工業(yè)網絡安全周報

政策法規(guī)方面，本周觀察到國內外網絡安全相關政策法規(guī)5項，值得關注的有國家標準《信息安全技術網絡安全保險應用指南》公開征求意見、美國能源部撥款3900萬美元的研究經費以推進DER的網絡安全等。

漏洞態(tài)勢方面，本周監(jiān)測到漏洞動態(tài)28條，值得關注的有嚴重CodeMeter漏洞影響多種西門子產品。

安全事件方面，本周監(jiān)測到重大網絡安全事件26起，其中典型的事件有新西蘭奧克蘭交通局的HOP卡遭遇重大網絡攻擊致票務系統(tǒng)部分癱瘓、空中客車公司敏感數據泄露等。

產品技術方面，霍尼韋爾使用量子計算加密密鑰來增強公用事業(yè)公司的數據安全性、新的Armis Centrix AI支持平臺有助于主動保護資產并修復漏洞等。

01、國家標準《信息安全技術網絡安全保險應用指南》公開征求意見

全國信息安全標準化技術委員會歸口的國家標準《信息安全技術網絡安全保險應用指南》現(xiàn)已形成標準征求意見稿。據《全國信息安全標準化技術委員會標準制修訂工作程序》要求，現(xiàn)將該標準征求意見稿面向社會公開征求意見。

資料來源：http://pjvd2.xai6.sbs/i36J1vE

02、美國能源部撥款3900萬美元的研究經費以推進DER的網絡安全

美國能源部(DOE)通過其網絡安全、能源安全和應急響應辦公室(CESER)宣布為9個新的國家實驗室項目提供3900萬美元資金，以推進分布式能源( DER)的網絡安全。這些項目將致力于推進清潔分布式能源新網絡工具和技術的研究、開發(fā)和演示。

資料來源：http://jmgy3.xai8.sbs/szVdLmj

03、CISA發(fā)布開源軟件安全路線圖

9月12日，美國網絡安全和基礎設施安全局(CISA)發(fā)布了一份新文件，詳細介紹了其支持開源軟件(OSS)生態(tài)系統(tǒng)并確保聯(lián)邦機構使用OSS的計劃。據該機構稱，任何人都可以訪問、修改和分發(fā)的OSS可以驅動更高質量的代碼并促進協(xié)作，但也通過Log4Shell等影響廣泛的漏洞帶來高風險。

資料來源：http://suhq6.xai8.sbs/2tLWynU

04、美國CISA小組提出國家網絡安全警報系統(tǒng)的想法

為美國網絡安全和基礎設施安全局(CISA)提供咨詢的一個小組表示，美國需要一個國家網絡安全警報系統(tǒng)，該系統(tǒng)可以提供有關威脅和風險的可操作信息。在沒有具體說明這樣的系統(tǒng)是什么樣子或它將如何運行的情況下，專家組發(fā)現(xiàn)“確實需要一個國家網絡安全警報系統(tǒng)，以例行化24/7考慮和提供網絡警報。

資料來源：http://16n26.xai8.sbs/2DbDmFz

05、嚴重CodeMeter漏洞影響多種西門子產品

西門子發(fā)布了7份新公告，涵蓋影響該公司工業(yè)產品的總共45個漏洞。其中一份公告描述了CVE-2023-3935，這是一個影響Wibu Systems CodeMeter軟件許可和保護技術的嚴重漏洞，該技術被多種西門子產品使用，包括PSS、SIMATIC、SIMIT、SINEC和SINEMA。如果CodeMeter Runtime配置為服務器，則未經身份驗證的遠程攻擊者可以利用該缺陷執(zhí)行任意代碼。如果CodeMeter Runtime配置為客戶端，則該錯誤可能允許經過身份驗證的本地攻擊者將權限升級到root。

資料來源：http://qvvo2.xai6.sbs/PZPIIHJ

06、SAP修補了影響NetWeaver、S/4HANA的嚴重漏洞

9月12日，德國商業(yè)軟件制造商SAP宣布，作為2023年9月安全補丁日的一部分，發(fā)布13個新安全說明和5個更新安全說明。安全更新涉及兩個嚴重漏洞，包括BusinessObjects中的一個嚴重漏洞(CVE-2023-40622，CVSS評分為9.9)以及CommonCryptoLib中缺少授權檢查的問題(CVE-2023-40309，CVSS評分為9.8)。

資料來源：http://xczn3.xai8.sbs/NkDuEwg

07、Kubernetes漏洞導致遠程代碼執(zhí)行

Akamai的安全研究人員警告說，Kubernetes中的一個高嚴重性漏洞可被利用在集群內的所有Windows端點上實現(xiàn)遠程代碼執(zhí)行(RCE)。該漏洞編號為CVE-2023-3676(CVSS評分為8.8)，影響Kubernetes對YAML文件的處理，這些文件在容器編排系統(tǒng)中用于配置、管理、秘密處理等。

資料來源：http://2vsd5.xai6.sbs/YsNXDuS

08、新西蘭奧克蘭交通局的HOP卡遭遇重大網絡攻擊致票務系統(tǒng)部分癱瘓

9月14日，據媒體報道，奧克蘭交通局(AT)的HOP卡系統(tǒng)遭遇重大網絡事件，導致充值和其他服務中斷。該事件似乎是勒索軟件攻擊，但調查仍在進行中。奧克蘭交通局已啟動安全協(xié)議，并正在與專家合作伙伴合作，盡快解決該問題。

資料來源：https://therecord.media/montreal-electricity-organization-lockbit-victim/

09、空中客車公司敏感數據泄露

9月12日，據The Record報道，歐洲跨國航空航天公司空中客車公司(Airbus)確認其3,200家供應商的數據(包括姓名、家庭地址、電子郵件地址以及電話號碼)被泄露。目前空客公司已啟動本次網絡安全事件調查。

資料來源：

https://www.hackread.com/uk-air-traffic-control-system-collapses-travel-chaos/

10、伊朗國家黑客組織Peach Sandstorm攻擊全球衛(wèi)星和國防組織

最新研究表明，作為間諜活動的一部分，與伊朗政府有關的黑客針對衛(wèi)星、國防和制藥行業(yè)的數千個組織進行了攻擊。根據微軟周四(9月14日)發(fā)布的一份報告，此次攻擊背后的黑客組織被微軟追蹤為Peach Sandstorm，成功入侵了一些目標組織并竊取了他們的數據。

資料來源：

https://therecord.media/iranian-hackers-target-satellite-defense-orgs

11、西方國家的ICS計算機遭受的攻擊不斷增加

根據卡巴斯基最新的工業(yè)控制系統(tǒng)(ICS)威脅態(tài)勢報告，西方世界的工業(yè)控制系統(tǒng)(ICS)計算機受到的攻擊越來越多，但與全球其他地區(qū)相比，比例仍然較小。2023年上半年，卡巴斯基攔截了34%受其產品保護的ICS計算機的威脅，第二季度創(chuàng)下2019年以來的最高季度水平。

資料來源：http://v6l96.xai8.sbs/cZ3pdNb

12、英國第二支主要警察部隊在不到一個月內遭受網絡攻擊

據美聯(lián)社報道，一家生產身份證的公司竊取了大曼徹斯特警察局數千名警官和工作人員的個人信息，這是不到一個月內第二次影響英國主要警察部隊的此類網絡攻擊。大曼徹斯特警方于9月14日表示，身份徽章和授權卡的詳細信息，包括姓名、照片和身份證號碼或警察項圈號碼，在勒索軟件攻擊中被盜。第三方供應商的身份尚未確定。

資料來源：http://ouml6.xai8.sbs/CdaAGWO

13、霍尼韋爾使用量子計算加密密鑰來增強公用事業(yè)公司的數據安全性

霍尼韋爾宣布正在將量子計算強化加密密鑰集成到智能公用事業(yè)電表中，幫助保護最終用戶數據免受高級網絡安全威脅。該公司選擇利用Quantinuum的Quantum Origin技術來幫助提高數字化轉型公用事業(yè)領域的可靠性和信任度。Quantinuum的先進技術為最終用戶和關鍵基礎設施提供了針對威脅的增強保護。

資料來源：http://en8d6.xai8.sbs/7BEf1wA

14、新的Armis Centrix AI支持平臺有助于主動保護資產并修復漏洞

9月13日，資產情報網絡安全公司Armis推出了Armis Centrix，這是其人工智能驅動的網絡暴露管理平臺。憑借其無縫、順暢、基于云的平臺，Centrix有助于主動保護所有資產、修復漏洞、阻止威脅并保護整個攻擊面。這有助于確保組織攻擊面得到實時防御和管理。Armis Centrix與行業(yè)無關，允許制造、健康和醫(yī)療、IT(信息技術)、能源和公用事業(yè)、金融服務、交通、電信和媒體以及公共部門等從其功能中受益。

資料來源：http://uynr6.xai8.sbs/Yc40dFQ

15、Claroty在其SaaS平臺中添加VRM功能，以幫助組織降低CPS風險

9月13日，網絡物理系統(tǒng)(CPS)保護公司Claroty宣布增強其SaaS平臺的漏洞和風險管理(VRM)功能，進一步增強安全團隊評估和加強其組織的CPS風險態(tài)勢。這些增強功能包括獨特的細粒度且靈活的風險評分框架、使漏洞優(yōu)先級工作流程的效率比行業(yè)標準1高11倍的功能，以及對不斷發(fā)展的軟件物料清單(SBOM)環(huán)境的支持。

資料來源：http://i6vt5.xai6.sbs/gQCLJ5S

16、Certa融資3500萬美元，將人工智能引入第三方風險管理

總部位于舊金山的Certa創(chuàng)始人兼首席執(zhí)行官表示，該公司計劃利用3500萬美元投資人工智能，該人工智能將基于文本的政策應用于從ESG和法律到合規(guī)和采購等各個方面，并將其轉換為與第三方工具集成的受控工作流程。

資料來源：http://2gqo6.xai8.sbs/UM9PNg6