安帝速递|【工业网络安全月报2022年-07月】
时间:2022-08-01 作者:安帝科技
一、政策扫描
网信办公布《数据出境安全评估办法》,规定规定关键信息基础设施运营者向境外提供个人信息应当申报数据出境安全评估。多国相继出台关键基础设施网络安全法规,以应对不断变化的威胁形势和日益复杂的网络攻击。
1、网信办公布《数据出境安全评估办法》
7月7日,国家互联网信息办公室公布《数据出境安全评估办法》,自2022年9月1日起施行。《办法》规定关键信息基础设施运营者向境外提供个人信息应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
资料来源:https://mp.weixin.qq.com/s/n91CsxUkhdzOwYy8SwBSnQ
2、新加坡发布关键信息基础设施网络安全实践守则2.0
7月4日,新加坡网络安全局(CSA)发布了CCoP2.0(关键信息基础设施网络安全实践守则2.0)。CCoP2.0旨在提高防御者抵御黑客复杂TTP的几率并阻止他们的攻击进展。它使政府和私营部门之间的协调防御能够及时识别、发现和响应网络安全威胁和攻击。
资料来源:https://s.vnshu.com/2lKqPE
3、新加坡发布关键信息基础设施供应链文件
新加坡网络安全局(CSA)7月27日发布了一份CII(关键信息基础设施)供应链计划文件。该计划制定了五项基础举措,以减轻网络供应链风险并提高新加坡基本服务的网络弹性,并作为新加坡CII迈向安全和弹性未来之旅的开端。
资料来源:https://industrialcyber.co/critical-infrastructure/csas-cii-supply-chain-paper-works-on-mitigating-cyber-risks-uplifting-cyber-resilience/
4、美众议员在年度国防法案中推动关键基础设施保护
美国众议员起草了一项修正案,以加强对“具有系统重要性的关键基础设施(SICI)”的防御。提出在识别和指定此类基础设施后,国土安全部网络安全和基础设施安全局局长和国家网络主管将为其所有者和运营商制定关键资产和供应链风险管理实践等报告要求。
资料来源:https://www.cyberscoop.com/sici-defense-authorization-amendment-langevin/
5、美国国土安全部发布关键管道所有者、运营商的网络安全要求
美国国土安全部(DHS)宣布,其运输安全管理局(TSA)部门已修订并重新发布了安全指令。要求TSA指定的关键管道的所有者和运营商实施具体的缓解措施,以防止勒索软件攻击和其他已知威胁信息技术(IT)和运营技术(OT)系统,制定和实施网络安全应急和恢复计划并进行网络安全架构设计审查。
资料来源:https://s.vnshu.com/2ywKNq
6、德国政府宣布计划加强网络防御
德国政府7月12日宣布计划加强网络防御。新措施涉及提高中小企业的网络弹性,将适用于“关键基础设施”,即涉及运输、食品、健康、能源和供水的企业。同时,德国国内情报机构和警察的IT基础设施也将进行现代化改造。
资料来源:https://www.dw.com/en/germany-bolsters-defenses-against-russian-cyber-threats/a-62442479?&web_view=true
二、安全事件
Barracuda发布《2022工业安全状况报告》,调查结果显示工业网络安全仍旧相当落后。Mandiant Red Team对勒索软件在OT环境中可能的影响范围进行评估,发现OT网络不堪一击。攻击方法层出不穷,工业网络安全情况不容乐观,但安全技术也在不断进步。
1、Barracuda发布《2022工业安全状况报告》
7月13日,云安全公司Barracuda发布了《2022工业安全状况报告》,报告指出,针对工业系统的重大攻击正在增加,但保护这些系统的安全努力仍相当落后。在过去12个月里,94%的受访者在其工业物联网(IIoT)或运营技术(OT)系统上经历了某种形式的攻击,这可能影响了他们的工业物联网基础设施。
资料来源:https://industrialcyber.co/critical-infrastructure/critical-infrastructure-under-attack-as-ot-organizations-struggle-to-secure-frameworks-barracuda-reports/
2、微软发布《保护关键基础设施免受威胁报告》
微软7月28日发布了《保护关键基础设施免受威胁报告》。报告中包括为政府和关键基础设施提供商应优先解决的五项关键建议:1.网络安全必须被理解为一个持续的过程;2.关注跨部门和国家的统一监管;3.加大信息共享和能力建设力度;4.建立网络弹性文化;5.追究恶意行为者的责任。
资料来源:https://blogs.microsoft.com/eupolicy/2022/07/28/protecting-critical-infrastructure-from-cyberattacks/
3、Mandiant Red Team对勒索软件在OT环境中可能的影响范围进行评估
Mandiant Red Team在一家欧洲工程组织中模拟了FIN11技术,以了解勒索软件运营商在OT(运营技术)网络中的潜在影响力。Mandiant Red Team的三个预期目标——在IT环境中模拟勒索软件攻击者,从IT传播到单独的OT网络段,以及通过访问机密信息以窃取和重新分发来模拟多方面的勒索,全部成功实现。
资料来源:https://s.vnshu.com/1WkD3l
4、Xage报告显示,零信任有望在运营技术(OT)环境中实施
Xage对在美国关键基础设施组织工作的网络安全专业人员进行了调查,最新的报告显示,零信任也在OT环境中广泛实施,尤其是在关键基础设施组织中。调查发现,41%的关键基础设施运营商处于零信任实施的早期阶段,88%的运营商已朝着零信任迈出了一些步伐。
资料来源:https://www.securityweek.com/critical-infrastructure-operators-implementing-zero-trust-ot-environments
5、新的气隙攻击使用SATA电缆作为天线传输无线电信号
研究人员Mordechai Guri发现了一种从气隙系统中窃取数据的新方法,它使用大多数计算机内部的串行ATA(SATA)电缆作为无线天线,通过无线电信号发送数据。该攻击方向具有高实现难度,但其攻击目标多为军事、政府等核心工业控制系统,其高危害性不容忽视。
资料来源:https://thehackernews.com/2022/07/new-air-gap-attack-uses-sata-cable-as.html
6、美国政府问责局敦促能源部提高电网弹性
美国政府问责局(GAO)发布了一份报告,为美国能源部(DOE)确定了八项优先建议,在这些建议中,GAO呼吁改善网络安全,保护工人,并建立电网弹性。为了建立电网弹性,GAO建议能源部长应制定包括时间框架在内的计划,以指导该机构努力开发弹性规划工具。
资料来源:https://industrialcyber.co/analysis/gao-report-presses-upon-doe-to-improve-efforts-to-manage-cybersecurity-risks-work-on-electric-grid-resilience/
7、立陶宛能源公司因DDOS攻击而中断
7月9日,立陶宛能源公司Ignitis Group遭受了所谓的“十年来最大的网络攻击”,当时针对它的DDoS攻击破坏了其数字服务和网站。该公司表示已经能够管理和限制攻击对其系统的影响,并且没有记录任何违规行为。
资料来源:https://www.infosecurity-magazine.com/news/lithuanian-energy-ddos-attack/
三、漏洞态势
2022年上半年CISA披露681个ICS漏洞,略高于2021上半年,但实际数量可能更多,其中超危漏洞占比22%以上。网络安全审查委员会报告结果出人意料,尚未发现任何针对关键基础设施系统的重大基于Log4j的攻击。西门子、施耐德等多家厂商的工业产品存在漏洞,其中严重的可导致众多领域的关键基础设施遭受破坏性攻击。
1、2022年上半年CISA披露681个ICS漏洞
SynSaber公司统计了2022年上半年CISA披露的681个工业控制系统(ICS)漏洞,略高于2021年上半年。在681个CVE中,大约13%没有补丁并且可能永远无法修复——这些被称为“永久漏洞”。超过22%的漏洞为超危漏洞,42%为高危漏洞。
资料来源:https://www.securityweek.com/hundreds-ics-vulnerabilities-disclosed-first-half-2022
2、CSRB报告未发现任何针对关键基础设施系统的重大基于Log4j的攻击
网络安全审查委员会(CSRB)发布了Log4j漏洞和响应审查报告,报告显示尚未发现任何针对关键基础设施系统的重大基于Log4j的攻击。另外还发现,鉴于漏洞的严重性,迄今为止,Log4j的利用发生在低于许多专家预测的水平。
资料来源:https://industrialcyber.co/reports/csrb-report-not-aware-of-any-significant-log4j-based-attacks-on-critical-infrastructure-systems/
3、西门子修复其产品的46个漏洞
西门子7月12日发布了19条新公告,修复了影响其产品的46个漏洞。其中一项公告描述了SIMATIC CP1543-1通信处理器中的三个超危和三个高危漏洞,攻击者可利用这些漏洞进行提权并执行任意代码。第二个公告描述了SIMATIC eaSie数字助理中的一个超危和一个高危漏洞,攻击者可以远程利用这些漏洞向系统发送任意请求并导致DoS条件。
资料来源:https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-electric-address-59-vulnerabilities
4、施耐德修复其产品中的13个漏洞
施耐德电气7月12日发布了四个新的公告,修复了13个漏洞。其中一个描述了SpaceLogicC-BusHomeController产品中的高危操作系统命令注入漏洞。部分OPCUA和X80高级RTU通信模块受到三个可用于DoS攻击的高危漏洞以及四个可允许攻击者加载未经授权固件的中危漏洞影响。
资料来源:https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-electric-address-59-vulnerabilities
5、Robustel工业路由器中存在10个漏洞
思科在Robustel的工业蜂窝物联网网关中发现了10个漏洞,其中九个超危漏洞为命令注入漏洞,攻击者可以通过向目标设备发送特制的网络请求来执行任意命令。另外一个高危漏洞是一个数据删除问题,可以利用特制的网络请求来删除任意文件。
资料来源:https://www.securityweek.com/10-vulnerabilities-found-widely-used-robustel-industrial-routers
6、MiCODUS GPS追踪器存在6个漏洞
BitSight研究人员发现MiCODUS MV720 GPS中存在6个漏洞,包括硬编码和默认密码、身份验证损坏、XSS和不安全的直接对象引用。攻击者可以使用各种攻击媒介完全控制GPS跟踪器,使他们能够访问位置和其他信息,并允许他们解除警报和切断燃料。
资料来源:https://www.securityweek.com/unpatched-micodus-gps-tracker-vulnerabilities-allow-hackers-remotely-disable-cars
7、工业连接设备Moxa NPort存在两个高危漏洞
研究人员在Moxa的NPort5110设备服务器发现了两个高危漏洞CVE-2022-2043和CVE-2022-2044。第一个DoS漏洞可以让攻击者使目标设备停止响应合法命令,第二个漏洞是越界问题,攻击者可以访问和/或覆盖设备上的元素,从而导致数据崩溃或损坏。
资料来源:https://www.securityweek.com/moxa-nport-device-flaws-can-expose-critical-infrastructure-disruptive-attacks
8、大华网络摄像头存在高危漏洞
研究人员发现大华网络摄像头存在高危漏洞CVE-2022-30563,成功利用该漏洞可能允许攻击者秘密添加恶意管理员帐户并利用它以最高权限获得对受影响设备的无限制访问,包括观看实时摄像头录像。
资料来源:https://thehackernews.com/2022/07/dahua-ip-camera-vulnerability-could-let.html
四、产品方案
Awen Collective与西门子合作推出低成本OT安全系统,将保护所有联网的设备。Dragos与艾默生扩大联盟,以保护流程工业的工业基础设施。Security Bridge的SAP平台帮助施耐德电气保护其关键SAP应用程序,提高其业务运营的弹性和稳定性。
1、Awen Collective与西门子合作推出低成本OT安全系统
威尔士网络安全软件开发商Awen Collective与西门子联手,为英国的制造业SME(中小型企业)提供低成本的OT安全系统。该管理安全系统将保护所有联网的设备,价格1万英镑起。
资料来源:https://drivesncontrols.com/news/fullstory.php/aid/7084/Project_slashes_cost_of_OT_cybersecurity_for_UK_SMEs.html
2、Dragos与艾默生扩大联盟以保护流程工业的工业基础设施
工业网络安全公司Dragos宣布艾默生已在其DeltaV分布式控制系统(DCS)中验证Dragos平台,为组织提供增强的ICS/OT网络安全。该交易将为流程行业提供改进的整个工业OT网络的威胁检测和响应,增强对OT环境的可见性,使工业组织能够监控资产、跟踪和缓解漏洞,并利用流量监控信息来调查问题和事件。
资料来源:https://www.helpnetsecurity.com/2022/07/21/dragos-emerson/
3、Security Bridge的SAP平台帮助施耐德电气保护其关键SAP应用程序
Security Bridge的SAP平台通过实时威胁监控提供对SAP复杂性的全面洞察。这种SAP安全方法与传统工具不同,它提供了一种基于行为的预防方法,用于:检测异常;识别安全风险;减轻业务运营的风险;确保遵守监管要求;创建包容性网络安全态势。
资料来源:https://s.vnshu.com/4BcIPS
五、融资并购
工业网络安全厂商珞安科技完成C轮超5亿融资。关键基础设施网络安全解决方案提供商Fend获VIPC投资。江森自控收购零信任安全厂商Tempered Networks。
1、珞安科技完成C轮超5亿融资
珞安科技是一家工业网络空间安全产品与解决方案提供商和安全服务运营商,以零信任安全理念为指导,打造资产可见、威胁可感、安全可视、攻击可溯、主动防御的工业网络空间安全防护体系,保障国家关键信息基础设施安全稳定运行。
资料来源:https://www.163.com/dy/article/HCICM3680511ALHJ.html
2、关键基础设施网络安全解决方案提供商Fend获VIPC投资
关键基础设施网络安全解决方案提供商Fend创建了新一代单向安全硬件,旨在以单向方式物理传输数据,使公司能够监控来自受保护网络和工业控制系统的网络数据,而不会暴露漏洞供黑客利用。
资料来源:https://s.vnshu.com/3PF2YW
3、江森自控收购零信任安全厂商Tempered Networks
零信任网络安全提供商Tempered Networks创造了“Airwall”技术,可实现跨各种端点设备、边缘网关、云平台和服务技术人员的安全网络访问,以确保建筑物数据交换和服务行动只能在人员和设备之间进行,并持续经过身份验证。
资料来源:https://www.contractormag.com/technology/article/21246802/johnson-controls-acquires-tempered-networks