安帝速递|【工业网络安全月报2022年-11月】

安帝速递|【工业网络安全月报2022年-11月】

时间:2022-12-01 作者:安帝科技

一、政策扫描

《信息安全技术 关键信息基础设施安全保护要求》国家标准和《工业互联网密码支撑标准体系建设指南》正式发布。全国信安标委发布关于征求国家标准《信息安全技术 关键信息基础设施网络安全应急体系框架》(征求意见稿)意见的通知。NCCoE推出混合卫星网络的网络安全配置文件。美国政府启动《化学品行动计划》。NIST发布工程可信安全系统指南的修订版。美国CISA更新《基础设施弹性规划框架》。美国政府问责局要求立即解决海上石油和天然气基础设施面临网络攻击的重大风险。
1、《信息安全技术 关键信息基础设施安全保护要求》国家标准发布
11月7日,市场监管总局、中央网信办、公安部网络安全局在京联合召开《信息安全技术 关键信息基础设施安全保护要求》国家标准发布宣贯会。标准提出了以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的关键信息基础设施安全保护3项基本原则。
资料来源:https://news.cctv.com/2022/11/08/ARTICvBpXFmr4NKPDN3vxSKx221108.shtml

2、《工业互联网密码支撑标准体系建设指南》正式发布
工业和信息化部商用密码应用推进标准工作组现正式发布《工业互联网密码支撑标准体系建设指南》。《指南》明确了工业互联网密码支撑标准体系建设思路及目标,提出密码应用共性、设备密码应用、控制系统密码应用、网络密码应用、边缘计算密码应用、平台密码应用、数据密码应用、密码行业应用、密码应用管理与支撑等九个方面的标准建设内容。
资料来源:https://mp.weixin.qq.com/s/XBSeFzjiKqjwQfguwwqouQ

3、国家标准《信息安全技术 关键信息基础设施网络安全应急体系框架》公开征求意见
11月17日,全国信息安全标准化技术委员会发布关于征求国家标准《信息安全技术 关键信息基础设施网络安全应急体系框架》(征求意见稿)意见的通知。标准给出了关键信息基础设施网络安全应急体系框架,包括机构设立、分析识别、应急预案、监测预警、应急处置、事后恢复与总结、事件报告与信息共享、应急保障、演练与培训。
资料来源:https://industrialcyber.co/critical-infrastructure/european-commission-proposes-draft-recommendations-to-build-resilience-of-eu-critical-infrastructure/

4、美国TSA对铁路运输公司发布新的网络安全要求
美国运输安全管理局(TSA)10月18日发布了一项网络安全指令,对指定的客运和货运铁路承运人进行监管,以通过注重基于绩效的措施来增强网络安全弹性。铁路承运人必须使用TSA提供的表格进行网络安全漏洞评估,并将表格提交给TSA。漏洞评估将包括评估当前的做法和活动,以解决IT和OT系统的网络风险。
资料来源:https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20221117111713&norm_id=20201104200013&recode_id=49437

5、NCCoE推出混合卫星网络的网络安全配置文件
美国国家网络安全卓越中心(NCCoE)发布了混合卫星网络(HSN)网络安全框架(CSF)配置文件的最终注释大纲,旨在确定一种评估HSN网络安全态势的方法,该态势提供的服务包括基于卫星的通信、定位、导航和授时(PNT)系统、遥感、天气监测和成像系统。
资料来源:https://industrialcyber.co/critical-infrastructure/nccoe-rolls-out-cybersecurity-profile-for-hybrid-satellite-networks/

6、美国CISA成立化工行业网络安全工作组
美国政府启动保护化工行业工控系统网络安全的《化学品行动计划》,要求化工行业依据该计划在未来100天内评估其当前网络安全实践。《化学品行动计划》呼吁将重点放在存在重大化学品泄漏危险的高风险化学品设施上,最终目标是支持整个化学品行业增强ICS网络安全。
资料来源:https://www.goupsec.com/news/9647.html

7、NIST发布工程可信安全系统指南的修订版
11月16日,美国国家标准与技术研究院(NIST)发布了工程可信安全系统指南的修订版,旨在推进系统工程,为有争议的操作环境开发可信赖的系统。标题为“工程可信安全系统”的NIST SP 800-160第1卷修订版1,构成了为工程可信安全系统建立原则、概念、活动和任务的基础。
资料来源:https://csrc.nist.gov/News/2022/guidance-on-engineering-trustworthy-secure-systems

8、美国CISA更新《基础设施弹性规划框架》
11月23日,美国网络安全与基础设施安全局(CISA)针对全国基础设施发布更新版指导文件《基础设施弹性规划框架》。新版《框架》可用于支持资本改善计划、风险缓解计划和其他规划文件以及资金申请,并引入了新工具关键基础设施识别数据集,可用于查找关于关键基础设施资产的公开信息。
资料来源:https://www.securityweek.com/cisa-updates-infrastructure-resilience-planning-framework

9、美国GAO要求立即解决海上石油和天然气基础设施面临网络攻击的重大风险
美国政府问责局(GAO)在一份新报告中指出,内政部应立即解决海上石油和天然气基础设施面临网络攻击的重大风险。根据对有关海上石油和天然气基础设施网络安全风险的联邦和行业报告的审查,以及相关BSEE文件和对官员的采访,GAO建议BSEE应立即制定和实施一项战略来解决海上基础设施风险。
资料来源:https://www.securityweek.com/us-offshore-oil-and-gas-infrastructure-significant-risk-cyberattacks

二、安全事件

Snatch声称入侵了军工企业供应商HENSOLDT France。澳大利亚国防通信服务遭到网络攻击。白宫召开国际勒索软件倡议峰会。Thales发布安全公告,表明IT系统没有遭受入侵。研究人员发现了针对印度国防人员的恶意Android程序包。美国新闻业遭遇大规模供应链攻击。
1、Snatch声称已入侵军工企业供应商HENSOLDT France
勒索软件组织Snatch声称已经入侵了法国公司HENSOLDT France。HENSOLDT是一家专门从事军事和国防电子产品的公司,主要为法国和国外的航空、国防、能源和运输部门提供电子解决方案、产品和服务。Snatch将该公司添加到其Tor泄漏站点,并发布了一份被盗数据的样本(94MB)作为攻击活动的证据。
资料来源:https://securityaffairs.co/wordpress/137886/cyber-crime/snatch-hensoldt-france-ransomware.html

2、澳大利亚国防通信服务遭到网络攻击
澳大利亚国防部助理部长表示,ForceNet服务遭到网络攻击,但到目前为止没有任何数据泄露。ForceNet是由国防部外部ICT供应商运营的,是澳大利亚军事和国防人员使用的通信平台。国防部发言人透露,他们正在检查受影响数据集的内容及其包含的个人信息,并已通知所有相关人员。
资料来源:https://www.reuters.com/technology/ransomware-hackers-hit-australian-defence-communications-platform-2022-10-31/

3、白宫召开国际勒索软件倡议峰会

美国协同其他36个国家,在华盛顿白宫举行了第二届国际勒索软件倡议(CRI)峰会,以研究如何更好地打击勒索软件攻击。会议计划建立基于自愿原则的国际反勒索软件工作组(ICRTF),开发跨部门工具和威胁情报交流网络,以提高预警能力,并整合政策和最佳实践框架。
资料来源:https://www.secrss.com/articles/48591

4、Thales否认遭受网络攻击
在勒索软件组织LockBit公布了与Thales有关的数据后,Thales于11月11日发布公告,表明IT系统没有遭受入侵。Thales通过合作伙伴在专用协作门户上的用户帐户确认了一个泄露途径,这导致了有限信息的泄露。
资料来源:https://www.thalesgroup.com/en/worldwide/group/press_release/thales-position-lockbit-30

5、Spymax RAT瞄准印度国防人员
11月7日,Cyfirma发布安全公告称,一款恶意的Android程序包一直以印度国防人员为目标,该攻击自2021年7月以来一直很活跃。当受害者安装恶意APK后,该应用程序会显示为一个与Adobe Reader相似的图标,它要求多种权限,包括存储、摄像头、麦克风和互联网。
资料来源:https://www.cyfirma.com/outofband/unknown-nation-based-threat-actor-using-android-rat-to-target-indian-defence-personnel-2/

6、美国新闻业遭遇大规模供应链攻击
研究人员发现攻击者入侵并操纵一家媒体公司的基础设施,在美国数百家新闻网站上部署SocGholish JavaScript恶意软件框架。这次供应链攻击背后的恶意团伙被命名为TA569,他们将恶意软件注入各新闻媒体网站加载的正常JavaScript文件中。该恶意JavaScript文件随后会安装SocGholish,后者会在网站上显示虚假更新警告,再利用伪装成浏览器更新但实为恶意软件有效载荷的文件感染网站访问者。
资料来源:https://www.bleepingcomputer.com/news/security/hundreds-of-us-news-sites-push-malware-in-supply-chain-attack/

三、漏洞态势

施耐德和西门子发布安全公告,修复其产品中的多个漏洞。Checkmk IT基础设施监控软件、ABB TotalFlow流量计算机和控制器、BMC固件和Boa Web服务器存在安全漏洞。
1、西门子和施耐德修复其产品中的多个漏洞
11月8日,施耐德发布了一项新的安全公告,修复了NetBotz安全和环境监测器中的三个漏洞。西门子发布了九项新的安全公告,涵盖了总共30个漏洞,其中三项安全公告描述了被评估为高危的漏洞。
资料来源:https://www.securityweek.com/ics-patch-tuesday-siemens-addresses-critical-vulnerabilities

2、Checkmk IT基础设施监控软件中存在多个漏洞
研究人员发现Checkmk IT基础设施监控软件中存在四个安全漏洞,包括两个高危漏洞和两个中危漏洞。这些漏洞可以被未经身份验证的远程攻击者链接在一起,以完全接管受影响的服务器。
资料来源:https://blog.sonarsource.com/checkmk-rce-chain-1/

3、ABB TotalFlow流量计算机和控制器中存在路径遍历漏洞
11月8日,Claroty发布报告指出,石油和天然气组织机构使用的一个系统中存在高危漏洞(CVE-2022-0902,CVSS评分8.1),可被攻击者用于注入并执行任意代码。该漏洞是位于ABB Totalflow流量(flow)计算机和远程控制器中的一个路径遍历漏洞,攻击者可利用该漏洞在ABB流量计算机上获得访问权限、读写文件,并远程执行代码。
资料来源:https://claroty.com/team82/research/an-oil-and-gas-weak-spot-flow-computers

4、航天器网络中存在安全漏洞
研究人员发现航天器网络中存在安全漏洞,该漏洞可能导致为航天器提供动力的系统出现故障。研究人员发现TTE(时间触发以太网)容易受到欺骗攻击,入侵者可以通过铜以太网电缆向网络交换机进行电磁干扰,从而发送伪造的同步消息,从而在交换机的活动中创建一个“间隙”,让虚假数据滑过。随着时间的推移,TTE设备将失去同步并且行为不稳定。
资料来源:https://www.engadget.com/nasa-u-mich-spacecraft-tte-security-vulnerability-180011765.html?src=rss

5、OT、IoT设备中的BMC固件存在超危漏洞
Nozomi Networks研究人员在用于OT和IoT设备的底板管理控制器(BMC)固件中发现了13个漏洞,其中包括五个可被利用以执行任意代码的超危漏洞。Nozomi详细介绍了其中的两个,一个中危访问控制漏洞和一个超危命令注入漏洞,未经身份验证的攻击者可将其链接起来,以在BMC上以root权限实现远程代码执行。
资料来源:https://www.securityweek.com/bmc-firmware-vulnerabilities-expose-ot-iot-devices-remote-attacks

6、Boa Web服务器中的漏洞被用于破坏能源组织
微软发现自2005年以来停用的Boa Web服务器的安全漏洞已被用于针对和危害能源部门的组织。Boa是用于登录和访问IoT设备管理控制台的组件之一。微软表示,全球单周内在线检测到超过100万个暴露于互联网的Boa服务器组件。Boa服务器受到多个已知漏洞的影响,包括任意文件访问(CVE-2017-9833)和信息泄露(CVE-2021-33558)。
资料来源:https://www.bleepingcomputer.com/news/security/hackers-breach-energy-orgs-via-bugs-in-discontinued-web-server/

四、产品方案

Network Perception和Check Point Software Technology合作,以加强OT防火墙环境的安全性。Swimlane推出OT安全自动化解决方案生态系统。Device Authority发布KeyScaler 7.0。
1、Network Perception和Check Point Software Technology合作加强OT防火墙环境的安全性
Check Point提供安全基础设施,而Network Perception的NP-View平台通过提供合规性验证和网络安全可见性来保护关键资产,从而实现安全态势的持续验证和可视化。Network Perception和Check Point Software Technologies集成,可以确保正确配置和持续验证OT防火墙环境以保护关键资产。
资料来源:https://www.helpnetsecurity.com/2022/11/03/network-perception-check-point/

2、Swimlane推出OT安全自动化解决方案生态系统
11月14日,安全自动化供应商Swimlane宣布形成一个运营技术(OT)安全自动化解决方案生态系统,旨在满足关键基础设施环境中的OT和IT安全需求。Swimlane与1898 & Co.、Nozomi Networks和Dataminr建立了合作关系和集成,以提供融合的安全编排和自动化,保护OT和网宇实体系统。
资料来源:https://industrialcyber.co/vendor/swimlane-forms-ot-security-automation-solution-ecosystem-with-1898-co-nozomi-networks-dataminr/

3、Device Authority发布KeyScaler 7.0
11月15日,Device Authority发布KeyScaler 7.0。KeyScaler 7.0为复杂的边缘环境和供应链带来了设备和数据信任、合规性和自动化,扩展了零信任功能以保护IT和OT环境。KeyScaler 7.0的改进包括为边缘环境提供自动化身份生命周期管理的KeyScaler Edge,以及支持持续验证设备的新授权服务连接器。
资料来源:https://www.deviceauthority.com/blog/this-aint-no-ordinary-product-release/

五、融资并购

西门子收购Avery Design Systems,以扩展其集成电路验证产品。SASE安全厂商亿格云获近亿元A轮融资,致力为企业打造零信任的网络安全解决方案。Wib筹集1600万美元投资,以解决API安全问题。BOXX Insurance收购Templarbit,以加强对企业的网络风险保护。
1、西门子收购Avery Design Systems
11月2日,西门子宣布已签署协议,收购验证IP供应商Avery Design Systems。西门子计划将Avery Design Systems的技术添加到Siemens Xcelerator产品中,作为其电子设计自动化(EDA)集成电路(IC)验证产品套件的一部分。
资料来源:https://g.yam.com/p0XWB

2、SASE安全厂商亿格云获近亿元A轮融资
亿格云是一家零信任企业网络安全解决方案提供商,公司主要为企业提供更简单、安全、稳定的安全办公一体化解决方案,致力为企业打造零信任的网络安全解决方案。亿格云科技自主研发的零信任SASE产品——亿格云枢平台,提供零信任安全访问、终端安全防护(XDR)、数据安全防护(XDLP)、全球应用加速的一站式办公安全解决方案。近日完成A轮近亿元融资。
资料来源:https://news.pedaily.cn/202211/504227.shtml

3、Wib筹集1600万美元投资以解决API安全问题
Wib筹集1600万美元,将用于增强Wib整体API安全平台。Wib的整体API安全平台通过在API生命周期的每个阶段提供严格的实时检查、管理和控制,Wib可以自动化库存和API变更管理;识别流氓、僵尸和影子API并分析业务风险和影响,帮助组织减少和强化API攻击面。
资料来源:https://g.yam.com/dPBtc

4、BOXX Insurance收购Templarbit资
BOXX Insurance收购了Templarbit,Templarbit是一个让企业更轻松地在数字威胁领域保持领先的网络威胁情报平台。Templarbit建立了先进的技术,当公司的平台识别出黑客可以利用的网络漏洞时,它会向公司发出警报。该平台自动发现、分类和分析组织的整个数字资产格局、每种数字资产的独特风险状况以及数字资产受到损害时可能产生的实际业务成本。
资料来源:https://g.yam.com/UQzho