在安全漏洞。DVW-W02W2-E2存在经过身份验证的命令注入漏洞,允许攻击者获得对设备底层操作系统的完全访问权限。DX-2100-L1-CN存在经过身份验证的命令注入漏洞和存储跨站点脚本(XSS)漏洞,XSS漏洞可用于在用户浏览器的上下文中执行任意命令,命令注入漏洞允许攻击者在设备上执行系统命令。
资料来源:https://www.securityweek.com/delta-electronics-patches-serious-flaws-industrial-networking-devices

2、三菱电机工业控制器软件中存在多个漏洞
研究人员在三菱电机的工业控制器软件中发现了七个漏洞,利用这些漏洞允许未经授权的用户访问MELSEC iQ-R/F/L 系列CPU模块和MELSEC iQ-R系列OPC UA服务器模块。最严重的漏洞跟踪为CVE-2022-29830,CVSS评分9.1 ,成功利用该漏洞可导致所有项目信息的泄露。
资料来源:https://g.yam.com/oGOUg

3、罗克韦尔产品中存在多个漏洞
美国网络安全和基础设施安全局(CISA)发布了三个公告,描述了总共四个罗克韦尔产品的高危漏洞。其中一个漏洞跟踪为CVE-2022-3157,CVSS评分8.6,不正确的输入验证漏洞,该漏洞可能允许格式错误的CIP请求导致拒绝服务。
资料来源:https://g.yam.com/Eb8mc

4、研究人员披露了三个影响OT产品的漏洞
研究人员披露了CODESYS和Festo自动化控制器中的三个安全漏洞,这些漏洞可能导致源代码篡改和拒绝服务(DoS)。最严重的漏洞是CVE-2022-3270,CVSS评分9.8,使用Festo Generic Multicast(FGMC)协议的Festo自动化控制器允许在未经身份验证的情况下重新启动。
资料来源:https://g.yam.com/3cvHl

5、FortiOS SSL-VPN存在缓冲区溢出漏洞
12月12日,Fortinet发布安全公告称,FortiOS SSL-VPN中存在基于堆的缓冲区溢出漏洞。该漏洞跟踪为CVE-2022-42475,CVSS评分9.3,可能允许未经身份验证的远程攻击者通过特制请求执行任意代码或命令。Fortinet警告该漏洞已被积极利用进行攻击,建议所有用户更新FortiOS至最新版本以修复漏洞。
资料来源:https://www.fortiguard.com/psirt/FG-IR-22-398

6、微软披露Gatekeeper绕过漏洞
12月19日,微软披露了MacOS中的安全机制绕过漏洞,该漏洞允许绕过Gatekeeper安全机制执行恶意软件。微软将该漏洞称之为“Achilles”,跟踪为CVE-2022-42821,CVSS评分5.3。Apple已于12月13日发布的更新中修复了该漏洞。
资料来源:https://g.yam.com/QwDx1

7、谷歌警告黑客利用IE浏览器零日漏洞
12月7日,谷歌发布安全公告,披露了黑客组织APT37在攻击中利用的Internet Explorer零日漏洞的技术细节。漏洞被跟踪为CVE-2022-41128,CVSS评分8.8,可被利用在浏览攻击者控制的网站时执行任意代码。谷歌于10月31日向微软报告了该漏洞,目前该漏洞已被修补。
资料来源:https://blog.google/threat-analysis-group/internet-explorer-0-day-exploited-by-north-korean-actor-apt37/

四、产品方案

Xage推出Zero Trust Session Collaboration,以帮助工业组织实现更快、更安全的协作。Stellar Cyber和Deep Instinct集成,以帮助企业识别威胁。Palo Alto Networks推出Medical IoT Security,以保护医疗设备免受网络威胁。Simeio宣布与SailPoint建立合作伙伴关系,旨在通过企业身份治理控制来增强公司的身份安全能力和保护措施。
1、Xage推出Zero Trust Session Collaboration
零信任安全供应商Xage推出了Zero Trust Session Collaboration,旨在为关键基础设施和工业组织实现更快、更安全的协作。Zero Trust Session Collaboration为管理员提供了完整的可见性和命令,管理员可以断开与参与者的连接、接管控制、完全终止会话以及查看对所有参与者采取的所有操作的完整审计。
资料来源:https://g.yam.com/ZV8O9

2、Stellar Cyber和Deep Instinct集成,帮助企业识别威胁
Stellar Cyber和Deep Instinct集成使企业和MSSP客户可以轻松地使用Stellar Cyber Open XDR平台在整个攻击面提供Deep Instinct的防御功能。Deep Instinct利用深度学习的方法能够持续分析端点、服务器和其他网络资产,以检测和预防超过99%的潜在攻击。
资料来源:https://www.helpnetsecurity.com/2022/12/15/stellar-cyber-deep-instinct/

3、Palo Alto Networks推出Medical IoT Security
Palo Alto Networks推出Medical IoT Security,以保护医疗设备免受网络威胁。Medical IoT Security具备自动设备发现、上下文分割、最小特权策略建议和一键式策略执行功能,同时基于机器学习使医疗组织能够创建具有自动安全响应的设备规则、了解设备漏洞和风险态势、提高合规性和验证网络分段。
资料来源:https://www.helpnetsecurity.com/2022/12/07/palo-alto-networks-medical-iot-security/

4、Simeio与SailPoint合作以解决安全、风险和合规需求
12月21日,Simeio宣布与SailPoint建立合作伙伴关系,旨在通过企业身份治理控制来增强公司的身份安全能力和保护措施。Simeio的端到端身份安全服务将为企业提供持续的威胁保护、监控、补救和成熟的身份流程。
资料来源:https://au.finance.yahoo.com/news/simeio-announces-partnership-sailpoint-deliver-140000199.html

五、融资并购

CyberCube完成5000万美元融资,以推动CyberCube产品和解决方案的商业开发。Veracode收购Crashtest Security,以提高Web应用程序安全性。Balance Theory完成300万美元种子轮融资,以改善组织之间的协作。Interpres Security完成850万美元融资,以帮助公司优化安全性能。
1、CyberCube完成5000万美元融资
CyberCube完成5000万美元融资,新资金将推动CyberCube产品和解决方案的商业开发,以量化网络风险,同时加速全球保险、再保险和经纪行业的上市扩张。CyberCube对网络风险进行建模,让保险公司和经纪人了解他们的投资组合面临网络威胁的风险,同时让他们的客户能够更好地保护自己。
资料来源:https://www.thesaasnews.com/news/cybercube-raises-50-million-in-funding

2、Veracode收购Crashtest Security
Veracode收购Crashtest Security,以提高Web应用程序安全性。Crashtest安全动态分析可用于分析基于JavaScript的应用程序、REST(表述性状态传输)API和传统Web应用程序,并通过集成到软件开发管道中来自动执行安全测试。
资料来源:https://sdc-channel.news/news/64741/veracode-acquires-crashtest-security

3、Balance Theory完成300万美元种子轮融资
Balance Theory完成300万美元种子轮融资,以改善组织之间的协作。Balance Theory平台为网络安全协作提供了一个安全的工作环境,通过与现有网络安全技术的集成,网络从业者可以自动更新知识资产,而无需在多个系统中完成相同的工作。
资料来源:https://siliconangle.com/2022/12/05/balance-theory-raises-3m-cybersecurity-collaboration-platform/

4、Interpres Security完成850万美元融资
Interpres Security完成850万美元融资,以帮助公司优化安全性能。Interpres Security平台对组织的检测和响应能力提供定制的、持续的和基于威胁的分析,并根据此评估提供自动化的安全工程指令,最终以最有效的方式实现强化的安全态势。
资料来源:https://g.yam.com/QTmLX