安帝速递|【工业网络安全月报2022年-10月】

安帝速递|【工业网络安全月报2022年-10月】

时间:2022-11-01 作者:安帝科技

一、政策扫描

我国工业互联网平台领域首批国家标准发布,对我国工业互联网平台标准化建设具有重要意义。欧盟委员会提出建议草案,以建立欧盟关键基础设施的弹性。美国TSA对铁路运输公司发布新的网络安全要求。美国国土安全部发布《网络安全绩效目标》。美国能源部发布《美国电网分布式能源的网络安全注意事项》报告。美国NCCoE推出液化天然气(LNG)网络安全框架配置文件。
1、工业互联网平台领域首批国家标准正式发布实施
10月14日,国家市场监督管理总局(国家标准化管理委员会)发布2022年第13号中华人民共和国国家标准公告,批准GB/T 41870-2022《工业互联网平台 企业应用水平与绩效评价》和GB/T 23031.1-2022《工业互联网平台 应用实施指南 第1部分:总则》2项国家标准正式发布。
资料来源:https://mp.weixin.qq.com/s/N9CkPwlQJ9zv3ieIsNtXVQ

2、工业互联网总体网络架构国家标准正式发布
10月14日,国家市场监督管理总局(国家标准化管理委员会)发布2022年第13号中华人民共和国国家标准公告,批准发布国家标准GB/T 42021-2022《工业互联网总体网络架构》,这是我国工业互联网网络领域发布的首个国家标准,标志着我国工业互联网体系建设迈出了坚实的一步。
资料来源:https://www.miit.gov.cn/jgsj/xgj/gzdt/art/2022/art_c7695e22ef0e4ef5b4b48ba94f5d0f0d.html

3、欧盟委员会提出建议草案,以建立欧盟关键基础设施的弹性
欧盟委员会提议加强欧盟关键基础设施的弹性,建议草案旨在最大化和加快保护经济运行所需的资产、设施和系统的工作,并通过确保尽可能快的恢复来减轻任何攻击的影响。该机构指出,虽然所有此类基础设施都应受到保护,但目前优先考虑的是能源、数字基础设施、运输和空间部门。
资料来源:https://industrialcyber.co/critical-infrastructure/european-commission-proposes-draft-recommendations-to-build-resilience-of-eu-critical-infrastructure/

4、美国TSA对铁路运输公司发布新的网络安全要求
美国运输安全管理局(TSA)10月18日发布了一项网络安全指令,对指定的客运和货运铁路承运人进行监管,以通过注重基于绩效的措施来增强网络安全弹性。铁路承运人必须使用TSA提供的表格进行网络安全漏洞评估,并将表格提交给TSA。漏洞评估将包括评估当前的做法和活动,以解决IT和OT系统的网络风险。
资料来源:https://www.hstoday.us/federal-pages/dhs/tsa-issues-new-cybersecurity-requirements-for-passenger-and-freight-railroad-carriers/

5、美国国土安全部发布《网络安全绩效目标》
10月27日,美国国土安全部发布了网络安全绩效目标(CPG),这是一种自愿做法,概述了各种规模的企业和关键基础设施所有者可以采取的最高优先级基线措施,以保护自己免受网络威胁。
资料来源:https://www.hstoday.us/federal-pages/dhs/dhs-announces-new-cybersecurity-performance-goals-for-critical-infrastructure/

6、美国能源部发布《美国电网分布式能源的网络安全注意事项》报告
10月6日,美国能源部发布了《美国电网分布式能源的网络安全注意事项》报告。报告概述了电力部门在对美国电网进行转型时应考虑的网络安全注意事项,包括公用事业和分布式能源运营商、供应商、集成商、开发商以及政策制定者。
资料来源:https://industrialcyber.co/reports/doe-reports-on-cybersecurity-considerations-for-distributed-energy-resources-across-us-electric-grid/

7、美国NCCoE推出液化天然气(LNG)网络安全框架配置文件
10月17日,美国国家网络安全卓越中心(NCCoE)发布了为液化天然气(LNG)行业和支持LNG总体液化过程、运输和分配的附属功能开发的网络安全框架配置文件。LNG网络安全框架简介探讨了行业将其组织要求和目标、风险偏好和资源与网络安全框架核心的预期结果的独特一致性。
资料来源:https://industrialcyber.co/threats-attacks/nccoe-rolls-out-draft-lng-cybersecurity-framework-profile-to-supplement-existing-directives-calls-for-comments/

二、安全事件

印度能源公司Tata Power的IT基础设施受到网络攻击。研究人员发现CNC控制器易受到拒绝服务(DoS)、劫持和数据盗窃等攻击。Dragos发布2022年第三季度工业勒索软件分析报告。英特尔确认Alder Lake BIOS源代码泄露。物业管理公司SSKB遭受网络攻击,部分数据遭到泄露。
1、印度能源公司Tata Power的IT基础设施受到网络攻击
印度最大的综合电力公司Tata Power证实,它已成为网络攻击的目标。该公司在向印度国家证券交易所提交的一份文件中表示,对IT基础设施的入侵影响了“其部分IT系统”。它进一步表示,它已采取措施检索和恢复受影响的机器,并为面向客户的门户设置了安全边界,以防止未经授权的访问。
资料来源:https://techcrunch.com/2022/10/14/india-power-company-tata-power-cyber-attack/?&web_view=true

2、CNC设备存在安全风险
研究人员对Haas、Okuma、Heidenhain和Fanuc的CNC(Computer numerical control)控制器进行安全测试,发现CNC控制器易受到拒绝服务(DoS)、劫持和数据盗窃等攻击。研究人员表示,对制造过程有广泛了解的攻击者可能会控制CNC控制器,以错误配置其工具几何形状,从而导致生产的零件出现细微缺陷。
资料来源:https://www.trendmicro.com/en_us/research/22/j/uncovering-security-blind-spots-in-cnc-machines.html

3、Dragos发布2022年第三季度工业勒索软件分析报告

10月26日,Dragos发布了2022年第三季度工业勒索软件分析报告,报告指出勒索软件仍然是全球工业组织面临的最具威胁性的财务和运营风险之一。报告显示,在2022年第三季度,68%的勒索软件攻击针对制造业,9%的攻击针对食品和饮料行业,石油和天然气行业受到6%的攻击,能源和制药行业受到10%的攻击,运输行业受到3%的攻击,化学、采矿、工程以及水和废水系统部门分别受到1%的攻击。
资料来源:https://www.dragos.com/blog/industry-news/dragos-industrial-ransomware-analysis-q3-2022/

4、英特尔确认Alder Lake BIOS源代码泄露
芯片制造商英特尔已证实,与其Alder Lake CPU相关的专有源代码已被泄露,此前未知第三方在4chan和GitHub上发布了该源代码。发布的内容包含Alder Lake的统一可扩展固件接口(UEFI )代码,还包括大量文件和工具,其中一些似乎来自固件供应商Insyde Software。英特尔表示,此次泄漏并未暴露任何新的安全漏洞。
资料来源:https://thehackernews.com/2022/10/intel-confirms-leak-of-alder-lake-bios.html

5、物业管理公司SSKB遭受网络攻击
10月27日,澳大利亚物业管理公司SSKB发布安全公告,披露了网络攻击事件。公告中指出,攻击者未经授权访问了SSKB的IT环境,下载了一些信息并在暗网上发布了赎金要求。据《澳大利亚人报》报道,攻击者声称从SSKB窃取了200GB的数据,包括建筑项目数据、客户财务信息、管理信函、合同和协议。
资料来源:https://www.itnews.com.au/news/australian-strata-company-sskb-breached-587093

三、漏洞态势

西门子和施耐德修复其产品中的多个漏洞,部分漏洞可导致任意代码执行。Horner PLC软件存在7个远程代码执行漏洞。CISA发布多项工业控制系统公告。
1、西门子修复其产品中的24个漏洞
10月11日,西门子发布了15条公告,涵盖了24个漏洞。其中最严重的漏洞CVE-2022-38465与未正确保护的全局加密密钥有关。威胁行为者可以对单个Siemens PLC发起离线攻击,并获得一个私钥,可以用来破坏整个产品线。然后,攻击者可以获得敏感的配置数据或发起中间人(MitM)攻击,使他们能够读取或修改PLC与其连接的HMI和工程工作站之间的数据。
资料来源:https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-electric-release-19-new-security-advisories

2、施耐德修复其产品中的12个漏洞
10月11日,施耐德发布了四项新公告,修复了12个漏洞。在EcoStruxure Operator Terminal Expert和Pro-face BLUE产品中发现了六个高危任意代码执行漏洞。EcoStruxure Power Operation和Power SCADA Operation软件存在一个漏洞,可能导致数据泄露、设置被更改或造成中断。EcoStruxure Panel Server Box受到可被用于任意写入和DoS攻击的中、高危漏洞的影响。SAGE RTU产品使用的第三方ISaGRAF Workbench软件存在三个中危漏洞,可能导致任意代码执行或权限提升。
资料来源:https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-electric-release-19-new-security-advisories

3、Horner PLC软件存在7个远程代码执行漏洞
研究人员在Horner Automation的Cscape PLC软件中发现了7个高危远程代码执行漏洞。这些漏洞被描述为基于堆的缓冲区溢出、越界读/写以及与应用程序解析字体时用户提供的数据验证不当有关的未初始化指针问题。攻击者可以利用这些漏洞通过让用户打开特制字体文件来在当前进程的上下文中执行任意代码。
资料来源:https://www.securityweek.com/several-horner-plc-software-vulnerabilities-allow-code-execution-malicious-font-files

4、CISA警告Advantech和Hitachi存在影响工业设备的严重漏洞
美国网络安全和基础设施安全局(CISA)10月18日发布了两项工业控制系统(ICS)公告,涉及研华R-SeeNet和日立能源APM Edge设备的严重漏洞。R-SeeNet监控解决方案中的三个漏洞,可能导致未经授权的攻击者远程删除系统上的文件或允许远程执行代码。更新了Hitachi变压器资产性能管理(APM) Edge于2021年12月2日发布的公告,新增了29个影响1.0、2.0和3.0版本的漏洞。
资料来源:https://www.cisa.gov/uscert/ncas/current-activity/2022/10/18/cisa-releases-two-industrial-control-systems-advisories

5、CISA发布八项工业控制系统公告
10月25日,CISA(美国网络安全和基础设施安全局)发布了八项ICS(工业控制系统)公告,其中一项涉及AliveCor KardiaMobile医疗设备,剩余七项涉及西门子、日立能源、江森自控、台达电子、哈斯和海德汉工业控制系统设备。
资料来源:https://www.cisa.gov/uscert/ncas/current-activity/2022/10/25/cisa-releases-eight-industrial-control-systems-advisories

四、产品方案

Dragos、Sentar和Siemens Government Technologies共同推出国防关键OT网络和资产解决方案。Radiflow和Allied Telesis共同推出OT/ICS威胁遏制和预防解决方案。Radiflow与ST Engineering加强OT网络分段解决方案。Open Systems推出MDR+IoT。
1、Dragos、Sentar和Siemens Government Technologies共同推出国防关键OT网络和资产解决方案
Dragos、Sentar和Siemens Government Technologies共同开发了一种国防关键OT网络和资产解决方案,以足够的粒度为国防关键任务关键资产在网络空间中与任务相关的地形进行完整映射,以实现任务线程分析和态势感知。为了提供OT监控和缓解,该解决方案侧重于四个关键层,包括网络任务线程分析、强化和安全控制系统、基于MOSAICS的持续监控以及实时网络安全检测和缓解。
资料来源:https://www.dragos.com/blog/industry-news/achieving-real-time-ot-monitoring-and-mitigation-with-dragos-sentar-and-siemens-government-technologies/

2、Radiflow和Allied Telesis共同推出OT/ICS威胁遏制和预防解决方案
连接解决方案提供商Allied Telesis与OT / ICS网络安全解决方案提供商Radiflow10月18日推出联合解决方案,该联合解决方案以Allied Telesis的Self-Defending Network为基础,使公司能够在整个网络遭到破坏之前快速检测和隔离可疑操作。通过利用Radiflow IDS的OT特定异常和威胁检测功能,新解决方案扩展了自动化网络安全响应以覆盖ICS/OT网络。
资料来源:https://www.alliedtelesis.com/hk/en/press/adiflow-and-allied-telesis-partner-enhance-threat-containment-prevention-ot-ics-environments

3、Radiflow与ST Engineering合作推出OT网络分段解决方案
OT网络安全供应商Radiflow与ST Engineering合作,通过区域安全方法和工具保护OT设施,以管理新新加坡CCOP v2标准的合规性。该技术使OT网络保持分段,在发生违规行为时隔离攻击者。
资料来源:https://industrialcyber.co/vendor/radiflow-st-engineering-strengthen-ot-network-segmentation-and-compliance-for-ccop-v2-standard/

4、Open Systems推出MDR+IoT
Open Systems推出MDR+IoT,以保护物联网(IoT)和运营技术(OT)应用中使用的相关设备。MDR+IoT通过使用Microsoft Defender for IoT从IoT和OT设备提取遥测数据,然后将IoT、OT和IT环境中的警报关联起来,以获得最大的可见性和保护。
资料来源:https://www.helpnetsecurity.com/2022/10/27/open-systems-mdr-iot/

五、融资并购

OT零信任访问解决方案供应商Cyolo获IBM投资,帮助实现数字业务的身份验证现代化。Perygee融资475万美元,以保护易受攻击的IoT和OT设备。
1、OT零信任访问解决方案供应商Cyolo获IBM投资
面向IT和OT的基于身份的零信任访问解决方案供应商Cyolo10月12日宣布了IBM Ventures的一项新投资。Cyolo的下一代零信任网络访问解决方案(ZTNA2.0)使所有用户(包括员工、第三方以及远程和现场工作人员)能够通过现代基于身份的访问无缝、安全地连接到他们的工作环境。
资料来源:https://cyolo.io/cyolo-receives-investment-from-ibm-ventures-for-zero-trust-secure-access-platform/

2、Perygee完成475万美元融资
Perygee融资475万美元,以保护易受攻击的IoT和OT设备。Perygee是一个轻量级的综合平台,它可以整合现有的和解锁新的IoT/OT数据,以最快的时间内为所有组织自动执行正确的安全操作。Perygee平台通过统一数据、保护资产和自动化关键任务工作流来提高运营效率。
资料来源:https://perygee.com/posts/4-perygee-seed-round/