工業信息安全資訊（9月期） - 網安 - 專業的網絡安全產業、社區、知識平臺

國際視野

8月31日，美國石油協會(API)本月發布第三版管道網絡安全標準，該標準側重于管理與工業自動化和控制環境相關的網絡風險。該標準基于 NIST網絡安全框架和北美電力可靠性公司的關鍵基礎設施保護(NERC CIP)標準，涵蓋了所有控制系統。新標準描述了加強管道資產抵御勒索軟件和其他威脅的要求。API工作人員表示，該標準將通過加強對數字和操作控制系統的保護、提高安全性并防止整個管道供應鏈中斷，從而幫助保護國家的關鍵管道基礎設施。該框架與眾不同之處在于其自適應風險評估模型，該模型為運營商提供了適當程度的靈活性，以主動緩解快速發展的網絡威脅矩陣。新版管道網絡安全標準是在針對Colonial Pipeline的網絡攻擊之后發布的，該勒索軟件攻擊事件造成了重大破壞，同時促使政府重新引入了《管道安全法》以及其他關注關鍵基礎設施安全的舉措。
9月3日，美國聯邦調查局互聯網犯罪投訴中心發布公告，警告食品和農業部門的相關公司注意愈發活躍的勒索軟件攻擊威脅。公告稱，這些勒索軟件攻擊的影響對小型到大型食品/農業企業都是毀滅性的，且影響深遠，從小規模農場到大型生產制造商、加工商、餐館、市場等。公告指出，近年，大多數食品公司現在的運營和流程都依賴于物聯網設備和智能技術，攻擊者正在積極嘗試利用這些設備實現其惡意攻擊目的。一般情況下，攻擊者的目標會是大型、成熟的組織，而較小的公司將成為軟目標。一旦攻擊者針對食品/農業企業發起攻擊，就可以輕松利用IoT設備中的網絡漏洞竊取數據或加密系統，進而引發生產力損失、個人和專有信息被盜、財務損失和聲譽損害等后果，對整個食品供應鏈產生負面影響。
9月27日，安全周刊報道稱，Quad（澳大利亞、印度、日本和美國）四國在第一次會議上正式宣布建立合作伙伴關系，共同促進四國安全技術協同發展。Quad聯盟的成立旨在建立信任、完整性和互操作性，強調供應商、供應商和分銷商應確保其做法的透明度和問責制。Quad將成立一個Quad高級網絡小組專注于確保提高關鍵基礎設施抵御網絡威脅的能力，專家將定期開會，以確保政府和行業之間密切合作，推動采用共享網絡標準、安全軟件開發，并確保安全可靠的數字基礎設施的網絡安全。Quad承諾支持關鍵和新興技術的發展，為社會帶來實實在在的利益，這些技術的設計和使用符合既定原則，不會被濫用于惡意活動、壓迫和虛假信息。
9月30日，美國網絡安全和基礎設施安全局 (CISA) 發布了一個幫助企業評估內部威脅風險態勢的工具。該工具適用于公共和私營部門的組織，根據對一系列問題的回答為用戶提供反饋。此外，該工具旨在更好地了解內部威脅的性質，幫助用戶啟動自己的預防和緩解計劃。CISA指出，內部威脅對任何組織來說都是一個重大風險，惡意的內部人員可能會破壞敏感信息、竊取知識產權，甚至人身傷害他人，此類行動的結果包括組織聲譽受損、收入損失和市場份額減少。內部人員風險緩解自我評估工具首先評估組織是否具備內部人員風險計劃的所有要求以及員工是否接受過內部威脅相關風險的培訓，然后嘗試確定該組織是否處于有利地位以應對內部威脅。CISA敦促所有合作伙伴，尤其是資源有限的中小企業，使用這個新工具來制定防范內部威脅的計劃，因為現在采取這些行動可以在未來預防或減輕內部威脅的后果方面產生重大影響。

國內熱點

9月25日，“攜手構建網絡空間命運共同體精品案例”發布展示活動在烏鎮首次舉辦。本次活動累計征集國內外各方申報案例240余個，評選產生60個案例形成實踐案例集，并進一步復評產生12個精品案例。其中，國家工業信息安全發展研究中心申報的“國際工業信息安全應急交流系列活動項目”被評為精品案例案例，這也是此次評選中唯一一個來自工業信息安全領域的精品案例，其他入選案例分別來自伏羲智庫、中科院計算所、國家博物館、南方航空、安恒信息、國家廣播電視總局、聯合國教科文組織高等教育創新中心、中科院微生物研究所、阿里巴巴、領英、華為、騰訊等單位。
9月26日，由貴州省工業和信息化廳、國家工業信息安全發展研究中心聯合主辦的工控安全精品項目競演賽(以下簡稱競演賽)活動在貴陽舉辦。活動以競演的方式聚焦工業信息安全前沿問題和發展趨勢，引導社會力量積極參與，推動工業信息安全技術集成創新、產業快速發展、成果深度應用。活動旨在探索工控安全發展的新技術、新模式、新業態，打造業界創新創業賽事品牌和合作平臺，為工業信息安全共享共贏貢獻力量。
9月30日，為貫徹落實《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《關鍵信息基礎設施安全保護條例》（國令第745號）《成都市工業信息安全三年行動計劃》（成信領辦〔2019〕1號）等文件精神，根據《關于遴選成都市工業信息安全技術服務支撐單位的通知》有關要求，經各企事業單位自主申報，成都市工業互聯網發展中心聯合工業信息安全產業發展聯盟組織專家評審，評審結果經核實，中國電子科技網絡信息安全有限公司等17家單位擬推薦為成都市工業信息安全服務支撐單位。

安全事件

9月6日，FirstEnergy發表聲明稱其檢測到涉及多次未經授權嘗試登錄客戶帳戶的可疑活動，因此禁用了所有客戶的在線賬戶，并要求客戶重置密碼后再訪問其FirstEnergy帳戶。FirstEnergy發言人表示，該問題涉及憑證填充。此次事件對該公司的電力服務和日常運營沒有影響，也沒有證據表明黑客訪問了客戶的敏感信息。美國俄亥俄州的FirstEnergy是美國最大的上市的電力公司之一，為中西部和中大西洋地區的600萬客戶提供服務，是Penelec、West Penn Power等多家電力公司的母公司。
9月24日，美國官員稱，美國主要港口休斯頓港上個月成為疑似民族國家黑客的目標。休斯頓港是墨西哥灣沿岸的重要基礎設施，其周四發表官方聲明稱已成功抵御了8月份的一次黑客攻擊，目前未發現任何運營數據或系統受到影響。美國網絡安全和基礎設施安全局局長表示，發動攻擊的黑客背后很可能具有民族國家背景。俄亥俄州政府官員表示，這次黑客攻擊令人擔憂，并表示美國需要反擊和繼續調查發動針對公共和私營部門實體攻擊的民族國家行為者。

技術研究

9月1日，新加坡科技與設計大學的自動化系統安全研究小組(ASSET)披露，稱其通過對多款藍牙設備進行研究后發現了16個新漏洞，統稱為BrakTooth，這些漏洞會影響英特爾、高通、德州儀器、Cypress、Silicon Labs等主流SoC供應商，可能導致固件崩潰、商用硬件鎖死、拒絕服務(DoS)、任意代碼執行(ACE)等，受到影響的設備包括的設備類型包括智能手機、信息娛樂系統、筆記本電腦和臺式機系統、音頻設備、家庭娛樂系統、鍵盤、玩具、工業設備（PLC）等。
9月2日，中國臺灣工業網絡和自動化公司Moxa生產的鐵路無線通信設備等產品被發現存在近60個漏洞。一旦攻擊者獲得對受影響設備的web管理界面訪問權，且獲得登錄憑據(可以通過各種方法獲得登錄憑據)，即可通過持久訪間接管整個設備。研究人員表示，黑客可能造成的破壞取決于“通過該設備發送的信息的關鍵程度”，很難估計。命令注入漏洞可能允許經過身份驗證的攻擊者通過永久性地阻塞設備來中斷無線通信。攻擊者也可以簡單地從web界面關閉設備。臺灣moxa科技股份有限公司，大陸通稱摩莎，致力于提供串口通信解決方案、串口設備聯網解決方案、及工業以太網解決方案，尤其是串口設備聯網及以太網交換技術，該公司全系列產品在大陸有售。
9月8日，美國CISA發布緊急安全通知稱，在關鍵制造業中使用的三菱電機(Mitsubishi Electric)生產的MELSEC iQ-R系列CPU模塊存在一系列漏洞。目前還沒有針對這些漏洞的修復補丁，因此CISA敦促易受攻擊產品的用戶盡快采取緩解措施。如果不能快速響應緊急情況，用戶將面臨未經授權的遠程訪問、CPU模塊訪問、DoS、網絡流量嗅探等風險。受到影響的產品是所有版本的R08/16/32/120SFCPU和所有版本的R08/16/32/120PSFCPU。由于這三個漏洞都可以被遠程利用，CISA對此發布了警報。因此，最小化所有控制系統和設備的網絡暴露是關鍵，在網絡掃描中不顯示漏洞是避免麻煩的關鍵步驟。另一個好的做法是將這些設備置于嚴格的防火墻之后，并將它們與業務網絡的關鍵部分隔離。
9月14日，卡巴斯基最新的《工業自動化系統為學態勢（2021年上半年）》報告中顯示，2021年上半年，在卡巴斯基監控的約1/3的工業控制系統(ICS)計算機上檢測到惡意活動。報告指出，在接受此次調查的所有設備中，受到攻擊的設備百分比平均上升了0.4個百分點，但在某些國家/地區，增幅更為顯著，如白俄羅斯、烏克蘭以及俄羅斯。從受到攻擊的行業來看，2021年上半年受影響最大的是樓宇自動化、工程和ICS集成、石油和天然氣、能源和汽車制造。卡巴斯基安全專家表示，工業組織總是會引起網絡犯罪分子和出于政治動機的威脅行為者的關注，在過去半年中，網絡間諜活動和惡意憑據竊取活動的數量有所增加，他們的成功很可能是將勒索軟件威脅提高到如此高程度的主要因素。
9月21日，網絡安全公司Sophos披露，在最近的一次攻擊中，Adobe在十多年前修補的兩個ColdFusion漏洞被威脅行為者利用。Sophos在最近調查的一起攻擊中發現，有未知威脅行為者在一家服務公司的系統上部署了Cring勒索軟件，利用了Fortinet在2019年修補FortiOS漏洞。卡巴斯基今年早些時候就報道稱，Cring勒索軟件已被部署在針對工業組織的攻擊中，攻擊者先是掃描Web以尋找攻擊目標和識別ColdFusion漏洞，并在79小時后部署勒索軟件并實施勒索。
9月22日，一位名為“Watchful IP”的研究人員披露稱，超過70款海康威視攝像機和NVR型號受到一個嚴重漏洞的影響，該漏洞可以讓黑客在沒有任何用戶交互的情況下遠程控制設備。研究人員稱，這是一個由輸入驗證不足引起的命令注入漏洞，攻擊者不需要用戶名或密碼，也不需要由相機所有者發起任何操作，相機本身的任何記錄也無法檢測到它。攻擊者可以利用該漏洞獲得root訪問權限并完全控制設備，也可以使用受感染的設備訪問內部網絡。研究人員警告，鑒于這些攝像頭部署在敏感地點，關鍵基礎設施很可能因此面臨風險。海康威視在發布的安全公告中稱，該漏洞會影響海康威視的新舊攝像機和NVR產品，目前相關補丁已經發布。

融資動態

9月2日，安全編排、自動化和響應(SOAR)提供商D3 Security宣布得到1000萬美元融資，由從Vistara Growth領投，該公司計劃利用這筆資金改進其產品、發展壯大以及擴大銷售和營銷工作。D3 Security還宣布即將發布其XGEN SOAR平臺，該平臺提供360多個集成工具的自動化和編排功能。該公司聲稱擁有市場上最強大、最敏捷、最易于使用的SOAR平臺，其無代碼腳本可自動完成豐富和修復任務，同時讓任何人都可以輕松構建、修改和擴展安全操作、事件響應和威脅追蹤的工作流程。
9月29日，工業互聯網安全公司北京惠而特安全科技有限公司（以下簡稱“惠而特”）召開首輪融資發布會，宣布完成由用友幸福投資獨家投資的數千萬元首輪融資，并在會上舉行簽約儀式，正式成為用友集團的成員企業。惠而特是一家工業互聯網安全一體化解決方案提供商，公司以自主研發的全系列安全產品為基礎，以等級保護、工控安全、安全服務、解決方案為核心業務，提供培訓、咨詢、規劃、評估、建設、運維等全流程的服務和解決方案。

行業動態

9月10日，華北電力大學和公安部信息安全等級保護評估中心聯合工業信息安全產業發展聯盟等單位舉辦全國工控系統信息安全攻防競賽。這屆全國工控系統信息安全攻防競賽以“最專業、最強技術、最強陣容“為目標，組織工控系統信息安全專業賽事，打造工控安全“奧運會”，旨在深入貫徹國家網絡安全戰略思想，進一步落實《關鍵信息基礎設施安全保護條例》中關于重點保護關鍵信息基礎設施的重要指示，著力提升網絡安全處置能力、揭示工控系統安全現狀、提升防護技術和手段，促進工業控制系統安全建設。
9月23日，工業信息安全產業發展聯盟（以下簡稱“聯盟”）第一屆理事會第九次會議在北京召開。會議宣布了理事會主要任職人員變更和聯盟組織架構調整等重要議題。會上審議通過了75家單位入會，其中，境外企業1家、工業企業2家，安全廠商72家。此外，會上還宣布增設工業互聯網安全專業委員會（以下簡稱“專委會”）、工控安全專委會、數據安全專委會、信創安全專委會、車聯網安全專委會和5G應用安全專委會六個專委會和煤炭、電力和鋼鐵三個行業委員會。