工业网络安全“情报解码”-2022年第10期

工业网络安全“情报解码”-2022年第10期

时间:2022-03-12 作者:安帝科技

本期摘要

政策法规方面,工信部召开工业领域数据安全管理试点推进电视电话会议,提高工业领域数据安全保障水平。以美国政府需要解决加密货币的安全问题及其在整个金融体系中的作用为由,美国总统拜登签署数字资产行政命令。美国CISA发布基于零信任架构的企业移动安全计划,以支持联邦机构和其他组织实现零信任。

漏洞态势方面,西门子向客户通报了 100多个影响其产品的漏洞,其中包括90多个由使用第三方组件引入的安全漏洞。施耐德不间断电源(UPS)存在TLSstorm漏洞,全球数百万UPS设备面临被被远程操纵、破坏的风险。CyberMDX的研究人员在Axeda平台中发现了七个漏洞,150多种设备受影响,大部分为医疗和物联网设备。工业远程控制设备ipDIO存在高危漏洞,CISA发布了一份公告通知各组织关该设备已不再由供应商支持。

安全事件方面,美国云安全和身份认证领域的三大巨头联合启动关键基础设施防御项目,为医院、水、电力公司提供网络保护。美国FBI检测到针对关键基础设施部门的RagnarLocker勒索软件,10个关键基础设施部门的至少52个实体已被感染。Imperva的数据显示,3月7日至8日全球超过60亿次潜在网络攻击中,超80%的目标是俄罗斯和乌克兰。乌克兰加入北约合作网络防御卓越中心,以加强网络防御能力。

融资并购方面,AI电纹识别解决方案商赛博联物完成数百万人民币天使轮融资,为高端工业设备提供全生命周期管理。XDR领域厂商未来智安完成亿元A轮融资,专注为客户提供精准全面的网络安全检测、高效自动化的威胁运营能力和产品方案。工业基础设施管理软件企业GeckoRobotics完成融资,致力于从根本上提高检查、保护和有效维护关键基础设施的能力。谷歌以54亿美元现金收购网络安全公司Mandiant,旨在提升谷歌云的安全性。

1、工信部召开工业领域数据安全管理试点推进电视电话会议
3月10日,工业和信息化部网络安全管理局组织召开工业领域数据安全管理试点推进电视电话会议,深入解读试点工作方案、配套标准规范和管理服务平台,研究部署下一步重点工作。会议强调,试点工作要在工业和信息化领域数据安全工作总体框架下,验证工业领域数据安全工作体系运转的有效性和制度规范的科学性,重点解决执法队伍建设、数据出境安全管理、监测预警能力建设等关键难点问题,着力探索出工业领域数据安全工作的方法、路径和模式。
资料来源:https://mp.weixin.qq.com/s/-2be2dtpHA3KO1C9_pv4SQ

2.美国总统拜登签署数字资产行政命令
3月9日,美国白宫宣布,总统拜登已签署一项关于数字资产“负责任创新”的行政命令。白宫发布的一份情况说明书称其为“有史以来第一个解决风险和利用数字资产及其基础技术的潜在利益的整体政府方法”。该文件列出了七个关注领域,包括减轻“非法金融”和相关的国家安全风险。拜登计划要求“在所有相关美国政府机构之间采取前所未有的协调行动,以减轻这些风险。”
资料来源:https://www.cyberscoop.com/digital-assets-biden-executive-order-security/

3.美国CISA发布基于零信任架构的企业移动安全计划
为了支持联邦机构和其他组织实现零信任,美国CISA发布了将零信任原则应用于企业移动性的文件。文件强调了对移动设备和相关企业安全管理功能的特殊考虑的必要性,因为它们的技术发展和无处不在。进一步介绍了架构框架、原则和能力,以达到采用组织设定的零信任级别,然后,它将移动安全方法映射到零信任原则,组织可以使用这些原则将其当前的移动安全能力与零信任方法保持一致。
资料来源:https://www.cisa.gov/blog/2022/03/04/maturing-enterprise-mobility-towards-zero-trust-architectures

4.西门子修复了90多个影响第三方组件的漏洞
3月8日,西门子更新了31条公告,包括15条新公告,向客户通报了100多个影响其产品的漏洞,其中包括90多个由使用第三方组件引入的安全漏洞。三个公告的总体严重性等级为“超危”,八个为“高危”。它们描述了Mendix、COMOS、Simcenter、SIMOTICS、SINEC、RUGGEDCOM和SINUMERIK产品中的漏洞。五个公告涵盖了影响第三方组件的漏洞。其中之一描述了影响Node.js、cURL、SQLite、Civet Web和BIND等组件的71个安全漏洞对SINECINS的影响。
资料来源:https://www.securityweek.com/siemens-addresses-over-90-vulnerabilities-affecting-third-party-components

5.施耐德TLSstorm漏洞导致全球数百万UPS设备被远程操纵
Armis研究人员在施耐德电气子公司APC制造的不间断电源(UPS)产品中发现了三个漏洞,他们将其统称为TLStorm。UPS设备用于数据中心、医院和工业设施,针对这些系统的攻击可能会造成严重后果。目前已在全球售出超过2000万台UPS设备,近80%的公司面临TLSstorm攻击。第一个漏洞CVE-2022-22806被描述为TLS身份验证绕过问题,可导致远程代码执行。第二个与TLS相关的漏洞CVE-2022-22805被描述为与数据包重组相关的缓冲区溢出,它也可能导致远程代码执行。第三个漏洞CVE-2022-0715与未签名的固件更新有关。
资料来源:https://www.securityweek.com/millions-apc-smart-ups-devices-can-be-remotely-hacked-damaged

6.近120种医疗、物联网设备受Access:7漏洞影响
医疗设备网络安全公司CyberMDX的研究人员在IIoT解决方案提供商PTC广泛使用的Axeda平台中发现了七个漏洞,统称为Access:7。其中三个超危漏洞可用于远程代码执行。还有三个高危漏洞,两个可用于DoS攻击,一个为信息泄露。已确定这些漏洞影响了来自100多家制造商的150多种设备型号。大多数受影响的供应商位于医疗保健行业(55%),其次是物联网(24%)、IT(8%)、金融服务(5%)和制造业(4%)。
资料来源:https://securityaffairs.co/wordpress/128810/hacking/access7-flaws.html

7.工业远程控制设备ipDIO存在高危漏洞
美国网络安全和基础设施安全局(CISA)发布了一份公告,告知各组织关于影响远程控制通信设备ipDIO的漏洞,该设备已不再由供应商支持。ipDIO记录来自开关、计数器、传感器和其他设备的模拟和数字输入,并支持各种工业协议。据CISA称,该设备被世界各地的组织使用。ipDIO产品受到四个漏洞的影响,包括两个高严重性代码注入问题和两个中等严重性持续跨站点脚本(XSS)缺陷。利用这些漏洞可以让远程攻击者完全控制设备并造成中断。
资料来源:https://www.securityweek.com/cisa-informs-organizations-flaws-unsupported-industrial-telecontrol-devices

8.美国企业启动关键基础设施防御项目,为医院、水、电力公司提供网络保护
3月7日,美国云安全和身份认证领域的三大巨头Cloudflare、CrowdStrike和Ping Identity联合启动了一项新的“关键基础设施防御项目”,提供为期四个月的免费网络安全服务,并提高美国关键基础设施部门的网络准备水平。该项目将在网络威胁不断增加的情况下联手加强美国的网络安全态势。关键基础设施防御项目的安全功能最初将提供给医疗保健、水和电力公用事业部门的组织。根据该项目网站上发布的媒体声明,该项目将为面临攻击风险的团队提供一种零信任、深度防御的方法来保护组织的网络、端点、身份和关键威胁情报。
资料来源:https://industrialcyber.co/critical-infrastructure/critical-infrastructure-defense-project-provides-cyber-protections-for-hospitals-water-power-utilities/

9.美国FBI检测到针对关键基础设施部门的RagnarLocker勒索软件
美国联邦调查局(FBI)发布警报,提供有关RagnarLocker勒索软件的更多信息,以及与该恶意软件相关的危害指标(IoC)。根据FBI的说法,10个关键基础设施部门的至少52个实体已感染该恶意软件家族,包括能源、金融服务、政府、信息技术和制造业的组织。该恶意软件依赖于VMProtect、UPX和自定义打包算法,通常部署在自定义虚拟机内的受感染系统上。它还使用Windows API GetLocaleInfoW来识别系统的位置,并在计算机位于特定国家/地区时终止其进程。
资料来源:https://industrialcyber.co/threats-attacks/fbi-detects-ragnarlocker-ransomware-targeting-critical-infrastructure-sectors/

10.全球超过80%的网络攻击发生在俄罗斯或乌克兰
网络安全公司Imperva的数据显示,目前全球发生的每10次网络攻击中有近9次针对俄罗斯或乌克兰。该公司衡量网络流量和应用程序攻击的网络威胁攻击地图显示,3月7日至8日全球超过60亿次潜在网络攻击中,有61%的目标是俄罗斯,而23%的目标是乌克兰。在同一24小时内,美国是第三大目标国家,占所面临威胁活动的6%。据Imperva称,分布式拒绝服务或DDoS攻击约占正在进行的潜在网络攻击的90%。
资料来源:https://www.nextgov.com/cybersecurity/2022/03/more-80-cyberattacks-worldwide-happening-russia-or-ukraine/362964/

11.乌克兰加入北约合作网络防御卓越中心
北约国家一致投票允许乌克兰加入其合作网络防御卓越中心(CCDCOE),华盛顿智库战略与国际研究中心战略技术项目主任James Lewis表示,将乌克兰纳入CCDCOE的决定将对其抵御俄罗斯网络攻击的能力产生直接积极影响。CCDCOE 是北约认可的网络知识中心、研究机构 以及培训和演习设施。CCDCOE去年曾拒绝了乌克兰的正式成员资格。
资料来源:https://www.cyberscoop.com/ukraine-admitted-nato-ccdcoe/

12. AI电纹识别解决方案商赛博联物完成数百万人民币天使轮融资
近日AI电纹识别解决方案商赛博联物宣布完成数百万人民币天使轮融资。赛博联物主要基于AI电流波纹智能识别技术,从信号分析、特征提取、智能识别三大核心技术入手,面向工业母机、工业机器人、半导体设备等高端工业设备,研发高性能电信号传感器、智能边缘终端和工业互联网平台,通过高质量数据采集、边缘侧智能推理和实时在线分析功能,为高端工业设备提供全生命周期管理,包括效率管理、智能运维、生产质检和研发试验等。
资料来源:https://36kr.com/p/1644485394391683

13.XDR领域厂商未来智安完成亿元A轮融资
北京未来智安科技有限公司近日完成A轮融资。未来智安XDR平台致力于通过多元数据治理接入NDR、EDR等数据、基于安全数据关联分析建模、威胁狩猎、攻击事件挖掘形成完整的攻击事件,希望达到有效降低告警量的目的,提升安全处置效率。目前未来智安的XDR平台,将网络、终端的告警日志和遥测数据进行统一融合,用以加快威胁响应速度,并通过结合ATT&CK 的攻击知识库和专家知识库来统一展示攻击威胁,将告警频率降低100倍以上。
资料来源:https://36kr.com/p/1647503840895875

14.工业基础设施管理软件企业GeckoRobotics获7300万美元C轮融资
美国机器人技术和工业基础设施管理软件领域的领军企业Gecko Robotics宣布获得了7300万美元的C 轮融资。在产品方面,Gecko Robotics主要通过带有专门传感器的TOKA系列爬壁机器人对年久失修的储罐、锅炉、洗涤器、管道等基础设施进行无损检测。从而可以让企业比传统的方法快 10 倍的速度快速识别高磨损和腐蚀区域,收集的信息量也增加了 1000 倍。
Gecko Robotics独特的机器人技术和软件产品从根本上提高了检查、保护和有效维护关键基础设施的能力。
资料来源:http://www.ocn.com.cn/touzi/202203/wnuoq07085216.shtml

15.谷歌以54亿美元现金收购网络安全公司Mandiant
谷歌3月8日表示,已同意以价值约54亿美元的全现金交易收购网络安全公司Mandiant。Mandiant是一家一流的威胁情报和事件响应公司,因发现Solarwinds供应链攻击而备受赞誉,为全球公共和私人组织以及关键基础设施提供早期威胁洞察力。Mandiant Advantage SaaS平台提供托管服务支持并由Mandiant Intel Grid提供支持,提供测量、优化和持续改进安全程序的能力。可为各种规模的组织提供可操作的情报、警报分类自动化和精心编码的专业知识。
资料来源:https://www.mandiant.com/company/press-release/mgc