安帝速递|【工业网络安全月报2022年-01月】
时间:2022-01-30 作者:安帝科技
一、政策扫描
国务院印发《“十四五”数字经济发展规划》,要求着力强化数字经济安全体系。网信办等十三部门修订发布《网络安全审查办法》,对保障国家网络安全和数据安全具有重要意义。工信部等九部门发布《关于推动平台经济规范健康持续发展的若干意见》。美国政府正式发布零信任战略,以支持国家的数字基础设施。美国总统拜登签署国家安全系统网络安全备忘录,旨在改善国家安全系统的网络安全。美国政府推出水部门行动计划以增强网络弹性。美国参议院通过《供应链安全培训法》。英国发布新网络安全战略,以加强英国的防御和弹性。
1、国务院印发《“十四五”数字经济发展规划》
1月12日,国务院印发《“十四五”数字经济发展规划》,这是我国数字经济领域的首部国家级专项规划。《规划》从8方面对“十四五”时期我国数字经济发展作出总体部署。一是优化升级数字基础设施。二是充分发挥数据要素作用。三是大力推进产业数字化转型。四是加快推动数字产业化。五是提升数字化公共服务水平。六是完善数字经济治理体系。七是强化数字经济安全体系。八是拓展数字经济国际合作。
资料来源:http://www.gov.cn/zhengce/content/2022-01/12/content_5667817.htm
2、网信办等十三部门修订发布《网络安全审查办法》
网信办等十三部门联合修订了《网络安全审查办法》,自2022年2月15日起施行。新《办法》将中国证券监督管理委员会纳入网络安全审查工作机制。《办法》将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查,并明确掌握超过100万用户个人信息的网络平台运营者赴国外上市必须向网络安全审查办公室申报网络安全审查。
资料来源:http://www.cac.gov.cn/2022-01/04/c_1642894602182845.htm
3、工信部等九部门发布《关于推动平台经济规范健康持续发展的若干意见》
国家发改委、网信办、工信部等九部门联合印发《关于推动平台经济规范健康持续发展的若干意见》,明确坚持发展和规范并重,促进平台经济规范健康持续发展。《意见》强调,健全完善规则制度。完善数据安全法、个人信息保护法配套规则,探索制定互联网信息服务算法安全制度,探索数据和算法安全监管。
资料来源:https://mp.weixin.qq.com/s/Va9655EPhPXK3ZhVzj4Wwg
4、美国政府正式发布零信任战略
美国白宫1月26日发布了联邦零信任战略。管理和预算办公室(OMB)的最新备忘录要求各机构在2024年底前实现某些目标。这些目标集中在身份、设备、网络、应用程序和工作负载以及数据–这些是美国国土安全部网络安全和基础设施安全局(CISA)的零信任模式所描述的五大支柱。
资料来源:https://www.securityweek.com/white-house-publishes-federal-zero-trust-strategy
5、美国总统拜登签署国家安全系统网络安全备忘录
美国总统拜登1月19日签署《关于改善国家安全、国防部和情报界系统网络安全的备忘录》,旨在改善国家安全系统的网络安全。新备忘录主要内容包括:确保国家安全系统获得民用网络同等安全保护;国家安全局获得制定具有约束力操作指令的授权;提高国家安全系统网络安全事件态势感知;要求制订云系统的网络安全和事件响应框架;明确新的网络安全政策和计划时间表。
资料来源:https://www.securityweek.com/nsa-authorized-issue-binding-operational-directives-boost-nss-cybersecurity
6、美国政府推出水部门行动计划以增强网络弹性
美国政府1月27日扩展了其工业控制系统(ICS)网络安全计划,制定了水部门行动计划,旨在保护国家的水资源免受网络安全攻击。水部门行动计划的重点是促进和支持水部门采用早期发现网络威胁的战略,并允许在政府之间快速共享网络威胁数据,以加快分析和行动。
资料来源:https://industrialcyber.co/threats-attacks/biden-administration-brings-out-water-sector-action-plan-to-bolster-cyber-resilience/
7、美国参议院通过《供应链安全培训法》
美国参议院1月12日通过了《供应链安全培训法》法案。《供应链安全培训法》将在总务管理局内为联邦采购雇员建立一个培训计划,“使这些人员准备好进行供应链风险管理活动,并识别和减轻在整个采购生命周期中出现的供应链安全风险,包括为采购信息和通信技术。”
资料来源:https://www.scmagazine.com/analysis/legislation/senate-passes-cyber-bills-to-address-supply-chain-security-aid-state-and-local-governments?&web_view=true/
8、英国发布新网络安全战略
英国政府1月25日宣布了其最新的“网络安全战略”。此举将有助于加强英国的公共服务,以进一步保护他们免受被敌对网络威胁关闭的风险。关注组织最重要的职能,包括关键的国家基础设施,将提供一种客观的方式来评估组织的网络安全评估和网络安全风险管理是否相称并在可接受的风险承受范围内。
资料来源:https://industrialcyber.co/regulation-standards-and-compliance/new-uk-cyber-security-strategy-focuses-on-building-a-cyber-resilient-public-sector/
二、安全事件
欧盟机构发布水安全计划,有助于识别安全漏洞并建立安全措施以检测供水系统的故意污染。北约机构发布关键能源基础设施中保护工业自动化和控制系统免遭网络事件影响的指南。欧盟计划建设安全DNS基础设施,并将向各欧盟机构及公众免费开放。美国洛杉矶港启动网络弹性中心,以保护其免受网络威胁。卡巴斯基检测到针对工业企业的异常间谍软件活动。霍尼韦尔为商业建筑推出新的OT网络安全解决方案。
1、欧盟机构发布水安全计划以应对供水系统的敌对行动
欧洲关键基础设施保护参考网络(ERNCIP)联合研究中心以手册的形式发布了其水安全计划,该计划涉及实施安全措施以应对针对供水物理和网络完整性的敌对行动系统。该手册为创建和实施饮用水系统的水安全计划提供了详细的基础,为水务公司运营商提供了制定供水系统安全计划所需的信息和工具。
资料来源:https://industrialcyber.co/news/eu-agency-releases-water-security-plan-to-counter-hostile-actions-on-water-supply-systems/
2、北约机构发布关键能源基础设施中保护工业自动化和控制系统免遭网络事件影响的指南
北约能源安全卓越中心1月11日发布了一份关键能源基础设施中保护工业自动化和控制系统免遭网络事件影响的指南,对关键能源基础设施的安全性、可靠性、弹性和性能的基于技术的威胁(包括有意和无意的)进行了分析。该指南中的建议适用于任何依赖工业自动化和控制系统(IACS)来控制和监控物理过程的资产所有者。
资料来源:https://industrialcyber.co/threats-attacks/nato-agency-offers-details-on-securing-industrial-automation-and-control-systems-in-critical-energy-infrastructure/
3、欧盟计划建设安全DNS基础设施
欧盟计划建设自己的安全DNS基础设施,并将向各欧盟机构及公众免费开放。该项目内置多项安全能力,可以保障网络安全和数据隐私。DNS4EU将配备内置过滤功能,可以阻止对恶意域名的DNS名称解析,例如托管有恶意软件、网络钓鱼站点或其他涉及网络安全威胁的域名。
资料来源:https://therecord.media/eu-wants-to-build-its-own-dns-infrastructure-with-built-in-filtering-capabilities/
4、美国洛杉矶港启动网络弹性中心
美国洛杉矶港正式开设了新的网络弹性中心(CRC),这是一个社区网络防御解决方案,旨在提高港口的网络安全准备情况,并增强其在供应链利益相关者之间的威胁共享和恢复能力。CRC被设想为“系统的系统”,使参与的利益相关者能够自动共享网络威胁指标和潜在的防御措施。
资料来源:https://www.securityweek.com/port-los-angeles-launches-cyber-resilience-center
5、卡巴斯基检测到针对工业企业的异常间谍软件活动
卡巴斯基ICS CERT部门的研究人员发现了一些针对工业企业的异常间谍软件活动,此类活动的运营商寻找企业凭证,旨在实施金融欺诈或将其出售给其他黑客。多达45%的受攻击计算机似乎与ICS相关(并且可以访问公司电子邮件服务)。卡巴斯基已经确定了超过2,000个属于工业公司的企业电子邮件账户被盗和滥用为下一次攻击C2。
资料来源:https://industrialcyber.co/news/kaspersky-detects-anomalous-spyware-campaigns-targeting-industrial-enterprises/
6、霍尼韦尔为商业建筑推出新的OT网络安全解决方案
霍尼韦尔和Acalvio Technologies于1月11日推出了一种集成解决方案,旨在检测商业建筑中运营技术(OT)环境中已知和未知的零日攻击。新产品使用Acalvio欺骗技术,可以部署一种主要有效、易于使用和企业规模的主动防御方法。
资料来源:https://industrialcyber.co/news/honeywell-releases-ot-cybersecurity-offering-for-commercial-buildings-using-acalvio-deception-technology/
三、漏洞态势
西门子和施耐德电气均发布了今年第一轮安全公告,针对自家产品中的漏洞进行了修复,漏洞数量分别为14个、26个。卡巴斯基发现全球至少有十分之一的工业控制系统(ICS)可能已经受到Log4Shell漏洞的影响。瑞士铁路系统被曝存在漏洞,大约500,000名乘客的个人数据遭到泄露。H2数据库控制台存在类似log4shell的JNDI漏洞,多个物联网平台收到影响。Qualys研究人员披露了一个主流Linux版本均存在的权限提升漏洞,可利用此漏洞获得root权限。SolarWinds修复用于传播Log4j攻击的Serv-U漏洞。
1、西门子修复其产品中的14个漏洞
西门子1月11日发布了五份公告,修复了14个漏洞。根据CVSS评分,最重要的公告描述了影响SICAMA 8000设备的两个漏洞。其中一个漏洞评分高达9.9,与未记录的调试端口有关,该端口使用硬编码的默认凭据,使攻击者能够访问设备上的管理调试shell。第二个为中危漏洞,它允许未经身份验证的攻击者访问日志文件和诊断数据。其他报告中的高危漏洞可被用来执行任意代码。
资料来源:https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-electric-address-40-vulnerabilities
2、施耐德电气修复其产品中的26个漏洞
施耐德电气1月11日发布了七项针对26个漏洞的公告。一份公告描述了Easergy P5中压保护继电器中的两个严重漏洞。施耐德警告说,这些漏洞可能允许攻击者破坏或完全控制设备,这可能“导致您的电网失去保护”。
资料来源:https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-electric-address-40-vulnerabilities
3、全球近10%的ICS系统可能受Log4Shell漏洞影响
卡巴斯基发现全球至少有十分之一的工业控制系统(ICS)可能已经受到Log4Shell漏洞的影响。卡巴斯基表示,Log4Shell漏洞的首要问题在于其影响的规模之大。该公司还指出,目前难以评估的OT系统的其他风险领域与使用脆弱的软件有关,对工业物联网(IIoT)和智能能源应用提出了警告。
资料来源:https://industrialcyber.co/threats-attacks/log4shell-vulnerability-may-have-affected-close-to-10-percent-of-ics-systems-globally/
4、瑞士铁路系统存在漏洞
一名匿名黑客在发现影响瑞士国家铁路系统的漏洞后发出警报。该漏洞使黑客能够访问大约500,000名购买了瑞士联邦铁路(SFR)车票的乘客的个人数据。包括乘客的姓名、出生日期、他们购买的头等舱和二等舱机票的数量、出发地和最终目的地。
资料来源:https://www.infosecurity-magazine.com/news/hacker-flags-flaw-in-swiss-railway/?&web_view=true
5、H2数据库控制台存在类似log4shell的JNDI漏洞
JFrog研究人员在H2数据库控制台中发现了一个基于JNDI的严重漏洞,该漏洞类似于Log4Shell。H2数据库框架中的几个代码路径在攻击者控制的URL中未经过滤地传递给javax.naming.Context.lookup函数,该函数允许远程代码库加载。在该问题的所有攻击媒介中,最严重的是通过H2控制台。
资料来源:https://www.zdnet.com/article/jfrog-researchers-find-jndi-vulnerability-in-h2-database-consoles-similar-to-log4shell/
6、PwnKit:主流Linux版本均存在的权限提升漏洞
Qualys研究人员披露了Polkit系统实用程序中一个存在12年之久的漏洞,具有任意用户权限的攻击者可利用此漏洞获得root权限。该漏洞被“PwnKit”,它影响了polkit中一个名为pkexec的组件,该程序默认安装在每个主要的Linux发行版上,并影响pkexec的所有版本。
资料来源:https://thehackernews.com/2022/01/12-year-old-polkit-flaw-lets.html
7、SolarWinds修复用于传播Log4j攻击的Serv-U漏洞
SolarWinds发布了针对Serv-U漏洞的补丁,微软称该漏洞已被用于传播Log4j攻击。SolarWinds指出,其LDAP身份验证的Serv-U Web登录界面允许使用未充分净化的字符。SolarWinds通过更新输入机制解决了安全错误,以便执行额外的验证和清理。
资料来源:https://www.securityweek.com/solarwinds-patches-serv-u-vulnerability-propagating-log4j-attack
四、技术动向
TXOneNetworks发布了Portable Security 3 Pro,旨在扫描和收集独立计算机以及气隙系统上的资产信息,以降低内部风险。Claroty推出EtherNet/IP堆栈检测工具,可以识别连接的工业设备以及在这些设备上实现的ENIP堆栈。
1、TXOne的Portable Security Pro致力于提高ICS环境中的安全性
ICS和工业物联网(IIoT)安全供应商TXOne Networks发布了便携式安全3专业版(Portable Security 3 Pro)。Portable Security无需安装扫描软件即可扫描和清理恶意软件。TXOne表示,借助Portable Security 3 Pro,ICS所有者和运营商可以在传输文件并为独立计算机和气隙系统采用恶意软件扫描和资产信息收集的同时降低内部威胁的风险。
资料来源:https://industrialcyber.co/threats-attacks/txones-portable-security-pro-works-towards-improving-security-in-ics-environments/
2、Claroty推出EtherNet/IP堆栈检测工具以简化协议识别
Claroty的Team82部门推出了其定制的通用EtherNet/IP堆栈检测工具,可供网络安全研究人员、OT工程师和资产所有者使用。该工具通过将EtherNet/IP和CIP协议分解为特定属性和属性来执行行为分析,然后根据所有收集的参数为使用中的ENIP堆栈创建唯一签名。EtherNet/IP工具还可以显著帮助ICS蜜罐创建者提高其工作的隐蔽性,以防止攻击者轻易识别蜜罐。
资料来源:https://industrialcyber.co/vendor/claroty-unveils-ethernet-ip-stack-detection-tool-to-simplify-protocol-identification/
五、融资并购
工业控制系统全生命周期解决方案提供商,融安网络完成亿级C轮融资。工业大数据创新企业志翔科技完成数亿元人民币C轮融资。EDA智能工业软件级系统研发商获得数亿元Pre-B+轮融资。化学工业智能制造赋能企业清云智通完成A轮融资。光子瑞利完成千万元级A轮融资。网络安全公司Portnox融资2200万美元。
1、融安网络完成亿级C轮融资
深圳融安网络科技有限公司宣布完成亿级 C轮融资,融资资金将主要用于产品研发、市场拓展以及团队建设等方面。融安网络作为专注于工业控制系统全生命周期解决方案提供商,在市场策略上针对国家电网、南方电网等行业标杆客户采取直接深度服务模式,目前已率先在核电电力、石油化工、轨道交通、冶金烟草、智能制造等行业规模化商业应用。
资料来源:https://mp.weixin.qq.com/s/SAkjlZl5fDO_lIT7NtvmTw/
2、志翔科技完成亿级C轮融资
中国工业大数据创新企业志翔科技宣布已完成数亿元人民币C轮融资。融资资金将聚焦投入公司大数据技术底层平台建设,并在工业大数据平台、服务、终端和数据安全四个方向上继续加强研发、产品和服务的创新与市场拓展,从而更好地服务于能源电力等国家重要工业领域,助力产业数智化转型发展与国家“双碳”战略布局实施。
资料来源:http://stock.10jqka.com.cn/usstock/20220105/c635689070.shtml
3、芯华章宣布获得数亿元Pre-B+轮融资
芯华章是一家EDA智能工业软件级系统研发商,致力于集成电路电子自动化领域,可为半导体行业用户提供芯片设计、EDA智能软件和系统等产品。1月6日宣布完成数亿元Pre-B+轮融资。本轮融资将加大产品研发投入,进一步夯实芯华章在国产验证EDA领域的领军地位,并加快新一代EDA的下一阶段研究及技术创新。
资料来源:https://www.chinaventure.com.cn/news/80-20220106-366572.html
4、清云智通完成A轮融资
1月10日,清云智通完成A轮融资。清云智通是一家化学工业智能制造赋能企业,是清华大学化学工程系、自动化系科技成果的持续转化平台,公司致力于以工业大数据技术、工业智能控制技术、5G 技术、AI 技术等赋能化工园区及化工企业,助力化工产业新基建和工业互联网建设,推动化工企业智能化改造升级及智能工厂建设。
资料来源:https://www.ebrun.com/20220110/469873.shtml
5、光子瑞利完成千万元级A轮融资
光子瑞利是一家AI光纤传感侦听技术服务商,致力于光纤传感声音智能分析,提供智能安全监测预警解决方案,光子瑞利率先突破了光纤声音还原识别技术,在光纤传感领域具有里程碑的意义,可广泛应用于石油、铁路、通信等多个领域,是物联网、智能制造的基础核心技术。近日完成千万级A轮融资。
资料来源:https://www.eet-china.com/mp/a105525.html
6、网络安全公司Portnox融资2200万美元
云原生网络和端点安全解决方案提供商Portnox宣布在A轮融资中筹集2200万美元。这项投资将帮助公司扩大规模。Portnox提供了一个网络访问控制(NAC)平台,该平台提供身份验证、风险缓解和合规执行功能。该公司表示,其产品已被数百家公司使用。
资料来源:https://www.securityweek.com/network-security-firm-portnox-raises-22-million-series-funding