工業(yè)網(wǎng)絡(luò)安全周報(bào)

政策法規(guī)方面，本周觀察到國(guó)內(nèi)外網(wǎng)絡(luò)安全相關(guān)政策法規(guī)4項(xiàng)，值得關(guān)注的有我國(guó)牽頭提出的國(guó)際標(biāo)準(zhǔn)《網(wǎng)絡(luò)安全工業(yè)互聯(lián)網(wǎng)平臺(tái)安全參考模型》正式發(fā)布、國(guó)際標(biāo)準(zhǔn)《網(wǎng)絡(luò)安設(shè)備與服務(wù)建立可信連接的安全建議》正式發(fā)布。

漏洞態(tài)勢(shì)方面，本周監(jiān)測(cè)到漏洞動(dòng)態(tài)8條，值得關(guān)注的有CISA針對(duì)主動(dòng)利用的 Ivanti MobileIron漏洞發(fā)布新警告等。

安全事件方面，本周監(jiān)測(cè)到重大網(wǎng)絡(luò)安全事件7起，其中典型的事件有國(guó)際船舶制造巨頭因網(wǎng)絡(luò)攻擊損失超6.1億元、以色列最大煉油廠遭伊朗黑入侵疑致SCADA系統(tǒng)遭黑。

產(chǎn)品技術(shù)方面，施耐德電氣宣布推出適用于OT環(huán)境的托管安全服務(wù)、美國(guó)能源部結(jié)果驅(qū)動(dòng)型網(wǎng)絡(luò)知情工程(CCE)方法受到更多OT網(wǎng)絡(luò)安全公司的支持。

01、國(guó)際標(biāo)準(zhǔn)《網(wǎng)絡(luò)安全工業(yè)互聯(lián)網(wǎng)平臺(tái)安全參考模型》正式發(fā)布

2023年7月，我國(guó)牽頭提出的國(guó)際標(biāo)準(zhǔn)ISO/IEC 24392：2023《網(wǎng)絡(luò)安全 工業(yè)互聯(lián)網(wǎng)平臺(tái)安全參考模型》正式發(fā)布。該提案于2018年4月提交至ISO/IEC JTC1/SC27，后經(jīng)研究，于2019年6月正式立項(xiàng);2023年7月正式發(fā)布。我國(guó)3名專家擔(dān)任該國(guó)際標(biāo)準(zhǔn)提案的編輯和聯(lián)合編輯。ISO/IEC 24392作為首個(gè)工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域的國(guó)際標(biāo)準(zhǔn)，基于工業(yè)互聯(lián)網(wǎng)平臺(tái)安全域、系統(tǒng)生命周期和業(yè)務(wù)場(chǎng)景三個(gè)視角構(gòu)建了工業(yè)互聯(lián)網(wǎng)平臺(tái)安全參考模型。該國(guó)際標(biāo)準(zhǔn)用于解決工業(yè)互聯(lián)網(wǎng)應(yīng)用和發(fā)展過程中的平臺(tái)安全問題，可以系統(tǒng)指導(dǎo)工業(yè)互聯(lián)網(wǎng)企業(yè)及相關(guān)研究機(jī)構(gòu)，針對(duì)不同的工業(yè)場(chǎng)景，分析工業(yè)互聯(lián)網(wǎng)平臺(tái)的安全目標(biāo)，設(shè)計(jì)工業(yè)互聯(lián)網(wǎng)平臺(tái)安全防御措施，增強(qiáng)工業(yè)互聯(lián)網(wǎng)平臺(tái)基礎(chǔ)設(shè)施的安全性。

資料來源：https://www.tc260.org.cn/front/postDetail.html?id=20230803173711

02、國(guó)際標(biāo)準(zhǔn)《網(wǎng)絡(luò)安全設(shè)備與服務(wù)建立可信鏈接的安全建議》正式發(fā)布

2023年7月，我國(guó)牽頭提出的國(guó)際標(biāo)準(zhǔn)ISO/IEC 27071:2023《網(wǎng)絡(luò)安全設(shè)備與服務(wù)建立可信連接的安全建議》正式發(fā)布。該提案于2015年提交至ISO/IEC JTC1/SC27，后經(jīng)研究，于2019年4月正式立項(xiàng);2023年7月正式發(fā)布。我國(guó)2名專家擔(dān)任該國(guó)際標(biāo)準(zhǔn)提案的編輯和聯(lián)合編輯。ISO/IEC 27071給出了設(shè)備和服務(wù)建立可信連接的框架和安全建議，包括對(duì)硬件安全模塊、信任根、身份、身份鑒別和密鑰建立、環(huán)境證明、數(shù)據(jù)完整性和真實(shí)性等組件的安全建議。該國(guó)際標(biāo)準(zhǔn)適用于基于硬件安全模塊在設(shè)備和服務(wù)之間建立可信連接的場(chǎng)景，例如移動(dòng)支付、車聯(lián)網(wǎng)、工業(yè)物聯(lián)網(wǎng)等，有助于提升數(shù)據(jù)從設(shè)備中采集到服務(wù)的全過程的安全性。

資料來源：https://www.tc260.org.cn/front/postDetail.html?id=20230803173415

03、美國(guó)防部公布2023-2027年CWF戰(zhàn)略實(shí)施計(jì)劃，解決人才缺口培養(yǎng)未來網(wǎng)絡(luò)勞動(dòng)力

美國(guó)國(guó)防部(DoD)本周發(fā)布了2023-2027年網(wǎng)絡(luò)勞動(dòng)力(CWF)戰(zhàn)略實(shí)施計(jì)劃，該計(jì)劃直接解決國(guó)防部的網(wǎng)絡(luò)人才缺口問題，并采取必要的舉措來培養(yǎng)未來的網(wǎng)絡(luò)勞動(dòng)力。CWF戰(zhàn)略實(shí)施計(jì)劃文件將協(xié)助該部門推進(jìn)人才管理舉措，以打造更加多樣化和有效的網(wǎng)絡(luò)勞動(dòng)力。CWF戰(zhàn)略實(shí)施計(jì)劃將協(xié)助該部門推進(jìn)旨在培養(yǎng)敏捷、靈活和反應(yīng)靈敏的網(wǎng)絡(luò)勞動(dòng)力的人才管理舉措。

資料來源：http://mgvj2.xai6.sbs/h60kaZC

04、白宮發(fā)布擴(kuò)大美國(guó)網(wǎng)絡(luò)勞動(dòng)力戰(zhàn)略

7月31日，拜登政公布了《國(guó)家網(wǎng)絡(luò)勞動(dòng)力和教育戰(zhàn)略》，該戰(zhàn)略設(shè)想在幼兒教育中引入網(wǎng)絡(luò)安全概念，同時(shí)使網(wǎng)絡(luò)高級(jí)職業(yè)培訓(xùn)變得更容易獲得和負(fù)擔(dān)得起。該教育戰(zhàn)略由國(guó)家網(wǎng)絡(luò)主任辦公室發(fā)布，其主要目標(biāo)是彌合網(wǎng)絡(luò)安全領(lǐng)域重要工作與美國(guó)教育系統(tǒng)當(dāng)前課程之間的差距。作為拜登政府加強(qiáng)國(guó)家整體網(wǎng)絡(luò)安全態(tài)勢(shì)計(jì)劃的一部分，該計(jì)劃旨在確保勞動(dòng)力配備必要的技術(shù)技能來維持強(qiáng)大的網(wǎng)絡(luò)防御。

資料來源：http://d0vx2.xai6.sbs/G1OiJXI

05、CISA針對(duì)主動(dòng)利用的Ivanti MobileIron漏洞發(fā)布新警告

8月1日，美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全(CISA)警告說，自4月份以來，國(guó)家黑客正在利用Ivanti的Endpoint Manager Mobile (EPMM)(以前稱為MobileIron Core)中的兩個(gè)缺陷。至少從2023年4月到2023年7月，高級(jí)持續(xù)威脅(APT)攻擊者利用CVE-2023-35078作為零日漏洞，從多個(gè)挪威組織收集信息，以及訪問和破壞挪威政府機(jī)構(gòu)的網(wǎng)絡(luò)。

資料來源：http://dz552.xai6.sbs/pyL2dZc

06、黑客利用CVE-2023-3519在數(shù)百臺(tái)Citrix服務(wù)器安裝后門

8月2日，Shadowserver Foundation發(fā)現(xiàn)數(shù)百臺(tái)Citrix Netscaler ADC和Gateway服務(wù)器被入侵并安裝后門。CISA近期發(fā)布通告稱，攻擊者正在利用RCE漏洞(CVE-2023-3519)在易被攻擊的系統(tǒng)中安裝Webshell。Shadowserver最初報(bào)告，至少有15000臺(tái)服務(wù)器易被攻擊，主要位于美國(guó)和德國(guó)。最新更新中顯示，截至8月1日，攻擊者已在至少581臺(tái)Citrix服務(wù)器上安裝了Webshell。Citrix強(qiáng)烈建議用戶安裝更新。

資料來源：http://nsds2.xai6.sbs/vjVDcpe

07、卡巴斯基詳細(xì)介紹了常見的工業(yè)TTP，重點(diǎn)關(guān)注于收集數(shù)據(jù)的植入程序

7月31日，卡巴斯基ICS CERT團(tuán)隊(duì)的研究人發(fā)布了其研究的第二部分，該研究基于對(duì)一系列針對(duì)工業(yè)組織的攻擊的調(diào)查。該研究涵蓋了用于收集數(shù)據(jù)的第二階段惡意軟件，確定了兩種用于收集受感染系統(tǒng)數(shù)據(jù)的植入程序。第一種類型的植入程序旨在收集和存檔本地計(jì)算機(jī)上的各種數(shù)據(jù)，而第二種類型的植入程序則用于收集有關(guān)可移動(dòng)驅(qū)動(dòng)器的信息，對(duì)其內(nèi)容進(jìn)行卷影復(fù)制，并用蠕蟲病毒感染它們，然后將其用于從氣隙網(wǎng)絡(luò)中竊取數(shù)據(jù)。7月早些時(shí)候，卡巴斯基宣布調(diào)查2022年針對(duì)東歐工業(yè)組織的一系列攻擊。在這些活動(dòng)中，攻擊者的目的是建立一個(gè)永久的數(shù)據(jù)泄露通道，包括存儲(chǔ)在氣隙系統(tǒng)上的數(shù)據(jù)。

資料來源：http://yske5.xai6.sbs/oBPPUfn

08、國(guó)際船舶制造巨頭因網(wǎng)絡(luò)攻擊損失超1.6億元

美國(guó)船舶制造巨頭賓士域集團(tuán)(Brunswick Corporation)的首席執(zhí)行官上周向投資者透露，公司因一次網(wǎng)絡(luò)安全事件蒙受高達(dá)8500萬美元(約合人民幣6.1億元)的損失。這家擁有數(shù)十億美元資產(chǎn)的船舶制造公司在2021年創(chuàng)造了近60億美元的收入，業(yè)務(wù)遍及24個(gè)國(guó)家，是海洋休閑產(chǎn)業(yè)的全球領(lǐng)導(dǎo)者。6月13日，賓士域集團(tuán)宣布遭受了一次網(wǎng)絡(luò)攻擊，其系統(tǒng)和部分設(shè)施受到影響。官方并未確認(rèn)這是一次勒索軟件攻擊，但他們表示在專家和執(zhí)法部門處理該事件期間，已被迫停止部分地區(qū)的運(yùn)營(yíng)。

資料來源：https://therecord.media/marine-industry-giant-brunswick-lost-millions

09、以色列最大煉油廠遭伊朗黑客入侵，疑致SCADA系統(tǒng)遭黑

以色列最大的煉油廠運(yùn)營(yíng)商BAZAN集團(tuán)的網(wǎng)站在世界大部分地區(qū)都無法訪問，因?yàn)橥{行為者聲稱已經(jīng)侵入了該集團(tuán)的網(wǎng)絡(luò)系統(tǒng)。總部位于海法灣的BAZAN Group(前身為Oil Refineries Ltd.)年收入超過135億美元，擁有員工1,800多人。該公司擁有年煉油總能力約980萬噸原油。伊朗黑客組織“網(wǎng)絡(luò)復(fù)仇者”，又名“CyberAv3ngers”，在Telegram頻道中聲稱他們已滲透到BAZAN網(wǎng)絡(luò)，7月29日晚上，該組織發(fā)布了BAZAN集團(tuán)公司的SCADA系統(tǒng)的屏幕截圖，該系統(tǒng)用于監(jiān)視和控制工業(yè)控制系統(tǒng)。但BAZAN對(duì)此進(jìn)行了否認(rèn)，聲稱沒有受到任何實(shí)質(zhì)性影響。據(jù)黑客稱他們利用了CheckPoint的防火墻漏洞滲透到了煉油廠的網(wǎng)絡(luò)，但CheckPoint也否認(rèn)了這種說法。

資料來源：https://www.securitylab.ru/news/540479.php

10、Dragos:勒索軟件將持續(xù)使用各種技術(shù)擾亂工業(yè)運(yùn)營(yíng)

工業(yè)網(wǎng)絡(luò)安全供應(yīng)商Dragos透露，今年第二季度是勒索軟件組織異常活躍的時(shí)期，對(duì)工業(yè)組織和基礎(chǔ)設(shè)施構(gòu)成了重大威脅。數(shù)據(jù)顯示，北美地區(qū)的事故數(shù)量比上一季度增加了27%，對(duì)關(guān)鍵基礎(chǔ)設(shè)施構(gòu)成了重大威脅。“針對(duì)工業(yè)目標(biāo)的勒索軟件攻擊的增加及其隨之而來的影響凸顯了勒索軟件生態(tài)系統(tǒng)的快速增長(zhǎng)以及這些組織為實(shí)現(xiàn)其目標(biāo)而采用不同的策略、技術(shù)和程序(TTP)，”高級(jí)威脅獵人Abdulrahman H. Alamri在7月31日是的博客文章中寫道。今年第二季度，Dragos發(fā)現(xiàn)了253起勒索軟件事件，與上一季度相比增加了18%。

資料來源：http://3jak6.xai8.sbs/hRznTWa

11、床墊巨頭泰普爾絲遭遇網(wǎng)絡(luò)攻擊迫使系統(tǒng)關(guān)閉

全球最大的床墊銷售商之一Tempur Sealy正在應(yīng)對(duì)網(wǎng)絡(luò)攻擊，該攻擊迫使該公司關(guān)閉了部分IT系統(tǒng)。由于旗下?lián)碛蠺empus、Cocoon、Sealy和Stearns & Foster等品牌。該公司首席財(cái)務(wù)官Bhaskar Rao在7月31日上午向美國(guó)證券交易委員會(huì)報(bào)告稱，Tempur Sealy的運(yùn)營(yíng)因7月23日開始的網(wǎng)絡(luò)攻擊而受到阻礙。

資料來源：https://therecord.media/mattress-giant-tempur-sealy-cyberattack

12、美國(guó)大型旅游公司Mondee發(fā)生重大客戶數(shù)據(jù)泄露事件

一家大型旅游公司Mondee最近關(guān)閉了一個(gè)數(shù)據(jù)庫，該數(shù)據(jù)庫之前無意中暴露在公共互聯(lián)網(wǎng)上，其中包含敏感的客戶信息，包括航班詳細(xì)信息、酒店預(yù)訂和未加密的信用卡號(hào)碼。該漏洞的曝光得益于獨(dú)立網(wǎng)絡(luò)安全研究員Anurag Sen，他發(fā)現(xiàn)了該數(shù)據(jù)庫并將其與TechCrunch共享。Sen表示，訪問Oracle云中托管的數(shù)據(jù)庫不需要密碼，這樣就可以通過Web瀏覽器訪問敏感數(shù)據(jù)，只需要知道正確的IP地址。后來的事實(shí)證明，該基地也可以通過Mondee部門之一所在地的一個(gè)容易猜到的子域找到。

資料來源：https://www.securitylab.ru/news/540617.php

13、制造業(yè)因勒索軟件的財(cái)務(wù)成本而陷入困境

Comparitech的一項(xiàng)新分析揭示了勒索軟件攻擊對(duì)制造業(yè)造成的巨大全球損失。該公司審查了2018年至2023年7月期間針對(duì)制造公司的478起已確認(rèn)的勒索軟件攻擊，并利用其全球跟蹤器了解此類事件的真實(shí)成本。這包括造成的停機(jī)時(shí)間、被盜數(shù)據(jù)量、贖金要求多少以及這些要求是否得到滿足。研究顯示，2022年勒索軟件造成的平均停機(jī)時(shí)間比2021年幾乎翻了一番，從6.4天增加到12.2天。此外，兩個(gè)時(shí)期記錄的最長(zhǎng)停機(jī)時(shí)間也存在較大差距——2021年為32天，2022年為76天。Comparitech數(shù)據(jù)研究主管麗貝卡·穆迪(Rebecca Moody)告訴Infosecurity，導(dǎo)致停機(jī)時(shí)間增加的一個(gè)可能因素是攻擊者“不斷改進(jìn)其惡意軟件，以領(lǐng)先組織一步”。此外，平均贖金需求在2021年最高，達(dá)到2190萬美元。據(jù)分析，到2022年，這一數(shù)字將降至880萬美元，而到2023年，這一數(shù)字目前為170萬美元。

資料來源：https://www.infosecurity-magazine.com/news/manufacturing-reeling-cost/

14、施耐德電氣宣布推出適用于OT環(huán)境的托管安全服務(wù)

8月1日，能源管理和工業(yè)自動(dòng)化解決方案數(shù)字化轉(zhuǎn)型供應(yīng)商施耐德電氣推出了托管安全服務(wù)(MSS)產(chǎn)品，幫助OT(操作技術(shù))環(huán)境中的客戶應(yīng)對(duì)與遠(yuǎn)程訪問和連接技術(shù)需求相關(guān)的日益增加的網(wǎng)絡(luò)風(fēng)險(xiǎn)。這些服務(wù)還可用于幫助應(yīng)對(duì)復(fù)雜IT和OT環(huán)境中日益增長(zhǎng)的威脅。新產(chǎn)品由施耐德電氣的全球網(wǎng)絡(luò)安全互聯(lián)服務(wù)中心(CCSH)提供支持，提供成熟的技術(shù)作為靈活的服務(wù)來監(jiān)控網(wǎng)絡(luò)威脅并代表客戶主動(dòng)響應(yīng)。

資料來源：http://pslt2.xai6.sbs/tpXHt1X

15、美國(guó)能源部結(jié)果驅(qū)動(dòng)型網(wǎng)絡(luò)知情工程(CCE)方法受到更多OT網(wǎng)絡(luò)安全公司的支持

8月1日，OT網(wǎng)絡(luò)安全公司Mission Secur宣布，它已與美國(guó)能源部國(guó)家實(shí)驗(yàn)室愛達(dá)荷國(guó)家實(shí)驗(yàn)室合作。該聯(lián)盟將擴(kuò)大結(jié)果驅(qū)動(dòng)型網(wǎng)絡(luò)知情工程(CCE)方法的采用，以保護(hù)關(guān)鍵基礎(chǔ)設(shè)施免受網(wǎng)絡(luò)威脅。CCE方法由愛達(dá)荷國(guó)家實(shí)驗(yàn)室開發(fā)，旨在降低針對(duì)關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)的潛在災(zāi)難性網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。該方法旨在為對(duì)手設(shè)計(jì)機(jī)會(huì)，對(duì)電網(wǎng)、石油和天然氣設(shè)施、供水系統(tǒng)、運(yùn)輸系統(tǒng)和其他關(guān)鍵資產(chǎn)造成現(xiàn)實(shí)破壞。

資料來源：http://ja0x5.xai6.sbs/tKJGjKD

16、Armis與安全風(fēng)險(xiǎn)顧問合作，提高OT安全性，保護(hù)網(wǎng)絡(luò)物理系統(tǒng)

8月3日，資產(chǎn)可視性和安全公司Armi宣布與國(guó)際網(wǎng)絡(luò)安全咨詢公司security Risk Advisors (SRA)建立合作伙伴關(guān)系。雙方利用各自的專業(yè)領(lǐng)域來保護(hù)運(yùn)營(yíng)技術(shù)(OT)和網(wǎng)絡(luò)物理系統(tǒng)(CPS)，從而為共同的客戶提供支持。隨著OT的聯(lián)系越來越緊密，監(jiān)控和保護(hù)這些資產(chǎn)的責(zé)任對(duì)于保護(hù)業(yè)務(wù)連續(xù)性、供應(yīng)鏈和消費(fèi)者變得越來越重要。Armis提供業(yè)界最全面的資產(chǎn)情報(bào)平臺(tái)，為需要防范看不見的運(yùn)營(yíng)和網(wǎng)絡(luò)風(fēng)險(xiǎn)、提高效率、優(yōu)化資源使用和通過新技術(shù)安全創(chuàng)新的組織提供統(tǒng)一的資產(chǎn)可見性和卓越的安全性。

資料來源：http://6uoe6.xai8.sbs/gsVjY24

來源：安帝Andisec