工业网络安全“情报解码”-2022年第50期

工业网络安全“情报解码”-2022年第50期

时间:2022-12-17 作者:安帝科技

本期摘要

政策法规方面,国家能源局印发《电力行业网络安全管理办法》,为规范电力行业网络安全工作。国家能源局印发《电力行业网络安全等级保护管理办法》,以提高电力行业网络安全保障能力和水平。工信部印发《工业和信息化领域数据安全管理办法(试行)》,为规范工业和信息化领域数据处理活动。NERC发布安全集成战略,旨在将网络和物理安全集成到电网规划、设计和运营中。欧盟委员会发布《关于欧盟-美国数据隐私框架的充分性决定草案》,以促进跨大西洋的数据流动。

漏洞态势方面,研究人员开发COVID-bit攻击方法,可使用电磁波从气隙系统中窃取数据。FortiOS SSL-VPN中存在缓冲区溢出漏洞,可能允许未经身份验证的远程攻击者通过特制请求执行任意代码或命令。Citrix修复Citrix ADC和Citrix Gateway中的任意代码执行漏洞,该漏洞可能允许未经身份验证的远程攻击者在设备上执行任意代码。研究人员在多伦多Pwn2Own上发现63个零日漏洞,共取得收入989,750美元。

安全事件方面,Microsoft发布《IT和OT的融合:关键基础设施的网络风险正在上升》,提供了关于融合IT、IoT和OT系统给关键基础设施带来的更广泛风险的新见解。攻击者在论坛上发布了从Uber和Uber Eats窃取的数据,Uber表示这与第三方供应商的安全漏洞有关。InfraGard成员的联系信息数据库在Breached论坛上被公开出售,FBI表示正在积极调查此事。NIST宣布SHA-1算法应在2030年12月31日前逐步淘汰,以支持更安全的SHA-2和SHA-3算法。

产品技术方面,Stellar Cyber和Deep Instinct集成,以帮助企业识别威胁。Strata Identity与HYPR合作,以帮助组织采用无密码MFA。

并购融资方面,Veracode收购Crashtest Security,以提高Web应用程序安全性。

1.国家能源局印发《电力行业网络安全管理办法》
12月12日,国家能源局印发《电力行业网络安全管理办法》,为加强电力行业网络安全监督管理,规范电力行业网络安全工作。办法明确,电力企业是本单位网络安全的责任主体,负责本单位的网络安全工作。电力企业主要负责人是本单位网络安全的第一责任人。电力企业应当建立健全网络安全管理、评价考核制度体系,成立工作领导机构,明确责任部门,设立专职岗位,定义岗位职责,明确人员分工和技能要求,建立健全网络安全责任制。
资料来源:http://zfxxgk.nea.gov.cn/2022-11/16/c_1310683235.htm

2.国家能源局印发《电力行业网络安全等级保护管理办法》
12月12日,国家能源局印发《电力行业网络安全等级保护管理办法》,为规范电力行业网络安全等级保护管理,提高电力行业网络安全保障能力和水平。办法明确,电力企业在网络规划、建设、运营过程中,应当遵循同步规划、同步建设、同步使用的原则,并按照该网络的安全保护等级要求,建设网络安全设备设施,制定并落实安全管理制度,健全网络安全防护体系。
资料来源:http://zfxxgk.nea.gov.cn/2022-11/16/c_1310683245.htm

3.工信部印发《工业和信息化领域数据安全管理办法(试行)》
12月13日,工信部印发《工业和信息化领域数据安全管理办法(试行)》,为规范工业和信息化领域数据处理活动,加强数据安全管理和保障数据安全。办法明确,工业和信息化领域数据包括工业数据、电信数据和无线电数据等。工业数据是指工业各行业各领域在研发设计、生产制造、经营管理、运行维护、平台运营等过程中产生和收集的数据。电信数据是指在电信业务经营活动中产生和收集的数据。无线电数据是指在开展无线电业务活动中产生和收集的无线电频率、台(站)等电波参数数据。
资料来源:https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2022/art_e0f06662e37140808d43d7735e9d9fd3.html

4.NERC发布安全集成战略
12月13日,北美电力可靠性公司(NERC)发布了安全集成战略,旨在将网络和物理安全集成到电网规划、设计和运营中。该战略侧重于风险识别和验证、确定优先级以及开发可能的缓解措施,进一步概述了电力可靠性组织(ERO)的优先事项,以通过与电力部门利益相关者的合作来加强安全集成。NERC安全集成战略的原则可以映射到NERC风险框架,该框架指导ERO确定风险的优先级,并为ERO政策、程序和过程的应用提供指导,以告知资源分配和项目优先级,以减轻这些风险。
资料来源:https://g.yam.com/ZvaaO

5.《关于欧盟-美国数据隐私框架的充分性决定草案》发布
12月13日,欧盟委员会发布《关于欧盟-美国数据隐私框架的充分性决定草案》,以促进跨大西洋的数据流动,并解决欧盟法院在其2020年7月的Schrems II决定中提出的担忧。充分性决定草案的结论是,美国确保了对从欧盟转移到美国的个人数据的充分保护水平。这是基于对数据隐私框架本身及其对公司的义务的深入评估,以及对美国公共当局访问转移到美国的数据的限制和保障措施,特别是为刑事执法和国家安全目的。
资料来源:https://www.secrss.com/articles/50011

6.COVID-bit攻击可窃取气隙系统中数据
研究人员开发了名为COVID-bit的新攻击方法,可使用电磁波从气隙系统中窃取数据。研究人员首先编写了一个以特定方式调节CPU负载和核心频率的恶意程序,使气隙系统上的电源在低频段(0–48 kHz)。电磁波可以携带原始数据的payload,随后是表示传输开始的8位strain。使用笔记本电脑或智能手机可以捕获传输的信息,通过降噪过滤和解析原始数据,最终获取了气隙系统中的数据。
资料来源:https://www.bleepingcomputer.com/news/security/air-gapped-pcs-vulnerable-to-data-theft-via-power-supply-radiation

7.FortiOS SSL-VPN存在缓冲区溢出漏洞
12月12日,Fortinet发布安全公告称,FortiOS SSL-VPN中存在基于堆的缓冲区溢出漏洞。该漏洞跟踪为CVE-2022-42475,CVSS评分9.3,可能允许未经身份验证的远程攻击者通过特制请求执行任意代码或命令。Fortinet警告该漏洞已被积极利用进行攻击,建议所有用户更新FortiOS至最新版本以修复漏洞。
资料来源:https://www.fortiguard.com/psirt/FG-IR-22-398

8.Citrix修复ADC和Gateway中的任意代码执行漏洞
12月13日,Citrix修复了Citrix ADC和Citrix Gateway中的任意代码执行漏洞。该漏洞跟踪为CVE-2022-27518,CVSS评分9.8,可能允许未经身份验证的远程攻击者在设备上执行任意代码。Citrix称已经检测到利用此漏洞的针对性攻击活动,建议客户尽快安装更新。
资料来源:https://support.citrix.com/article/CTX474995/citrix-adc-and-citrix-gateway-security-bulletin-for-cve202227518

9.黑客在多伦多Pwn2Own上发现63个零日漏洞
在12月6日至12月9日的Pwn2Own Toronto 2022竞赛中,参赛选手发现了63零日漏洞,共取得收入989,750美元。26个团队和安全研究人员将目标锁定在手机、家庭自动化集线器、打印机、无线路由器、网络附加存储和智能扬声器类别中的设备,所有这些设备都是最新的并且处于默认配置。在整个比赛过程中,参赛选手成功演示了针对多家供应商设备中的零日漏洞的攻击,包括佳能、惠普、西部数据和TP-Link等。
资料来源:https://www.bleepingcomputer.com/news/security/hackers-earn-989-750-for-63-zero-days-exploited-at-pwn2own-toronto/

10.Uber在供应商受到攻击后遭受数据泄露
12月10日,名为“UberLeaks”的攻击者在论坛上发布了从Uber和Uber Eats窃取的数据,泄露的数据包括源代码、IT资产管理报告、数据销毁报告、Windows域登录名以及其他企业信息。Uber表示论坛上泄露的源代码是由Teqtivity创建的,用于管理Uber的服务。Teqtivity于12月12日发布公告称,攻击者访问了为其客户存储数据的Teqtivity AWS备份服务器。
资料来源:https://g.yam.com/d2NTl

11.InfraGard的用户信息数据库在暗网上出售
12月10日, InfraGard的80000多名成员的联系信息数据库在Breached论坛上被公开出售。
InfraGard是美国联邦调查局(FBI)运行的一个项目,旨在与私营部门建立网络和物理威胁信息共享合作关系。FBI表示正在积极调查此事,目前无法提供任何额外信息。
资料来源:https://krebsonsecurity.com/2022/12/fbis-vetted-info-sharing-network-infragard-hacked/

12.NIST淘汰SHA-1加密算法
12月15日,美国国家标准与技术研究院(NIST)发布公告称,SHA-1应在2030年12月31日前逐步淘汰,以支持更安全的SHA-2和SHA-3算法。NIST将在2030年12月31日之前停止在其最后剩余的指定协议中使用SHA-1,并计划发布FIPS 180-5(FIPS 180的修订版)以删除SHA-1规范、修订SP 800-131A和其他受影响的NIST出版物以反映SHA-1的撤回计划和创建并发布用于验证加密模块和算法的转换策略。
资料来源:https://www.nist.gov/news-events/news/2022/12/nist-retires-sha-1-cryptographic-algorithm

13.微软发布《IT和OT的融合:关键基础设施的网络风险正在上升》
12月14日,Microsoft发布了《IT和OT的融合:关键基础设施的网络风险正在上升》报告,提供了关于融合IT、物联网(IoT)和运营技术(OT)系统给关键基础设施带来的更广泛风险的新见解。数据显示,在过去几年许多组织采用的融合和互连的推动下,这些环境和网络中的攻击者数量激增。报告称,攻击者会破坏联网设备以获得对敏感关键基础设施网络的访问权限。
资料来源:https://g.yam.com/klk1E

14.Stellar Cyber和Deep Instinct集成,帮助企业识别威胁
Stellar Cyber和Deep Instinct集成使企业和MSSP客户可以轻松地使用Stellar Cyber Open XDR平台在整个攻击面提供Deep Instinct的防御功能。Deep Instinct利用深度学习的方法能够持续分析端点、服务器和其他网络资产,以检测和预防超过99%的潜在攻击。Stellar Cyber平台接收、规范化和分析Deep Instinct威胁数据以及所有其他收集的信息,以识别整个网络基础设施中的其他威胁,最终在界面中根据优先级显示事件。
资料来源:https://www.helpnetsecurity.com/2022/12/15/stellar-cyber-deep-instinct/

15.Strata Identity与HYPR合作,帮助组织采用无密码MFA资
Strata Identity和HYPR宣布建立合作伙伴关系,无需重写源代码即可将抗网络钓鱼多因素身份验证(MFA)添加到任何现代、遗留或自定义应用程序中。这种独特的能力是通过一个抽象层实现的,该抽象层将身份和身份验证与身份系统和应用程序分离,以提供最强级别的身份验证安全性。
资料来源:https://finance.yahoo.com/news/strata-identity-partners-hypr-accelerate-140400588.html

16.Veracode收购Crashtest Security
Veracode收购Crashtest Security,以提高Web应用程序安全性。Crashtest安全动态分析可用于分析基于JavaScript的应用程序、REST(表述性状态传输)API和传统Web应用程序,并通过集成到软件开发管道中来自动执行安全测试。Veracode将把Crashtest工具整合到其现有产品组合中,允许客户在两种产品中使用相同的登录凭据。
资料来源:https://sdc-channel.news/news/64741/veracode-acquires-crashtest-security