工业网络安全“情报解码”-2022年第26期
时间:2022-07-02 作者:安帝科技
本期摘要
政策法规方面,国家网信办《个人信息出境标准合同规定 (征求意见稿)》公开征求意见,要求关键信息基础设施运营者不得向境外提供个人信息。美国运输安全管理局(TSA)放宽管道网络安全法要求,延长报告网络攻击的时间。美国国务院发布新的网络安全战略,强调将网络安全态势由被动转化为主动,积极发现潜在威胁。美国参议员提出《2022保护美国数据免受外国监视法案》,限制公民数据的共享与传输。
漏洞态势方面,攻击者利用Microsoft Exchange漏洞入侵楼宇自动化系统,研究人员表示将这种攻击并不常见。绿盟科技在CoDeSys自动化软件中发现了11个漏洞,其中两个超危漏洞可导致信息泄露以及代码执行。MITRE发布2022年25个最危险漏洞列表,越界写入和XSS仍然位居榜首,是两个最危险的漏洞。博科修复SANnav存储区域网络管理应用程序9个漏洞。
安全事件方面,美国与以色列启动双边工业研究与发展网络计划,旨在增强关键基础设施的网络弹性。北约马德里峰会重点关注网络安全,将加强网络防御以及关键基础设施网络安全。伊朗三家钢铁厂遭受重大网络攻击,其中国有钢铁厂被迫停产。超900,000个Kubernetes实例暴露于互联网,但面临的风险因个人配置而异,少部分实例完全暴露。
产品技术方面,美国军工巨头Northrop Grumman推出卫星网络连接解决方案,旨在保护大型互连卫星网络免受网络攻击。数字基础设施服务供应商FirstLight推出多种新的基于云的安全解决方案,帮助企业采用安全访问服务边缘(SASE)方法。Commvault和Oracle合作提供数据管理即服务,以加速企业混合云的采用。Veritas和Kyndryl合作提供托管数据保护和网络弹性服务。
融资并购方面,零信任安全厂商Cyolo完成6000万美元B轮融资,为关键基础设施行业跨多个IT和OT环境的连接提供保障。西门子以15.8亿美元收购Brightly Software,以加强楼宇和基础设施的数字服务。
1、国家网信办《个人信息出境标准合同规定(征求意见稿)》公开征求意见
为了规范个人信息出境活动,保护个人信息权益,促进个人信息跨境安全、自由流动,依据《中华人民共和国个人信息保护法》,网信办起草了《个人信息出境标准合同规定(征求意见稿)》,现向社会公开征求意见。规定要求关键信息基础设施运营者不得向境外提供个人信息。
资料来源:https://mp.weixin.qq.com/s/-8k2dnjYMzI2GIRoR8iNMQ
2、美国运输安全管理局(TSA)放宽管道网络安全法要求
美国运输安全管理局(TSA)正在放宽其管道网络安全规则,为公司提供更长的时间来报告网络攻击,并为他们提供更大的灵活性来设计防御措施。根据5月29日生效的第一条指令的新版本,指定的管道运营商现在必须在24小时内向政府报告黑客攻击,这是之前规定的时间长度的两倍。预计将于7月26日发布的第二条指令的更新将较少关注强制公司安装特定的安全措施。
资料来源:https://industrialcyber.co/analysis/tsa-reportedly-set-to-relax-pipeline-cybersecurity-rules-adopt-performance-based-model/
3.美国国务院新网络安全战略强调主动寻找威胁
美国国务院情报研究局(INR)6月27日发布了一项新的网络安全战略,旨在解决该局局长提出的“技术债务”,并在漏洞发现与修复方面营造一种更为积极的安全文化。这份战略文件主要强调了情报研究局在“加强部门绝密计算环境的安全性和改进网络风险管理方式”上应做的工作。强调将网络安全态势由被动转化为主动,不再坐等警报响起再发起调查,而是积极发现环境中的潜在威胁。
资料来源:https://www.cyberscoop.com/state-department-cyber-strategy/
4.美国参议员提出《2022保护美国数据免受外国监视法案》
6月23日,美国参议员提出了《2022保护美国人数据免受外国监视法案》,以控制将某些敏感类别的美国公民数据共享和传输给被视为国家安全风险的外国实体。法案指出,目前外国政府很容易购买有关美国公民、政治家、法官、政府官员的人口信息、政治偏好、互联网搜索历史、心理健康状况和GPS移动的敏感数据,甚至连情报官员和军人都没有受到任何实质性的控制。这些信息可用于分析、勒索、情报行动、在线虚假信息活动的设计和执行等等。
资料来源:https://techpolicy.press/the-u-s-needs-controls-on-data-brokerage/
5.攻击者利用Microsoft Exchange漏洞入侵楼宇自动化系统
卡巴斯基最初在巴基斯坦的一家电信公司发现了工业控制系统(ICS)上的ShadowPad后门,攻击者将目标锁定在楼宇自动化系统中的工程计算机上。研究人员表示,攻击者利用Microsoft Exchange漏洞CVE-2021-26855进行初始访问,以楼宇自动化系统为目标并将其用作渗透点,攻击者可以从这些设备转移到更有价值的系统。
资料来源:https://www.bleepingcomputer.com/news/security/microsoft-exchange-bug-abused-to-hack-building-automation-systems/
6.CoDeSys自动化软件存在11个漏洞
绿盟科技在CoDeSys自动化软件中发现了11个漏洞。这些漏洞很容易被利用,可能导致导致敏感信息泄露、PLC进入严重故障状态和任意代码执行等。其中两个超危漏洞CVSS评分均为9.8。第一个为明文传输漏洞,第二个不安全的默认设置漏洞。利用这两个漏洞可能会让恶意行为者获得目标PLC设备的控制权或将恶意项目下载到PLC,然后执行任意代码。
资料来源:https://www.infosecurity-magazine.com/news/researchers-critical-flaws-codesys/
7.MITRE发布2022年25个最危险漏洞列表
美国网络安全和基础设施安全局(CISA)和MITRE发布了2022年25个最危险的漏洞列表。列表包含最常见和最有影响力的漏洞,并基于对前两年近38,000条CVE记录的分析。越界写入和XSS仍然是两个最危险的漏洞。一些最重要的变化包括竞争条件(CWE-362)从33位到22位,代码注入(CWE-94)从28位到25位,以及不受控制的资源消耗(CWE-400)从27位到23位,这些也是2022年列表中的新型漏洞。
资料来源:https://cwe.mitre.org/top25/archive/2022/2022_cwe_top25.html
8.博科修复SANnav存储区域网络管理应用程序9个漏洞
博通的存储网络子公司博科修复了其SANnav存储区域网络(SAN)管理应用程序中存在的9个漏洞。其中六个中危或低危漏洞影响了OpenSSL、Oracle Java和NGINX等第三方组件。利用这些漏洞可以让未经身份验证的攻击者操纵数据、解密数据并导致拒绝服务。其余三个高危漏洞仅存在于BrocadeSANnav可以让攻击者从日志文件中获取交换机和服务器密码,并通过静态密钥密码拦截潜在的敏感信息。
资料来源:https://www.securityweek.com/brocade-vulnerabilities-could-impact-storage-solutions-several-major-companies
9.美国与以色列启动双边工业研究与发展网络计划
美国国土安全部(DHS)科技局(S&T)与以色列国家网络局(INCD)合作,启动了以色列-美国双边工业研究与发展(BIRD)网络计划,这是一项新的联合倡议由BIRD基金会管理,旨在增强美国和以色列关键基础设施的网络弹性。新的BIRD计划通过网络创新和合作推进美以伙伴关系,以建立更安全和更有弹性的基础设施。
资料来源:https://www.hstoday.us/federal-pages/dhs/dhs-and-israeli-partners-announce-collaboration-on-cybersecurity/
10.北约马德里峰会重点关注网络安全
6月29日,北约举行马德里峰会,发布了《马德里峰会宣言》及《2022年战略概念》,将网络安全、技术创新和太空领域列为重要议题。北约视网络空间为时刻都处于竞争状态的领域,称恶意行为者试图破坏关键基础设施、干扰政府服务、提取情报、窃取知识产权并阻碍军事活动。将加快数字化转型,调整指挥结构以适应“信息时代”,并加强网络防御、网络和基础设施。
资料来源:https://www.justsecurity.org/81839/natos-2022-strategic-concept-must-enhance-digital-access-and-capacities/
11.伊朗三家钢铁厂遭受重大网络攻击
伊朗国有的胡齐斯坦钢铁公司6月27日表示,在遭受网络攻击后被迫停止生产,这显然是近期对该国战略工业部门的最大此类攻击之一。另有两家钢铁企业也称受到攻击。伊朗政府没有承认发生了破坏,也没有将针对国有企业胡齐斯坦钢铁公司和伊朗另外两家主要钢铁生产商的攻击归咎于任何特定组织。
资料来源:https://www.cyberscoop.com/iran-cyberattack-israel-hacktivist-steel-ics/
12.超900,000个Kubernetes实例暴露于互联网
Cyble的研究人员使用与恶意行为者使用的类似的扫描工具和搜索查询来定位互联网上暴露的Kubernetes实例。结果显示有超900,000台Kubernetes服务器,其中65%(585,000台)位于美国,14%在中国,9%在德国,而荷兰和爱尔兰各占6%。暴露最多的TCP端口是443。并非所有这些暴露的集群都是可利用的,即使在这些集群中,风险级别也因个人配置而异。
资料来源:https://www.bleepingcomputer.com/news/security/over-900-000-kubernetes-instances-found-exposed-online/?&web_view=true
13.美国军工巨头Northrop Grumman推出卫星网络连接解决方案
美国军工巨头Northrop Grumman将于明年春天开始为太空部队测试一种新的硬件/软件原型,该原型旨在保护大型互连卫星网络免受网络攻击。该原型名为Space End Crypto Unit(ECU),计划于2024年交付。该原型是一种基于单芯片、可重新编程解决方案的灵活、高吞吐量设计,预计将提供一个连接的网络解决方案,帮助作战人员在各种平台上更快地做出决策。
资料来源:https://breakingdefense.com/2022/06/northrop-grumman-to-build-space-force-prototype-for-cyber-protection-of-satellite-networks/
14.数字基础设施服务供应商FirstLight推出多种新的基于云的安全解决方案
数字基础设施服务供应商FirstLight6月28日宣布增加为其综合服务组合提供多种基于云的安全解决方案。包括安全互联网网关(SIG)、不可变备份、内部保护和托管备份。FirstLight的网络安全解决方案旨在通过整合简化的网络和安全管理来帮助企业采用安全访问服务边缘(SASE)方法。由Cisco Umbrella提供支持的安全互联网网关(SIG)可监控所有Web流量、解密和检查SSL流量,并使用追溯安全性来识别以前的良性文件已变成恶意文件。
资料来源:https://s.vnshu.com/Z3BL6
15.Commvault和Oracle合作提供数据管理即服务
Commvault宣布将与Oracle合作,在Oracle云基础设施(OCI)上提供数据管理即服务Metallic。Metallic和OCI将为希望加速其OCI过渡的企业客户提供卓越的性价比、内置增强的安全性以及简化的恢复和管理。利用OCI存储提供先进的气隙勒索软件保护。在对抗勒索软件和网络攻击的过程中,Metallic有助于保护数据免受损坏、未经授权的访问以及重要业务部门(包括保险、金融服务、制造和国防)的其他威胁。
资料来源:https://s.vnshu.com/3I5XKF
16.Veritas和Kyndryl合作提供托管数据保护和网络弹性服务
Veritas和Kyndryl宣布合作提供托管数据保护和网络弹性服务。Kyndryl提供全方位的托管服务、数据保护解决方案和网络弹性专业知识,以管理、保护和优化应用程序工作负载的性能。VeritasInfo Scale解决方案用于保护基础应用程序并提供跨所有平台和操作系统的IT连续性,确保应用程序得到优化并始终以最高水平运行。
资料来源:https://www.veritas.com/partners/kyndryl
17.零信任安全厂商Cyolo完成6000万美元B轮融资
零信任安全厂商Cyolo 6月28日宣布完成6000万美元的B轮融资。Cyolo的零信任网络架构提供身份现代化功能,包括向任何系统、身份联合、内置密码库和目录服务添加多因素身份验证(MFA)的能力,以确保建立身份基础设施坚实的基础。Cyolo创新的基于身份的访问方法让关键基础设施行业的组织有信心跨多个IT和OT环境连接到他们的数字资产。
资料来源:https://s.vnshu.com/f0ahd
18.西门子以15.8亿美元收购楼宇软件公司Brightly
6月28日,西门子公司将以15.8亿美元收购美国公司Brightly Software,以加强楼宇和基础设施的数字服务。Brightly提供基于云的基础架构管理软件,将20多年运营和资产数据与基于人工智能、机器学习和物联网技术的智能模型相结合,并利用智能信息生态系统提供可靠的预测性见解。
资料来源:https://www.bloomberg.com/news/articles/2022-06-27/siemens-to-buy-buildings-software-firm-brightly-for-1-6-billion