工業信息安全快訊（11月） - 網安 - 專業的網絡安全產業、社區、知識平臺

安全事件

11月6日，美國官員披露稱，威脅行為者曾在2020年7月使用無人機企圖襲擊賓州的一個變電站。這架曾被用于破壞電網的小型無人機在賓夕法尼亞州的一個變電站附近墜毀，沒有損壞電力供應或設備。美國聯邦調查局、國土安全部和國家反恐中心在公告中稱此次事件是美國境內第一起無人機攻擊能源基礎設施的案例并警告稱，隨著無人機價格下降，攻擊者越來越青睞于利用這些易于控制的設備發起針對關鍵基礎設施的攻擊。
11月11日，澳大利亞昆士蘭的用水供應商SunWater被發現服務器遭黑客入侵整整9個月未被發現。昆士蘭審計署發布的年度財務審計報告顯示，SunWater為昆士蘭寬灣-伯內特和西北地區的5000多位客戶供水，并為多家政府客戶提供用水相關咨詢服務，負責管理19座主要水壩和長達1600英里的管道。攻擊者在2020年8月至2021年5月之間出于經濟動機發起攻擊，當時受感染的服務器正在運行該軟件的舊版本和有缺陷的版本，但該黑客未從受感染的服務器中竊取敏感數據或財務信息。
11月22日，北美領先的風力渦輪機制造商、安裝商和服務公司維斯塔斯風力系統公司披露其本月19日遭受網絡攻擊。維斯塔斯表示，這次攻擊迫使他們關閉了多個業務部門和地點的IT系統，以防止攻擊蔓延，客戶、員工和其他利益相關者可能會受到這種中斷的影響。維斯塔斯方稱，目前已知該事件影響了維斯塔斯內部的部分IT基礎設施運轉，并且數據遭到泄露，但攻擊事件對其制造、建筑和服務的影響很小。他們仍在努力恢復其IT系統，但還沒有恢復系統的時間表。隨著各國加快采取減少污染政策并推出可再生能源投資計劃，維斯塔斯作為此類服務提供商發揮著至關重要的作用，而中斷制造、安裝和維修流程會對依賴于風力渦輪機作為動力源的地區可能產生重大影響。
11月29日，日本電子巨頭松下公司承認其網絡上的服務器在11月11日遭第三方非法入侵訪問，造成數據泄露事件。日本跨國企業集團松下26日發布公告，稱有未知威脅行為者本月入侵并訪問了其文件服務器上的一些數據，目前已向有關當局報告了該事件并采取措施防止外部服務器再次訪問其網絡。除此之外，松下還聘請了第三方機構調查數據泄漏情況，查明在入侵期間訪問的數據是否包括客戶個人信息和/或社會基礎設施等敏感信息。公告并未公布攻擊的其他具體細節。據悉，攻擊者實際在6月至11月期間都可以訪問松下服務器，在松下11月11日發現惡意活動之前，該團伙已經獲得了對松下客戶和員工敏感信息的訪問權限。

技術研究

11月1日，網絡安全公司Proofpoint研究人員稱發現一個冒充菲律賓衛生、勞工和海關組織以及位于菲律賓的其他實體傳播惡意軟件的新興威脅行為者Balikbayan Foxes(TA2722)團伙。該團伙常使用COVID-19感染率、計費、發票和咨詢等主題的釣魚電子郵件進行魚叉式網絡釣魚攻擊，達到竊取（敏感）信息、監視和控制受害者計算機的目的。該團伙的攻擊范圍主要是航運/物流、制造、商業服務、制藥和能源等行業實體，受害者分布在北美、歐洲和東南亞。
11月3日，網絡安全公司Lookout的一份新報告稱，盡管老舊和未及時安裝補丁的脆弱設備存在于所有行業，但數據表明，其對能源行業的影響可能是最大的，其次是金融、制藥、政府和制造業。此外，與去年相比，針對全球能源行業的網絡釣魚攻擊呈上升趨勢，針對能源行業員工的移動網絡釣魚攻擊增加了161%，且趨勢無放緩跡象。在地理方面，亞太地區的網絡釣魚攻擊事件數量位居榜首，其次是歐洲，然后是北美。間諜軟件、鍵盤記錄器、特洛伊木馬程序，甚至勒索軟件植入程序仍然是難以解決的問題。因此，員工培訓對于最大程度地減少安全失誤至關重要，因為人為因素仍然是安裝風險軟件和點擊/點擊可疑鏈接的最大風險。
11月4日，法國計算機應急響應小組 (CERT-FR) 發布安全公告稱，新勒索軟件組織Lockean是過去2年間對法國組織發起一系列攻擊的幕后黑手，該組織的攻擊目標包括運輸物流公司Gefco、制藥公司Fareva和Pierre Fabre集團，以及法國Ouest-France報。公告稱，Lockean被認為與多個勒索軟件即服務 (RaaS) 有關，包括 DoppelPaymer、Maze、Prolock、Egregor 和 Sodinokibi。公告稱，通過對該團伙的攻擊手法和工具判斷，該組織是這些RaaS服務的附屬公司。
11月8日，Palo Alto Networks網絡安全專家警告稱，自9月17日開始大的近兩個月，攻擊者利用自助式密碼管理和單點登錄解決方案軟件Zoho ManageEngine ADSelfService Plus中的一個可能導致遠程代碼執行 (RCE)的嚴重漏洞發起網絡間諜活動。攻擊者利用在美國租用的基礎設施掃描互聯網上數百個易受攻擊的組織，目前已損害了全球至少9個關鍵領域的組織，包括國防、醫療保健和能源等領域的組織。
11月9日，安全公司Forescout警告稱，Nucleus TCP/IP堆棧中存在13個漏洞（NUCLEUS:13），可能導致黑客獲取敏感信息、遠程執行代碼和發起拒絕服務攻擊。Nucleus是為實時嵌入式應用而設計的一個搶先式多任務操作系統內核。Nucleus廣泛用于依賴運營技術（OT）的醫療保健和其他組織。西門子在11月9日即周二例行補丁日已發布相應漏洞修復和緩解的安全公告。研究人員公布了西門子Nucleus實時操作系統 (RTOS) 中的13個漏洞，該系統為醫療、工業、汽車和航空航天領域使用的設備提供支持。
11月15日，研究人員警告DDS協議可能存在能被利用于橫向移動和惡意軟件C&C的漏洞。DDS由標準開發組織對象管理組 (OMG) 維護，是一種用于數據連接的中間件協議和 API標準，被稱為關鍵業務物聯網系統的理想選擇，被廣泛應用于公共交通、空中交通管理、航空航天、自動駕駛、工業機器人、醫療設備、導彈和其他軍事系統等領域，已知用戶包括NASA、西門子和大眾等組織以及流行的機器人操作系統 (ROS) 。攻擊者可以利用這些漏洞執行任意代碼、竊取信息或發起拒絕服務 (DoS) 攻擊，一定情況下該漏洞還能被攻擊者利用于發現其他端點、橫向移動以及惡意軟件命令和控制 (C&C) 。
11月22日，思科Talos 威脅情報研究團隊在專為關鍵工業和商業應用設計的Lantronix Wi-Fi模塊中發現了20多個漏洞，多為嚴重和高嚴重性漏洞。受影響的產品PremierWave 2050企業的Wi-Fi模塊提供始終在線的5G Wi-Fi 連接，專為敏感、關鍵任務、工業和商業應用設計，據稱能夠提供企業級安全性。此次披露的漏洞包括操作系統命令注入、遠程代碼執行、信息泄露、文件覆蓋漏洞等，可能造成的影響主要取決于該Wi-Fi模塊所嵌入系統的功能，利用得當，遠程攻擊者甚至可以利用這些漏洞完全破壞PremierWave 2050操作系統。Talos研究人員指出，供應商6月15日以來就知道這些漏洞，但并未發布針對這些安全漏洞的官方補丁。

融資動態

11月8日，意大利IT服務提供商Sesa通過其子公司Var Group收購了Datef的多數股權。這筆交易將使Sesa擴張其市場，并提高其在托管服務、云和網絡安全領域的地位。Datef是一家意大利公司，提供云和網絡安全服務，包括威脅檢測和響應以及工業網絡安全。
11月9日，加州漏洞和攻擊模擬公司SafeBreach宣布在D輪融資中籌集5350萬美元，本輪融資由Sonae IM和Israel Growth Partners (IGP)領投，金沙資本、Leumi Partners和現有投資者跟投。這輪融資使該公司的融資總額翻了一番多，達1.065億美元。SafeBreach表示，這筆資金將用于繼續其核心產品平臺創新并擴大公司市場范圍。SafeBreach的客戶包括財富1000強中近100家企業，包括前五名最大的金融、醫療保健和制藥公司。
11月9日，信息管理軟件供應商deagen PLC宣布以1200萬美元的價格收購悉尼RegTech提供商CompliSpace，這是其有史以來最大的一筆收購。CompliSpace是一家快速增長的治理、風險、合規 (GRC) 和政策管理軟件供應商，主要為教育和社會關懷領域的組織提供基于風險的軟件程序和教育，Ideagen 認為在這些領域具有全球引人注目的結構性增長順風。Ideagen目前為航空、金融服務、生命科學、醫療保健和制造業等多個行業的 6,000 多個高度監管的客戶提供全球軟件和服務，業務遍及英國、美國、歐洲、中東和東南亞。
11月16日，IT托管服務提供商和網絡基礎設施公司General Informatics（GI）宣布收購技術解決方案和托管服務提供商Versiant。該交易將幫助雙方公司擴展其服務組合、專業知識和市場范圍。GI表示，收購Versant將有助于提高其能力，尤其是數據分析和網絡安全方面。Versiant為其客戶提供各種技術解決方案，包括創新的數據分析和安全服務，近年來發展迅猛，其業務垂直領域包括海事、物流、制造、消費品和醫療保健等。
11月24日，挪威的保證和風險管理解決方案提供商DNV收購工業網絡安全公司Applied Risk，打造“工業網絡安全強國”。兩家公司將合并為DN品牌，具體成交金額未披露。Applied Risk 成立于2012年，總部位于荷蘭阿姆斯特丹，為各行各業的組織提供工業安全、認證和合規、事件響應和取證以及培訓服務。DNV 為海事、石油和天然氣、電力、網絡安全、航空航天、汽車、食品和飲料、醫療保健和其他領域的組織提供咨詢、認證、分類、數據和分析、檢查、軟件、測試、培訓以及驗證和保證服務。
11月24日，以色列物聯網 (IoT) 和工業物聯網安全提供商 Shield-IoT宣布完成740萬美元的A輪融資，融資總額達1100萬美元。新一輪融資由Bloc Ventures和NextLeap Ventures領投。Shield-IoT 成立于 2017 年，旨在幫助服務提供商和物聯網品牌保護 B2B物聯網和IIoT網絡，保護設備、數據以及關鍵基礎設施和服務免受物聯網網絡威脅。該公司表示，除了幫助保護智能城市之外，其基于云的解決方案已經在政府、制造、電信、交通和公用事業等垂直領域使用。
11月29日，幫助企業發現和保護其設備的解決方案的Armis宣布籌得3億美元，融資總額達到6億美元，公司估值達34億美元。本輪融資由One Equity Partners領投，現有投資者參與，未來Armis將繼續獨立運營。Armis開發了一個無代理平臺，可以幫助組織清點和保護所有設備，包括托管、非托管、物聯網、工業和醫療設備，以及應用程序和云實例。

研究成果

11月10日，工業網絡安全公司Dragos聯合Ponemon Institute和發布《2021年工業網絡安全態勢》報告顯示，工業控制系統 (ICS) 或其他運營技術(OT)系統安全事件的平均成本約為300萬美元到1億美元不等。近三分之二的受訪者表示在過去兩年中經歷了ICS/OT網絡安全事件，最常見的原因是內部人員疏忽大意、與維護相關的問題或由于IT和OT之間的分割不當而“溢出”到OT網絡的IT安全事件。

行業動態

11月10日，由工業和信息化部主管，國家工業信息安全發展研究中心主辦的《工業信息安全》雜志公開征稿。《工業信息安全》是經國家新聞出版署批準，面向全國公開發行的科技學術期刊。作為專業科技期刊，《工業信息安全》堅持精品辦刊方針，力爭具有全球視野，服務宏觀政策，推動行業發展，集聚各類人才，成為政府、科研院所、高校及企業從事工業信息安全研究、把握工業信息安全動向的重要學術刊物。為進一步提升期刊內容質量，特面向國內相關行業專業人士征稿。
11月22日，安恒信息與中國移動寧波分公司在寧波舉行戰略合作協議簽約儀式。中國移動寧波分公司總經理徐孟強、安恒信息董事長范淵共同見證簽約并發表致辭。雙方就戰略合作進行了友好探討，重點就工業互聯網安全大腦、信創安全、專線安全、數據安全島等重要議題展開深入交流。雙方將共建合作共贏的5G生態圈，助力寧波打造5G名城，為浙江省打造全球數字變革高地貢獻出應有的力量。