工業信息安全資訊（10月期） - 網安 - 專業的網絡安全產業、社區、知識平臺

國際視野

10月1日，美國參議員本周提交《網絡事件報告法》法案，該法案要求關鍵基礎設施組織在遭遇網絡攻擊時及時報告網絡安全和基礎設施安全局(CISA)，如果大多數私營公司做出回應，則還需要通知政府。《網絡事件報告法》旨在幫助政府應對網絡攻擊，并幫助其追究針對美國網絡的威脅行為者的責任。如果該法案成為法律，關鍵基礎設施所有者和運營商將被要求在72小時內向 CISA 報告網絡攻擊。此外，如果其他組織決定支付勒索軟件費用，則必須在24小時內通知CISA。這項兩黨法案將使國家網絡總監、CISA和其他適當機構廣泛了解我們國家每天發生的網絡攻擊，從而使整個政府能夠對關鍵基礎設施和其他人做出響應、緩解和警告。
10月7日，包括FBI、NSA、CISA和EPA在內的美國多家機構聯合發布網絡安全咨詢報告，報告指出，水處理等關鍵基礎設施領域正成為勒索軟件重點攻擊目標。報告披露了三起由勒索軟件引起的針對美國水和廢水處理設施 (WWS) 的攻擊事件，三次攻擊的勒索軟件都對受感染系統文件進行了加密，其中一起事件中，攻擊者還破壞了用于控制監控和數據采集(SCADA)工業設備的系統。此外，該報告還披露了攻擊者用于破壞WWS設施的IT和OT網絡的常見策略、技術和程序(TTP)。主要包括針對性魚叉式釣魚活動，向人員投送惡意負載，如勒索軟件和RAT；利用在線公開的服務和應用程序，以實現對WWS網絡的遠程訪問(即RDP訪問)；利用運行易受攻擊固件版本的控制系統的漏洞。
10月8日，新加坡宣布調整其網絡安全戰略，加強其對操作技術(OT)安全的關注，并出臺新的能力框架，以對OT行業所需的技術和技能提供指導。2021年網絡安全戰略還將在以下努力的基礎上再接再厲：加強整體網絡安全態勢并促進國際網絡合作、維護新加坡重要信息基礎設施(CII)和其他數字基礎設施。網絡安全局(CSA)表示將與CII運營商合作，加強OT系統的網絡安全，在這些系統中，網絡攻擊可能構成實體和經濟風險。CSA定義OT系統包括工業控制、建筑物管理和交通燈控制系統，這些系統包括監視或改變“系統的物理狀態”，如控制鐵路系統。
10月15日，美國FBI、CISA、EPA和NSA發布聯合警告稱，供水和廢水行業的組織正在經歷網絡攻擊。該警報還描述了三個以前未報告的影響供水設施工業控制系統(ICS)IT和OT（運營技術）系統的勒索軟件攻擊事件。公告強調了與數據、勒索軟件、網絡分段、網絡復雜性和系統維護相關的風險，并分享了有關威脅行為者用來破壞IT和OT系統和網絡的策略、技術和程序 (TTP) 的信息，并提供了如何預防、檢測和響應網絡威脅的建議。美國目前已將供水和廢水系統歸類為國家關鍵功能，它們的破壞或腐敗將對安全、國家經濟安全、國家公共健康或安全，或其任何組合產生不良影響。

行業動態

10月23日，成都信息工程大學與綠盟科技集團共同簽署戰略合作協議。雙方將圍繞人才培養、學科建設、專業實踐、技術研究等方面展開深度合作，共同培養網絡空間安全精英人才。據悉，本次戰略合作恰逢成都信息工程大學七十周年校慶之際，雙方將立足于國家網絡安全戰略需要，秉承“優勢互補、互惠共贏、深度合作、共同發展”的原則，圍繞網絡空間安全精英人才培養、學科建設、專業實踐、技術研究等多方面展開深度合作。成都信息工程大學作為川渝地區歷史悠久、久負盛名的高校，多年來培養、造就了一批高素質的師資隊伍，為國家、社會培養和輸送了大批優秀的人才。
10月24日，根據《工業控制系統信息安全事件應急管理工作指南》相關要求，為持續建設覆蓋全國的工業信息安全應急服務力量，提高重大突發工業信息安全事件的應急處置能力，支撐工業信息安全產業發展聯盟（以下簡稱“聯盟”）開展工業信息安全事件應急工作，聯盟應急服務工作組近期組織開展了工業信息安全應急服務支撐單位遴選工作。經過材料征集、形式審查、專家評審和最終審核四個環節，評選產生了18家單位作為第四批工業信息安全應急服務支撐單位。
10月26日，零日計劃(ZDI)組織宣布下一屆Pwn2Own邁阿密黑客大賽的時間、主題、獎項等相關信息。Pwn2Own邁阿密黑客大賽主要圍繞工業控制系統(ICS)產品和相關協議安全開展，2022年，大賽的四個主題為：控制服務器、OPC UA服務器、數據網關和人機界面 (HMI)。研究人員必須提交一篇論文，詳細說明他們的漏洞利用以及如何執行。在去年的活動中，參與者展示了針對羅克韋爾自動化、施耐德電氣等產品的24個漏洞，總共獲得了280000美元。

安全事件

10月5日，被全球絕大多數移動運營商使用的連接服務提供商Syniverse公司披露，其信息技術(IT)和運營技術(OT)系統已遭入侵多年。Syniverse主要提供連接不同移動運營商的網絡并實現數據傳輸的服務，每天支持數十億次交易、對話和連接。該公司近期承認自2016年5月以來，威脅行為者可以訪問其OT、IT系統、內網數據庫，并且允許訪問或從其電子數據傳輸的登錄信息。Syniverse表示并未觀察到任何意圖破壞其運營/客戶服務，或試圖通過未經授權的跡象，此次事件并未對其日常運營/服務或其訪問或處理數據的能力產生任何影響。Syniverse在200個國家/地區擁有大約1250名客戶，幾乎包括世界上絕大多數移動運營商，如AT&T、Verizon、T-Mobile、沃達豐、中國移動、Airtel、Telefónica和América Móvil等。
10月11日，英國格拉斯哥工程公司Weir Group承認受到勒索軟件攻擊導致今年第三季度收入受到影響。Weir Group表示，攻擊發生在9月下半月，雖然公司在發現受到攻擊后立即采取了應對遏制行動，但一些受影響的應用程序仍未完全恢復，因此，該公司隔離并關閉了一些系統，包括“核心企業資源規劃 (ERP) 和工程應用程序”。該公司表示，Weir Group的工程、制造和運輸在未來幾周將逐步恢復，但由于這些行動，預計運營中斷和相關低效率的影響將持續到第四季度，預計會對收入產生負面影響。Weir Group是一家蘇格蘭跨國工程公司，服務于礦物和采礦技術市場，成立于1871年，擁有超過15000名員工。
10月25日，堪薩斯州一名男子在法庭上承認篡改了Post Rock農村供水區的系統。這名男子曾在2018年1月至2019年1月期間在埃爾斯沃思縣飲用水處理站工作，期間他在下班后使用遠程登錄系統來監控工廠。2019年3月，在辭去Post Rock農村水區的職位兩個月后，該男子使用相同的遠程登錄系統關閉了該供水設施并關閉了其中一個過濾器。面對指控，該男子承認在未經授權的訪問期間損壞計算機和篡改公共供水系統。EPA和FBI建議判處12個月零一天的監禁。
10月26日，伊朗的加油站系統遭受網絡攻擊，多處戶外電子廣告牌上信息被篡改、全國多地加油系統停止服務。此次受影響的是伊朗國家石油產品分銷公司（NIOPDC），在全國有3500多處加油站點，攻擊的主要目標是旗下享受政府補貼價格的加油管理系統，顧客在此可獲得每升5美分或每加侖20美分的補貼，伊朗大多數車主都通過此系統加油。事件發生后，加油站的屏幕顯示總統辦公室電話，且民眾無法享受政府補貼優惠。

技術研究

10月1日，網絡安全研究機構Positive Technologies(PT)披露稱發現一個新型黑客團伙ChamelGang，攻擊目標主要是俄羅斯能源公司、航空公司和其他九個國家政府在內的機構。PT稱，目前未發現該組織與任何現有的APT有關聯，也未發現其有國家民族背景。PT使用所獲知識發現并分析了同一威脅組織針對俄羅斯航空部門組織的第二次攻擊。PT隨后在其他九個國家發現了針對機構的攻擊，其中包括美國、印度、尼泊爾、臺灣和日本，其中有五個國家的研究人員發現政府服務器遭到破壞。
10月6日，工業網絡安全公司Claroty研究人員披露，霍尼韋爾(Honeywell)的Experion過程知識系統(PKS)存在三種漏洞，惡意行為者可能利用其分布式控制系統(DCS)產品漏洞在系統上遠程執行任意代碼、發起拒絕服務 (DoS)攻擊和破壞工業流程。霍尼韋爾 Experion PKS產品被世界各地的組織用于控制大型工業過程，受到此次發現的漏洞影響的設備包括其C200、C200E、C300和ACE控制器。
10月11日，工業網絡安全公司OTO RIO研究人員披露稱工業物聯網解決方案提供商InHand Networks制造的路由器中存在13個漏洞。此次發現的漏洞包括關鍵的跨站點請求偽造(CSRF),遠程代碼執行、命令注入和弱密碼策略問題，以及嚴重的不當授權和跨站點腳本(XSS)漏洞。OTO RIO警告稱，攻擊者可能利用In Hand設備中的這些漏洞移動到受害者網絡內的其他工業系統，惡意行為者可能會利用這些漏洞完全控制受影響的設備，并攔截通信，從而竊取敏感信息。目前已知使用該設備的組織包括包括西門子、 GE 醫療、可口可樂、飛利浦醫療和其他主要公司。
10月12日，工業巨頭西門子和施耐德電氣發布了近十個安全公告，披露了影響其產品的50多個漏洞，包括可用于執行任意代碼的缺陷。雖然其中一些已被指定為高嚴重性等級，但利用需要身份驗證。針對其基于 SCALANCE W1750D控制器的直接接入點，西門子發布了涵蓋15個漏洞的補丁和緩解措施，其中包括允許遠程、未經身份驗證的攻擊者在底層操作系統上造成DoS條件或執行任意代碼的關鍵漏洞。
10月22日，德國專業自動化產線數據管理商AUVESY公司被曝其數據管理產品Versiondog中存在17種漏洞，其中多個被評為嚴重和高危級。這些漏洞可被遠程攻擊者用于繞過身份驗證、提升權限、獲取硬編碼密鑰、執行任意代碼、操縱文件和數據甚至發起拒絕服務攻擊。AUVESY目前已修補這些漏洞。Versiondog主要為工業自動化設備提供自動備份和版本控制功能，可與眾多工業系統集成，目前在全球許多大型跨國工業/制造業企業內運行，如雀巢、可口可樂、卡夫食品、默克和幾家汽車巨頭等大型公司。
10月27日，日本電氣設備公司富士電機發布其工廠監控和運營產品Tellus中的六種漏洞的補丁，這些產品在全球范圍內被用于遠程監控和運營工廠。這些漏洞包括各種與內存相關的問題，可用于DoS攻擊、任意代碼執行或獲取潛在的敏感信息，每個漏洞均為高危漏洞。研究人員在Tellus Lite V-Simulator和V-Server Lite產品中發現這些漏洞，這些產品在全球范圍內被廣泛用于工廠的遠程監控運營。這些漏洞包括各種與內存相關的問題，可被用于發起DoS攻擊、任意代碼執行或獲取潛在的敏感信息。趨勢科技零日計劃 (ZDI) 指出，這些漏洞大部分是由于缺乏對用戶提供數據的適當驗證造成的，成功利用這些漏洞需要一定的用戶交互——即打開特定文件。
10月27日，IBM X-Force網絡安全部門發布研究，2021年影響運營技術(OT)網絡組織的許多攻擊都涉及勒索軟件，尤其是Ryuk勒索軟件的運營商似乎更傾向于此類目標。該公司表示，到目前為止，勒索軟件是2021年迄今為止針對OT組織發起的主要攻擊類型，占攻擊的32%。Ryuk勒索軟件參與了許多此類攻擊，IBM表示，與大多數其他勒索軟件菌株相比，有更多記錄證明Ryuk最終出現在OT網絡上的案例。

融資動態

10月1日，加州私募股權巨頭Symphony Technology Group(STG)宣布合并McAfee Enterprise和FireEye Products，合并后的實體將繼續銷售用于端點、基礎設施、應用程序和云部署的安全產品。STG在聲明中表示，McAfee Enterprise和FireEye Products結合后將形成一家擁有超過40000名客戶、5000 名員工和近20億美元年收入的純網絡安全供應商。
10月13日，Shift5宣布在A輪融資中籌集2000萬美元，本輪融資由645 Ventures領投，Squadra Ventures、General Advance和First In跟投。Shift5是一家專注于交通基礎設施和武器系統的運營技術(OT)網絡安全公司，由美國陸軍網絡司令部前成員創立，其解決方案被美國軍方多個部門以及美國主要客運鐵路系統使用于保護飛機、火車、坦克和其他重型機械免受網絡威脅和操作故障的影響。該公司開發的解決方案能夠直接集成到現有車輛平臺上，從車載數字組件收集和豐富數據，并持續監控數據流的安全性和操作異常，為車隊運營商提供網絡安全入侵檢測、更智能的維護和改進的運營智能。Shift5還為運營技術網絡安全領域提供專業服務，例如漏洞研究和能力開發。
10月22日，IoT終端應用加固、終端應用安全檢測、IOS應用加固等物聯網信息技術服務商尺物科技宣布完成數百萬元天使輪融資，投資方為方信資本。尺物科技是一家物聯網終端應用安全解決方案提供商，致力于解決物聯網多維度的碎片化問題，提供一種高安全性、高易用的產品解決方案。尺物科技表示，公司將利用本輪融資將投入到產品研發，完善公司產品矩陣，增強人才隊伍建設等方面。據官方介紹，尺物目前的產品體系主要分為四大塊：安全加固、安全檢測、威脅感知（主動防御）以及安全服務。
10月28日，Dragos宣布在D輪融資中籌資2億美元，融資總額達3.6億美元，公司估值達17億美元，成為工業網絡安全領域第一家獨角獸，本輪融資由Koch Disruptive科技和貝萊德管理基金領投。Dragos發言人特別提到，雖然一些行業（例如電氣）在跟蹤威脅形勢方面做得很好，但制造業等行業在這方面已經落后了。Dragos為用戶提供資產和庫存管理、漏洞管理、威脅檢測以及調查和響應功能的可視化平臺，目標是成為一家上市公司。
10月28日，蘇格蘭初創公司Lupovis宣布將投資至少61.5萬英鎊，用于開發基于人工智能的新型“欺騙”技術，以。Lupovis的CEO表示，該系統并非直接用于防止入侵，而是通過游戲化漏洞等激勵手段刺激黑客不斷實施攻擊，并在此期間記錄、動態感知和識別攻擊者行為和技能水平。隨著攻擊者TTP數據池的增加，Lupovis的準確性將不斷提高。通過該系統，執法部門和情報機構有可能在犯罪活動早期就獲得預警和相關防護建議。通過這種技術，Lupovis不僅能夠幫助用戶消除攻擊帶來的直接影響，其收集的攻擊者TTP數據還能夠幫助其他行業。