您所在的位置: 首頁 >
新聞資訊 >
公司資訊 >
金瀚信安速遞【工業(yè)信息安全月報2021年-08期】
12月速遞
工業(yè)信息安全“信息共享”,金瀚信安帶您一站式掌握2021年12月份國內外工業(yè)信息安全資訊~
政策法規(guī)
中央網(wǎng)信委印發(fā)《“十四五”國家信息化規(guī)劃》,對我國“十四五”時期信息化發(fā)展作出部署安排。《“十四五”國家標準體系建設規(guī)劃》發(fā)布,安全標準被重點提及。2021年工業(yè)互聯(lián)網(wǎng)安全標準體系正式發(fā)布,對促進網(wǎng)絡安全產業(yè)高質量發(fā)展具有重要支撐作用?!吨袊I(yè)信息安全產業(yè)發(fā)展白皮書(2020-2021)》、《工業(yè)互聯(lián)網(wǎng)流量安全分析白皮書(2021)》相繼發(fā)布。美國聯(lián)邦貿易委員會修訂其數(shù)據(jù)保護政策。鑒于俄羅斯對網(wǎng)絡戰(zhàn)的極度擔憂,烏克蘭總統(tǒng)頒布信息安全戰(zhàn)略。
中央網(wǎng)信委印發(fā)《“十四五”國家信息化規(guī)劃》
12月27日,中央網(wǎng)絡安全和信息化委員會印發(fā)《“十四五”國家信息化規(guī)劃》?!兑?guī)劃》再次強調了安全與發(fā)展的辯證關系以及網(wǎng)絡安全關口前移、防患于未然的發(fā)展理念;強調了以網(wǎng)絡安全自主防御能力為主的網(wǎng)絡安全保障體系和能力建設。明確了關鍵信息基礎設施安全、網(wǎng)絡安全和數(shù)據(jù)安全的重點工程和重大任務。確立了網(wǎng)絡安全做為新興數(shù)字產業(yè)的戰(zhàn)略定位。強化了對數(shù)據(jù)安全保障能力建設的要求。
資料來源:http://www.cac.gov.cn/2021-12/27/c_1642205312337636.htm
《“十四五”國家標準體系建設規(guī)劃》發(fā)布安全標準被重點提及
國家標準化管理委員會會同有關部門組織編制了《“十四五”推動高質量發(fā)展的國家標準體系建設規(guī)劃》。《規(guī)劃》第14點指出,要建設網(wǎng)絡安全標準。推動關鍵信息基礎設施安全保護、數(shù)據(jù)安全、個人信息保護、數(shù)據(jù)出境安全管理、網(wǎng)絡安全審查、網(wǎng)絡空間可信身份、網(wǎng)絡產品和服務、供應鏈安全、5G安全、智慧城市安全、物聯(lián)網(wǎng)安全、工業(yè)互聯(lián)網(wǎng)安全、車聯(lián)網(wǎng)安全、人工智能安全等重點領域國家標準研制,完善網(wǎng)絡安全標準體系,支撐網(wǎng)絡強國建設。
資料來源:https://gkml.samr.gov.cn/nsjg/bzjss/202112/t20211214_338077.html
2021年工業(yè)互聯(lián)網(wǎng)安全標準體系正式發(fā)布
12月9日,在工業(yè)和信息化部網(wǎng)絡安全管理局指導下,工業(yè)信息安全產業(yè)發(fā)展聯(lián)盟、工業(yè)互聯(lián)網(wǎng)產業(yè)聯(lián)盟、工業(yè)和信息化部商用密碼應用推進標準工作組共同發(fā)布《工業(yè)互聯(lián)網(wǎng)安全標準體系(2021年)》。工業(yè)互聯(lián)網(wǎng)安全標準體系包括分類分級安全防護、安全管理、安全應用服務等3個類別、16個細分領域以及76個具體方向,對于發(fā)揮標準規(guī)范引領作用、推動建立網(wǎng)絡安全分類分級管理制度、強化工業(yè)互聯(lián)網(wǎng)企業(yè)安全防護能力,促進網(wǎng)絡安全產業(yè)高質量發(fā)展具有重要支撐作用。
資料來源:https://mp.weixin.qq.com/s/EAtOE5CrjUI2CPbW1Y6gvA
《中國工業(yè)信息安全產業(yè)發(fā)展白皮書(2020-2021)》發(fā)布
《中國工業(yè)信息安全產業(yè)發(fā)展白皮書(2020-2021)》發(fā)布。白皮書預計,2021年我國工業(yè)信息安全市場增長率將達31.83%,市場整體規(guī)模將增長至167.01億元。白皮書顯示,2020年我國工業(yè)信息安全產業(yè)規(guī)模在疫情背景下逆勢上揚達126.69億元,增長率為27.02%。其中,工業(yè)信息安全產品類市場規(guī)模達43.97億元,占市場總額的81.3%,全服務類市場規(guī)模為10.11億元,占比達18.7%。
資料來源:http://finance.people.com.cn/n1/2021/1208/c1004-32302844.html
印度將推出國家網(wǎng)絡安全戰(zhàn)略
印度的新網(wǎng)絡安全戰(zhàn)略即將推出,新網(wǎng)絡安全戰(zhàn)略的主要交付成果之一是為不同實體確定和成立監(jiān)管機構,例如計算機應急響應小組CERT-In、網(wǎng)絡犯罪協(xié)調中心、國防網(wǎng)絡局和國家關鍵信息基礎設施保護中心NCIIPC。
資料來源:https://www.govinfosecurity.com/indias-national-cybersecurity-strategy-awaiting-approval-a-17829?&web_view=true
國家工信安全中心發(fā)布《工業(yè)互聯(lián)網(wǎng)流量安全分析白皮書(2021)》
在2021年中國工業(yè)信息安全大會上,國家工業(yè)信息安全發(fā)展研究中心發(fā)布了《工業(yè)互聯(lián)網(wǎng)流量安全分析白皮書》?!栋灼丰槍I(yè)互聯(lián)網(wǎng)流量分布廣、采樣位置分散、格式多元異構、協(xié)議私有且繁雜等方面的特性,面向當前工業(yè)互聯(lián)網(wǎng)流量安全分析面臨的挑戰(zhàn),提出工業(yè)互聯(lián)網(wǎng)流量安全分析技術框架,歸納工業(yè)互聯(lián)網(wǎng)流量安全分析關鍵技術,梳理工業(yè)互聯(lián)網(wǎng)流量安全分析典型應用與部署場景。
資料來源:https://www.secrss.com/articles/37703
美國聯(lián)邦貿易委員會修訂其數(shù)據(jù)保護政策
美國聯(lián)邦貿易委員會(FTC)已修訂其數(shù)據(jù)保護政策,對處理客戶信息的金融機構實施更嚴格的規(guī)定。此次修訂是該規(guī)則歷史上的第一次,旨在解決近年來困擾金融服務行業(yè)的信息安全復雜性顯著增加和破壞性數(shù)據(jù)泄露的無情鏈。添加的新要求包括,金融機構必須履行例如書面風險評估、滲透測試和漏洞評估以及員工培訓的義務。
資料來源:https://portswigger.net/daily-swig/ftc-implements-tougher-data-protection-rules-to-safeguard-customer-information?&web_view=true
烏克蘭總統(tǒng)頒布信息安全戰(zhàn)略
12月28日,烏克蘭總統(tǒng)已執(zhí)行烏克蘭國家安全與國防委員會2021年10月15日“關于信息安全戰(zhàn)略”的決定,該法令自發(fā)布之日起生效。該文件指出,俄羅斯的信息政策不僅對烏克蘭構成威脅。俄羅斯開展的特別信息行動針對的是關鍵的民主機構(包括選舉),俄羅斯的特別服務部門則試圖激化烏克蘭和其他民主國家的內部沖突。
資料來源:https://www.ukrinform.net/rubric-polytics/3376991-president-enacts-ukraines-information-security-strategy.html?&web_view=true
安全事件
美國聯(lián)邦調查局(FBI)就針對古巴關鍵基礎設施的勒索軟件攻擊發(fā)出警告。北美天然氣供應商巨頭Superior Plus遭勒索軟件攻擊,再次為關鍵基礎設施敲響警鐘。澳大利亞電力供應商CS Energy遭勒索軟件攻擊,但發(fā)電并未受到影響??屏_拉多電力公司卻沒有這么幸運,網(wǎng)絡攻擊對其系統(tǒng)造成了嚴重破壞。微軟研究顯示:對物聯(lián)網(wǎng)/OT設備的攻擊數(shù)量不斷增加。比利時國防部確認遭受利用Log4j漏洞的網(wǎng)絡攻擊。
美國聯(lián)邦調查局警告古巴勒索軟件攻擊關鍵基礎設施
美國聯(lián)邦調查局(FBI)就針對古巴關鍵基礎設施的勒索軟件攻擊發(fā)出警告。FBI稱,截至2021年11月,古巴勒索軟件背后的團伙設法危害了美國政府、醫(yī)療保健、金融、信息技術和制造部門的至少49個實體。
資料來源:https://www.securityweek.com/fbi-warns-cuba-ransomware-attacks-critical-infrastructure
北美天然氣供應商巨頭Superior Plus遭勒索軟件攻擊
北美天然氣供應商巨頭Superior Plus證實,它在12月12日發(fā)現(xiàn)了勒索軟件攻擊,破壞了其計算機系統(tǒng)。Superior Plus表示已采取措施保護其系統(tǒng),并聘請獨立的網(wǎng)絡安全專家來減輕勒索軟件攻擊對其數(shù)據(jù)和運營的影響,并確定客戶安全或安全以及個人數(shù)據(jù)沒有受到影響。
資料來源:https://www.cpomagazine.com/cyber-security/natural-gas-supplier-superior-plus-suffers-a-ransomware-attack-similar-to-colonial-pipelines/
澳大利亞電力供應商CS Energy遭勒索軟件攻擊
12月9日,澳大利亞電力供應商 CS Energy 遭到勒索軟件攻擊,但該公司表示發(fā)電并未受到影響,攻擊于11月27日被發(fā)現(xiàn)。勒索軟件團伙Conti聲稱對此次澳大利亞電力公司 CS Energy的攻擊負責。CS Energy 表示,勒索軟件破壞了其公司網(wǎng)絡上的設備,該公司正在努力恢復受影響的系統(tǒng)。
資料來源:https://www.securityweek.com/australian-electricity-provider-cs-energy-hit-ransomware
網(wǎng)絡攻擊對科羅拉多電力公司造成嚴重破壞
科羅拉多州的電力合作社Delta-Montrose電力協(xié)會(DMEA)在11月7日發(fā)現(xiàn)其內部網(wǎng)絡遭到破壞,網(wǎng)絡攻擊導致其電話、電子郵件、賬單和客戶帳戶系統(tǒng)中斷,該公司還確認遭到軟件攻擊,內部文件已“損壞”。DMEA表示其90%的內部控制和系統(tǒng)被破壞,大部分可追溯到20多年的歷史數(shù)據(jù)被泄露。
資料來源:https://www.securityweek.com/cyberattack-causes-significant-disruption-colorado-electric-utility
微軟研究顯示:對物聯(lián)網(wǎng)/OT設備的攻擊數(shù)量不斷增加
根據(jù)微軟的一項新研究,對物聯(lián)網(wǎng)和OT設備的攻擊數(shù)量正在增加。參與調查的600多名受訪者中有44%表示,他們的組織在過去兩年中經(jīng)歷了涉及IoT或OT設備的網(wǎng)絡事件。39%的人表示這樣的設備是攻擊的目標,35%的人表示該設備被用來進行更廣泛的攻擊。
資料來源:https://www.microsoft.com/en-us/download/details.aspx?id=103698
比利時國防部確認遭受利用Log4j漏洞的網(wǎng)絡攻擊
比利時國防部發(fā)言人表示,國防部在12月16日發(fā)現(xiàn)其計算機網(wǎng)絡受到攻擊,該部已采取措施隔離受影響的網(wǎng)絡區(qū)域。并且證實這次攻擊是成功利用了log4j2漏洞,部分計算機網(wǎng)絡暫時無法使用,處于癱瘓狀態(tài)。比利時政府暫未將此次襲擊歸咎于任何團體或民族國家。
資料來源:https://www.vrt.be/vrtnws/nl/2021/12/20/defensie-slachtoffer-zware-cyberaanval-deel-netwerk-al-dagen-pl/
漏洞態(tài)勢
myPROHMI/SCADA產品存在嚴重漏洞,在全球范圍內用于能源、食品和農業(yè)、水和交通系統(tǒng)部門的該產品受影響。步行式金屬探測器中的漏洞可能允許攻擊者操縱安全設備,給用戶帶來安全風險。施耐德電氣EVlink電動汽車充電樁存在嚴重漏洞,面臨被攻擊的風險。谷歌發(fā)現(xiàn)超過35,000個Java包受Log4j漏洞影響,占比8%。SonicWall遠程訪問設備、Kaseya Unitrends備份設備存在嚴重漏洞,均帶來了遠程代碼執(zhí)行的風險。僵尸網(wǎng)絡Moobot盯上??低曉O備漏洞。DataVault加密軟件中的漏洞影響多個存儲設備。
myPROHMI/SCADA產品存在嚴重漏洞
研究人員在捷克工業(yè)自動化公司mySCADA的myPRO產品中發(fā)現(xiàn)了12個漏洞。myPRO是一套HMI/SCADA系統(tǒng),專為可視化和控制工業(yè)過程而設計。mySCADA在8.20.0版本修復了四個高危漏洞,可利用這些漏洞獲取敏感信息或遠程上傳任意文件而無需身份驗證。8.22.0版修復了八個漏洞,有七個是嚴重漏洞。其中一個嚴重漏洞可用于繞過身份驗證,一個與后門帳戶有關,而其余漏洞可被遠程、未經(jīng)身份驗證的攻擊者利用以進行操作系統(tǒng)命令注入。
資料來源:https://www.securityweek.com/several-critical-vulnerabilities-found-mypro-hmiscada-product?&web_view=true
步行式金屬探測器中的漏洞可能允許攻擊者操縱安全設備
CiscoTalos最近在Garrett Metal Detectors的設備中發(fā)現(xiàn)了9個漏洞,這些漏洞可能允許遠程攻擊者繞過身份驗證要求、操縱金屬探測器配置,甚至在設備上執(zhí)行任意代碼。這些漏洞特別存在于Garretti C模塊中,該模塊為安全檢查站常用的Garrett PD6500i或Garrett MZ6100步行式金屬探測器提供網(wǎng)絡連接。
資料來源:https://blog.talosintelligence.com/2021/12/vuln-spotlight-garrett-metal-detector.html?&web_view=true
施耐德電氣EVlink電動汽車充電樁存在嚴重漏洞
施耐德電氣已修復了7個使其EVlink電動汽車充電站容易受到遠程黑客攻擊的新漏洞,有1個嚴重漏洞和6個高危漏洞,包括跨站請求偽造(CSRF)和跨站腳本(XSS)漏洞,其中最嚴重的是一個服務器端請求偽造(SSRF)漏洞,CVSS評分9.3。施耐德警告稱,這些漏洞可能會導致“充電站的設置和賬戶遭到篡改和泄露,可能導致拒絕服務攻擊。
資料來源:https://www.securityweek.com/new-flaws-expose-evlink-electric-vehicle-charging-stations-remote-hacking
谷歌:超過35,000個Java包受Log4j漏洞影響
谷歌開源團隊掃描了Maven中央Java包存儲庫,發(fā)現(xiàn)35,863個包(占總數(shù)的8%)正在使用易受Log4Shell漏洞和CVE-2021-4504 6RCE攻擊的Apache Log4j庫版本。專家指出,直接依賴項約占受影響軟件包的7,000個,大多數(shù)受影響的工件都與間接依賴相關。并確定只有48%受漏洞影響的工件已得到修復。
資料來源:https://securityaffairs.co/wordpress/125845/security/log4j-java-packages-flaws.html
SonicWall遠程訪問設備存在嚴重漏洞
SonicWall敦促其客戶盡快解決影響其安全移動訪問(SMA)100系列設備的8個已修復的漏洞。其中最嚴重的是CVE-2021-20038,CVSS評分9.8,未經(jīng)身份驗證的攻擊者可利用其導致基于堆棧的緩沖區(qū)溢出并在易受攻擊的設備上實現(xiàn)代碼執(zhí)行。
資料來源:https://www.securityweek.com/sonicwall-customers-warned-high-risk-flaws-remote-access-appliances
KaseyaUnitrends備份設備中存在嚴重漏洞
Kaseya修復了其Unitrends備份設備中的12個漏洞,包括兩個嚴重漏洞,每個漏洞都會帶來遠程代碼執(zhí)行風險。其中未經(jīng)身份驗證的SQL注入漏洞(跟蹤為CVE-2021-43035,CVSS評分9.8)使?jié)撛诠粽哂锌赡茉赑ostgres超級用戶帳戶下注入任意SQL查詢。
資料來源:https://portswigger.net/daily-swig/critical-web-security-flaws-in-kaseya-unitrends-nbsp-backup-appliances-remediated-after-researchers-disclosure?&web_view=true
思科修復Catalyst PON企業(yè)交換機的嚴重漏洞
思科已修復Catalyst無源光網(wǎng)絡(PON)系列交換機光網(wǎng)絡終端和策略套件中的嚴重漏洞。其中最嚴重的漏洞是CVE-2021-34795和CVE-2021-40113,CVSS評分均為10.0,允許未經(jīng)身份驗證的遠程攻擊者使用具有默認靜態(tài)密碼的調試帳戶登錄受影響的設備,或執(zhí)行命令注入攻擊。
資料來源:https://www.securityweek.com/cisco-plugs-critical-holes-catalyst-pon-enterprise-switches
僵尸網(wǎng)絡Moobot盯上??低曉O備漏洞
基于Mirai的Moobot僵尸網(wǎng)絡通過利用??低暜a品網(wǎng)絡服務器中的嚴重漏洞迅速傳播,影響??低暤?0多個攝像機和NVR,攻擊者可利用該漏洞獲得root訪問權限并完全接管易受攻擊的設備,而無需任何形式的用戶交互。Fortinet警告說,攻擊者正試圖利用該漏洞來部署各種有效載荷,使他們能夠探測設備或提取敏感數(shù)據(jù)。
資料來源:https://securityaffairs.co/wordpress/125409/malware/moobot-botnet-hikvision.html
DataVault加密軟件中的漏洞影響多個存儲設備
由ENC Security制造并被多家供應商使用的DataVault加密軟件受到幾個密鑰推導函數(shù)問題的影響。攻擊者可以利用該漏洞獲取用戶密碼。DataVault是一種保護用戶數(shù)據(jù)的高級加密軟件,它為多個系統(tǒng)提供全面的軍用級數(shù)據(jù)保護和安全功能。包括WD、Sony和Lexar在內的多個供應商都在使用DataVault軟件。
資料來源:https://securityaffairs.co/wordpress/126166/hacking/datavault-encryption-software-flaws.html
技術動向
針對鋪天蓋地的Apache Log4j漏洞,CISA發(fā)布掃描器以識別受其影響的Web服務。微軟將Secured-core概念擴展到服務器,采用虛擬機監(jiān)控程序保護的代碼完整性來抵御勒索軟件等威脅。
CISA發(fā)布掃描器以識別受Apache Log4j漏洞影響的Web服務
美國網(wǎng)絡安全和基礎設施安全局(CISA)宣布發(fā)布一款開源掃描器,用于識別受Apache Log4j遠程代碼執(zhí)行漏洞影響的Web服務。以下是log4j-scanner中實現(xiàn)的功能列表:支持URL列表。對60多個HTTP請求標頭進行模糊測試。對HTTPPOST數(shù)據(jù)參數(shù)進行模糊測試。對JSON數(shù)據(jù)參數(shù)進行模糊測試。支持用于漏洞發(fā)現(xiàn)和驗證的DNS回調。WAF繞過有效載荷。
資料來源:https://securityaffairs.co/wordpress/125892/security/cisa-scanner-log4j-flaws.html
微軟將Secured-core概念擴展到服務器
微軟已將其在2019年應用于PC的Secured-core概念擴展到服務器、Windows Server和Azure Stack HCI。Secured-core認為微軟與硬件制造商合作,以確保他們的產品包括TPM2.0模塊,在BIOS中默認啟用安全啟動,并使用動態(tài)信任根進行測量技術,允許使用英特爾的可信執(zhí)行技術(TXT)和AMD的安全虛擬機(SVM)。一旦這些元素到位,微軟相信硬件更難受到基于固件的攻擊,并且不太容易運行未經(jīng)驗證的代碼。
資料來源:https://www.theregister.com/2021/12/08/microsoft_extends_securedcore_concept_to_servers/?&web_view=true