工业网络安全“情报解码”-2022年第43期
时间:2022-10-29 作者:安帝科技
本期摘要
政策法规方面,我国工业互联网网络领域首个国家标准发布,标志着我国工业互联网体系建设迈出了坚实的一步。6项信息技术服务等领域国家标准发布,进一步完善了我国信息技术服务标准体系。美国海军发布《网络空间优势愿景》,指导海军部开展各项日常网络对抗活动以及危机、冲突爆发时的网络空间活动。美国国土安全部发布《网络安全绩效目标》,概述了企业和关键基础设施所有者可以采取的最高优先级基线措施。
漏洞态势方面,CISA发布了八项工业控制系统公告,涉及西门子、日立能源、江森自控、台达电子、哈斯和海德汉工业控制系统设备。VMware发布安全公告,修复了VMware Cloud Foundation中的远程代码执行漏洞。研究人员发现GitHub存在高危漏洞,该漏洞可能让攻击者控制GitHub存储库。SQLite数据库存在安全漏洞,攻击者成功利用该漏洞可在目标系统上执行任意代码。研究人员发现Windows零日漏洞在野利用,该漏洞允许攻击者通过独立的JavaScript文件绕过Mark-of-the-Web安全警告。
安全事件方面,研究人员对Haas、Okuma、Heidenhain和Fanuc的CNC控制器进行安全测试,发现CNC控制器易受到拒绝服务(DoS)、劫持和数据盗窃等攻击。Dragos发布2022年第三季度工业勒索软件分析报告,报告指出勒索软件仍然是全球工业组织面临的最具威胁性的财务和运营风险之一。物业管理公司SSKB遭受网络攻击,部分数据遭到泄露。澳大利亚临床实验室披露了2022年2月影响其Medlab病理学业务的网络攻击事件,约223,000人受到影响。
产品技术方面,Open Systems推出MDR+IoT,以保护物联网(IoT)和运营技术(OT)应用中使用的相关设备。Duality推出企业级隐私增强型数据协作平台,使组织在共享和共同分析敏感数据的同时确保隐私和法规遵从性。
并购融资方面,Perygee融资475万美元,以保护易受攻击的IoT和OT设备。Arnica完成700万美元种子轮融资,旨在通过监控开发人员的行为来保护软件供应链。
1、工业互联网总体网络架构国家标准正式发布
近日,国家标准化管理委员会发布2022年第13号中华人民共和国国家标准公告,批准发布国家标准GB/T 42021-2022《工业互联网总体网络架构》,这是我国工业互联网网络领域发布的首个国家标准,标志着我国工业互联网体系建设迈出了坚实的一步。
资料来源:https://www.miit.gov.cn/jgsj/xgj/gzdt/art/2022/art_c7695e22ef0e4ef5b4b48ba94f5d0f0d.html
2、信息技术服务等领域6项国家标准正式发布实施
2022年10月14日,国家市场监督管理总局(国家标准化管理委员会)发布2022年第13号中华人民共和国国家标准公告,批准GB/T 28827.1-2022《信息技术服务 运行维护 第1部分:通用要求》、GB/T 28827.7-2022《信息技术服务 运行维护 第7部分:成本度量规范》、GB/T 28827.8-2022《信息技术服务 运行维护 第8部分:医院信息系统管理要求》、GB/T 19668.7-2022《信息技术服务 监理 第7部分:监理工作量度量要求》、GB/T 33356-2022《新型智慧城市评价指标》、GB/T 34680.5-2022《智慧城市评价模型及基础评价指标体系 第5部分:交通》等6项国家标准正式发布,进一步完善了我国信息技术服务标准体系,将加速推动信息技术服务业高质量发展。
资料来源:https://www.miit.gov.cn/jgsj/xxjsfzs/gzdt/art/2022/art_c4e9e82a526341b2bd86ebe3c953f9ae.html
3美国海军发布《网络空间优势愿景》
2022年10月,美国海军部首席网络顾问克里斯·克利里签发《网络空间优势愿景》,首次正式提出3S原则(即安全、生存、打击),指导海军部开展各项日常网络对抗活动以及危机、冲突爆发时的网络空间活动,谋求构建网络空间优势。《网络空间优势愿景》提出,海军部要持续部署一流的网络安全防护措施,努力营造网络安全与网络作战职业文化。
资料来源:https://www.secrss.com/articles/48307
4.美国国土安全部发布《网络安全绩效目标》
10月27日,美国国土安全部发布了网络安全绩效目标(CPG),这是一种自愿做法,概述了各种规模的企业和关键基础设施所有者可以采取的最高优先级基线措施,以保护自己免受网络威胁。CPG为NIST(美国国家标准与技术研究院)CSF(网络安全框架)规定了一个精简的操作子集,以帮助组织确定其安全投资的优先级。
资料来源:https://www.hstoday.us/federal-pages/dhs/dhs-announces-new-cybersecurity-performance-goals-for-critical-infrastructure/
5.CISA发布八项工业控制系统公告
10月25日,CISA(美国网络安全和基础设施安全局)发布了八项ICS(工业控制系统)公告,其中一项涉及AliveCor KardiaMobile医疗设备,剩余七项涉及西门子、日立能源、江森自控、台达电子、哈斯和海德汉工业控制系统设备。
资料来源:https://www.cisa.gov/uscert/ncas/current-activity/2022/10/25/cisa-releases-eight-industrial-control-systems-advisories
6.VMware修复VMware Cloud Foundation的远程代码执行漏洞
10月25日,VMware发布安全公告,修复了VMware Cloud Foundation中的远程代码执行漏洞。漏洞追踪为CVE-2021-39144,CVSS评分9.8,位于Cloud Foundation使用的XStream开源库中,未经身份验证的攻击者可以在不需要用户交互的攻击中远程利用它。由于漏洞的严重性及其相对较低的利用门槛,VMware也为已停产产品提供了补丁。
资料来源:https://thehackernews.com/2022/10/vmware-releases-patch-for-critical-rce.html
7.GitHub中的漏洞易受Repo Jacking的影响
研究人员发现GitHub存在高危漏洞,该漏洞可能让攻击者控制GitHub存储库,并使用恶意代码感染所有应用程序和依赖它的其他代码。研究人员表示,使用一种称为Repo Jacking的技术,攻击者可以通过利用架构中的逻辑隐藏缺陷来控制GitHub存储库,该缺陷使重命名的用户容易受到此类攻击。
资料来源:https://www.scmagazine.com/analysis/cloud-security/high-severity-vulnerability-in-github-was-susceptible-to-repo-jacking?&web_view=true
8.SQLite数据库存在安全漏洞
研究人员披露了SQLite数据库整数溢出漏洞,漏洞追踪为CVE-2022-35737,CVSS评分7.5。该漏洞是2000年10月的代码更改时引入的,影响SQLite版本1.0.12到3.39.1。如果在C API的字符串参数中使用数十亿字节可能导致数组边界溢出,攻击者成功利用该漏洞可在目标系统上执行任意代码。研究人员称,在编写它的时候(2000年的SQLite源代码中),当时系统主要是32位架构,这可能并不是一个漏洞。目前,漏洞已在2022年7月21日发布的版本3.39.2中修复。
资料来源:https://securityaffairs.co/wordpress/137629/hacking/cve-2022-35737-sqlite-bug.html
9.Windows零日漏洞允许恶意JavaScript绕过安全警告
研究人员发现勒索组织在勒索软件攻击中使用了一个新的Windows零日漏洞,该漏洞允许威胁参与者通过独立的JavaScript文件绕过Mark-of-the-Web安全警告。研究人员称,攻击者使用格式错误的密钥对文件进行数字签名,使用嵌入式base64编码签名块。以这种方式签名时,即使JS文件是从Internet获取并收到MoTW标志,Microsoft也不会显示安全警告,并且脚本会自动运行。
资料来源:https://heimdalsecurity.com/blog/new-windows-zero-day-vulnerability-lets-javascript-files-bypass-security-warnings/
10.CNC设备存在安全风险
研究人员对Haas、Okuma、Heidenhain和Fanuc的CNC(Computer numerical control)控制器进行安全测试,发现CNC控制器易受到拒绝服务(DoS)、劫持和数据盗窃等攻击。研究人员表示,对制造过程有广泛了解的攻击者可能会控制CNC控制器,以错误配置其工具几何形状,从而导致生产的零件出现细微缺陷。
资料来源:https://www.trendmicro.com/en_us/research/22/j/uncovering-security-blind-spots-in-cnc-machines.html
11.Dragos发布2022年第三季度工业勒索软件分析报告
10月26日,Dragos发布了2022年第三季度工业勒索软件分析报告,报告指出勒索软件仍然是全球工业组织面临的最具威胁性的财务和运营风险之一。报告显示,在2022年第三季度,68%的勒索软件攻击针对制造业,9%的攻击针对食品和饮料行业,石油和天然气行业受到6%的攻击,能源和制药行业受到10%的攻击,运输行业受到3%的攻击,化学、采矿、工程以及水和废水系统部门分别受到1%的攻击。
资料来源:https://www.dragos.com/blog/industry-news/dragos-industrial-ransomware-analysis-q3-2022/
12.物业管理公司SSKB遭受网络攻击
10月27日,澳大利亚物业管理公司SSKB发布安全公告,披露了网络攻击事件。公告中指出,攻击者未经授权访问了SSKB的IT环境,下载了一些信息并在暗网上发布了赎金要求。据《澳大利亚人报》报道,攻击者声称从SSKB窃取了200GB的数据,包括建筑项目数据、客户财务信息、管理信函、合同和协议。
资料来源:https://www.itnews.com.au/news/australian-strata-company-sskb-breached-587093
13.澳大利亚临床实验室披露网络攻击事件
10月27日,澳大利亚临床实验室发布安全公告,披露了2022年2月影响其Medlab病理学业务的网络攻击事件。公告指出,大约223,000人受到影响,其泄露的敏感数据包括128,608个医疗保险号码以及姓名,28,286个信用卡号码和17,539份与病理检查相关的个人医疗和健康记录等。
资料来源:https://www.bleepingcomputer.com/news/security/australian-clinical-labs-says-patient-data-stolen-in-ransomware-attack/
14.Open Systems推出MDR+IoT
Open Systems推出MDR+IoT,扩展了其MDR+的24×7安全监控,以保护物联网(IoT)和运营技术(OT)应用中使用的相关设备。MDR+IoT通过使用Microsoft Defender for IoT从IoT和OT设备提取遥测数据,然后将IoT、OT和IT环境中的警报关联起来,以获得最大的可见性和保护。
资料来源:https://www.helpnetsecurity.com/2022/10/27/open-systems-mdr-iot/
15.Duality 推出企业级隐私增强型数据协作平台
Duality推出了企业级隐私增强型数据协作平台,使组织在共享和共同分析敏感数据的同时确保隐私和法规遵从性。Duality与领先的开源全同态加密库OpenFHE无缝集成,并使用广泛的隐私增强技术(PET)来计算数据而不暴露数据,其中包括全同态加密、多方计算、联邦学习、差分隐私等。
资料来源:https://www.darkreading.com/operations/duality-launches-first-ever-enterprise-ready-privacy-enhanced-data-collaboration-platform
16.Perygee完成475万美元融资
Perygee融资475万美元,以保护易受攻击的IoT和OT设备。Perygee是一个轻量级的综合平台,它可以整合现有的和解锁新的IoT/OT数据,以最快的时间内为所有组织自动执行正确的安全操作。Perygee平台通过统一数据、保护资产和自动化关键任务工作流来提高运营效率。
资料来源:https://perygee.com/posts/4-perygee-seed-round/
17.Arnica完成700万美元种子轮融资
Arnica完成700万美元种子轮融资,旨在通过监控开发人员的行为来保护软件供应链,以验证对代码所做更改的真实性并识别冒充开发人员的攻击者。Arnica依靠机器学习和基于图形的行为分析来帮助组织解决其开发生态系统中的异常和风险,从而保护代码和开发人员。
资料来源:https://www.securityweek.com/arnica-raises-7-million-protect-software-developers-code