工業網絡安全周報（2024年第36期）

本期摘要

政策法規方面，本周觀察到國外網絡安全相關政策法規10項，值得關注的有全國網絡安全標準化技術委員會發布了《人工智能安全治理框架》1.0版，旨在鼓勵AI創新發展的同時，有效防范和解決AI安全風險。

漏洞態勢方面，本周監測到漏洞動態10條，值得關注的有研究人員發現了電動車充電器多個嚴重安全漏洞，成功利用這些漏洞可以實現免費充電。

安全事件方面，本周監測到重大網絡安全事件16起，其中典型的事件有英國圖克斯伯里自治市議會遭網絡攻擊，服務中斷，居民數據安全受關注。

安全技術方面，Tenable推出了AI Aware，這是一個高級檢測功能，用于在Tenable Vulnerability Management中識別人工智能解決方案、漏洞和弱點。

風險預警方面，Claroty Team82的最新研究揭示了運營技術(OT)環境中使用遠程訪問工具會增加網絡安全風險

1、全國網安標委發布《人工智能安全治理框架》1.0版

9月9日，全國網絡安全標準化技術委員會發布了《人工智能安全治理框架》1.0版，旨在鼓勵AI創新發展的同時，有效防范和解決AI安全風險。該框架提出了包容審慎、確保安全、風險導向、敏捷治理、技管結合、協同應對、開放合作、共治共享等原則，針對AI技術特性，分析了風險來源和表現形式，并提出了技術應對和綜合防治措施。框架的發布為AI安全提供了基礎性、框架性技術指南，推動了全球范圍內的人工智能安全治理國際合作。

資料來源：https://www.tc260.org.cn/upload/2024-09-09/1725849142029046390.pdf

2、工信部發布《中小企業數字化水平評測指標(2024年版)》

9月9日，工業和信息化部近日發布《中小企業數字化水平評測指標(2024年版)》。《評測指標(2024年版)》延續2022年版整體架構，從數字化基礎、經營、管理、成效四個維度綜合評估中小企業數字化發展水平，并對評測方式進行了調整優化，其中，數字化基礎、管理和成效三個維度采用評分的方式確定等級，數字化經營部分用場景等級判定的方式確定等級。

資料來源：http://o42kc.dwa5.sbs/PK1yNrg

3、俄羅斯企業和FSTEC合作制定匿名數據保護標準

9月12日，據媒體報道，俄羅斯大數據協會(BDA)與俄羅斯聯邦安全技術監管局(FSTEC)正在討論制定新的國家標準，目的是保護匿名數據并減少去匿名化風險。BDA成員包括Sberbank、Yandex、VK等公司，他們已向FSTEC提交了提高數據保密性的提案。提案內容包括記錄數據處理和交換技術，以及描述風險評估方法。這些措施旨在提高數據安全性，幫助政府機構做出更有效的決策。

資料來源：https://www.securitylab.ru/news/551986.php

4、英國將數據中心指定為重要的國家基礎設施

9月12日，據媒體報道，英國政府將數據中心指定為“關鍵國家基礎設施”(CNI)，與能源和水系統同等重要，以支持經濟發展并確保數據安全。這包括物理數據中心和云運營商如Microsoft、Amazon和Google。英國還計劃對數據中心投資37.5億英鎊，創造就業并保護關鍵數據免受網絡攻擊。新措施將增強企業投資信心，促進經濟增長，同時提高英國在全球數據安全排名中的地位。

資料來源：http://psnya.dwa2.sbs/IpeJZJE

5、西門子、施耐德電氣、ABB等工業控制系統(ICS)供應商發布安全補丁

9月12日，據媒體報道，西門子、施耐德電氣、ABB及CISA針對工業控制系統(ICS)發布多項安全補丁。西門子修復了17個安全問題，包括身份驗證繞過和遠程代碼執行漏洞，并為無補丁漏洞提供緩解措施。施耐德電氣修復了Vijeo Designer的權限提升和XSS漏洞。ABB通報了Relion保護繼電器的DoS問題。CISA關注了Viessmann產品中的多個嚴重漏洞，并發布了相關安全公告，顯示了工控系統在網絡安全方面的挑戰和供應商及監管機構的應對努力。

資料來源：http://ijtic.dwa5.sbs/L64yfJ1

6、電動車充電器藍牙漏洞曝光，可免費充電

9月10日，據媒體報道，在2024年東京的Pwn2Own汽車大賽中，研究人員發現了電動車充電器Autel MaxiCharger的多個嚴重安全漏洞。最關鍵的漏洞是CVE-2024-23958，它允許攻擊者通過藍牙繞過充電器的驗證機制，無需任何密碼或PIN碼即可連接并完全控制設備。此外，還發現了兩個緩沖區溢出漏洞CVE-2024-23959和CVE-2024-23967，這些漏洞可能使攻擊者能夠執行任意代碼，甚至重新編程充電器，可能導致車輛或充電器損壞。由于Autel MaxiCharger支持公共使用功能，攻擊者還可能操縱能源消耗數據進行欺詐。盡管Autel公司迅速發布了補丁，但研究人員仍強調了定期更新固件的重要性，以確保電動車充電基礎設施的安全性，防止潛在的大規模電力系統攻擊。

資料來源：https://www.securitylab.ru/news/551935.php

7、英特爾警告20多個漏洞，建議更新固件

9月10日，英特爾發布安全公告，告知客戶處理器和其他產品中發現的20多個漏洞。該芯片巨頭發布了四份新公告，其中一份公告涉及11個漏洞，這些漏洞影響部分服務器、工作站、移動和嵌入式處理器的UEFI固件，包括Atom、Xeon、Pentium、Celeron和Core系列產品。超過半數的安全漏洞被評為“高危”。這些漏洞可被用于本地權限提升，部分漏洞甚至可導致DoS攻擊或信息泄露。

資料來源：http://ez9sc.dwa5.sbs/9YqkkQI

9月12日，據媒體報道，英國圖克斯伯里市議會近期遭受了網絡攻擊，導致其系統暫時關閉。議會首席執行官表示，目前情況已得到控制，并且沒有跡象顯示數據已經泄露。在此期間，居民被建議不要向議會發送電子郵件，同時，議會暫停了工作面試，并且在問題解決期間無法處理正式投訴或信息請求。在確保安全的前提下，議會計劃逐步恢復服務，并在恢復過程中進行密切監控。

資料來源：https://www.bbc.com/news/articles/cg4y7gxxnddo

9、倫敦交通局證實部分客戶數據泄露

9月12日，據媒體報道，倫敦交通局(TfL)確認在9月1日遭受的網絡攻擊中，客戶數據包括姓名、聯系方式、電子郵件地址和家庭住址被泄露。此外，攻擊者可能訪問了部分Oyster卡退款數據和大約5000名客戶的銀行賬號及分類代碼。目前沒有勒索組織聲稱對此次攻擊負責。盡管事件對運營影響有限，TfL已采取措施保護系統并正在與相關機構合作應對。

資料來源：http://xjk1a.dwa2.sbs/pW9KBdc

10、醫療保健提供商因勒索軟件攻擊支付6500萬美元和解金

9月12日，據媒體報道，賓夕法尼亞州的醫療保健提供商Lehigh Valley Health Network (LVHN)在2023年遭受網絡攻擊，導致患者信息泄露。該事件涉及超過130,000名患者和員工，其中600多人的醫療記錄照片被黑客發布在互聯網上。LVHN與律師事務所Saltz Mongeluzzi Bendesky達成了6500萬美元的和解協議。每位集體訴訟成員將獲得50至70000美元的賠償，具體金額取決于其數據泄露的嚴重程度。

資料來源：http://jspna.dwa5.sbs/T1dGhLK

11、哥倫布市遭大規模網絡攻擊，聯邦政府介入調查

9月11日，據媒體報道，今年7月，美國哥倫布市遭遇了嚴重的網絡攻擊，導致大量敏感個人信息泄露并被發布在暗網上。市議會在聯邦調查局和國土安全部的支持下積極應對，強調了網絡安全的重要性，并對居民提供了預防措施建議，如注冊免費信用監控服務，避免點擊可疑鏈接。市議會還計劃舉行公開聽證會，以提高透明度并讓居民了解事件進展。此次攻擊不僅威脅到個人信息安全，也影響了公眾對市政府網絡安全措施的信心。

資料來源：https://thecyberexpress.com/columbus-city-cyberattack/

12、IT服務巨頭凱捷公司遭遇數據安全事件

9月10日，據媒體報道，法國跨國IT服務巨頭凱捷公司(Capgemini)被以“grep”為別名的威脅行為者入侵，導致重要數據泄露。泄露的20GB數據包含公司數據庫、源代碼、私鑰、憑證、API密鑰及員工信息。入侵者在暗網發布了這些數據，并聲稱雖然可以訪問更多信息，但選擇公開了最敏感的文件，如項目文件、Terraform數據等。凱捷公司，成立于1967年，是全球數字化轉型領域的重要合作伙伴，年營收接近300億美元，LinkedIn上有近700萬粉絲。此次事件不僅暴露了公司的關鍵數據，還對其網絡安全提出了嚴峻挑戰。

資料來源：https://dailydarkweb.net/threat-actor-allegedly-breached-capgemini/

安全技術

13、Tenable AI Aware提供對AI應用程序、庫和插件的曝光洞察

9月11日，據媒體報道，Tenable推出了AI Aware，這是一個高級檢測功能，用于在Tenable Vulnerability Management中識別人工智能解決方案、漏洞和弱點。AI Aware提供了對AI應用程序、庫和插件的深入洞察，幫助企業在不影響業務運營的情況下，自信地揭露和關閉AI風險。該功能利用代理、被動網絡監控、動態應用程序安全測試和分布式掃描引擎來檢測已批準和未批準的AI軟件及其相關漏洞，從而降低被利用、數據泄露和未經授權的資源消耗風險。AI Aware還包括儀表板視圖、影子軟件開發檢測、AI檢測篩選器和以資產為中心的AI清單等功能，以提供全面的AI檢測和安全管理。

資料來源：https://www.helpnetsecurity.com/2024/09/11/tenable-ai-aware/

9月11日，據媒體報道，Claroty Team82的最新研究揭示了運營技術(OT)環境中遠程訪問工具的廣泛使用所帶來的安全風險。研究發現，55%的OT環境使用了四個或更多遠程訪問工具，這不僅增加了攻擊面，也增加了運營的復雜性。更令人關注的是，79%的組織在OT網絡設備上安裝了兩個以上的非企業級工具，這些工具缺少基本的安全管理功能，如會話記錄、審計和基于角色的訪問控制，甚至缺乏多因素身份驗證(MFA)等基本安全特性。這些工具的過度使用和管理不善可能導致安全漏洞，為潛在的網絡攻擊提供了機會。研究強調了對遠程訪問工具進行嚴格管理和控制的必要性，以減少安全風險并提高運營效率。

資料來源：http://4uuvb.dwa5.sbs/D8BUXZu