工業(yè)網(wǎng)絡(luò)安全周報(bào)（2024年第37期）

本期摘要

政策法規(guī)方面，本周觀察到國(guó)外網(wǎng)絡(luò)安全相關(guān)政策法規(guī)6項(xiàng)，值得關(guān)注的有全國(guó)網(wǎng)安標(biāo)委發(fā)布《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——敏感個(gè)人信息識(shí)別指南》。

漏洞態(tài)勢(shì)方面，本周監(jiān)測(cè)到漏洞動(dòng)態(tài)10條，值得關(guān)注的有CISA發(fā)布關(guān)于Siemens、Yokogawa、Millbeck設(shè)備的多個(gè)漏洞報(bào)告。

安全事件方面，本周監(jiān)測(cè)到重大網(wǎng)絡(luò)安全事件16起，其中典型的事件有土耳其國(guó)防制造公司KALE SAVUNMA的敏感數(shù)據(jù)被一名為ZeroSevenGroup的威脅行為者在BreachForum社區(qū)出售。

安全技術(shù)方面，F(xiàn)orescout推出了新的SaaS運(yùn)營(yíng)技術(shù)(OT)安全解決方案，旨在保護(hù)復(fù)雜的OT、IoT/IoMT和IT環(huán)境。

風(fēng)險(xiǎn)預(yù)警方面，關(guān)鍵基礎(chǔ)設(shè)施保護(hù)(CIP)網(wǎng)絡(luò)安全解決方案公司OPSWAT最新研究稱(chēng)80%的關(guān)鍵基礎(chǔ)設(shè)施組織遭受了電子郵件安全漏洞的攻擊。

政策法規(guī)

1、全國(guó)網(wǎng)安標(biāo)委發(fā)布《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——敏感個(gè)人信息識(shí)別指南》

9月18日，全國(guó)網(wǎng)安標(biāo)委為指導(dǎo)各相關(guān)組織開(kāi)展敏感個(gè)人信息識(shí)別等工作，組織編制了《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——敏感個(gè)人信息識(shí)別指南》。《實(shí)踐指南》給出了敏感個(gè)人信息識(shí)別規(guī)則以及常見(jiàn)敏感個(gè)人信息類(lèi)別和示例，可用于指導(dǎo)各組織識(shí)別敏感個(gè)人信息，也可為敏感個(gè)人信息處理和保護(hù)工作提供參考。

資料來(lái)源：https://www.tc260.org.cn/upload/2024-09-18/1726621097544005928.pdf

2、美國(guó)CISA推出FOCAL計(jì)劃

9月17日，據(jù)媒體報(bào)道，美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)最近推出了FOCAL計(jì)劃，旨在加強(qiáng)聯(lián)邦政府的網(wǎng)絡(luò)安全和降低機(jī)構(gòu)風(fēng)險(xiǎn)。該計(jì)劃專(zhuān)注于五個(gè)優(yōu)先領(lǐng)域：資產(chǎn)管理、漏洞管理、可防御架構(gòu)、網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險(xiǎn)管理(C-SCRM)以及事件檢測(cè)和響應(yīng)。通過(guò)這些措施，CISA希望能夠提高聯(lián)邦機(jī)構(gòu)在網(wǎng)絡(luò)安全方面的一致性和協(xié)調(diào)性，從而更有效地防御網(wǎng)絡(luò)威脅和提高對(duì)網(wǎng)絡(luò)安全事件的響應(yīng)能力。FOCAL計(jì)劃的實(shí)施將有助于聯(lián)邦機(jī)構(gòu)更好地管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，并確保關(guān)鍵基礎(chǔ)設(shè)施的安全。

資料來(lái)源：http://knyyb.dwa6.sbs/thTXQFB

安全漏洞

3、CISA發(fā)布關(guān)于Siemens、Yokogawa、Millbeck設(shè)備中ICS漏洞的緊急建議

9月18日，美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)發(fā)布了針對(duì)工業(yè)控制系統(tǒng)(ICS)的三份公告，揭示了Siemens、Yokogawa和Millbeck設(shè)備中的硬件漏洞，并提供了技術(shù)細(xì)節(jié)和緩解措施。西門(mén)子SIMATIC S7-200 SMART設(shè)備存在“不受控制的資源消耗”漏洞，可能導(dǎo)致拒絕服務(wù)情況。此外，Millbeck Communications的Proroute H685t-w設(shè)備和橫河電機(jī)的PC2CKM平臺(tái)計(jì)算機(jī)也存在安全漏洞，可能允許攻擊者執(zhí)行任意命令或?qū)е戮芙^服務(wù)。CISA建議采取防御措施，包括限制網(wǎng)絡(luò)訪問(wèn)、使用VPN等，并強(qiáng)調(diào)了進(jìn)行適當(dāng)?shù)挠绊懛治龊惋L(fēng)險(xiǎn)評(píng)估的重要性。這些公告突顯了關(guān)鍵基礎(chǔ)設(shè)施面臨的網(wǎng)絡(luò)威脅，以及加強(qiáng)安全措施的迫切需求。

資料來(lái)源：http://l3jyb.dwa6.sbs/MZG1xZa

4、D-Link修補(bǔ)影響無(wú)線路由器的關(guān)鍵漏洞

9月16日，據(jù)BleepingComputer 報(bào)道，D-Link已經(jīng)修復(fù)了影響其三種無(wú)線路由器型號(hào)的幾個(gè)關(guān)鍵漏洞。其中三個(gè)漏洞(CVE-2024-45694、CVE-2024-45695 和 CVE-2024-45697)的CVSS評(píng)分為9.8。CVE-2024-45694和CVE-2024-45695都是基于堆棧的緩沖區(qū)溢出漏洞，可允許未經(jīng)身份驗(yàn)證的攻擊者實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。CVE-2024-45696 和CVE-2024-45697可允許攻擊者啟用telnet并使用硬編碼憑證登錄。

資料來(lái)源：http://gbizc.dwa6.sbs/GC4wv1v

安全事件

5、澳大利亞最大的食品公司遭勒索攻擊

9月19日，據(jù)媒體報(bào)道，總部位于悉尼的澳大利亞最大的食品和支持服務(wù)公司Compass Group確認(rèn)遭Medusa勒索軟件攻擊，Medusa稱(chēng)其竊取了785.5 GB的數(shù)據(jù)，并要求200萬(wàn)美元?jiǎng)h除數(shù)據(jù)，或者要求任何人購(gòu)買(mǎi)相同金額。

資料來(lái)源：http://smbja.dwa6.sbs/QILwsnY

6、俄羅斯安全公司Dr.Web遭網(wǎng)絡(luò)攻擊

9月17日，俄羅斯反惡意軟件公司Doctor Web(Dr.Web)稱(chēng)其于9月14日起遭受了網(wǎng)絡(luò)攻擊，該公司在檢測(cè)到其IT基礎(chǔ)設(shè)施出現(xiàn)未授權(quán)干擾的跡象后，迅速斷開(kāi)了所有服務(wù)器與其內(nèi)部網(wǎng)絡(luò)的連接。為了應(yīng)對(duì)這一安全事件，Dr.Web還暫停了向客戶(hù)提供病毒數(shù)據(jù)庫(kù)更新，并啟動(dòng)了全面的安全診斷。Dr.Web強(qiáng)調(diào)，他們已經(jīng)成功隔離了威脅，并確保了客戶(hù)的安全不會(huì)受到此次事件的影響。

資料來(lái)源：http://vbcsc.dwa6.sbs/1PTaOBy

7、巴西最大銀行敏感數(shù)據(jù)暴露

9月17日，據(jù)媒體報(bào)道，Cybernews研究人員發(fā)現(xiàn)巴西最大銀行Braza Bank存在安全漏洞，導(dǎo)致敏感數(shù)據(jù)泄露。泄露的數(shù)據(jù)包括身份驗(yàn)證密鑰、API訪問(wèn)數(shù)據(jù)和電子郵件服務(wù)配置，可能影響銀行及其客戶(hù)安全。Cybernews聯(lián)系銀行后，銀行立即關(guān)閉了文件訪問(wèn)，并聲明泄露不會(huì)影響內(nèi)部數(shù)據(jù)，已加強(qiáng)網(wǎng)絡(luò)安全措施。

資料來(lái)源：https://www.securitylab.ru/news/552144.php

8、土耳其國(guó)防制造公司KALE SAVUNMA遭受網(wǎng)絡(luò)攻擊

9月14日，土耳其國(guó)防制造公司KALE SAVUNMA的敏感數(shù)據(jù)被一名為ZeroSevenGroup的威脅行為者在BreachForum社區(qū)出售。這些數(shù)據(jù)包括備份、數(shù)據(jù)庫(kù)、項(xiàng)目、制造設(shè)計(jì)、員工及客戶(hù)信息、研究資料、協(xié)議合同、銀行財(cái)務(wù)信息、軟件應(yīng)用程序、系統(tǒng)示意圖等，涉及多家土耳其頂級(jí)國(guó)防公司。總數(shù)據(jù)量約為70GB，售價(jià)待議，具體聯(lián)系方式為私信。

資料來(lái)源：https://breachforums.st/Thread-SELLING-Defense-Company-In-Turkey

安全技術(shù)

9、Forescout 宣布推出SaaS運(yùn)營(yíng)技術(shù)(OT)解決方案

9月19日，據(jù)媒體報(bào)道，F(xiàn)orescout推出了新的SaaS運(yùn)營(yíng)技術(shù)(OT)安全解決方案，旨在保護(hù)復(fù)雜的OT、IoT/IoMT和IT環(huán)境。該解決方案結(jié)合了主動(dòng)安全、風(fēng)險(xiǎn)管理、威脅檢測(cè)、關(guān)鍵操作監(jiān)控和跨網(wǎng)絡(luò)控制。它通過(guò)統(tǒng)一多個(gè)用例，減少人工錯(cuò)誤，降低運(yùn)營(yíng)復(fù)雜性。主要功能包括為OT、IoT和IT環(huán)境設(shè)計(jì)的全面安全規(guī)則、資產(chǎn)智能、AI報(bào)告、角色特定儀表板和利用漏洞優(yōu)先級(jí)確定。Forescout首席執(zhí)行官Barry Mainz強(qiáng)調(diào)，該解決方案提供了跨OT、IT和IoT環(huán)境的行業(yè)領(lǐng)先安全策略。

資料來(lái)源：https://www.helpnetsecurity.com/2024/09/19/forescout-for-ot-security/

風(fēng)險(xiǎn)預(yù)警

10、OPSWAT報(bào)告稱(chēng)關(guān)鍵基礎(chǔ)設(shè)施面臨電子郵件安全漏洞的風(fēng)險(xiǎn)

9月18日，據(jù)媒體報(bào)道，關(guān)鍵基礎(chǔ)設(shè)施保護(hù)(CIP)網(wǎng)絡(luò)安全解決方案公司OPSWAT最新研究稱(chēng)80%的組織遭受了電子郵件安全漏洞的攻擊，其中75%的關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)威脅是通過(guò)電子郵件傳播的。這些攻擊可能包括網(wǎng)絡(luò)釣魚(yú)、惡意鏈接和惡意軟件附件。盡管如此，超過(guò)一半的組織仍然認(rèn)為電子郵件不包含威脅，而63.3%的組織認(rèn)為他們的電子郵件安全需要改進(jìn)，48%的組織對(duì)現(xiàn)有的電子郵件防御措施缺乏信心。隨著關(guān)鍵基礎(chǔ)設(shè)施中的關(guān)鍵系統(tǒng)，尤其是運(yùn)營(yíng)技術(shù)，越來(lái)越多地連接到通用IT網(wǎng)絡(luò)和互聯(lián)網(wǎng)，電子郵件攻擊不僅能夠橫向傳播到受害者的IT系統(tǒng)，還能夠傳播到OT網(wǎng)絡(luò)上和內(nèi)部，增加了風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全專(zhuān)家因此建議西方國(guó)家應(yīng)立即修復(fù)漏洞并加強(qiáng)多身份驗(yàn)證，以應(yīng)對(duì)嚴(yán)重的網(wǎng)絡(luò)威脅。

資料來(lái)源：https://www.infosecurity-magazine.com/news/cisa-warns-critical-infrastructure/

11、朝鮮黑客攻擊能源和航空航天行業(yè)

9月19日，據(jù)媒體報(bào)道，谷歌旗下的Mandiant追蹤發(fā)現(xiàn)一個(gè)朝鮮的網(wǎng)絡(luò)間諜組織UNC2970通過(guò)偽裝成招聘人員，針對(duì)能源和航空航天行業(yè)的高級(jí)員工進(jìn)行網(wǎng)絡(luò)釣魚(yú)攻擊，目的是獲取敏感和機(jī)密信息。他們使用的惡意軟件包括MISTPEN后門(mén)，通過(guò)特制的PDF文件和木馬化的Sumatra PDF閱讀器應(yīng)用程序傳播。這些攻擊活動(dòng)表明，UNC2970正在不斷改進(jìn)其技術(shù)手段，以保持隱蔽性和有效性。

資料來(lái)源：http://ufv2b.dwa6.sbs/Vl7fCkK

12、Orca AI安全現(xiàn)狀報(bào)告顯示，大多數(shù)公司都在部署AI而不考慮安全性

9月18日，云安全提供商O(píng)rca Security發(fā)布了《2024年AI安全現(xiàn)狀報(bào)告》，揭示了當(dāng)前AI使用趨勢(shì)及其對(duì)組織安全的影響。報(bào)告指出，許多組織在快速采用AI工具時(shí)忽視了基本的安全措施，導(dǎo)致風(fēng)險(xiǎn)增加。主要發(fā)現(xiàn)包括：56%的受訪者使用自定義AI模型，62%的組織部署了至少一個(gè)存在已知漏洞的AI包，98%使用Google Vertex AI的組織未啟用靜態(tài)加密。這些問(wèn)題主要源于云服務(wù)提供商的默認(rèn)設(shè)置，強(qiáng)調(diào)了在AI創(chuàng)新中加強(qiáng)安全的重要性。

資料來(lái)源：http://xe1ea.dwa6.sbs/8yePhFx

13、俄羅斯加大網(wǎng)絡(luò)攻擊力度，西方關(guān)鍵基礎(chǔ)設(shè)施面臨嚴(yán)重威脅

9月18日，據(jù)媒體報(bào)道，俄羅斯加強(qiáng)了網(wǎng)絡(luò)攻擊部隊(duì)的建設(shè)，特別是GRU 29155部隊(duì)，已經(jīng)對(duì)西方關(guān)鍵基礎(chǔ)設(shè)施發(fā)起了大規(guī)模網(wǎng)絡(luò)攻擊。Mandiant首席分析師約翰·赫爾奎斯特警告，這些攻擊可能導(dǎo)致物理?yè)p害和生命損失。美國(guó)財(cái)政部長(zhǎng)擔(dān)心俄羅斯可能破壞海底電纜等基礎(chǔ)設(shè)施。網(wǎng)絡(luò)安全專(zhuān)家建議西方國(guó)家修復(fù)漏洞并加強(qiáng)多身份驗(yàn)證來(lái)抵御網(wǎng)絡(luò)威脅。

資料來(lái)源：https://www.theregister.com/2024/09/18/Russia_west_ritic_infrastruct/