工業(yè)網(wǎng)絡(luò)安全周報

政策法規(guī)方面，本周觀察到國內(nèi)外網(wǎng)絡(luò)安全相關(guān)政策法規(guī)4項，值得關(guān)注的有我國牽頭提出的國際標(biāo)準(zhǔn)《網(wǎng)絡(luò)安全工業(yè)互聯(lián)網(wǎng)平臺安全參考模型》正式發(fā)布、國際標(biāo)準(zhǔn)《網(wǎng)絡(luò)安設(shè)備與服務(wù)建立可信連接的安全建議》正式發(fā)布。

漏洞態(tài)勢方面，本周監(jiān)測到漏洞動態(tài)8條，值得關(guān)注的有CISA針對主動利用的 Ivanti MobileIron漏洞發(fā)布新警告等。

安全事件方面，本周監(jiān)測到重大網(wǎng)絡(luò)安全事件7起，其中典型的事件有國際船舶制造巨頭因網(wǎng)絡(luò)攻擊損失超6.1億元、以色列最大煉油廠遭伊朗黑入侵疑致SCADA系統(tǒng)遭黑。

產(chǎn)品技術(shù)方面，施耐德電氣宣布推出適用于OT環(huán)境的托管安全服務(wù)、美國能源部結(jié)果驅(qū)動型網(wǎng)絡(luò)知情工程(CCE)方法受到更多OT網(wǎng)絡(luò)安全公司的支持。

01、國際標(biāo)準(zhǔn)《網(wǎng)絡(luò)安全工業(yè)互聯(lián)網(wǎng)平臺安全參考模型》正式發(fā)布

2023年7月，我國牽頭提出的國際標(biāo)準(zhǔn)ISO/IEC 24392：2023《網(wǎng)絡(luò)安全 工業(yè)互聯(lián)網(wǎng)平臺安全參考模型》正式發(fā)布。該提案于2018年4月提交至ISO/IEC JTC1/SC27，后經(jīng)研究，于2019年6月正式立項;2023年7月正式發(fā)布。我國3名專家擔(dān)任該國際標(biāo)準(zhǔn)提案的編輯和聯(lián)合編輯。ISO/IEC 24392作為首個工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域的國際標(biāo)準(zhǔn)，基于工業(yè)互聯(lián)網(wǎng)平臺安全域、系統(tǒng)生命周期和業(yè)務(wù)場景三個視角構(gòu)建了工業(yè)互聯(lián)網(wǎng)平臺安全參考模型。該國際標(biāo)準(zhǔn)用于解決工業(yè)互聯(lián)網(wǎng)應(yīng)用和發(fā)展過程中的平臺安全問題，可以系統(tǒng)指導(dǎo)工業(yè)互聯(lián)網(wǎng)企業(yè)及相關(guān)研究機構(gòu)，針對不同的工業(yè)場景，分析工業(yè)互聯(lián)網(wǎng)平臺的安全目標(biāo)，設(shè)計工業(yè)互聯(lián)網(wǎng)平臺安全防御措施，增強工業(yè)互聯(lián)網(wǎng)平臺基礎(chǔ)設(shè)施的安全性。

資料來源：https://www.tc260.org.cn/front/postDetail.html?id=20230803173711

02、國際標(biāo)準(zhǔn)《網(wǎng)絡(luò)安全設(shè)備與服務(wù)建立可信鏈接的安全建議》正式發(fā)布

2023年7月，我國牽頭提出的國際標(biāo)準(zhǔn)ISO/IEC 27071:2023《網(wǎng)絡(luò)安全設(shè)備與服務(wù)建立可信連接的安全建議》正式發(fā)布。該提案于2015年提交至ISO/IEC JTC1/SC27，后經(jīng)研究，于2019年4月正式立項;2023年7月正式發(fā)布。我國2名專家擔(dān)任該國際標(biāo)準(zhǔn)提案的編輯和聯(lián)合編輯。ISO/IEC 27071給出了設(shè)備和服務(wù)建立可信連接的框架和安全建議，包括對硬件安全模塊、信任根、身份、身份鑒別和密鑰建立、環(huán)境證明、數(shù)據(jù)完整性和真實性等組件的安全建議。該國際標(biāo)準(zhǔn)適用于基于硬件安全模塊在設(shè)備和服務(wù)之間建立可信連接的場景，例如移動支付、車聯(lián)網(wǎng)、工業(yè)物聯(lián)網(wǎng)等，有助于提升數(shù)據(jù)從設(shè)備中采集到服務(wù)的全過程的安全性。

資料來源：https://www.tc260.org.cn/front/postDetail.html?id=20230803173415

03、美國防部公布2023-2027年CWF戰(zhàn)略實施計劃，解決人才缺口培養(yǎng)未來網(wǎng)絡(luò)勞動力

美國國防部(DoD)本周發(fā)布了2023-2027年網(wǎng)絡(luò)勞動力(CWF)戰(zhàn)略實施計劃，該計劃直接解決國防部的網(wǎng)絡(luò)人才缺口問題，并采取必要的舉措來培養(yǎng)未來的網(wǎng)絡(luò)勞動力。CWF戰(zhàn)略實施計劃文件將協(xié)助該部門推進人才管理舉措，以打造更加多樣化和有效的網(wǎng)絡(luò)勞動力。CWF戰(zhàn)略實施計劃將協(xié)助該部門推進旨在培養(yǎng)敏捷、靈活和反應(yīng)靈敏的網(wǎng)絡(luò)勞動力的人才管理舉措。

資料來源：http://mgvj2.xai6.sbs/h60kaZC

04、白宮發(fā)布擴大美國網(wǎng)絡(luò)勞動力戰(zhàn)略

7月31日，拜登政公布了《國家網(wǎng)絡(luò)勞動力和教育戰(zhàn)略》，該戰(zhàn)略設(shè)想在幼兒教育中引入網(wǎng)絡(luò)安全概念，同時使網(wǎng)絡(luò)高級職業(yè)培訓(xùn)變得更容易獲得和負擔(dān)得起。該教育戰(zhàn)略由國家網(wǎng)絡(luò)主任辦公室發(fā)布，其主要目標(biāo)是彌合網(wǎng)絡(luò)安全領(lǐng)域重要工作與美國教育系統(tǒng)當(dāng)前課程之間的差距。作為拜登政府加強國家整體網(wǎng)絡(luò)安全態(tài)勢計劃的一部分，該計劃旨在確保勞動力配備必要的技術(shù)技能來維持強大的網(wǎng)絡(luò)防御。

資料來源：http://d0vx2.xai6.sbs/G1OiJXI

05、CISA針對主動利用的Ivanti MobileIron漏洞發(fā)布新警告

8月1日，美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全(CISA)警告說，自4月份以來，國家黑客正在利用Ivanti的Endpoint Manager Mobile (EPMM)(以前稱為MobileIron Core)中的兩個缺陷。至少從2023年4月到2023年7月，高級持續(xù)威脅(APT)攻擊者利用CVE-2023-35078作為零日漏洞，從多個挪威組織收集信息，以及訪問和破壞挪威政府機構(gòu)的網(wǎng)絡(luò)。

資料來源：http://dz552.xai6.sbs/pyL2dZc

06、黑客利用CVE-2023-3519在數(shù)百臺Citrix服務(wù)器安裝后門

8月2日，Shadowserver Foundation發(fā)現(xiàn)數(shù)百臺Citrix Netscaler ADC和Gateway服務(wù)器被入侵并安裝后門。CISA近期發(fā)布通告稱，攻擊者正在利用RCE漏洞(CVE-2023-3519)在易被攻擊的系統(tǒng)中安裝Webshell。Shadowserver最初報告，至少有15000臺服務(wù)器易被攻擊，主要位于美國和德國。最新更新中顯示，截至8月1日，攻擊者已在至少581臺Citrix服務(wù)器上安裝了Webshell。Citrix強烈建議用戶安裝更新。

資料來源：http://nsds2.xai6.sbs/vjVDcpe

07、卡巴斯基詳細介紹了常見的工業(yè)TTP，重點關(guān)注于收集數(shù)據(jù)的植入程序

7月31日，卡巴斯基ICS CERT團隊的研究人發(fā)布了其研究的第二部分，該研究基于對一系列針對工業(yè)組織的攻擊的調(diào)查。該研究涵蓋了用于收集數(shù)據(jù)的第二階段惡意軟件，確定了兩種用于收集受感染系統(tǒng)數(shù)據(jù)的植入程序。第一種類型的植入程序旨在收集和存檔本地計算機上的各種數(shù)據(jù)，而第二種類型的植入程序則用于收集有關(guān)可移動驅(qū)動器的信息，對其內(nèi)容進行卷影復(fù)制，并用蠕蟲病毒感染它們，然后將其用于從氣隙網(wǎng)絡(luò)中竊取數(shù)據(jù)。7月早些時候，卡巴斯基宣布調(diào)查2022年針對東歐工業(yè)組織的一系列攻擊。在這些活動中，攻擊者的目的是建立一個永久的數(shù)據(jù)泄露通道，包括存儲在氣隙系統(tǒng)上的數(shù)據(jù)。

資料來源：http://yske5.xai6.sbs/oBPPUfn

08、國際船舶制造巨頭因網(wǎng)絡(luò)攻擊損失超1.6億元

美國船舶制造巨頭賓士域集團(Brunswick Corporation)的首席執(zhí)行官上周向投資者透露，公司因一次網(wǎng)絡(luò)安全事件蒙受高達8500萬美元(約合人民幣6.1億元)的損失。這家擁有數(shù)十億美元資產(chǎn)的船舶制造公司在2021年創(chuàng)造了近60億美元的收入，業(yè)務(wù)遍及24個國家，是海洋休閑產(chǎn)業(yè)的全球領(lǐng)導(dǎo)者。6月13日，賓士域集團宣布遭受了一次網(wǎng)絡(luò)攻擊，其系統(tǒng)和部分設(shè)施受到影響。官方并未確認這是一次勒索軟件攻擊，但他們表示在專家和執(zhí)法部門處理該事件期間，已被迫停止部分地區(qū)的運營。

資料來源：https://therecord.media/marine-industry-giant-brunswick-lost-millions

09、以色列最大煉油廠遭伊朗黑客入侵，疑致SCADA系統(tǒng)遭黑

以色列最大的煉油廠運營商BAZAN集團的網(wǎng)站在世界大部分地區(qū)都無法訪問，因為威脅行為者聲稱已經(jīng)侵入了該集團的網(wǎng)絡(luò)系統(tǒng)。總部位于海法灣的BAZAN Group(前身為Oil Refineries Ltd.)年收入超過135億美元，擁有員工1,800多人。該公司擁有年煉油總能力約980萬噸原油。伊朗黑客組織“網(wǎng)絡(luò)復(fù)仇者”，又名“CyberAv3ngers”，在Telegram頻道中聲稱他們已滲透到BAZAN網(wǎng)絡(luò)，7月29日晚上，該組織發(fā)布了BAZAN集團公司的SCADA系統(tǒng)的屏幕截圖，該系統(tǒng)用于監(jiān)視和控制工業(yè)控制系統(tǒng)。但BAZAN對此進行了否認，聲稱沒有受到任何實質(zhì)性影響。據(jù)黑客稱他們利用了CheckPoint的防火墻漏洞滲透到了煉油廠的網(wǎng)絡(luò)，但CheckPoint也否認了這種說法。

資料來源：https://www.securitylab.ru/news/540479.php

10、Dragos:勒索軟件將持續(xù)使用各種技術(shù)擾亂工業(yè)運營

工業(yè)網(wǎng)絡(luò)安全供應(yīng)商Dragos透露，今年第二季度是勒索軟件組織異常活躍的時期，對工業(yè)組織和基礎(chǔ)設(shè)施構(gòu)成了重大威脅。數(shù)據(jù)顯示，北美地區(qū)的事故數(shù)量比上一季度增加了27%，對關(guān)鍵基礎(chǔ)設(shè)施構(gòu)成了重大威脅。“針對工業(yè)目標(biāo)的勒索軟件攻擊的增加及其隨之而來的影響凸顯了勒索軟件生態(tài)系統(tǒng)的快速增長以及這些組織為實現(xiàn)其目標(biāo)而采用不同的策略、技術(shù)和程序(TTP)，”高級威脅獵人Abdulrahman H. Alamri在7月31日是的博客文章中寫道。今年第二季度，Dragos發(fā)現(xiàn)了253起勒索軟件事件，與上一季度相比增加了18%。

資料來源：http://3jak6.xai8.sbs/hRznTWa

11、床墊巨頭泰普爾絲遭遇網(wǎng)絡(luò)攻擊迫使系統(tǒng)關(guān)閉

全球最大的床墊銷售商之一Tempur Sealy正在應(yīng)對網(wǎng)絡(luò)攻擊，該攻擊迫使該公司關(guān)閉了部分IT系統(tǒng)。由于旗下?lián)碛蠺empus、Cocoon、Sealy和Stearns & Foster等品牌。該公司首席財務(wù)官Bhaskar Rao在7月31日上午向美國證券交易委員會報告稱，Tempur Sealy的運營因7月23日開始的網(wǎng)絡(luò)攻擊而受到阻礙。

資料來源：https://therecord.media/mattress-giant-tempur-sealy-cyberattack

12、美國大型旅游公司Mondee發(fā)生重大客戶數(shù)據(jù)泄露事件

一家大型旅游公司Mondee最近關(guān)閉了一個數(shù)據(jù)庫，該數(shù)據(jù)庫之前無意中暴露在公共互聯(lián)網(wǎng)上，其中包含敏感的客戶信息，包括航班詳細信息、酒店預(yù)訂和未加密的信用卡號碼。該漏洞的曝光得益于獨立網(wǎng)絡(luò)安全研究員Anurag Sen，他發(fā)現(xiàn)了該數(shù)據(jù)庫并將其與TechCrunch共享。Sen表示，訪問Oracle云中托管的數(shù)據(jù)庫不需要密碼，這樣就可以通過Web瀏覽器訪問敏感數(shù)據(jù)，只需要知道正確的IP地址。后來的事實證明，該基地也可以通過Mondee部門之一所在地的一個容易猜到的子域找到。

資料來源：https://www.securitylab.ru/news/540617.php

13、制造業(yè)因勒索軟件的財務(wù)成本而陷入困境

Comparitech的一項新分析揭示了勒索軟件攻擊對制造業(yè)造成的巨大全球損失。該公司審查了2018年至2023年7月期間針對制造公司的478起已確認的勒索軟件攻擊，并利用其全球跟蹤器了解此類事件的真實成本。這包括造成的停機時間、被盜數(shù)據(jù)量、贖金要求多少以及這些要求是否得到滿足。研究顯示，2022年勒索軟件造成的平均停機時間比2021年幾乎翻了一番，從6.4天增加到12.2天。此外，兩個時期記錄的最長停機時間也存在較大差距——2021年為32天，2022年為76天。Comparitech數(shù)據(jù)研究主管麗貝卡·穆迪(Rebecca Moody)告訴Infosecurity，導(dǎo)致停機時間增加的一個可能因素是攻擊者“不斷改進其惡意軟件，以領(lǐng)先組織一步”。此外，平均贖金需求在2021年最高，達到2190萬美元。據(jù)分析，到2022年，這一數(shù)字將降至880萬美元，而到2023年，這一數(shù)字目前為170萬美元。

資料來源：https://www.infosecurity-magazine.com/news/manufacturing-reeling-cost/

14、施耐德電氣宣布推出適用于OT環(huán)境的托管安全服務(wù)

8月1日，能源管理和工業(yè)自動化解決方案數(shù)字化轉(zhuǎn)型供應(yīng)商施耐德電氣推出了托管安全服務(wù)(MSS)產(chǎn)品，幫助OT(操作技術(shù))環(huán)境中的客戶應(yīng)對與遠程訪問和連接技術(shù)需求相關(guān)的日益增加的網(wǎng)絡(luò)風(fēng)險。這些服務(wù)還可用于幫助應(yīng)對復(fù)雜IT和OT環(huán)境中日益增長的威脅。新產(chǎn)品由施耐德電氣的全球網(wǎng)絡(luò)安全互聯(lián)服務(wù)中心(CCSH)提供支持，提供成熟的技術(shù)作為靈活的服務(wù)來監(jiān)控網(wǎng)絡(luò)威脅并代表客戶主動響應(yīng)。

資料來源：http://pslt2.xai6.sbs/tpXHt1X

15、美國能源部結(jié)果驅(qū)動型網(wǎng)絡(luò)知情工程(CCE)方法受到更多OT網(wǎng)絡(luò)安全公司的支持

8月1日，OT網(wǎng)絡(luò)安全公司Mission Secur宣布，它已與美國能源部國家實驗室愛達荷國家實驗室合作。該聯(lián)盟將擴大結(jié)果驅(qū)動型網(wǎng)絡(luò)知情工程(CCE)方法的采用，以保護關(guān)鍵基礎(chǔ)設(shè)施免受網(wǎng)絡(luò)威脅。CCE方法由愛達荷國家實驗室開發(fā)，旨在降低針對關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)的潛在災(zāi)難性網(wǎng)絡(luò)攻擊的風(fēng)險。該方法旨在為對手設(shè)計機會，對電網(wǎng)、石油和天然氣設(shè)施、供水系統(tǒng)、運輸系統(tǒng)和其他關(guān)鍵資產(chǎn)造成現(xiàn)實破壞。

資料來源：http://ja0x5.xai6.sbs/tKJGjKD

16、Armis與安全風(fēng)險顧問合作，提高OT安全性，保護網(wǎng)絡(luò)物理系統(tǒng)

8月3日，資產(chǎn)可視性和安全公司Armi宣布與國際網(wǎng)絡(luò)安全咨詢公司security Risk Advisors (SRA)建立合作伙伴關(guān)系。雙方利用各自的專業(yè)領(lǐng)域來保護運營技術(shù)(OT)和網(wǎng)絡(luò)物理系統(tǒng)(CPS)，從而為共同的客戶提供支持。隨著OT的聯(lián)系越來越緊密，監(jiān)控和保護這些資產(chǎn)的責(zé)任對于保護業(yè)務(wù)連續(xù)性、供應(yīng)鏈和消費者變得越來越重要。Armis提供業(yè)界最全面的資產(chǎn)情報平臺，為需要防范看不見的運營和網(wǎng)絡(luò)風(fēng)險、提高效率、優(yōu)化資源使用和通過新技術(shù)安全創(chuàng)新的組織提供統(tǒng)一的資產(chǎn)可見性和卓越的安全性。

資料來源：http://6uoe6.xai8.sbs/gsVjY24

來源：安帝Andisec