工业网络安全“情报解码”-2022年第4期

工业网络安全“情报解码”-2022年第4期

时间:2022-01-30 作者:安帝科技

本期摘要

政策法规方面,工信部、发改委联合印发《关于促进云网融合加快中小城市信息基础设施建设的通知》,有效满足企业数字化转型所需的安全承载等需求。美国政府正式发布零信任战略,以支持国家的数字基础设施。美国政府推出水部门行动计划以增强网络弹性,为支持增强各种规模的水系统的ICS网络安全奠定基础。英国政府宣布了其最新的“网络安全战略”,以加强英国的防御和弹性,并为政府建立网络弹性公共部门的方法铺平道路。
漏洞态势方面,瑞士铁路系统被曝存在漏洞,大约500,000名乘客的个人数据遭到泄露。ICS和工业物联网(IIoT)安全供应商TXOne发布了Portable Security 3 Pro,用于扫描和清理恶意软件,致力于提高ICS环境中的安全性。Claroty推出EtherNet/IP堆栈检测工具,可以识别连接的工业设备以及在这些设备上实现的ENIP堆栈。Qualys研究人员披露了一个在主流Linux版本中潜伏了长达12年之久的权限提升漏洞,具有任意用户权限的攻击者可利用其获取完整root权限。
安全事件方面,卡巴斯基检测到针对工业企业的异常间谍软件活动,利用鱼叉式网络钓鱼电子邮件寻找企业凭证,旨在实施金融欺诈或将其出售给其他黑客。美国洛杉矶港启动网络弹性中心,以保护其免受网络威胁,并作为港口在其利益相关者之间接收、分析和共享网络安全信息的枢纽。Microsoft Azure客户遭受有史以来最大的3.47Tbps DDoS攻击,数据包速率达到了惊人的每秒3.4亿个数据包(pps)。
融资并购方面,数据安全厂商天空卫士宣布完成新一轮融资,向数据安全综合厂商进发。身份验证公司Veriff融资1亿美元,将用于支持全球增长、投资研发以及发展其销售和营销团队。云原生网络和端点安全解决方案提供商Portnox融资2200万美元,这笔资金将用于扩大公司规模。云原生应用安全公司Slim.AI融资3100万美元。

1、工信部等印发《关于促进云网融合加快中小城市信息基础设施建设的通知》
工业和信息化部、国家发展改革委近日联合印发《关于促进云网融合加快中小城市信息基础设施建设的通知》,明确将面向城区常住人口100万以下的中小城市(含地级市、县城和特大镇)组织实施云网强基行动,增强中小城市网络基础设施承载和服务能力,推进应用基础设施优化布局,建立多层次、体系化的算力供给体系,提升公众用户端到端网络访问体验,有效满足企业数字化转型所需的低时延、大带宽、本地计算、安全承载、降本增效等需求,助力区域经济社会高质量发展。
资料来源:https://mp.weixin.qq.com/s/DQ-yXuBaKfC2TTIGE-CWyQ

2、美国政府正式发布零信任战略
美国白宫1月26日发布了联邦零信任战略。管理和预算办公室(OMB)的最新备忘录要求各机构在2024年底前实现某些目标。这些目标集中在身份、设备、网络、应用程序和工作负载以及数据–这些是美国国土安全部网络安全和基础设施安全局(CISA)的零信任模式所描述的五大支柱。虽然截止日期是2024年底,但各机构被要求必须在60天内更新实施零信任架构的计划,并指定某人在30天内领导其组织中的零信任实施。
资料来源:https://www.securityweek.com/white-house-publishes-federal-zero-trust-strategy

3、美国政府推出水部门行动计划以增强网络弹性
美国政府1月27日扩展了其工业控制系统(ICS)网络安全计划,制定了水部门行动计划,旨在保护国家的水资源免受网络安全攻击。水部门行动计划的重点是促进和支持水部门采用早期发现网络威胁的战略,并允许在政府之间快速共享网络威胁数据,以加快分析和行动。提议的行动包括建立一个由水部门领导组成的工作组,实施试点项目以展示和加速采用事件监测,改进信息共享和数据分析,以及为水系统提供技术支持。
资料来源:https://industrialcyber.co/threats-attacks/biden-administration-brings-out-water-sector-action-plan-to-bolster-cyber-resilience/

4、英国发布新网络安全战略
英国政府1月25日宣布了其最新的“网络安全战略”。此举将有助于加强英国的公共服务,以进一步保护他们免受被敌对网络威胁关闭的风险。网络安全战略将包括政府网络安全保障,为政府提供做出有效决策所需的可见性,以及政府采取适当的网络安全措施来管理其职能风险的信心。关注组织最重要的职能,包括关键的国家基础设施,将提供一种客观的方式来评估组织的网络安全评估和网络安全风险管理是否相称并在可接受的风险承受范围内。
资料来源:https://industrialcyber.co/regulation-standards-and-compliance/new-uk-cyber-security-strategy-focuses-on-building-a-cyber-resilient-public-sector/

5、瑞士铁路系统存在漏洞
一名匿名黑客在发现影响瑞士国家铁路系统的漏洞后发出警报。该漏洞使黑客能够访问大约500,000名购买了瑞士联邦铁路(SFR)车票的乘客的个人数据。包括乘客的姓名、出生日期、他们购买的头等舱和二等舱机票的数量、出发地和最终目的地。这位黑客在表示,任何人都可以轻松查看数据,因为利用该漏洞不需要专业的IT知识。据瑞士新闻网站Swiss Info报道,被黑客入侵的数据从未公开,此后一直由SFR保护。

资料来源:https://www.infosecurity-magazine.com/news/hacker-flags-flaw-in-swiss-railway/?&web_view=true

6、TXOne的Portable Security Pro致力于提高ICS环境中的安全性
ICS和工业物联网(IIoT)安全供应商TXOne Networks发布了便携式安全3专业版(Portable Security 3 Pro),其便携式安全设备旨在扫描和收集独立计算机以及气隙系统上的资产信息。与传统的杀毒软件不同,Portable Security无需安装扫描软件即可扫描和清理恶意软件,通过易于理解的LED显示屏显示状态。TXOne表示,借助Portable Security 3 Pro,ICS所有者和运营商可以在传输文件并为独立计算机和气隙系统采用恶意软件扫描和资产信息收集的同时降低内部威胁的风险。
资料来源:https://industrialcyber.co/threats-attacks/txones-portable-security-pro-works-towards-improving-security-in-ics-environments/

7、Claroty推出EtherNet/IP堆栈检测工具以简化协议识别
Claroty的Team82部门推出了其定制的通用EtherNet/IP堆栈检测工具,可供网络安全研究人员、OT工程师和资产所有者使用。该工具通过将EtherNet/IP和CIP协议分解为特定属性和属性来执行行为分析,然后根据所有收集的参数为使用中的ENIP堆栈创建唯一签名。研究人员可以部署EtherNet/IP工具来识别连接的工业设备以及在这些设备上实现的ENIP堆栈。EtherNet/IP工具还可以显著帮助ICS蜜罐创建者提高其工作的隐蔽性,以防止攻击者轻易识别蜜罐。
资料来源:https://industrialcyber.co/vendor/claroty-unveils-ethernet-ip-stack-detection-tool-to-simplify-protocol-identification/

8、PwnKit:主流Linux版本均存在的权限提升漏洞
Qualys研究人员披露了Polkit系统实用程序中一个存在12年之久的漏洞,具有任意用户权限的攻击者都可以在默认配置下通过修改环境变量来利用此漏洞,从而获得受影响主机的root权限。该漏洞被“PwnKit”,被识别为CVE-2021-4034,它影响了polkit中一个名为pkexec的组件,该程序默认安装在每个主要的Linux发行版上,如Ubuntu、Debian、Fedora和CentOS。该漏洞自2009年就存在于第一版pkexec中,并影响pkexec的所有版本。

资料来源:https://thehackernews.com/2022/01/12-year-old-polkit-flaw-lets.html

9、卡巴斯基检测到针对工业企业的异常间谍软件活动
卡巴斯基ICS CERT部门的研究人员发现了一些针对工业企业的异常间谍软件活动,此类活动的运营商寻找企业凭证,旨在实施金融欺诈或将其出售给其他黑客。带有恶意附件的鱼叉式网络钓鱼电子邮件从受感染的公司邮箱发送给他们的联系人。多达45%的受攻击计算机似乎与ICS相关(并且可以访问公司电子邮件服务)。卡巴斯基已经确定了超过2,000个属于工业公司的企业电子邮件账户被盗和滥用为下一次攻击C2。
资料来源:https://industrialcyber.co/news/kaspersky-detects-anomalous-spyware-campaigns-targeting-industrial-enterprises/

10、美国洛杉矶港启动网络弹性中心
美国洛杉矶港正式开设了新的网络弹性中心(CRC),这是一个社区网络防御解决方案,旨在提高港口的网络安全准备情况,并增强其在供应链利益相关者之间的威胁共享和恢复能力。CRC被设想为“系统的系统”,使参与的利益相关者能够自动共享网络威胁指标和潜在的防御措施。除了作为威胁情报和事件响应平台外,CRC还将为利益相关者进行桌面演习,并为他们提供网络安全培训。
资料来源:https://www.securityweek.com/port-los-angeles-launches-cyber-resilience-center

11、MicrosoftAzure客户遭受有史以来最大的3.47Tbps DDoS攻击
微软于2022年1月25日透露,亚洲的微软Azure云计算客户是2021年11月大规模DDoS攻击(分布式拒绝服务攻击)的受害者。其中一次攻击达到了3.47Tbps的峰值,数据包速率达到了每秒3.4亿个数据包(pps)。DDoS攻击持续了大约15分钟,包括一个由来自全球各国的10,000多个受感染的IoT设备组成的僵尸网络。此次DDoS攻击使用多个攻击向量在端口80上进行UDP反射,包括:简单服务发现协议(SSDP),无连接轻量级目录访问协议(CLDAP),域名系统(DNS)和网络时间协议(NTP)。
资料来源:https://www.bleepingcomputer.com/news/security/microsoft-mitigates-largest-ddos-attack-ever-reported-in-history/

12、天空卫士完成新一轮融资
数据安全厂商天空卫士宣布完成新一轮融资,本轮融资由奇安投资独家投资。自2015年成立以来,天空卫士数据防泄漏(DLP)产品获得了行业领先地位,广泛应用于金融、互联网、制造业等行业,2021年被Gartner列入数据泄露防护市场代表性推荐厂商。近几年,天空卫士进一步升级产品理念,研发完成基于内容敏感AI技术产品和内部威胁防护(ITP)产品,引领新的技术趋势,同时开始布局安全访问服务边缘(SASE)、云数据安全等产品,向数据安全综合厂商进发。
资料来源:https://www.aqniu.com/industry/80475.html

13、身份验证公司Veriff融资1亿美元
自动身份验证技术提供商Veriff宣布,它已在C轮融资中筹集了1亿美元。额外资金将用于支持全球增长、投资研发以及发展其销售和营销团队。Veriff表示,其视频优先技术利用了1,000多个数据点和一个人工智能驱动的决策引擎,可以分析来自190多个国家/地区的40种不同语言的10,000多种政府颁发的身份证件。该公司声称它可以识别基本数据提取、静止图像或生物识别技术可能遗漏的身份欺诈迹象。
资料来源:https://www.securityweek.com/identity-verification-firm-veriff-raises-100-million

14、网络安全公司Portnox融资2200万美元
加拿大口令管理软件供应商1Password已完成新一轮6.2亿美元的融资,将其估值推高至68亿美元,创下了加拿大公司风险投资支持的新纪录。1Password最初是一款消费者口令管理应用程序,但在2015年,它开始为企业构建一款产品,允许跨团队安全地共享和管理口令。1Password的首席执行官Shiner表示,现在有超过100,000家公司使用它,包括Slack和IBM等公司。
资料来源:https://www.securityweek.com/network-security-firm-portnox-raises-22-million-series-funding

15、云原生应用安全公司Slim.AI融资3100万美元
云原生应用安全初创公司Slim.AI宣布,它已经筹集了3100万美元的A轮融资。Slim.AI成立于2021年1月,提供基于DockerSlim开源项目构建的开源软件和SaaS平台,并专注于保护云原生应用程序的供应链。Slim.AI表示,它提供了一个基于容器的工作流平台,为在大大小小的组织中工作的开发人员提供交付安全、生产就绪容器所需的工具。
资料来源:https://www.securityweek.com/slimai-raises-31-million-secure-cloud-native-applications?&web_view=true