工业信息安全资讯（9月期）

国际视野

• 8月31日，美国石油协会(API)本月发布第三版管道网络安全标准，该标准侧重于管理与工业自动化和控制环境相关的网络风险。该标准基于 NIST网络安全框架和北美电力可靠性公司的关键基础设施保护(NERC CIP)标准，涵盖了所有控制系统。新标准描述了加强管道资产抵御勒索软件和其他威胁的要求。API工作人员表示，该标准将通过加强对数字和操作控制系统的保护、提高安全性并防止整个管道供应链中断，从而帮助保护国家的关键管道基础设施。该框架与众不同之处在于其自适应风险评估模型，该模型为运营商提供了适当程度的灵活性，以主动缓解快速发展的网络威胁矩阵。新版管道网络安全标准是在针对Colonial Pipeline的网络攻击之后发布的，该勒索软件攻击事件造成了重大破坏，同时促使政府重新引入了《管道安全法》以及其他关注关键基础设施安全的举措。
• 9月3日，美国联邦调查局互联网犯罪投诉中心发布公告，警告食品和农业部门的相关公司注意愈发活跃的勒索软件攻击威胁。公告称，这些勒索软件攻击的影响对小型到大型食品/农业企业都是毁灭性的，且影响深远，从小规模农场到大型生产制造商、加工商、餐馆、市场等。公告指出，近年，大多数食品公司现在的运营和流程都依赖于物联网设备和智能技术，攻击者正在积极尝试利用这些设备实现其恶意攻击目的。一般情况下，攻击者的目标会是大型、成熟的组织，而较小的公司将成为软目标。一旦攻击者针对食品/农业企业发起攻击，就可以轻松利用IoT设备中的网络漏洞窃取数据或加密系统，进而引发生产力损失、个人和专有信息被盗、财务损失和声誉损害等后果，对整个食品供应链产生负面影响。
• 9月27日，安全周刊报道称，Quad（澳大利亚、印度、日本和美国）四国在第一次会议上正式宣布建立合作伙伴关系，共同促进四国安全技术协同发展。Quad联盟的成立旨在建立信任、完整性和互操作性，强调供应商、供应商和分销商应确保其做法的透明度和问责制。Quad将成立一个Quad高级网络小组专注于确保提高关键基础设施抵御网络威胁的能力，专家将定期开会，以确保政府和行业之间密切合作，推动采用共享网络标准、安全软件开发，并确保安全可靠的数字基础设施的网络安全。Quad承诺支持关键和新兴技术的发展，为社会带来实实在在的利益，这些技术的设计和使用符合既定原则，不会被滥用于恶意活动、压迫和虚假信息。
• 9月30日，美国网络安全和基础设施安全局 (CISA) 发布了一个帮助企业评估内部威胁风险态势的工具。该工具适用于公共和私营部门的组织，根据对一系列问题的回答为用户提供反馈。此外，该工具旨在更好地了解内部威胁的性质，帮助用户启动自己的预防和缓解计划。CISA指出，内部威胁对任何组织来说都是一个重大风险，恶意的内部人员可能会破坏敏感信息、窃取知识产权，甚至人身伤害他人，此类行动的结果包括组织声誉受损、收入损失和市场份额减少。内部人员风险缓解自我评估工具首先评估组织是否具备内部人员风险计划的所有要求以及员工是否接受过内部威胁相关风险的培训，然后尝试确定该组织是否处于有利地位以应对内部威胁。CISA敦促所有合作伙伴，尤其是资源有限的中小企业，使用这个新工具来制定防范内部威胁的计划，因为现在采取这些行动可以在未来预防或减轻内部威胁的后果方面产生重大影响。

国内热点

• 9月25日，“携手构建网络空间命运共同体精品案例”发布展示活动在乌镇首次举办。本次活动累计征集国内外各方申报案例240余个，评选产生60个案例形成实践案例集，并进一步复评产生12个精品案例。其中，国家工业信息安全发展研究中心申报的“国际工业信息安全应急交流系列活动项目”被评为精品案例案例，这也是此次评选中唯一一个来自工业信息安全领域的精品案例，其他入选案例分别来自伏羲智库、中科院计算所、国家博物馆、南方航空、安恒信息、国家广播电视总局、联合国教科文组织高等教育创新中心、中科院微生物研究所、阿里巴巴、领英、华为、腾讯等单位。
• 9月26日，由贵州省工业和信息化厅、国家工业信息安全发展研究中心联合主办的工控安全精品项目竞演赛(以下简称竞演赛)活动在贵阳举办。活动以竞演的方式聚焦工业信息安全前沿问题和发展趋势，引导社会力量积极参与，推动工业信息安全技术集成创新、产业快速发展、成果深度应用。活动旨在探索工控安全发展的新技术、新模式、新业态，打造业界创新创业赛事品牌和合作平台，为工业信息安全共享共赢贡献力量。
• 9月30日，为贯彻落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》（国令第745号）《成都市工业信息安全三年行动计划》（成信领办〔2019〕1号）等文件精神，根据《关于遴选成都市工业信息安全技术服务支撑单位的通知》有关要求，经各企事业单位自主申报，成都市工业互联网发展中心联合工业信息安全产业发展联盟组织专家评审，评审结果经核实，中国电子科技网络信息安全有限公司等17家单位拟推荐为成都市工业信息安全服务支撑单位。

安全事件

• 9月6日，FirstEnergy发表声明称其检测到涉及多次未经授权尝试登录客户帐户的可疑活动，因此禁用了所有客户的在线账户，并要求客户重置密码后再访问其FirstEnergy帐户。FirstEnergy发言人表示，该问题涉及凭证填充。此次事件对该公司的电力服务和日常运营没有影响，也没有证据表明黑客访问了客户的敏感信息。美国俄亥俄州的FirstEnergy是美国最大的上市的电力公司之一，为中西部和中大西洋地区的600万客户提供服务，是Penelec、West Penn Power等多家电力公司的母公司。
• 9月24日，美国官员称，美国主要港口休斯顿港上个月成为疑似民族国家黑客的目标。休斯顿港是墨西哥湾沿岸的重要基础设施，其周四发表官方声明称已成功抵御了8月份的一次黑客攻击，目前未发现任何运营数据或系统受到影响。美国网络安全和基础设施安全局局长表示，发动攻击的黑客背后很可能具有民族国家背景。俄亥俄州政府官员表示，这次黑客攻击令人担忧，并表示美国需要反击和继续调查发动针对公共和私营部门实体攻击的民族国家行为者。

技术研究

• 9月1日，新加坡科技与设计大学的自动化系统安全研究小组(ASSET)披露，称其通过对多款蓝牙设备进行研究后发现了16个新漏洞，统称为BrakTooth，这些漏洞会影响英特尔、高通、德州仪器、Cypress、Silicon Labs等主流SoC供应商，可能导致固件崩溃、商用硬件锁死、拒绝服务(DoS)、任意代码执行(ACE)等，受到影响的设备包括的设备类型包括智能手机、信息娱乐系统、笔记本电脑和台式机系统、音频设备、家庭娱乐系统、键盘、玩具、工业设备（PLC）等。
• 9月2日，中国台湾工业网络和自动化公司Moxa生产的铁路无线通信设备等产品被发现存在近60个漏洞。一旦攻击者获得对受影响设备的web管理界面访问权，且获得登录凭据(可以通过各种方法获得登录凭据)，即可通过持久访间接管整个设备。研究人员表示，黑客可能造成的破坏取决于“通过该设备发送的信息的关键程度”，很难估计。命令注入漏洞可能允许经过身份验证的攻击者通过永久性地阻塞设备来中断无线通信。攻击者也可以简单地从web界面关闭设备。台湾moxa科技股份有限公司，大陆通称摩莎，致力于提供串口通信解决方案、串口设备联网解决方案、及工业以太网解决方案，尤其是串口设备联网及以太网交换技术，该公司全系列产品在大陆有售。
• 9月8日，美国CISA发布紧急安全通知称，在关键制造业中使用的三菱电机(Mitsubishi Electric)生产的MELSEC iQ-R系列CPU模块存在一系列漏洞。目前还没有针对这些漏洞的修复补丁，因此CISA敦促易受攻击产品的用户尽快采取缓解措施。如果不能快速响应紧急情况，用户将面临未经授权的远程访问、CPU模块访问、DoS、网络流量嗅探等风险。受到影响的产品是所有版本的R08/16/32/120SFCPU和所有版本的R08/16/32/120PSFCPU。由于这三个漏洞都可以被远程利用，CISA对此发布了警报。因此，最小化所有控制系统和设备的网络暴露是关键，在网络扫描中不显示漏洞是避免麻烦的关键步骤。另一个好的做法是将这些设备置于严格的防火墙之后，并将它们与业务网络的关键部分隔离。
• 9月14日，卡巴斯基最新的《工业自动化系统为学态势（2021年上半年）》报告中显示，2021年上半年，在卡巴斯基监控的约1/3的工业控制系统(ICS)计算机上检测到恶意活动。报告指出，在接受此次调查的所有设备中，受到攻击的设备百分比平均上升了0.4个百分点，但在某些国家/地区，增幅更为显着，如白俄罗斯、乌克兰以及俄罗斯。从受到攻击的行业来看，2021年上半年受影响最大的是楼宇自动化、工程和ICS集成、石油和天然气、能源和汽车制造。卡巴斯基安全专家表示，工业组织总是会引起网络犯罪分子和出于政治动机的威胁行为者的关注，在过去半年中，网络间谍活动和恶意凭据窃取活动的数量有所增加，他们的成功很可能是将勒索软件威胁提高到如此高程度的主要因素。
• 9月21日，网络安全公司Sophos披露，在最近的一次攻击中，Adobe在十多年前修补的两个ColdFusion漏洞被威胁行为者利用。Sophos在最近调查的一起攻击中发现，有未知威胁行为者在一家服务公司的系统上部署了Cring勒索软件，利用了Fortinet在2019年修补FortiOS漏洞。卡巴斯基今年早些时候就报道称，Cring勒索软件已被部署在针对工业组织的攻击中，攻击者先是扫描Web以寻找攻击目标和识别ColdFusion漏洞，并在79小时后部署勒索软件并实施勒索。
• 9月22日，一位名为“Watchful IP”的研究人员披露称，超过70款海康威视摄像机和NVR型号受到一个严重漏洞的影响，该漏洞可以让黑客在没有任何用户交互的情况下远程控制设备。研究人员称，这是一个由输入验证不足引起的命令注入漏洞，攻击者不需要用户名或密码，也不需要由相机所有者发起任何操作，相机本身的任何记录也无法检测到它。攻击者可以利用该漏洞获得root访问权限并完全控制设备，也可以使用受感染的设备访问内部网络。研究人员警告，鉴于这些摄像头部署在敏感地点，关键基础设施很可能因此面临风险。海康威视在发布的安全公告中称，该漏洞会影响海康威视的新旧摄像机和NVR产品，目前相关补丁已经发布。

融资动态

• 9月2日，安全编排、自动化和响应(SOAR)提供商D3 Security宣布得到1000万美元融资，由从Vistara Growth领投，该公司计划利用这笔资金改进其产品、发展壮大以及扩大销售和营销工作。D3 Security还宣布即将发布其XGEN SOAR平台，该平台提供360多个集成工具的自动化和编排功能。该公司声称拥有市场上最强大、最敏捷、最易于使用的SOAR平台，其无代码脚本可自动完成丰富和修复任务，同时让任何人都可以轻松构建、修改和扩展安全操作、事件响应和威胁追踪的工作流程。
• 9月29日，工业互联网安全公司北京惠而特安全科技有限公司（以下简称“惠而特”）召开首轮融资发布会，宣布完成由用友幸福投资独家投资的数千万元首轮融资，并在会上举行签约仪式，正式成为用友集团的成员企业。惠而特是一家工业互联网安全一体化解决方案提供商，公司以自主研发的全系列安全产品为基础，以等级保护、工控安全、安全服务、解决方案为核心业务，提供培训、咨询、规划、评估、建设、运维等全流程的服务和解决方案。

行业动态

• 9月10日，华北电力大学和公安部信息安全等级保护评估中心联合工业信息安全产业发展联盟等单位举办全国工控系统信息安全攻防竞赛。这届全国工控系统信息安全攻防竞赛以“最专业、最强技术、最强阵容“为目标，组织工控系统信息安全专业赛事，打造工控安全“奥运会”，旨在深入贯彻国家网络安全战略思想，进一步落实《关键信息基础设施安全保护条例》中关于重点保护关键信息基础设施的重要指示，着力提升网络安全处置能力、揭示工控系统安全现状、提升防护技术和手段，促进工业控制系统安全建设。
• 9月23日，工业信息安全产业发展联盟（以下简称“联盟”）第一届理事会第九次会议在北京召开。会议宣布了理事会主要任职人员变更和联盟组织架构调整等重要议题。会上审议通过了75家单位入会，其中，境外企业1家、工业企业2家，安全厂商72家。此外，会上还宣布增设工业互联网安全专业委员会（以下简称“专委会”）、工控安全专委会、数据安全专委会、信创安全专委会、车联网安全专委会和5G应用安全专委会六个专委会和煤炭、电力和钢铁三个行业委员会。