工业信息安全资讯（10月期）

国际视野

• 10月1日，美国参议员本周提交《网络事件报告法》法案，该法案要求关键基础设施组织在遭遇网络攻击时及时报告网络安全和基础设施安全局(CISA)，如果大多数私营公司做出回应，则还需要通知政府。《网络事件报告法》旨在帮助政府应对网络攻击，并帮助其追究针对美国网络的威胁行为者的责任。如果该法案成为法律，关键基础设施所有者和运营商将被要求在72小时内向 CISA 报告网络攻击。此外，如果其他组织决定支付勒索软件费用，则必须在24小时内通知CISA。这项两党法案将使国家网络总监、CISA和其他适当机构广泛了解我们国家每天发生的网络攻击，从而使整个政府能够对关键基础设施和其他人做出响应、缓解和警告。
• 10月7日，包括FBI、NSA、CISA和EPA在内的美国多家机构联合发布网络安全咨询报告，报告指出，水处理等关键基础设施领域正成为勒索软件重点攻击目标。报告披露了三起由勒索软件引起的针对美国水和废水处理设施 (WWS) 的攻击事件，三次攻击的勒索软件都对受感染系统文件进行了加密，其中一起事件中，攻击者还破坏了用于控制监控和数据采集(SCADA)工业设备的系统。此外，该报告还披露了攻击者用于破坏WWS设施的IT和OT网络的常见策略、技术和程序(TTP)。主要包括针对性鱼叉式钓鱼活动，向人员投送恶意负载，如勒索软件和RAT；利用在线公开的服务和应用程序，以实现对WWS网络的远程访问(即RDP访问)；利用运行易受攻击固件版本的控制系统的漏洞。
• 10月8日，新加坡宣布调整其网络安全战略，加强其对操作技术(OT)安全的关注，并出台新的能力框架，以对OT行业所需的技术和技能提供指导。2021年网络安全战略还将在以下努力的基础上再接再厉：加强整体网络安全态势并促进国际网络合作、维护新加坡重要信息基础设施(CII)和其他数字基础设施。网络安全局(CSA)表示将与CII运营商合作，加强OT系统的网络安全，在这些系统中，网络攻击可能构成实体和经济风险。CSA定义OT系统包括工业控制、建筑物管理和交通灯控制系统，这些系统包括监视或改变“系统的物理状态”，如控制铁路系统。
• 10月15日，美国FBI、CISA、EPA和NSA发布联合警告称，供水和废水行业的组织正在经历网络攻击。该警报还描述了三个以前未报告的影响供水设施工业控制系统(ICS)IT和OT（运营技术）系统的勒索软件攻击事件。公告强调了与数据、勒索软件、网络分段、网络复杂性和系统维护相关的风险，并分享了有关威胁行为者用来破坏IT和OT系统和网络的策略、技术和程序 (TTP) 的信息，并提供了如何预防、检测和响应网络威胁的建议。美国目前已将供水和废水系统归类为国家关键功能，它们的破坏或腐败将对安全、国家经济安全、国家公共健康或安全，或其任何组合产生不良影响。

行业动态

• 10月23日，成都信息工程大学与绿盟科技集团共同签署战略合作协议。双方将围绕人才培养、学科建设、专业实践、技术研究等方面展开深度合作，共同培养网络空间安全精英人才。据悉，本次战略合作恰逢成都信息工程大学七十周年校庆之际，双方将立足于国家网络安全战略需要，秉承“优势互补、互惠共赢、深度合作、共同发展”的原则，围绕网络空间安全精英人才培养、学科建设、专业实践、技术研究等多方面展开深度合作。成都信息工程大学作为川渝地区历史悠久、久负盛名的高校，多年来培养、造就了一批高素质的师资队伍，为国家、社会培养和输送了大批优秀的人才。
• 10月24日，根据《工业控制系统信息安全事件应急管理工作指南》相关要求，为持续建设覆盖全国的工业信息安全应急服务力量，提高重大突发工业信息安全事件的应急处置能力，支撑工业信息安全产业发展联盟（以下简称“联盟”）开展工业信息安全事件应急工作，联盟应急服务工作组近期组织开展了工业信息安全应急服务支撑单位遴选工作。经过材料征集、形式审查、专家评审和最终审核四个环节，评选产生了18家单位作为第四批工业信息安全应急服务支撑单位。
• 10月26日，零日计划(ZDI)组织宣布下一届Pwn2Own迈阿密黑客大赛的时间、主题、奖项等相关信息。Pwn2Own迈阿密黑客大赛主要围绕工业控制系统(ICS)产品和相关协议安全开展，2022年，大赛的四个主题为：控制服务器、OPC UA服务器、数据网关和人机界面 (HMI)。研究人员必须提交一篇论文，详细说明他们的漏洞利用以及如何执行。在去年的活动中，参与者展示了针对罗克韦尔自动化、施耐德电气等产品的24个漏洞，总共获得了280000美元。

安全事件

• 10月5日，被全球绝大多数移动运营商使用的连接服务提供商Syniverse公司披露，其信息技术(IT)和运营技术(OT)系统已遭入侵多年。Syniverse主要提供连接不同移动运营商的网络并实现数据传输的服务，每天支持数十亿次交易、对话和连接。该公司近期承认自2016年5月以来，威胁行为者可以访问其OT、IT系统、内网数据库，并且允许访问或从其电子数据传输的登录信息。Syniverse表示并未观察到任何意图破坏其运营/客户服务，或试图通过未经授权的迹象，此次事件并未对其日常运营/服务或其访问或处理数据的能力产生任何影响。Syniverse在200个国家/地区拥有大约1250名客户，几乎包括世界上绝大多数移动运营商，如AT&T、Verizon、T-Mobile、沃达丰、中国移动、Airtel、Telefónica和América Móvil等。
• 10月11日，英国格拉斯哥工程公司Weir Group承认受到勒索软件攻击导致今年第三季度收入受到影响。Weir Group表示，攻击发生在9月下半月，虽然公司在发现受到攻击后立即采取了应对遏制行动，但一些受影响的应用程序仍未完全恢复，因此，该公司隔离并关闭了一些系统，包括“核心企业资源规划 (ERP) 和工程应用程序”。该公司表示，Weir Group的工程、制造和运输在未来几周将逐步恢复，但由于这些行动，预计运营中断和相关低效率的影响将持续到第四季度，预计会对收入产生负面影响。Weir Group是一家苏格兰跨国工程公司，服务于矿物和采矿技术市场，成立于1871年，拥有超过15000名员工。
• 10月25日，堪萨斯州一名男子在法庭上承认篡改了Post Rock农村供水区的系统。这名男子曾在2018年1月至2019年1月期间在埃尔斯沃思县饮用水处理站工作，期间他在下班后使用远程登录系统来监控工厂。2019年3月，在辞去Post Rock农村水区的职位两个月后，该男子使用相同的远程登录系统关闭了该供水设施并关闭了其中一个过滤器。面对指控，该男子承认在未经授权的访问期间损坏计算机和篡改公共供水系统。EPA和FBI建议判处12个月零一天的监禁。
• 10月26日，伊朗的加油站系统遭受网络攻击，多处户外电子广告牌上信息被篡改、全国多地加油系统停止服务。此次受影响的是伊朗国家石油产品分销公司（NIOPDC），在全国有3500多处加油站点，攻击的主要目标是旗下享受政府补贴价格的加油管理系统，顾客在此可获得每升5美分或每加仑20美分的补贴，伊朗大多数车主都通过此系统加油。事件发生后，加油站的屏幕显示总统办公室电话，且民众无法享受政府补贴优惠。

技术研究

• 10月1日，网络安全研究机构Positive Technologies(PT)披露称发现一个新型黑客团伙ChamelGang，攻击目标主要是俄罗斯能源公司、航空公司和其他九个国家政府在内的机构。PT称，目前未发现该组织与任何现有的APT有关联，也未发现其有国家民族背景。PT使用所获知识发现并分析了同一威胁组织针对俄罗斯航空部门组织的第二次攻击。PT随后在其他九个国家发现了针对机构的攻击，其中包括美国、印度、尼泊尔、台湾和日本，其中有五个国家的研究人员发现政府服务器遭到破坏。
• 10月6日，工业网络安全公司Claroty研究人员披露，霍尼韦尔(Honeywell)的Experion过程知识系统(PKS)存在三种漏洞，恶意行为者可能利用其分布式控制系统(DCS)产品漏洞在系统上远程执行任意代码、发起拒绝服务 (DoS)攻击和破坏工业流程。霍尼韦尔 Experion PKS产品被世界各地的组织用于控制大型工业过程，受到此次发现的漏洞影响的设备包括其C200、C200E、C300和ACE控制器。
• 10月11日，工业网络安全公司OTO RIO研究人员披露称工业物联网解决方案提供商InHand Networks制造的路由器中存在13个漏洞。此次发现的漏洞包括关键的跨站点请求伪造(CSRF),远程代码执行、命令注入和弱密码策略问题，以及严重的不当授权和跨站点脚本(XSS)漏洞。OTO RIO警告称，攻击者可能利用In Hand设备中的这些漏洞移动到受害者网络内的其他工业系统，恶意行为者可能会利用这些漏洞完全控制受影响的设备，并拦截通信，从而窃取敏感信息。目前已知使用该设备的组织包括包括西门子、 GE 医疗、可口可乐、飞利浦医疗和其他主要公司。
• 10月12日，工业巨头西门子和施耐德电气发布了近十个安全公告，披露了影响其产品的50多个漏洞，包括可用于执行任意代码的缺陷。虽然其中一些已被指定为高严重性等级，但利用需要身份验证。针对其基于 SCALANCE W1750D控制器的直接接入点，西门子发布了涵盖15个漏洞的补丁和缓解措施，其中包括允许远程、未经身份验证的攻击者在底层操作系统上造成DoS条件或执行任意代码的关键漏洞。
• 10月22日，德国专业自动化产线数据管理商AUVESY公司被曝其数据管理产品Versiondog中存在17种漏洞，其中多个被评为严重和高危级。这些漏洞可被远程攻击者用于绕过身份验证、提升权限、获取硬编码密钥、执行任意代码、操纵文件和数据甚至发起拒绝服务攻击。AUVESY目前已修补这些漏洞。Versiondog主要为工业自动化设备提供自动备份和版本控制功能，可与众多工业系统集成，目前在全球许多大型跨国工业/制造业企业内运行，如雀巢、可口可乐、卡夫食品、默克和几家汽车巨头等大型公司。
• 10月27日，日本电气设备公司富士电机发布其工厂监控和运营产品Tellus中的六种漏洞的补丁，这些产品在全球范围内被用于远程监控和运营工厂。这些漏洞包括各种与内存相关的问题，可用于DoS攻击、任意代码执行或获取潜在的敏感信息，每个漏洞均为高危漏洞。研究人员在Tellus Lite V-Simulator和V-Server Lite产品中发现这些漏洞，这些产品在全球范围内被广泛用于工厂的远程监控运营。这些漏洞包括各种与内存相关的问题，可被用于发起DoS攻击、任意代码执行或获取潜在的敏感信息。趋势科技零日计划 (ZDI) 指出，这些漏洞大部分是由于缺乏对用户提供数据的适当验证造成的，成功利用这些漏洞需要一定的用户交互——即打开特定文件。
• 10月27日，IBM X-Force网络安全部门发布研究，2021年影响运营技术(OT)网络组织的许多攻击都涉及勒索软件，尤其是Ryuk勒索软件的运营商似乎更倾向于此类目标。该公司表示，到目前为止，勒索软件是2021年迄今为止针对OT组织发起的主要攻击类型，占攻击的32%。Ryuk勒索软件参与了许多此类攻击，IBM表示，与大多数其他勒索软件菌株相比，有更多记录证明Ryuk最终出现在OT网络上的案例。

融资动态

• 10月1日，加州私募股权巨头Symphony Technology Group(STG)宣布合并McAfee Enterprise和FireEye Products，合并后的实体将继续销售用于端点、基础设施、应用程序和云部署的安全产品。STG在声明中表示，McAfee Enterprise和FireEye Products结合后将形成一家拥有超过40000名客户、5000 名员工和近20亿美元年收入的纯网络安全供应商。
• 10月13日，Shift5宣布在A轮融资中筹集2000万美元，本轮融资由645 Ventures领投，Squadra Ventures、General Advance和First In跟投。Shift5是一家专注于交通基础设施和武器系统的运营技术(OT)网络安全公司，由美国陆军网络司令部前成员创立，其解决方案被美国军方多个部门以及美国主要客运铁路系统使用于保护飞机、火车、坦克和其他重型机械免受网络威胁和操作故障的影响。该公司开发的解决方案能够直接集成到现有车辆平台上，从车载数字组件收集和丰富数据，并持续监控数据流的安全性和操作异常，为车队运营商提供网络安全入侵检测、更智能的维护和改进的运营智能。Shift5还为运营技术网络安全领域提供专业服务，例如漏洞研究和能力开发。
• 10月22日，IoT终端应用加固、终端应用安全检测、IOS应用加固等物联网信息技术服务商尺物科技宣布完成数百万元天使轮融资，投资方为方信资本。尺物科技是一家物联网终端应用安全解决方案提供商，致力于解决物联网多维度的碎片化问题，提供一种高安全性、高易用的产品解决方案。尺物科技表示，公司将利用本轮融资将投入到产品研发，完善公司产品矩阵，增强人才队伍建设等方面。据官方介绍，尺物目前的产品体系主要分为四大块：安全加固、安全检测、威胁感知（主动防御）以及安全服务。
• 10月28日，Dragos宣布在D轮融资中筹资2亿美元，融资总额达3.6亿美元，公司估值达17亿美元，成为工业网络安全领域第一家独角兽，本轮融资由Koch Disruptive科技和贝莱德管理基金领投。Dragos发言人特别提到，虽然一些行业（例如电气）在跟踪威胁形势方面做得很好，但制造业等行业在这方面已经落后了。Dragos为用户提供资产和库存管理、漏洞管理、威胁检测以及调查和响应功能的可视化平台，目标是成为一家上市公司。
• 10月28日，苏格兰初创公司Lupovis宣布将投资至少61.5万英镑，用于开发基于人工智能的新型“欺骗”技术，以。Lupovis的CEO表示，该系统并非直接用于防止入侵，而是通过游戏化漏洞等激励手段刺激黑客不断实施攻击，并在此期间记录、动态感知和识别攻击者行为和技能水平。随着攻击者TTP数据池的增加，Lupovis的准确性将不断提高。通过该系统，执法部门和情报机构有可能在犯罪活动早期就获得预警和相关防护建议。通过这种技术，Lupovis不仅能够帮助用户消除攻击带来的直接影响，其收集的攻击者TTP数据还能够帮助其他行业。