安全月报-9月
时间:2021-10-01 作者:安帝科技
一、政策扫描
-
工业和信息化部发布《关于加强车联网网络安全和数据安全工作的通知》。国家标准《重要数据识别指南》正在按程序编制,征求意见稿已经完成,即将征求社会意见。工信部公开征求对《网络产品安全漏洞收集平台备案管理办法(征求意见稿)》的意见。美国白宫发布关于零信任战略新的指导意见,正在大力推动各机构采用零信任的网络安全架构。美国石油协会发布新版管道网络安全标准,该版本涵盖了所有控制系统。
- 1. 工信部:加强车联网网络安全和数据安全工作
- 2. 《重要数据识别指南》(征求意见稿)全文首度公开
- 3. 工信部公开征求对《网络产品安全漏洞收集平台备案管理办法(征求意见稿)》的意见
- 4. 美国白宫发布关于“零信任”安全方法的联邦网络战略计划
- 5. 美国石油协会发布新版管道网络安全标准
- 1.美国休斯顿港遭网络攻击
- 2.曼谷航空公司的200GB数据遭泄露
9月16日,工业和信息化部发布《关于加强车联网网络安全和数据安全工作的通知》。各相关企业要采取管理和技术措施,按照车联网网络安全和数据安全相关标准要求,加强汽车、网络、平台、数据等安全保护,监测、防范、及时处置网络安全风险和威胁,确保数据处于有效保护和合法利用状态,保障车联网安全稳定运行。
资料来源:https://mp.weixin.qq.com/s/jltLjv-NXLh5s-xVm3KJhA
目前,国家标准《重要数据识别指南》正在按程序编制,征求意见稿已经完成,即将征求社会意见。本标准提出了重要数据的特征,明确了识别重要数据的基本流程以及对重要数据的描述格式。本标准为各地区、各部门制定本地区、本部门以及相关行业、领域的重要数据具体目录提供参考,为重要数据安全保护工作提供支撑。
资料来源:https://mp.weixin.qq.com/s/hxSXxm3MvECjD49Z55H_aw
为贯彻落实《中华人民共和国网络安全法》《网络产品安全漏洞管理规定》,规范网络产品安全漏洞收集平台备案管理,工业和信息化部起草了《网络产品安全漏洞收集平台备案管理办法(征求意见稿)》(见附件)。为进一步听取社会各界意见,现予以公示。
资料来源:https://wap.miit.gov.cn/jgsj/waj/gzdt/art/2021/art_6eb9aa368ebb44f8bf385ce291a73450.html
美国管理和预算办公室和网络安全和基础设施安全局发布了关于零信任战略新的指导意见。联邦政府正在大力推动各机构采用零信任的网络安全架构,这些文件形成了各机构在2024财年结束前部署新型网络安全架构的路线图。
资料来源:https://www.nextgov.com/cybersecurity/2021/09/biden-administration-releases-draft-zero-trust-guidance/185166/
美国石油协会 (API) 发布了其管道网络安全标准的第三版。该版本涵盖了所有控制系统,该标准基于 NIST 的网络安全框架和北美电力可靠性公司的关键基础设施保护 (NERC CIP) 标准。新标准描述了加强管道资产抵御勒索软件和其他威胁的要求。
资料来源:https://www.securityweek.com/new-edition-pipeline-cybersecurity-standard-covers-all-control-systems?&web_view=true
二、安全事件
美国最大的港口休斯顿港遭网络攻击,官方宣称没有受到影响。德国大选机构也遭到网络攻击,当局同样表示没有受到影响。曼谷航空公司的200GB数据遭泄露,但并未影响其运营。互联网服务提供商Yandex遭受俄罗斯历史上最大的DDoS攻击,峰值达到前所未有的每秒2180万个请求。美国农民合作社遭勒索攻击后被索要590万美元赎金。2021上半年,物联网攻击猛增,较2020下半年翻了一倍,由恶意软件产生的流量在互联网流量中的占比达到了39%。
CISA官员报告称,一个黑客组织试图通过利用Zoho用户身份验证设备中的零日漏洞破坏休斯顿港网络。港口当局声称他们有效地防御了这次攻击,并补充此次攻击没有影响操作数据以及系统。
资料来源:https://www.ehackingnews.com/2021/09/port-of-houston-attacked-employing-zoho.html
LockBit勒索软件团伙声称窃取了曼谷航空公司超过 200GB 的数据,并威胁说如果公司不支付赎金,就会泄露被盗数据。该航空公司表示,安全漏洞并未影响曼谷航空公司的运营或航空安全系统,但攻击者可能已经访问了属于乘客的个人数据。
资料来源:https://securityaffairs.co/wordpress/121702/data-breach/lockbit-gang-bangkok-airways.html
3.互联网服务提供商Yandex遭受俄罗斯历史上最大的DDoS攻击
互联网服务提供商Yandex遭受俄罗斯历史上最大的DDoS攻击,攻击峰值达到前所未有的每秒2180万个请求。此次攻击是由一个新的DDoS僵尸网络发起的,跟踪为Mēris。根据Yandex和Qrator Labs进行的联合调查,Mēris僵尸网络由大约200,000多个设备组成。
资料来源:https://securityaffairs.co/wordpress/122048/malware/meris-botnet-ddos.html
4.意大利能源公司ERG遭勒索软件攻击
意大利能源公司ERG受到LockBit2.0勒索软件团伙的攻击。ERG报告称,在此次黑客攻击的过程中,由于其内部网络安全程序的迅速部署,其ICT基础设施仅经历了几次轻微的中断,而且目前正在解决这些中断。
资料来源:https://securityaffairs.co/wordpress/120841/cyber-crime/erg-lockbit-2-0-ransomware.html
5.美国农民合作社遭勒索攻击后被索要590万美元赎金
BlackMatter勒索软件团伙袭击了美国农民饲料和谷物合作社NEW Cooperative,并要求支付590万美元的赎金。该团伙声称窃取了1,000GB数据,包括soilmap.com项目的源代码、财务信息、网络信息、研发结果、敏感员工信息、法律和执行信息。
资料来源:https://securityaffairs.co/wordpress/122410/cyber-crime/black-matter-new-cooperative.html
6.德国大选机构遭到网络攻击
据法新社报道,威胁行为者上个月攻击了负责德国9月26日大选的当局的网站。据该组织发言人称,袭击发生在8月底,造成服务暂时中断。发言人表示由于采取了额外的保护措施,选举本身顺利进行所必需的IT系统没有受到影响。
资料来源:https://www.securityweek.com/german-election-authority-confirms-likely-cyber-attack?&web_view=true
7.物联网攻击猛增,半年内翻了一倍
卡巴斯基研究人员发现2021年上半年物联网攻击次数超过15亿次,高于2020下半年的6.39亿次,针对物联网设备的网络攻击增长了100%以上。攻击者试图通过这些攻击窃取数据、挖掘加密货币或构建僵尸网络
资料来源:https://threatpost.com/iot-attacks-doubling/169224/
8.恶意软件产生了39%的互联网流量
根据梭子鱼网络的数据,2021上半年,由恶意软件产生的流量在互联网流量中的占比达到了39%。绝大多数恶意流量(67%)来自北美。欧洲以22%的数据位居第二。攻击者使用机器人进行DDoS攻击,在2021年上半年,恶意机器人最常被定向到电子商务组织的网站和服务,以及需要登录和密码的授权页面。
资料来源:https://www.ehackingnews.com/2021/09/malicious-software-reportedly-generates.html
三、漏洞态势
Moxa铁路通信设备被曝出存在严重漏洞。西门子修复其产品中的严重漏洞,其中不乏CVSS评分为10的漏洞。施耐德电气修复其产品的7个漏洞。思科修复了IOS XR、IOS XE、NFVIS中的漏洞。研究人员发现海康威视超70款摄像机存在一个严重漏洞,CVSS评分9.8。Nagios广泛使用的网络管理产品中发现了11个漏洞,数千家公司面临供应链风险。
1.Moxa铁路通信设备存在严重漏洞
台湾工业网络和自动化公司Moxa的铁路无线通信设备中被曝存在两个新漏洞,经过身份验证的攻击者可以利用命令注入漏洞CVE-2021-39279来破坏设备的操作系统,另一个反射型跨站脚本漏洞CVE-2021-39278可以被特制的配置文件利用。
资料来源:https://www.securityweek.com/flaws-moxa-railway-devices-could-allow-hackers-cause-disruptions
2. 西门子修复其产品中的严重漏洞
西门子14号发布了21条新的安全公告,涵盖36个漏洞。其中一个CVSS评分为10的反序列化漏洞,可允许未经身份验证的攻击者在受影响的系统上执行任意代码。西门子楼宇管理系统存在另一个命令注入漏洞,CVSS评分也为10。西门子已针对这些漏洞发布了补丁和/或缓解措施。
资料来源:https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-electric-address-over-40-vulnerabilities
3.施耐德电气修复其产品的7个漏洞
施耐德电气14号发布了四个公告,共涵盖七个漏洞。其中两个漏洞影响了专为管理物理基础设施而设计的StruxureWare Data Center Expert产品。这些漏洞都被评为严重,可能允许攻击者远程执行任意代码,这可能导致停机或中断。
资料来源:https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-electric-address-over-40-vulnerabilities
4.思科修复IOS XR中的高危漏洞
思科发布了针对IOS XR软件中多个高危漏洞的补丁,攻击者可以利用这些漏洞来重启设备、提升权限或覆盖和读取任意文件。其中最严重的漏洞是CVE-2021-34720,CVSS评分8.6,这是一个无需身份验证即可远程利用的漏洞, 可用来进行DoS攻击。
资料来源:https://www.securityweek.com/cisco-patches-high-severity-security-flaws-ios-xr
5.思科修复IOS XE软件中的严重漏洞
思科宣布为IOS XE软件中的一系列严重漏洞提供补丁,这些漏洞可被利用来远程执行任意代码、导致拒绝服务或操纵设备配置。其中最严重的是CVE-2021-34770,CVSS评分为10,这可能会导致在没有身份验证的情况下以管理员权限远程执行代码。
资料来源:https://www.securityweek.com/cisco-patches-critical-vulnerabilities-ios-xe-software
6.思科修复NFVIS中的身份验证绕过漏洞
思科宣布为企业NFV基础设施软件(NFVIS)中的一个身份验证绕过漏洞CVE-2021-34746(CVSS评分9.8)提供补丁。未经身份验证的远程攻击者可以将参数注入身份验证请求并利用该漏洞绕过身份验证并以管理员身份登录受影响的设备。
资料来源:https://www.securityweek.com/cisco-patches-critical-enterprise-nfvis-vulnerability-which-poc-exploit-available
7.超70款海康威视摄像机存在严重漏洞
研究人员WatchfulIP发现海康威视超70款摄像机存在一个严重漏洞CVE-2021-36260,CVSS评分9.8。攻击者可以利用该漏洞在没有任何用户交互的情况下获得root访问权限并远程控制设备,还可以使用受感染的设备访问内部网络。
资料来源:https://www.securityweek.com/many-hikvision-cameras-exposed-attacks-due-critical-vulnerability
8.Nagios网络管理产品中的漏洞使诸多公司面临风险
Claroty研究人员在Nagios广泛使用的网络管理产品中发现了11个可用于服务器端请求伪造(SSRF)、欺骗、访问信息、本地权限提升和远程代码执行的漏洞。经过身份验证的攻击者可以通过利用这些漏洞获取root权限执行shell命令。Nagios表示,其软件已被全球数千家组织使用。
资料来源:https://www.securityweek.com/flaws-nagios-network-management-product-can-pose-risk-many-companies
四、技术动向
ImmuniWeb宣布推出一款免费在线工具,旨在帮助组织识别未受保护的云存储。研究人员发现可以通过充气光缆实现量子密钥分发技术,传输不可破解的密钥。二进制可视化以及继器学习被用于识别钓鱼网站。
1.ImmuniWeb推出用于识别未受保护的云存储免费工具
ImmuniWeb宣布推出一款免费在线工具,旨在帮助组织识别未受保护的云存储。安全专业人员可以使用该工具轻松快速地识别AWS、Microsoft Azure、Google Cloud Platform、IBM Cloud、Oracle Cloud、Digital Ocean、Rackspace中未受保护的云存储实例以及其他十几种公共云服务。ImmuniWeb表示,该工具利用了OSINT、大数据和智能预测技术。
资料来源:https://www.securityweek.com/immuniweb-launches-free-tool-identifying-unprotected-cloud-storage
2.量子密码学:通过充气光缆传输不可破解的密钥
研究人员发现一种通过仅填充稀薄空气的新型光纤对于执行量子密钥分发 (QKD) 特别有效,这是一种原则上不可破解的安全协议,可在保护敏感数据免受攻击方面发挥关键作用。该方法的工作原理是将加密密钥编码到发送给另一个人的量子粒子(或量子位)上,后者测量量子位以获得密钥值。量子一经测量就会坍缩,这意味着如果第三方窃听交易所并测量量子位以找出加密密钥,他们将不可避免地留下他们入侵的迹象。
资料来源:https://www.zdnet.com/article/quantum-cryptography-this-air-filled-fiber-optic-cable-can-transport-un-hackable-keys-say-researchers/?&web_view=true
3.基于标记可视化的机器学习技术检测钓鱼网站
研究人员使用“二进制可视化”库将网页的标记和代码转换为图像。通过这种方法,他们创建了网站的合法和网络钓鱼图像数据集。然后使用该数据集训练机器学习模型,根据二进制可视化的差异对合法网站和网络钓鱼网站进行分类。为了加快模型的性能,研究人员使用了 MobileNet,这是一种经过优化的神经网络,可以在资源受限的设备上运行。根据研究人员的实验,该模型在检测网络钓鱼网站方面的准确率达到了 94%。
资料来源:https://portswigger.net/daily-swig/machine-learning-technique-detects-phishing-sites-based-on-markup-visualization?&web_view=true
五、融资并购
绎云科技完成Pre-A轮千万级别人民币融资。墨云科技完成B+轮1亿元人民币融资。观成科技完成新一轮战略融资。网络安全评级公司BitSight获得2.5亿美元融资。网络保险公司Coalition获2.05亿美元融资。LG将收购汽车网络安全公司Cybellum。
1.绎云科技完成Pre-A轮千万级别人民币融资
绎云科技是一家致力于让网络连接更安全、业务协同更高效的创新公司,为政府、央企、运营商、金融、能源、互联网企业、教育、医疗等行业用户提供创新型安全网络服务以及产品。公司设计并打造了覆盖“网络”+“安全”的创新零信任安全网络解决方案。
资料来源:https://mp.weixin.qq.com/s/-tgwcw4GKvAuSAzEQtwE4w
2.墨云科技完成B+轮1亿元人民币融资
墨云科技是一家虚拟黑客安全服务商,专注于为客户提供7*24的持续性安全验证服务,针对移动互联网、车联网、物联网,利用人工智能和机器学习的方式对其的数据进行持续性安全验证,在被黑客攻击前修复数据泄漏的问题,主打产品为VACKBOT虚拟黑客机器人。
资料来源:https://mp.weixin.qq.com/s/-tgwcw4GKvAuSAzEQtwE4w
3.观成科技完成新一轮战略融资
观成科技是以“守护加密网络空间安全”为使命,以加密流量检测为核心技术的创新型网络安全厂商,是国家高新技术企业。公司成立于2018年8月,由研发、产品、安全、售前、运维、安服等技术人员组成的专业团队,团队核心成员拥有十余年的攻防对抗、产品研发、安全分析、人工智能的实战经验。
https://mp.weixin.qq.com/s/6l2o5LdSi17S1qAEgiAD3w
4.网络安全评级公司BitSight获得2.5亿美元融资
网络安全评级公司BitSight 宣布从信用评级巨头穆迪那里获得2.5亿美元的投资。BitSight表示将利用这笔资金进一步增强其产品和功能。该公司还宣布收购VisibleRisk,增加其网络风险评估能力,并提高了其分析和计算组织对网络风险的财务敞口的能力。
https://www.securityweek.com/bitsight-raises-250-million-24-billion-valuation
5.网络保险公司Coalition获2.05亿美元融资
美国网络保险公司Coalition在E轮融资中筹集了2.05亿美元。Coalition表示这笔资金将用于加速扩大规模以及扩展新的保险产品线。Coalition是北美最大的网络保险公司之一。该公司声称拥有超过50,000名客户,为其提供免费的网络安全工具,旨在帮助他们预防和应对安全事件。
https://www.securityweek.com/cyber-insurance-firm-coalition-raises-205-million-35-billion-valuation
6.LG将收购汽车网络安全公司Cybellum
韩国电子巨头LG宣布计划以约2.4亿美元收购以色列汽车网络安全公司Cybellum。Cybellum提供车辆网络安全风险评估解决方案,该公司声称与世界各地的汽车制造商和供应商合作。该公司的网络数字孪生平台旨在通过创建其软件组件的详细展示并检查其漏洞来保护车辆免受网络威胁。
https://www.securityweek.com/lg-acquire-vehicle-cybersecurity-firm-cybellum