安帝速递|【工业网络安全月报2022年-03月】
时间:2022-04-01 作者:安帝科技
一、政策扫描
工信部召开工业领域数据安全管理试点推进电视电话会议,提高工业领域数据安全保障水平。美国参议院通过《加强美国网络安全法》,总统拜登签署数字资产行政命令,多个网络安全部门发布指南,提升网络安全建设。欧盟、新加坡、澳大利亚也相继推出新的网络安全法或设立新的网络安全部门。
1、工信部召开工业领域数据安全管理试点推进电视电话会议
3月10日,工业和信息化部网络安全管理局组织召开工业领域数据安全管理试点推进电视电话会议。会议强调,试点工作要在工业和信息化领域数据安全工作总体框架下,验证工业领域数据安全工作体系运转的有效性和制度规范的科学性,着力探索出工业领域数据安全工作的方法、路径和模式。
资料来源:https://mp.weixin.qq.com/s/-2be2dtpHA3KO1C9_pv4SQ
2、美国参议院通过《加强美国网络安全法》
在俄乌冲突升级背景下,3月1日,美国参议院选择一致通过《加强美国网络安全法》,意图加强美国关键基础设施所有者的网络安全。该法案由《网络事件报告法案》《2021年联邦信息安全现代化法案》和《联邦安全云改进和就业法案》三项网络安全法案措施组成。
资料来源:https://industrialcyber.co/threats-attacks/us-senate-passes-legislative-package-that-steps-up-cybersecurity-at-critical-infrastructure-entities-federal-networks/
3、美国总统拜登签署数字资产行政命令
3月9日,美国白宫宣布,总统拜登已签署一项关于数字资产“负责任创新”的行政命令。该文件列出了七个关注领域,包括减轻“非法金融”和相关的国家安全风险。拜登计划要求“在所有相关美国政府机构之间采取前所未有的协调行动,以减轻这些风险。”
资料来源:https://www.cyberscoop.com/digital-assets-biden-executive-order-security/
4、美国NIST发布ICS网络安全指南
3月16日,美国国家标准与技术研究院(NIST)发布了名为“NISTSP1800-10,保护工业控制系统环境中的信息和系统完整性:制造业的网络安全”的网络安全指南。NIST表示该指南构建了示例解决方案,制造业组织可以使用这些解决方案来减轻ICS完整性风险,加强OT系统的网络安全,并保护这些系统处理的数据。
资料来源:https://industrialcyber.co/critical-infrastructure/nccoe-rolls-out-cybersecurity-plan-for-manufacturing-sector-to-protect-information-system-integrity-in-ics-environments/
5、美国NSA发布网络设计配置最佳实践指南
美国国家安全局(NSA)3月2日发布了一篇报告。该报告指出,遵循该指南将帮助网络防御者实施最佳网络安全实践,降低入侵风险并确保网络更安全。NSA的指导意见分为九大类:网络架构和设计;安全维护;认证、授权和会计;本地管理员账户和密码;远程记录和监控;远程管理和网络服务;路由;接口端口,以及;通知和同意标语。
资料来源:https://www.fedscoop.com/nsa-publishes-guidance-for-best-practices-in-network-design-configuration/
6、美国CISA发布基于零信任架构的企业移动安全计划
美国CISA发布了将零信任原则应用于企业移动性的文件。文件强调了对移动设备和相关企业安全管理功能的特殊考虑的必要性,因为它们的技术发展和无处不在。进一步介绍了架构框架、原则和能力,以达到采用组织设定的零信任级别。
资料来源:https://www.cisa.gov/blog/2022/03/04/maturing-enterprise-mobility-towards-zero-trust-architectures
7、新加坡将设立数字情报部门
新加坡正在其武装部队中建立一个新的数字情报部门,旨在加强该国对网络威胁的防御。新的数字和情报服务(DIS)单位将驻扎在新加坡武装部队(SAF)下,负责打击在线攻击。新加坡国防部长表示,DIS将于2022年底投入使用,它将使新加坡武装部队能够应对当今已知的网络威胁以及未来的攻击。
资料来源:https://www.zdnet.com/article/singapore-to-set-up-digital-intelligence-unit-as-cyber-threats-intensify/
8、欧盟提出新的网络安全法规
欧盟委员会提出了新的网络安全和信息安全法规。根据《网络安全条例》,所有欧盟机构、团体、办公室和机构将被要求建立用于治理、风险管理和控制的网络安全框架,进行定期评估,实施改进计划,并通知计算机应急响应小组任何事件“不得无故拖延”。
资料来源:https://www.techcentral.ie/eu-proposes-new-bloc-wide-cyber-security-regulations/
9、澳大利亚推出新的网络和外国情报设施
澳大利亚信号局(ASD)政府机构启动了一个新的网络和外国情报设施。新设施将加强ASD的能力,并为情报分析师、网络运营商、技术研究人员和企业推动者创造新的机会。ASD专注于信号情报、网络安全和进攻性网络行动。
资料来源:https://www.army-technology.com/news/australia-asd-cyber-intelligence-facility/
二、安全事件
美国FBI报告显示,2021年649个关键基础设施领域组织遭勒索软件攻击。美国政府针对关键基础设施攻击进行演习,多家企业联合启动关键基础设施防御项目。俄乌战争网络攻击激烈交锋,俄罗斯能源巨头遭殃。
1、美国CISA“网络风暴”演习模拟对关键基础设施攻击的响应
美国特勤局与网络安全和基础设施安全局(CISA)合作举办了名为“网络风暴 VIII”的演习。CISA在一份声明中说,该活动有来自各行各业的200个组织的参与者。“网络风暴 VIII”的场景涉及OT(例如工业控制系统)和传统企业系统,组织遭受各种影响,例如勒索软件和数据泄露。
资料来源:https://therecord.media/cisa-cyber-storm-exercise-simulated-response-to-critical-infrastructure-attack/
2、美国企业启动关键基础设施防御项目,为医院、水、电力公司提供网络保护
3月7日,美国云安全和身份认证领域的三大巨头Cloudflare、CrowdStrike和Ping Identity联合启动了一项新的“关键基础设施防御项目”,提供为期四个月的免费网络安全服务,并提高美国关键基础设施部门的网络准备水平。该项目的安全功能最初将提供给医疗保健、水和电力公用事业部门的组织。
资料来源:https://industrialcyber.co/critical-infrastructure/critical-infrastructure-defense-project-provides-cyber-protections-for-hospitals-water-power-utilities/
3、FBI报告显示,2021年649个关键基础设施领域组织遭勒索软件攻击
FBI的一份报告显示,2021年649个关键基础设施领域组织遭勒索软件攻击,并预计今年关键基础设施受害的人数会增加。报告显示,在向FBI报告的已知勒索软件变种中,针对关键基础设施部门的三个主要变种是CONTI、LockBit和REvil/Sodinokibi。
资料来源:https://industrialcyber.co/threats-attacks/649-organizations-targeted-by-ransomware-across-critical-infrastructure-sector-in-2021-fbi-ic3-report-discloses/
4、美国陆军组建网络军事情报组织
美国陆军已组建网络军事情报组织(CMIG),隶属于情报与安全司令部,将直接支持陆军网络司令部的需求并在其作战控制下发挥作用。它将指导、同步和协调对网络、信息和电子战行动的情报支持,同时也为美国网络司令部和其他作战司令部提供支持。
资料来源:https://www.fedscoop.com/new-army-unit-will-combine-military-intelligence-with-open-source-data-on-foreign-adversaries/
5、微软确认其37GB源代码遭泄露
微软已经确认他们的一名员工受到了Lapsus黑客组织的入侵,并且数据已被泄露。Lapsus团伙3月21日发布了从微软Azure DevOps服务器窃取的37GB源代码,适用于各种微软内部项目,包括Bing、Cortana和Bing地图。
资料来源:https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-they-were-hacked-by-lapsus-extortion-group/?&web_view=true
6、俄罗斯能源巨头Rosneft的德国子公司遭网络攻击
俄罗斯能源巨头Rosneft的德国子公司遭到网络攻击,在3月12日凌晨报告了这一事件。黑客组织Anonymous 3月11日发表了一份声明,称对这次袭击负责,并表示它已经获取了20TB的数据。
资料来源:https://www.securityweek.com/hackers-target-german-branch-russian-oil-giant-rosneft?&web_view=true
7、Check Point发布俄乌战争中的网络攻击数据
Check Point Research (CPR) 发布了围绕当前俄罗斯/乌克兰冲突观察到的网络攻击数据。在战争的前三天,针对乌克兰政府和军事部门的网络攻击激增了惊人的 196%。针对俄罗斯组织的网络攻击增加了4%。东斯拉夫语(包括俄语和乌克兰语)的网络钓鱼电子邮件增加了 7 倍。
资料来源:https://blog.checkpoint.com/2022/02/27/196-increase-in-cyber-attacks-on-ukraines-government-and-military-sector/
三、漏洞态势
Check Point Research (CPR) 发布了围绕当前俄罗斯/乌克兰冲突观察到的网络攻击数据。在战争的前三天,针对乌克兰政府和军事部门的网络攻击激增了惊人的 196%。针对俄罗斯组织的网络攻击增加了4%。东斯拉夫语(包括俄语和乌克兰语)的网络钓鱼电子邮件增加了 7 倍。
1、claroty报告显示:2021下半年发布797个ICS漏洞
工业网络安全公司Claroty透露,2021年下半年发布了797个工业控制系统(ICS)漏洞,影响了82家ICS供应商。ICS漏洞披露记录比2021年上半年发现的637个漏洞增加了25%。在披露的漏洞中,34%的漏洞影响物联网、医疗物联网(IoMT)和IT资产,这表明组织将在融合安全管理下合并运营技术(OT)、IT和物联网。
资料来源:https://industrialcyber.co/threats-attacks/claroty-reports-close-to-800-ics-vulnerabilities-with-34-percent-targeting-iot-iomt-it-assets/
2、施耐德继电器漏洞可能允许黑客禁用电网保护
研究人员在施耐德Easergy继电器中发现了三个高危漏洞。Easergy P3继电器受到缓冲区溢出漏洞(CVE-2022-22725)的影响,如果将特制数据包发送到网络上的目标设备。攻击者可以利用安全漏洞导致中继重新启动,或者完全控制设备。Easergy P5继电器受到缓冲区溢出漏洞(CVE-2022-22723)的影响,这可能允许攻击者导致程序崩溃并使用通过网络发送的特制数据包实现代码执行。这些设备还存在可能带来安全风险的硬编码凭据漏洞(CVE-2022-22722)。
资料来源:https://www.securityweek.com/schneider-relay-flaws-can-allow-hackers-disable-electrical-network-protections
3、施耐德TLSstorm漏洞导致全球数百万UPS设备被远程操纵
施耐德电气子公司APC制造的不间断电源(UPS)产品存在三个漏洞,被统称为TLStorm。目前已在全球售出超过2000万台UPS设备,近80%的公司面临TLSstorm攻击。第一个漏洞CVE-2022-22806被描述为TLS身份验证绕过问题,可导致远程代码执行。第二个与TLS相关的漏洞CVE-2022-22805被描述为与数据包重组相关的缓冲区溢出,它也可能导致远程代码执行。第三个漏洞CVE-2022-0715与未签名的固件更新有关。
资料来源:https://www.securityweek.com/millions-apc-smart-ups-devices-can-be-remotely-hacked-damaged
4、西门子修复了90多个影响第三方组件的漏洞
3月8日,西门子更新了31条公告,包括15条新公告,向客户通报了100多个影响其产品的漏洞,其中包括90多个由使用第三方组件引入的安全漏洞。五个公告涵盖了影响第三方组件的漏洞。其中之一描述了影响Node.js、cURL、SQLite、Civet Web和BIND等组件的71个安全漏洞对SINECINS的影响。
资料来源:https://www.securityweek.com/siemens-addresses-over-90-vulnerabilities-affecting-third-party-components
5、GE SCADA 产品存在高危漏洞
GE Digital 已针对影响其 Proficy CIMPLICITY HMI/SCADA 软件的两个高危漏洞发布了补丁和缓解措施,该软件被世界各地的工厂用于监控和控制操作。第一个漏洞被跟踪为CVE-2022-23921,可能允许对 CIMPLICITY 服务器具有部分访问权限的攻击者通过在 CIMPLICITY 运行时项目中删除恶意文件来提升权限。第二个漏洞,标识为CVE-2022-21798,与以明文形式传输凭据有关。
资料来源:https://www.securityweek.com/ge-scada-product-vulnerabilities-show-importance-secure-configurations
6、思科修复Expressway、TelePresence VCS产品中的超危漏洞
思科修复了其 Expressway 系列和TelePresence Video Communication Server (VCS)统一通信产品中的2个超危漏洞,被跟踪为 CVE-2022-20754 和 CVE-2022-20755,CVSS 评分均为 9.0,远程、经过身份验证的攻击者可以利用这两个漏洞在具有 root 权限的底层操作系统上写入文件或执行代码。
资料来源:https://thehackernews.com/2022/03/critical-patches-issued-for-cisco.html
7、超100,000个医用输液泵存在超危漏洞
Palo Alto Networks的威胁情报团队对来自医院和医疗机构使用的 200,000 多个联网输液泵的众包数据进行了分析,其报告显示,75%的医疗设备中存在安全漏洞,可能使它们面临潜在的风险。其中最普遍的漏洞是CVE-2019-12255,这是用于嵌入式设备(包括输液泵系统)的VxWorks实时操作系统中的内存损坏漏洞,CVSS评分9.8。该漏洞存在于52%的输液泵中,相当于超过 104,000 台设备。
资料来源:https://www.bleepingcomputer.com/news/security/over-100-000-medical-infusion-pumps-vulnerable-to-years-old-critical-bug/
8、近120种医疗、物联网设备受Access:7漏洞影响
IIoT解决方案提供商PTC的Axeda平台存在七个漏洞,统称为Access:7。其中三个超危漏洞可用于远程代码执行。还有三个高危漏洞,两个可用于DoS攻击,一个为信息泄露。已确定这些漏洞影响了来自100多家制造商的150多种设备型号。大多数受影响的供应商位于医疗保健行业(55%),其次是物联网(24%)、IT(8%)、金融服务(5%)和制造业(4%)。
资料来源:https://securityaffairs.co/wordpress/128810/hacking/access7-flaws.html
9、工业远程控制设备ipDIO存在高危漏洞
美国网络安全和基础设施安全局(CISA)发布了一份公告,告知各组织关于影响远程控制通信设备ipDIO的漏洞,该设备已不再由供应商支持。据CISA称,该设备被世界各地的组织使用。ipDIO产品受到四个漏洞的影响,包括两个高严重性代码注入问题和两个中等严重性持续跨站点脚本(XSS)缺陷。利用这些漏洞可以让远程攻击者完全控制设备并造成中断。
资料来源:https://www.securityweek.com/cisa-informs-organizations-flaws-unsupported-industrial-telecontrol-devices
10、欧姆龙修复PLC编程软件中的高危漏洞
日本电子巨头欧姆龙修复了其PLC编程软件CX-Programmer中可用于远程代码执行的高危漏洞。日本JPCERT/CC本月早些时候发布的一份公告显示,该产品受到五个释放后使用和越界漏洞的影响,所有漏洞的CVSS评分均为7.8。根据美国网络安全和基础设施安全局(CISA)的说法,该产品在全球范围内使用,包括关键制造业。
资料来源:https://www.securityweek.com/high-severity-vulnerabilities-patched-omron-plc-programming-software
11、台达修复其工业能源管理系统中的16个超危漏洞
美国网络安全和基础设施安全局(CISA)3月22日发布了一份公告,描述了台达电子制造的DIAEnergie工业能源管理系统存在的17个漏洞,其中有16个超危漏洞,CVSS评分均为9.8,绝大部分是影响应用程序各个组件的SQL注入漏洞。
资料来源:https://www.cisa.gov/uscert/ics/advisories/icsa-22-081-01
四、技术动向
研究人员展示对同态加密的新侧信道攻击,能够在数据被加密时读取数据。微软发布用于保护 MikroTik 路由器的开源工具,Emsisoft发布Diavol勒索软件免费解密器。
1、研究人员展示对同态加密的新侧信道攻击
同态加密是一种加密形式,它允许直接对加密数据执行某些类型的计算,而无需首先对其进行解密。来自北卡罗来纳州立大学和 Dokuz Eylul 大学的一组学者展示了对同态加密的侧信道攻击。通过监控正在为同态加密数据进行编码的设备中的功耗,能够在数据被加密时读取数据。
资料来源:https://thehackernews.com/2022/03/researchers-demonstrate-new-side.html?&web_view=true
2、微软发布用于保护 MikroTik 路由器的开源工具
微软发布了一款开源工具,可用于保护 MikroTik 路由器并检查与 Trickbot 恶意软件相关的滥用迹象。该工具会检查设备版本并将其映射到已知漏洞。它还查找计划任务、流量重定向规则、DNS 缓存中毒、默认端口更改、非默认用户、可疑文件以及代理、SOCKS 和防火墙规则。
资料来源:https://www.securityweek.com/microsoft-releases-open-source-tool-securing-mikrotik-routers
3、Emsisoft发布Diavol勒索软件免费解密器
网络安全公司Emsisoft发布了一个免费的解密器,允许Diavol勒索软件的受害者在不支付赎金的情况下恢复他们的文件。专家指出,解密器无法保证解密后的数据与之前加密的数据相同,因为勒索软件不会保存有关未加密文件的任何信息。
资料来源:https://securityaffairs.co/wordpress/129211/malware/emsisoft-releases-free-decryptor-for-the-victims-of-the-diavol-ransomware.html
五、融资并购
工业互联网公司德风科技获数亿元C轮融资。工业互联网平台企业浙江蓝卓完成第二轮5亿元融资。工业互联网数智化解决方案提供商维拓科技获亿元B轮融资。供应链安全公司悬镜安全完成B轮数亿元融资。加密网络空间安全厂商观成科技获数千万A轮融资。应用安全公司ForAllSecure融资2100万美元。谷歌以54亿美元现金收购网络安全公司Mandiant。
1、工业互联网公司德风科技获数亿元C轮融资
德风科技专注大数据、人工智能、安全物联网及工业互联网;以大数据及人工智能方式重新定义安全物联网和工业互联网视角全面拓展新安全、新工业、新能源、新制造等。德风科技具备将IT与OT结合的产品和解决方案能力。
资料来源:https://36kr.com/newsflashes/1664123551422465
2、工业互联网平台企业浙江蓝卓完成第二轮5亿元融资
蓝卓supOS工业操作系统为工厂提供了一个统一的数据底座,把不同的设备和生产系统数据汇聚在同一个平台上,让生态合作伙伴在平台上围绕安全生产、节能降耗、提质降本增效等需求开发各种应用。
资料来源:https://36kr.com/p/1658597078104194
3、工业互联网数智化解决方案提供商维拓科技获亿元B轮融资
维拓科技拥有研发、制造及服务的端到端工业软件,提供领先的工业创新平台和解决方案,覆盖上千家制造业客户、数百家头部企业,十六年的工业智力资产积累和行业最佳实践。
资料来源:https://mp.weixin.qq.com/s/PcOm7D4DcTXtZSw-TWYs5A
4、供应链安全公司悬镜安全完成B轮数亿元融资
悬镜安全将进一步深化在中国软件供应链安全关键技术创新研发及上下游产业生态前瞻性布局上的战略投入,凭借领先的下一代敏捷安全框架,在DevSecOps敏捷安全、软件供应链安全和云原生安全等新兴应用场景下打造闭环的第三代悬镜DevSecOps智适应威胁管理体系。
资料来源:https://mp.weixin.qq.com/s/NdcdXxdOyJIqL1vQNNIaUg
5、加密网络空间安全厂商观成科技获数千万A轮融资
观成科技专注于解决加密网络空间中存在的安全问题,当前主要聚焦于对加密流量进行安全检测和防御,研究和提供针对加密流量的检测及防御的解决方案。观成科技以密码分析、机器学习、安全分析、流量检测等多种技术和视角相融合,能够较好地解决加密流量的检测与防御问题。
资料来源:https://36kr.com/p/1655699105413504
6、应用安全公司ForAllSecure融资2100万美元
ForAllSecure专注于自动化软件测试以提高安全性,并已为航空航天、汽车和高科技等领域的财富1000强公司以及美国军方提供服务。该公司名为Mayhem的自主安全测试平台将安全测试集成到连续工作流程中,以提高生产力。
资料来源:https://www.securityweek.com/application-security-firm-forallsecure-raises-21-million
7、谷歌以54亿美元现金收购网络安全公司Mandiant
Mandiant是一家一流的威胁情报和事件响应公司,因发现Solarwinds供应链攻击而备受赞誉,为全球公共和私人组织以及关键基础设施提供早期威胁洞察力。Mandiant Advantage SaaS平台提供托管服务支持并由Mandiant Intel Grid提供支持,提供测量、优化和持续改进安全程序的能力。
资料来源:https://www.mandiant.com/company/press-release/mgc