工业网络安全“情报解码”-2022年第9期

工业网络安全“情报解码”-2022年第9期

时间:2022-03-05作者:安帝科技

本期摘要

政策法规方面,美国参议院通过《加强美国网络安全法》,旨在加强美国关键基础设施网络安全。美国NSA发布网络设计配置最佳实践指南,用于指导网络架构师和管理员建立网络的最佳实践。随着网络威胁加剧,新加坡将设立数字情报部门,预计将于年底投入使用。

漏洞态势方面,claroty报发布第四份ICS风险和漏洞报告,报告显示2021下半年共发布了797个ICS漏洞,影响82家ICS供应商。研究人员在施耐德Easergy中压保护继电器中发现了三个高危漏洞,施耐德警告称成功利用可能“导致您的电网失去保护”。GE SCADA 产品存在高危漏洞,给OT环境带来了巨大的破坏性影响。思科修复Expressway、TelePresence VCS产品中的严重漏洞,攻击者可利用其提权并执行任意代码。Palo Alto Networks对200,000 多个联网输液泵的数据进行了分析,发现超100,000个医用输液泵存在严重漏洞。

安全事件方面, 26号,乌克兰招募IT军队入侵俄罗斯实体,列出31个目标,包括政府机构和关键基础设施。Check Point发布了俄乌战争中的网络攻击数据,在战争的前三天,针对乌克兰政府和军事部门的网络攻击激增196%。因供应商遭受网络攻击,丰田被迫暂停运营,尚不清楚是否与俄乌战争有关。

融资并购方面,信息安全创新解决方案提供商中电慧安完成数千万元人民币融资,面向公共安全领域提供端到端整体解决方案。网络安全态势管理公司Balbix融资7000万美元,提供了实时的安全态势可见性。应用安全平台NeuraLegion融资2000万美元,帮助组织确保安全工具能够跟上越来越多的部署到生产环境中的应用程序。欺诈预防初创公司nSure.ai筹集了1800万美元,将帮助其扩展其反欺诈、无退款保证。

1、美国参议院通过《加强美国网络安全法》
在俄乌冲突升级背景下,3月1日,美国参议院选择一致通过《加强美国网络安全法》,意图加强美国关键基础设施所有者的网络安全。该法案由《网络事件报告法案》《2021年联邦信息安全现代化法案》和《联邦安全云改进和就业法案》三项网络安全法案措施组成。《网络事件报告法案》作为“最重要的”措施。具体包括:要求关键基础设施的运营商在攻击发生后七十二小时内通知国土安全部;在勒索软件支付后二十四小时内通知国土安全部。
资料来源:https://industrialcyber.co/threats-attacks/us-senate-passes-legislative-package-that-steps-up-cybersecurity-at-critical-infrastructure-entities-federal-networks/

2.美国NSA发布网络设计配置最佳实践指南
为了促进美国国家安全局(NSA)面向公众的新安全态势,NSA 3月2日发布了一篇报告,用于指导网络架构师和管理员建立网络的最佳实践。该报告指出,遵循该指南将帮助网络防御者实施最佳网络安全实践,降低入侵风险并确保网络更安全。NSA的指导意见分为九大类:网络架构和设计;安全维护;认证、授权和会计;本地管理员账户和密码;远程记录和监控;远程管理和网络服务;路由;接口端口,以及;通知和同意标语。
资料来源:https://www.fedscoop.com/nsa-publishes-guidance-for-best-practices-in-network-design-configuration/

3.新加坡将设立数字情报部门
新加坡正在其武装部队中建立一个新的数字情报部门,旨在加强该国对网络威胁的防御。新的数字和情报服务(DIS)单位将驻扎在新加坡武装部队(SAF)下,负责打击在线攻击。新加坡国防部长Ng Eng Hen表示,DIS将于2022年底投入使用,它将使新加坡武装部队能够应对当今已知的网络威胁以及未来的攻击。他指出,数字领域的威胁已经蔓延到现实空间,并预计此类风险将会升级。
资料来源:https://www.zdnet.com/article/singapore-to-set-up-digital-intelligence-unit-as-cyber-threats-intensify/

4.claroty报告显示:2021下半年发布797个ICS漏洞
工业网络安全公司Claroty透露,2021年下半年发布了797个工业控制系统(ICS)漏洞,影响了82家ICS供应商。ICS漏洞披露记录比2021年上半年发现的637个漏洞增加了25%。在披露的漏洞中,34%的漏洞影响物联网、医疗物联网(IoMT)和IT资产,这表明组织将在融合安全管理下合并运营技术(OT)、IT和物联网。报告指出,资产所有者和运营商必须全面了解其环境,以管理漏洞并减少风险。
资料来源:https://industrialcyber.co/threats-attacks/claroty-reports-close-to-800-ics-vulnerabilities-with-34-percent-targeting-iot-iomt-it-assets/

5.施耐德继电器漏洞可能允许黑客禁用电网保护
研究人员在施耐德Easergy继电器中发现了三个高危漏洞。Easergy P3继电器受到缓冲区溢出漏洞(CVE-2022-22725)的影响,如果将特制数据包发送到网络上的目标设备。攻击者可以利用安全漏洞导致中继重新启动,或者完全控制设备。Easergy P5继电器受到缓冲区溢出漏洞(CVE-2022-22723)的影响,这可能允许攻击者导致程序崩溃并使用通过网络发送的特制数据包实现代码执行。这些设备还存在可能带来安全风险的硬编码凭据漏洞(CVE-2022-22722)。
资料来源:https://www.securityweek.com/schneider-relay-flaws-can-allow-hackers-disable-electrical-network-protections

6.GE SCADA 产品存在高危漏洞
GE Digital 已针对影响其 Proficy CIMPLICITY HMI/SCADA 软件的两个高危漏洞发布了补丁和缓解措施,该软件被世界各地的工厂用于监控和控制操作。第一个漏洞被跟踪为CVE-2022-23921,可能允许对 CIMPLICITY 服务器具有有限访问权限的攻击者通过在 CIMPLICITY 运行时项目中删除恶意文件来提升权限。第二个漏洞,标识为CVE-2022-21798,与以明文形式传输凭据有关。GE 表示,攻击者在某些情况下也能利用其修改系统数据。
资料来源:https://www.securityweek.com/ge-scada-product-vulnerabilities-show-importance-secure-configurations

7.思科修复Expressway、TelePresence VCS产品中的严重漏洞
思科修复了其 Expressway 系列和TelePresence Video Communication Server (VCS)统一通信产品中的2个严重漏洞,被跟踪为 CVE-2022-20754 和 CVE-2022-20755,CVSS 评分均为 9.0,远程、经过身份验证的攻击者可以利用这两个漏洞在具有 root 权限的底层操作系统上写入文件或执行代码。尽管它们不相互依赖,但这两个漏洞都要求攻击者对易受攻击的应用程序具有读/写权限。
资料来源:https://thehackernews.com/2022/03/critical-patches-issued-for-cisco.html

8. 超100,000个医用输液泵存在严重漏洞
Palo Alto Networks 的威胁情报团队对来自医院和医疗机构使用的 200,000 多个联网输液泵的众包数据进行了分析,其报告显示,这些医疗设备中有 75% 存在安全漏洞,可能使它们面临潜在的利用风险。其中最普遍的严重漏洞是CVE-2019-12255,这是用于嵌入式设备(包括输液泵系统)的 VxWorks 实时操作系统 (RTOS) 中的内存损坏漏洞,CVSS评分9.8。该漏洞存在于52%的输液泵中,相当于超过 104,000 台设备。
资料来源:https://www.bleepingcomputer.com/news/security/over-100-000-medical-infusion-pumps-vulnerable-to-years-old-critical-bug/

9.乌克兰招募IT军队入侵俄罗斯实体,列出31个目标
26日下午,乌克兰数字化转型部长Mykhaylo Fedorov宣布,乌克兰正在招募一支由安全研究人员和黑客组成的志愿“IT 军队”,在网络前线对俄罗斯执行作战任务,并发布了一份目标清单。这份名单包括 31 个目标,包括俄罗斯政府机构、政府IP地址、政府存储设备和邮件服务器、三家银行、支持关键基础设施的大公司,甚至是流行的俄罗斯搜索引擎和电子邮件门户网站Yandex。
资料来源:https://www.bleepingcomputer.com/news/security/ukraine-recruits-it-army-to-hack-russian-entities-lists-31-targets/

10. Check Point发布俄乌战争中的网络攻击数据
Check Point Research (CPR) 发布了围绕当前俄罗斯/乌克兰冲突观察到的网络攻击数据。在战争的前三天,针对乌克兰政府和军事部门的网络攻击激增了惊人的 196%。针对俄罗斯组织的网络攻击增加了4%。东斯拉夫语(包括俄语和乌克兰语)的网络钓鱼电子邮件增加了 7 倍,其中三分之一的恶意网络钓鱼电子邮件是针对从乌克兰电子邮件地址发送的俄罗斯收件人。CPR 还警告说,欺诈性电子邮件被发送给试图从国外向乌克兰捐款的人。
资料来源:https://blog.checkpoint.com/2022/02/27/196-increase-in-cyber-attacks-on-ukraines-government-and-military-sector/

11.因供应商遭受网络攻击,丰田被迫暂停运营
丰田汽车2月28日宣布,自3月1日起将停止其在日本的所有工厂的运营,因为一家主要供应商受到了疑似网络攻击的打击。没有关于攻击的性质和程度的直接细节,也没有丰田为应对网络威胁情况而采取的措施。在供应商受到攻击之后,决定暂停14家工厂的28条生产线,导致零部件供应管理系统陷入停顿。丰田同时表示将于 3 月 2 日开始恢复所有运营。
资料来源:https://industrialcyber.co/threats-attacks/toyota-to-resume-plant-operations-from-wednesday-following-system-failure-at-a-domestic-supplier/

12.信息安全创新解决方案提供商中电慧安完成数千万元人民币融资
近日,信息安全创新解决方案领航者中电慧安已完成数千万元人民币A轮融资。中电慧安以核心技术作为长期发展的驱动力,致力于将大数据、人工智能、无线通信技术相结合,面向公共安全领域提供端到端整体解决方案。中电慧安独家研发的图码联侦解决方案采用大数据和人工智能技术,将隶属于不同系统的数据进行融合,构建实时、动态人员全息档案,弥补了传统单一手段的缺陷。
资料来源:https://news.pedaily.cn/202203/487500.shtml

13.网络安全态势管理公司Balbix融资7000万美元
网络安全态势管理公司Balbix宣布在C轮融资中筹集7000万美元。Balbix开发了一个网络安全态势自动化平台,使安全团队能够清点他们的云和本地资产,进行漏洞管理,并以货币形式量化他们的网络风险。Balbix将网络风险整合到一个可报告的模型中。这项技术使安全人员能够对其风险进行补救,并获得对开放安全问题的持续可见性。Balbix提供了实时的安全态势可见性、漏洞优先级并减少了问题MTTR。
资料来源:https://www.securityweek.com/cybersecurity-posture-management-firm-balbix-raises-70-million

14.应用安全平台NeuraLegion融资2000万美元
应用安全平台NeuraLegio宣布获得2000万美元的 A 轮融资,并更名为 Bright Security。Bright Security提供了一个应用程序安全平台,旨在帮助开发人员、DevOps 和应用程序安全专业人员轻松保护 Web 应用程序和 API。Bright 专注于安全性的“左移”方法,声称其解决方案涵盖了整个软件开发生命周期,同时实现了生产合规性。
资料来源:https://www.securityweek.com/bright-security-neuralegion-raises-20-million-series-funding

15.欺诈预防初创公司nSure.ai筹集了1800万美元
欺诈预防初创公司nSure.ai已完成1800万美元的A轮融资。nSure.ai利用人工智能和机器学习进行实时数据分析,为所有客户提供有保证的退款保护。该轮投资将帮助nSure.ai扩展其反欺诈、无退款保证,并满足对欺诈预防能力日益增长的需求。nSure.ai声称其平台可以帮助金融科技产品、游戏、加密货币和其他虚拟商品的零售商将下降率降低90%。
资料来源:https://www.securityweek.com/fraud-prevention-startup-nsureai-raises-18-milliong