本期摘要

政策法规方面，我国工业互联网平台领域首批国家标准发布，对我国工业互联网平台标准化建设具有重要意义。14项网络安全国家标准获批发布，包括4项技术场景数据安全要求、7项行业场景数据安全要求等。工信部印发《关于加强和改进工业和信息化人才队伍建设的实施意见》，支撑和引领工业和信息化高质量发展。美国TSA对铁路运输公司发布新的网络安全要求，将进一步增强铁路运营的网络安全和弹性。欧盟委员会提出建议草案，以建立欧盟关键基础设施的弹性。

漏洞态势方面，CISA警告Advantech和Hitachi存在严重漏洞，多种工业设备受到影响。Apache Commons Text存在疑似Log4Shell的漏洞，但目前有关严重性和范围的详细信息仍不清楚。Zimbra CVE-2022-41352漏洞利用正大肆蔓延，全球范围内大约1,600台ZCS服务器被入侵。微软修复Service Fabric Explorer漏洞，该漏洞可能允许有权访问Azure Linux容器的攻击者提权并接管整个集群。

安全事件方面,美国NCCoE推出液化天然气(LNG)网络安全框架配置文件，以加强美国海上运输系统处理能源资源的网络安全。印度能源公司Tata Power的IT基础设施受到网络攻击。微软的一个Azure Blob存储实例数据泄露，总计2.4 Tb的文件涉及 65,000多个实体。谷歌推出GUAC开源项目，通过发现开源软件中的关键库以提高供应链安全性。

产品技术方面，国防巨头BAE为F-16战斗机发布新的网络安全系统，用于确保恶意软件或文件无法进入战斗机。Radiflow和Allied Telesis共同推出OT/ICS威胁遏制和预防解决方案。Radiflow与ST Engineering加强OT网络分段解决方案，在发生违规行为时隔离攻击者。Mandiant与SentinelOne集成，利用威胁情报丰富XDR。

并购融资方面，数据隐私平台Anonos融资5000万美元，通过应用假名化和其他技术将数据转换为“Variant Twins”来保护使用中的数据。
1、‍工业互联网平台领域首批国家标准正式发布实施
近日，国家市场监督管理总局（国家标准化管理委员会）发布2022年第13号中华人民共和国国家标准公告，批准GB/T 41870-2022《工业互联网平台 企业应用水平与绩效评价》和GB/T 23031.1-2022《工业互联网平台 应用实施指南 第1部分：总则》2项国家标准正式发布，这是我国工业互联网平台领域发布的首批国家标准，对我国工业互联网平台标准化建设具有重要意义。
资料来源：https://mp.weixin.qq.com/s/N9CkPwlQJ9zv3ieIsNtXVQ

2、14项网络安全国家标准获批发布
根据2022年10月14日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告（2022年第13号），全国信息安全标准化技术委员会归口的14项国家标准正式发布。包括个人信息安全工程指南、4项技术场景数据安全要求、7项行业场景数据安全要求等。
资料来源：https://mp.weixin.qq.com/s/f7LvDe4wrGfsnuD0wfDfNQ

3.工信部印发《关于加强和改进工业和信息化人才队伍建设的实施意见》
工业和信息化部近日印发《关于加强和改进工业和信息化人才队伍建设的实施意见》，提出了加快战略科学家、一流科技领军人才和创新团队、青年科技人才、高素质技术技能人才、企业经营管理人才等重点人才队伍建设，提高部属高校人才培养能力，强化集聚创新人才的特色载体建设，深化人才发展体制机制改革等具体举措。
资料来源：https://mp.weixin.qq.com/s/4n2svfbSv4aGRX7GnZqUMQ

4.美国TSA对铁路运输公司发布新的网络安全要求
美国运输安全管理局(TSA)10月18日发布了一项网络安全指令，对指定的客运和货运铁路承运人进行监管，以通过注重基于绩效的措施来增强网络安全弹性。该安全指令将进一步加强美国铁路运营的网络安全准备和弹性，并以该机构的工作为基础，加强其他运输方式的防御。铁路承运人必须使用TSA提供的表格进行网络安全漏洞评估，并将表格提交给TSA。漏洞评估将包括评估当前的做法和活动，以解决IT和OT系统的网络风险。
资料来源：https://www.hstoday.us/federal-pages/dhs/tsa-issues-new-cybersecurity-requirements-for-passenger-and-freight-railroad-carriers/

5.欧盟委员会提出建议草案，以建立欧盟关键基础设施的弹性
欧盟委员会提议加强欧盟关键基础设施的弹性，建议草案旨在最大化和加快保护经济运行所需的资产、设施和系统的工作，并通过确保尽可能快的恢复来减轻任何攻击的影响。该机构指出，虽然所有此类基础设施都应受到保护，但目前优先考虑的是能源、数字基础设施、运输和空间部门，因为它们对社会和经济具有特殊的横向特征，以及当前的风险评估。
资料来源：https://industrialcyber.co/critical-infrastructure/european-commission-proposes-draft-recommendations-to-build-resilience-of-eu-critical-infrastructure/

6.美国NCCoE推出液化天然气(LNG)网络安全框架文件
1010月17日，美国国家网络安全卓越中心(NCCoE)发布了为液化天然气(LNG)行业和支持LNG总体液化过程、运输和分配的附属功能开发的网络安全框架配置文件。LNG网络安全框架简介探讨了行业将其组织要求和目标、风险偏好和资源与网络安全框架核心的预期结果的独特一致性。它可以被液化设施、液化天然气船和液化天然气生命周期的其他支持实体使用，从而可以最大限度地减少与这些关键流程和系统相关的网络安全风险。
资料来源：https://industrialcyber.co/threats-attacks/nccoe-rolls-out-draft-lng-cybersecurity-framework-profile-to-supplement-existing-directives-calls-for-comments/

7.CISA警告Advantech和Hitachi存在影响工业设备的严重漏洞
美国网络安全和基础设施安全局(CISA)10月18日发布了两项工业控制系统(ICS)公告，涉及研华R-SeeNet和日立能源APM Edge设备的严重漏洞。R-SeeNet监控解决方案中的三个漏洞，可能导致未经授权的攻击者远程删除系统上的文件或允许远程执行代码。据 CISA 称，运行 R-SeeNet软件的设备用于制造、能源、水和废水等工业部门。更新了Hitachi变压器资产性能管理(APM) Edge于2021年12月2日发布的公告，新增了29个影响1.0、2.0和3.0版本的漏洞。
资料来源：https://www.cisa.gov/uscert/ncas/current-activity/2022/10/18/cisa-releases-two-industrial-control-systems-advisories

8.Apache Commons Text存在疑似Log4Shell的漏洞
Apache Commons Text是一个专注于字符串算法的库，研究人员发现该库的默认插值器可能会导致不安全的脚本评估，并可能导致在处理恶意输入时执行代码。此漏洞CVE-2022-42889影响Apache Commons Text 1.5到1.9版本。有媒体称CVE-2022-42889为“新的 Log4Shell漏洞”，称其比上一个更危险。但目前有关严重性和范围的详细信息仍不清楚，现在下结论为时尚早。
资料来源：https://blog.aquasec.com/cve-2022-42889-text2shell-apache-commons-vulnerability?&web_view=true

9.Zimbra CVE-2022-41352漏洞利用正大肆蔓延
Zimbra Collaboration Suite中的一个零日远程代码执行漏洞CVE-2022-41352，正在被积极在野利用。卡巴斯基监测到针对此漏洞的两次连续攻击。第一波始于9月初，针对的是亚洲的政府实体。第二波攻击始于9月30日，规模相对较大，因为它针对的是位于特定中亚国家所有易受攻击的服务器。Volexity已经在全球范围内确定了大约1,600台ZCS服务器，这些服务器可能通过利用该漏洞而受到损害。
资料来源：https://cyware.com/news/zimbra-collaboration-suite-attacks-spreading-like-wildfire-7566b883

10.微软修复Service Fabric Explorer漏洞
Service Fabric Explorer(SFX)是用于检查和管理Azure Service Fabric群集的开源工具，研究人员在SFX v1中发现一个漏洞CVE-2022-35829，拥有通过仪表板“创建新应用程序”的单一权限的Deployer类型用户可以来创建恶意应用程序名称并滥用管理员权限来执行各种调用和操作，这包括执行集群节点重置，它会删除所有自定义设置，例如密码和安全配置，允许攻击者创建新密码并获得完整的管理员权限。
资料来源：https://www.securityweek.com/microsoft-patches-vulnerability-allowing-full-access-azure-service-fabric-clusters?&web_view=true

11.印度能源公司Tata Power的IT基础设施受到网络攻击
印度最大的综合电力公司Tata Power证实，它已成为网络攻击的目标。该公司在向印度国家证券交易所提交的一份文件中表示，对IT基础设施的入侵影响了“其部分IT系统”。它进一步表示，它已采取措施检索和恢复受影响的机器，并为面向客户的门户设置了安全边界，以防止未经授权的访问。该公司拒绝回答有关攻击性质及其对组织的影响的问题，并拒绝透露是否有任何数据被盗。
资料来源：https://techcrunch.com/2022/10/14/india-power-company-tata-power-cyber-attack/?&web_view=true

12.微软数据泄露涉及 65,000多个实体
威胁情报公司SOCRadar 10月19日透露，它发现了许多配置错误的云存储系统，其中包括 6 个大型存储桶，这些存储桶存储了与123个国家/地区的150,000家公司相关的信息。这些被称为BlueBleed的存储桶包括一个配置错误的Azure Blob存储实例，据称其中包含111个国家/地区的65,000多个实体的信息。SOCRadar表示暴露的数据属于微软，在2017年至2022年8月期间收集的文件总计2.4 Tb。暴露的信息包括超过335,000封电子邮件、133,000个项目和548,000名用户。
资料来源：https://www.securityweek.com/microsoft-confirms-data-breach-claims-numbers-are-exaggerated

13.谷歌启动GUAC开源项目以保护软件供应链
谷歌10月20推出了Graph for Understanding Artifact Composition(GUAC)，这是一种集中构建、安全和依赖元数据的开源工具。GUAC聚合来自不同来源的元数据，包括软件工件(SLSA)出处、软件物料清单(SBOM)和漏洞的供应链级别，以提供更全面的视图。通过聚合软件安全元数据并使其有意义和可操作，GUAC可以帮助识别风险，发现开源软件中的关键库，并收集有关软件依赖关系的信息，以提高供应链安全性。
资料来源：https://www.securityweek.com/googles-guac-open-source-tool-centralizes-software-security-metadata

14.BAE为F-16战斗机发布新的网络安全系统
国防巨头BAE Systems推出了Viper Memory Loader Verifier II(MLV II)，该系统的作用是保护F-16战斗机免受潜在的网络攻击。该系统用于在战斗机上加载和验证软件，确保恶意软件或文件无法进入飞机。该系统支持任务数据文件、飞行和故障数据以及第三方软件。它支持100多个F-16机载系统，包括飞行和任务关键组件，如雷达、发动机控制、导航、通信、碰撞数据记录器以及电子战、任务和飞行控制。
资料来源：https://www.securityweek.com/bae-releases-new-cybersecurity-system-f-16-fighter-aircraft

15.Radiflow和Allied Telesis共同推出OT/ICS威胁遏制和预防解决方案
连接解决方案提供商Allied Telesis 与OT / ICS网络安全解决方案提供商Radiflow10月18日推出联合解决方案，该联合解决方案以Allied Telesis的Self-Defending Network为基础，使公司能够在整个网络遭到破坏之前快速检测和隔离可疑操作。通过利用Radiflow IDS的OT特定异常和威胁检测功能，新解决方案扩展了自动化网络安全响应以覆盖ICS/OT网络。该联合解决方案创建了一个生态系统，可以识别内部和外部威胁以及未经授权的OT管理命令，包括违反远程访问安全、协议漏洞等。
资料来源：https://www.alliedtelesis.com/hk/en/press/adiflow-and-allied-telesis-partner-enhance-threat-containment-prevention-ot-ics-environments

16.Radiflow与ST Engineering合作推出OT网络分段解决方案
OT网络安全供应商Radiflow与ST Engineering合作，通过区域安全方法和工具保护OT设施，以管理新新加坡CCOP v2标准的合规性。该技术使OT网络保持分段，在发生违规行为时隔离攻击者。保护多设施组织的举措对于确保持续运营和遵守最新法规至关重要。Radiflow-ST Engineering技术将在GovWare 2022会议期间展示，使新加坡实体和资产所有者能够自动化其合规证书并确保持续简化运营。
资料来源：https://industrialcyber.co/vendor/radiflow-st-engineering-strengthen-ot-network-segmentation-and-compliance-for-ccop-v2-standard/

17.Mandiant与SentinelOne集成，利用威胁情报丰富XDR
网络安全平台公司SentinelOne宣布与Mandiant整合，以改进威胁检测、分类、搜寻和响应流程。SentinelOne的Singularity XDR平台与Mandiant的威胁情报和事件响应专业知识相结合，使组织能够通过机器速度技术和服务应对当今网络环境日益增加的威胁。通过联合解决方案，来自Mandiant的威胁情报会自动丰富可疑活动和警报，包括恶意或良性判断、风险评分、威胁参与者配置文件、IOC以及Mandiant威胁优势平台内更深层次情报的链接。
资料来源：https://www.businesswire.com/news/home/20221018005817/en/Mandiant-and-SentinelOne-Integrate-Enriching-XDR-with-Threat-Intelligence

18.数据隐私平台Anonos融资5000万美元
数据隐私公司Anonos完成5000万美元融资，该公司提供一个软件平台Data Embassy，旨在通过应用假名化和其他技术将数据转换为“Variant Twins”来保护使用中的数据，代表不可识别但完全准确的资产。该公司表示，得益于多级数据隐私和安全控制，Variant Twins可以在组织内外的任何地方使用，而不会影响隐私和安全。Anonos还声称，其解决方案使组织能够控制他们处理的可识别数据的级别，以确保遵守法规和隐私政策。
资料来源：https://www.securityweek.com/anonos-raises-50-million-data-privacy-platform