安帝速递|【工业网络安全月报2022年-02月】

安帝速递|【工业网络安全月报2022年-02月】

时间:2022-03-1 作者:安帝科技


2月,工信部深入落实保障工业领域数据安全的工作,多国针对自身网络安全情况,发布相关政策。多家安全公司发布2021年度报告,尽管不同报告的工控漏洞的数量不一,但均比去年明显上升,网络攻击事件也愈演愈烈。俄乌战争于24日爆发,值得注意的是,在此之前,欧洲多国“关基”企业已遭网络攻击,乌克兰国防部和银行遭严重攻击,这也凸显了“关基”在网络战中的重要性。西门子、施耐德等众多厂商本月仍在不断修复着其产品中的工控漏洞,工业网络依旧面临着严峻的考验。虽然安全形势不容乐观,但对工控安全的关注度也在提升,无论是技术动向,还是国内外的融资并购方面,都可见一斑。

一、政策扫描

工信部再次公开征求对《工业和信息化领域数据安全管理办法(试行)》的意见,不久后,工信部部署做好工业领域数据安全管理试点工作。美国国土安全部组建网络安全审查委员会,美国国土安全委员会的两名立法者提出了一项《加强美国网络安全法案》。英国政府发布了其“国防太空战略”,旨在加快太空领域的运作。新西兰政府通信安全局(GCSB)已建议政府机构引入漏洞披露政策。

1、工信部再次公开征求对《工业和信息化领域数据安全管理办法(试行)》的意见
近日,工信部发布再次公开征求对《工业和信息化领域数据安全管理办法(试行)》的意见公告。新版征求意见稿中提到,工业和信息化领域数据处理者应当对数据处理活动负安全主体责任,对各类数据实行分级防护。
资料来源:http://www.cww.net.cn/article?id=557537

2、工信部部署做好工业领域数据安全管理试点工作
工业和信息化部近日印发通知,部署做好工业领域数据安全管理试点工作,明确在辽宁等15个省(区、市)及计划单列市开展试点工作。要求各地工业和信息化主管部门认真学习贯彻《数据安全法》等法律法规、工业和信息化领域数据安全相关管理制度等要求,明确数据安全管理部门和负责人,指导本地区工业企业开展数据安全管理工作。
资料来源:https://mp.weixin.qq.com/s/u5qtJkkTpDgW2UnnBldHXQ

3、美国国土安全部组建网络安全审查委员会
美国国土安全部正在建立一个网络安全审查委员会,该委员会将在重大网络事件后召开会议,审查并采取行动。委员会旨在统一政府对网络事件的反应,例如打击关键基础设施所有者和运营商的网络事件。国土安全部部长或CISA 负责人可以发起CSRB会议。
资料来源:https://www.cyberscoop.com/cyber-safety-review-board-dhs-federal-register/

4、美议员提出《加强美国网络安全法案》
美国国土安全委员会的两名立法者提出了一项《加强美国网络安全法案》。该法案要求关键基础设施所有者和运营商以及民用联邦机构在遭受重大网络攻击时向网络安全和基础设施安全局(CISA)报告。
资料来源:https://industrialcyber.co/threats-attacks/new-bill-set-to-reinforce-efforts-to-secure-critical-infrastructure-federal-agencies-from-cyber-security-attacks/

5、英国推出“国防太空战略”
英国政府发布了其“国防太空战略”,旨在加快太空领域的运作。它阐述了英国政府作为太空领域全球参与者的“国防”愿景,并表达了其国防部(MOD)将如何通过与太空相关的能力、行动和伙伴关系来实现“保护和保卫目标”。
资料来源:https://industrialcyber.co/threats-attacks/uk-rolls-out-its-defence-space-strategy-to-bolster-national-interests-in-space/

6、新西兰政府推出漏洞披露政策
新西兰政府通信安全局(GCSB)已建议政府机构引入漏洞披露政策(VDP)。GCSB在其最新的安全手册中表示,各机构应建立一个流程,允许公众报告潜在的软件漏洞或其他安全问题。应在90天内修复、缓解或管理漏洞。
资料来源:https://portswigger.net/daily-swig/new-zealand-government-mandates-bug-reporting-process-for-federal-agencies?&web_view=true

二、安全事件

Claroty报告称,2021年80%的OT/ICS组织经历了勒索软件攻击。2月15日,乌克兰政府称国防部和银行网站遭DDoS攻击。英国外交部遭严重网络攻击,花费超46万英镑。德国主要石油储存公司Oiltanking GmbH Group遭到网络攻击,供应链也可能会中断。电信公司沃达丰葡萄牙遭网络攻击致全国服务中断,影响数百万人。物流巨头Expeditors International遭网络攻击,其全球系统中断。BlackByte勒索软件入侵美国关键基础设施,包括政府设施、金融以及食品和农业。美国国家标准与技术研究所(NIST)发布了关于确保软件供应链安全的最新指导。

1、Claroty报告称,2021年80%的OT/ICS组织经历了勒索软件攻击
工业网络安全供应商Claroty在一项调查中透露,80%的OT/ICS组织报告说,自新冠疫情开始以来,他们的安全预算已经增加且在去年经历了勒索软件攻击。此外,47%的人报告说勒索软件影响了他们的OT/ICS环境。
资料来源:https://industrialcyber.co/threats-attacks/claroty-reports-that-80-percent-of-ot-ics-organizations-experienced-a-ransomware-attack-last-year/

2、乌克兰政府称国防部和银行网站遭DDoS攻击
乌克兰战略通信和信息安全中心在2月15日向Facebook发布了一条消息,称银行和政府机构(包括国防部、内政部、武装部队)受到了“大规模”分布式拒绝服务(DDoS)网络攻击。乌克兰国防部在推特上表示,它“可能”成为了DDoS攻击的目标。
资料来源:https://www.cyberscoop.com/ukraine-banks-defense-ministry-ddos/

3、英国外交部遭严重网络攻击
路透社2月8日报道,根据英国政府网站上发布的招标文件,今年早些时候,英国外交部遭到了严重网络攻击。文件显示,英国外交和联邦事务部被迫召集BAE Systems Applied Intelligence处理这一事件,花费了467,326英镑(4,027,789人民币)。
资料来源:https://www.infosecurity-magazine.com/news/foreign-office-cybersecurity/

4、德国主要石油储存公司Oiltanking GmbH Group遭到网络攻击
1月29日,德国主要石油储存公司Oiltanking GmbH Group遭到网络攻击。此次网络攻击影响了Oiltanking以及矿物油贸易公司Mabanaft的IT系统。目前评估中断情况很严重,如果需要很长时间才能解决由攻击引起的IT问题,供应链也可能会中断。
资料来源:https://www.cyberscoop.com/major-german-fuel-storage-provider-hit-with-cyberattack-working-under-limited-operations/

5、电信公司沃达丰葡萄牙遭网络攻击致全国服务中断
电信公司沃达丰葡萄牙遭受网络攻击,导致全国服务中断,包括4G/5G数据网络、短信和电视服务中断。根据沃达丰葡萄牙首席执行官Mário Vaz的说法,这次袭击影响了数百万人、企业和公共服务,如救护车服务、消防部门和医院。
资料来源:https://www.cysecurity.news/2022/02/vodafone-portugal-services-were.html

6、物流巨头Expeditors International遭网络攻击
美国物流巨头Expeditors International 2月20日宣布,其全球系统因网络攻击而中断。该表示,它已经关闭了大部分操作系统,并在21日发布的更新中告知客户,其运营仍然受到影响。根据其对事件的简要描述,这可能是一次勒索软件攻击。
资料来源:https://www.securityweek.com/cyberattack-hits-global-operations-logistics-giant-expeditors-international/

7、BlackByte勒索软件入侵美国关键基础设施
美国联邦调查局(FBI)和美国特勤局(USSS)已发布网络安全公告,提供有关BlackByte勒索软件的技术细节。据称,截至去年11月,该集团已经损害了美国多家企业,涉及至少三个美国关键基础设施领域的实体,包括政府设施、金融以及食品和农业。
资料来源:https://industrialcyber.co/threats-attacks/fbi-usss-warns-about-blackbyte-ransomware-provide-associated-indicators-of-compromise/

8、NIST发布最新版软件供应链安全指导
美国国家标准与技术研究所(NIST)发布了关于确保软件供应链安全的最新指导,以响应拜登政府旨在加强国家网络安全的行政令。NIST建议美国企业采取一系列最起码的安全措施,包括统一软件供应链报告语言,并要求对软件使用和开发方面的安全实践进行证明。
资料来源:https://www.securitymagazine.com/articles/97082-nist-updates-software-supply-chain-security-guidance

三、漏洞态势

Dragos发布2021 ICS/OT安全报告,评估了1,703个ICS/OT通用漏洞披露(CVE)。Risk Based Security发布了其2021年漏洞报告,显示2021年披露的漏洞达到了28,695个。Sealevel公司的ICS设备存在严重漏洞,两个漏洞CVSS评分均为10.0。本月的周二补丁日(2月8日)西门子修复了其产品的27个漏洞,施耐德修复了其产品的20个漏洞。MXview工业网络管理软件中存在严重漏洞,使工业网络易受攻击。思科交换机网络操作系统发现高危漏洞。Airspan Networks Mimosa设备中存在严重漏洞。UEFI中的23个漏洞影响数百万台设备,包括ICS设备。

1、Dragos发布2021 ICS/OT安全报告
工业网络安全公司Dragos发布了“ICS/OT网络安全2021年度回顾”报告。报告称,Dragos已从包括独立研究人员、供应商和ICS-CERT在内的各种来源评估了1,703个ICS/OT通用漏洞披露(CVE),数量是2020年的两倍多。Dragos分析了2021年的工业安全趋势,汇总了来自各个行业的勒索软件数据。报告显示,制造业占所有勒索软件攻击的65%,食品和饮料以11%位居第二,运输业以8%位居第三。
资料来源:https://industrialcyber.co/threats-attacks/dragos-reports-rise-in-vulnerabilities-and-ransomware-as-ics-ot-systems-digitally-transform/

2、2021年披露的漏洞高达28695个
Risk Based Security 2月14日发布了其2021年漏洞报告,报告显示2021年披露的漏洞达到了刷新纪录的28,695个,与2020年披露的23,269个相比有了显著增加。2021年发现漏洞最多的产品,前10名主要为Linux发行版,最大的变化是不包括任何版本的Windows。
资料来源:https://www.securityweek.com/over-28000-vulnerabilities-disclosed-2021-report

3、Sealevel公司的ICS设备存在严重漏洞
思科研究人员发现Sealevel公司SeaConnect370W WiFi连接的边缘设备中存在严重漏洞。其中最严重的是三个缓冲区溢出漏洞CVE-2021-21960、CVE-2021-21961和CVE-2021-21962,前两个漏洞CVSS评分均为10.0。攻击者可以利用这些漏洞在易受攻击的设备上实现远程代码执行。
资料来源:https://www.securityweek.com/critical-vulnerabilities-found-sealevel-device-used-ics-environments

4、西门子修复其产品的27个漏洞
西门子2月8日发布了9条针对27个漏洞的公告。其中最严重的是CVE-2021-45106。这个与硬编码凭证相关的漏洞暴露了与SICAM TOOLBOX II工程解决方案相关的数据库。另一份公告描述了三个高危拒绝服务(DoS)漏洞,未经身份验证的远程攻击者可以利用这些漏洞对某些西门子可编程逻辑控制器(PLC)和相关产品发起拒绝服务(DoS)攻击。
资料来源:https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-electric-address-nearly-50-vulnerabilities

5、施耐德修复其产品的20个漏洞
施耐德电气2月8日发布了六份报告,描述了20个漏洞。在用于监视和控制工业过程的交互式图形SCADA系统(IGSS)中发现了总共8个漏洞,其中不乏高危漏洞。这些漏洞可能导致远程代码执行、数据泄露以及对SCADA系统失去控制。
资料来源:https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-electric-address-nearly-50-vulnerabilities

6、Moxa MXview漏洞使工业网络遭受攻击
Claroty的研究人员在Moxa的MXview工业网络管理软件中发现了5个漏洞,包括1个CVSS评分10.0,2个CVSS评分9.8的严重漏洞。Moxa MXview是一个基于Web的网络管理系统,用于配置、监控和诊断工业网络中的网络设备。攻击者可以通过链接这些漏洞来利用未修补的Moxa服务器来获实现远程代码执行,获取管理员访问权限。
资料来源:https://www.securityweek.com/moxa-mxview-vulnerabilities-expose-industrial-networks-attacks

7、思科交换机网络操作系统发现高危漏洞
思科已发布软件更新以修复其软件中的四个安全漏洞,这些漏洞可能被恶意行为者武器化以控制受影响的系统。其中最严重的漏洞是CVE-2022-20650(CVSS评分8.8),成功的利用可能允许攻击者在底层操作系统上以root权限执行任意命令。
资料来源:https://thehackernews.com/2022/02/new-flaws-discovered-in-ciscos-network.html

8、Airspan Networks Mimosa设备中存在严重漏洞
Airspan Networks Mimosa设备中存在多个漏洞,其中3个漏洞CVSS评分10.0,这些漏洞可能被滥用以获取远程代码执行、创建拒绝服务(DoS)条件,并获取敏感信息。Airspan Network的Mimosa产品线为服务提供商、工业和政府运营商提供混合光纤-无线(HFW)网络解决方案。
资料来源:https://thehackernews.com/2022/02/cisa-warns-of-critical-vulnerabilities.html

9、UEFI中的23个漏洞影响数百万台设备
固件安全公司Binarly的研究人员在全球最大的设备制造商使用的UEFI固件代码中发现了23个漏洞,这23个高危漏洞可能会影响数百万台企业设备,例如笔记本电脑、服务器、路由器、网络设备、工业控制系统 (ICS) 和边缘计算设备。
资料来源:https://www.securityweek.com/two-dozen-uefi-vulnerabilities-impact-millions-devices-major-vendors

四、技术动向

Shadowserver基金会宣布将每天扫描在TCP 502端口上使用Modbus工业通信协议的暴露服务,以帮助保护ICS。SynSaber为OT环境推出手掌大小的威胁传感器,以检测潜在威胁。新加坡将为关键基础设施进行量子安全网络试验,通过专门的硬件和新的加密算法来应对量子计算的威胁。GitHub新的基于机器学习的代码扫描分析功能以发现更多漏洞。

1、Shadowserver开始进行日常扫描以帮助保护ICS
Shadowserver基金会宣布,它已开始进行每日互联网扫描,以识别暴露的工业控制系统(ICS)并帮助组织减少遭受攻击的风险。Shadowserver扫描在TCP 502端口上使用Modbus工业通信协议的暴露服务。他们还表示,计划在不久的将来引入许多其他ICS和操作技术(OT)协议扫描。
资料来源:https://www.securityweek.com/shadowserver-starts-conducting-daily-scans-help-secure-ics

2、SynSaber为OT环境推出手掌大小的威胁传感器
工业资产和网络监控解决方案提供商SynSaber宣布其产品全面上市,这是一种小型设备,使组织能够了解其运营技术(OT)环境并检测潜在威胁。该公司将其产品SynSaber1.0描述为与供应商无关的手掌大小的威胁传感器,可以托管在现有基础设施上,包括边缘设备和DIN导轨。
资料来源:https://www.securityweek.com/synsaber-launches-palm-sized-threat-sensor-ot-environments

3、新加坡将为关键基础设施进行量子安全网络试验
新加坡的量子工程计划(QEP)在2月17日的一份声明中表示,量子安全通信技术的全国性试验旨在为关键基础设施和处理敏感数据的公司提供强大的网络安全性。量子安全通信技术可以保护政府的通信系统、能源网等关键基础设施以及在医疗保健和金融等领域处理敏感数据的公司。
资料来源:https://www.zdnet.com/article/singapore-to-build-quantum-safe-network-for-critical-infrastructure-trials/

4、GitHub推出代码扫描功能以发现更多漏洞
代码托管平台GitHub 2月17日推出了新的基于机器学习的代码扫描分析功能,可以在最终投入生产之前自动发现更常见的安全漏洞。在beta测试期间,代码扫描功能被用于扫描超过12,000个存储库140万次,发现了超过20,000个安全漏洞,包括远程代码执行(RCE)、SQL注入和跨站点脚本(XSS)漏洞。
资料来源:https://www.bleepingcomputer.com/news/security/github-code-scanning-now-finds-more-security-vulnerabilities/

五、融资并购

工业互联网平台厂商东华博泰获近亿元A轮融资。物联网安全厂商信长城完成1000万元B++轮融资。物联网安全厂商物盾安全获得天使轮融资。全栈式物联网平台纵行科技获得数亿人民币B+轮融资。OT安全公司Shift5融资5000万美元。Forescout收购医疗网络安全提供商CyberMDX。

1、工业互联网平台厂商东华博泰获近亿元A轮融资
东华博泰完成1亿人民币A轮融资。东华博泰长期耕耘于能源领域,为能源电力产业提供先进的工业互联网平台、产品及解决方案等。本轮融资将主要用于Avatar工业互联网系列产品的持续升级及业务拓展,协助更多能源企业客户加速数字化转型。
资料来源:https://mp.weixin.qq.com/s/QEryj4uMtVc27ahHhgQcFQ

2、物联网安全厂商信长城完成1000万元B++轮融资
信长城是一家物联网安全服务提供商,致力于以密码学技术创新应用重建物联网安全,推出了适用于物联网复杂应用环境的积木化安全产品组件,推动物联网安全行业迅速发展。目前,公司已获得数十项密码行业资质证书、数百项知识产权证书。安全方案和产品主要落地于车联网、安防监控、工业互联网、智慧城市、智慧园区等应用场景。
资料来源:https://mp.weixin.qq.com/s/vU7-NMRZq2zxRW_yKEdF_A

3、物联网安全厂商物盾安全获得天使轮融资
物盾安全以智能电力物联网安全为入口,聚焦物联网边缘侧安全领域,以零信任为核心理念,致力于解决“物联网+边缘计算”场景下的安全问题,实现工业互联网中“最后一公里”的安全管控。物盾安全率先探索出了行业内首个完整的针对物联网边缘侧的零信任安全防护方案,并成功研发了“物安盾安全防护系统”。
资料来源:https://mp.weixin.qq.com/s/Iv1wFWi3ktICZSi0pHvEEw

4、全栈式物联网平台纵行科技获得数亿人民币B+轮融资
纵行科技是全栈式物联网技术和应用服务平台,致力于成为物联网产业的赋能者。基于拥有国内唯一全栈国产化的LPWAN物联网通信技术ZETA,纵行科技具备从通信硬件、无线协议、算法到软件平台的端到端研发能力,并以此输出物联网产品及解决方案。
资料来源:https://www.36kr.com/p/1625926816593412

5、OT安全公司Shift5融资5000万美元
运营技术(OT)网络安全公司Shift5 2月8日宣布,它已在B轮融资中筹集了5000万美元,该公司致力于保护军事平台和关键交通系统免受网络攻击。它还为飞机、火车和武器系统提供保护,使其免受日益增加的网络物理威胁。
资料来源:https://www.eet-china.com/mp/a105525.html

6、网络安全公司Portnox融资2200万美元
云原生网络和端点安全解决方案提供商Portnox宣布在A轮融资中筹集2200万美元。这项投资将帮助公司扩大规模。Portnox提供了一个网络访问控制(NAC)平台,该平台提供身份验证、风险缓解和合规执行功能。该公司表示,其产品已被数百家公司使用。
资料来源:https://industrialcyber.co/threats-attacks/shift5-picks-up-50-million-funding-set-to-protect-planes-trains-weapon-systems-from-cyber-physical-threats/

7、Forescout收购医疗网络安全提供商CyberMDX
设备安全公司Forescout Technologies宣布已收购医疗网络安全公司CyberMDX,该公司提供保护医疗设备和临床网络的解决方案。Forescout表示,此次收购将加强其对跨IT、物联网、运营技术(OT)和医疗物联网(IoMT)设备的连接设备类型的开箱即用支持。
资料来源:https://www.securityweek.com/forescout-acquires-healthcare-cybersecurity-firm-cybermdx