工业网络安全周报

政策法规方面，本周观察到国内外网络安全相关政策法规4项，值得关注的有我国牵头提出的国际标准《网络安全工业互联网平台安全参考模型》正式发布、国际标准《网络安设备与服务建立可信连接的安全建议》正式发布。

漏洞态势方面，本周监测到漏洞动态8条，值得关注的有CISA针对主动利用的 Ivanti MobileIron漏洞发布新警告等。

安全事件方面，本周监测到重大网络安全事件7起，其中典型的事件有国际船舶制造巨头因网络攻击损失超6.1亿元、以色列最大炼油厂遭伊朗黑入侵疑致SCADA系统遭黑。

产品技术方面，施耐德电气宣布推出适用于OT环境的托管安全服务、美国能源部结果驱动型网络知情工程(CCE)方法受到更多OT网络安全公司的支持。

01、国际标准《网络安全工业互联网平台安全参考模型》正式发布

2023年7月，我国牵头提出的国际标准ISO/IEC 24392：2023《网络安全 工业互联网平台安全参考模型》正式发布。该提案于2018年4月提交至ISO/IEC JTC1/SC27，后经研究，于2019年6月正式立项;2023年7月正式发布。我国3名专家担任该国际标准提案的编辑和联合编辑。ISO/IEC 24392作为首个工业互联网安全领域的国际标准，基于工业互联网平台安全域、系统生命周期和业务场景三个视角构建了工业互联网平台安全参考模型。该国际标准用于解决工业互联网应用和发展过程中的平台安全问题，可以系统指导工业互联网企业及相关研究机构，针对不同的工业场景，分析工业互联网平台的安全目标，设计工业互联网平台安全防御措施，增强工业互联网平台基础设施的安全性。

资料来源：https://www.tc260.org.cn/front/postDetail.html?id=20230803173711

02、国际标准《网络安全设备与服务建立可信链接的安全建议》正式发布

2023年7月，我国牵头提出的国际标准ISO/IEC 27071:2023《网络安全设备与服务建立可信连接的安全建议》正式发布。该提案于2015年提交至ISO/IEC JTC1/SC27，后经研究，于2019年4月正式立项;2023年7月正式发布。我国2名专家担任该国际标准提案的编辑和联合编辑。ISO/IEC 27071给出了设备和服务建立可信连接的框架和安全建议，包括对硬件安全模块、信任根、身份、身份鉴别和密钥建立、环境证明、数据完整性和真实性等组件的安全建议。该国际标准适用于基于硬件安全模块在设备和服务之间建立可信连接的场景，例如移动支付、车联网、工业物联网等，有助于提升数据从设备中采集到服务的全过程的安全性。

资料来源：https://www.tc260.org.cn/front/postDetail.html?id=20230803173415

03、美国防部公布2023-2027年CWF战略实施计划，解决人才缺口培养未来网络劳动力

美国国防部(DoD)本周发布了2023-2027年网络劳动力(CWF)战略实施计划，该计划直接解决国防部的网络人才缺口问题，并采取必要的举措来培养未来的网络劳动力。CWF战略实施计划文件将协助该部门推进人才管理举措，以打造更加多样化和有效的网络劳动力。CWF战略实施计划将协助该部门推进旨在培养敏捷、灵活和反应灵敏的网络劳动力的人才管理举措。

资料来源：http://mgvj2.xai6.sbs/h60kaZC

04、白宫发布扩大美国网络劳动力战略

7月31日，拜登政公布了《国家网络劳动力和教育战略》，该战略设想在幼儿教育中引入网络安全概念，同时使网络高级职业培训变得更容易获得和负担得起。该教育战略由国家网络主任办公室发布，其主要目标是弥合网络安全领域重要工作与美国教育系统当前课程之间的差距。作为拜登政府加强国家整体网络安全态势计划的一部分，该计划旨在确保劳动力配备必要的技术技能来维持强大的网络防御。

资料来源：http://d0vx2.xai6.sbs/G1OiJXI

05、CISA针对主动利用的Ivanti MobileIron漏洞发布新警告

8月1日，美国网络安全和基础设施安全(CISA)警告说，自4月份以来，国家黑客正在利用Ivanti的Endpoint Manager Mobile (EPMM)(以前称为MobileIron Core)中的两个缺陷。至少从2023年4月到2023年7月，高级持续威胁(APT)攻击者利用CVE-2023-35078作为零日漏洞，从多个挪威组织收集信息，以及访问和破坏挪威政府机构的网络。

资料来源：http://dz552.xai6.sbs/pyL2dZc

06、黑客利用CVE-2023-3519在数百台Citrix服务器安装后门

8月2日，Shadowserver Foundation发现数百台Citrix Netscaler ADC和Gateway服务器被入侵并安装后门。CISA近期发布通告称，攻击者正在利用RCE漏洞(CVE-2023-3519)在易被攻击的系统中安装Webshell。Shadowserver最初报告，至少有15000台服务器易被攻击，主要位于美国和德国。最新更新中显示，截至8月1日，攻击者已在至少581台Citrix服务器上安装了Webshell。Citrix强烈建议用户安装更新。

资料来源：http://nsds2.xai6.sbs/vjVDcpe

07、卡巴斯基详细介绍了常见的工业TTP，重点关注于收集数据的植入程序

7月31日，卡巴斯基ICS CERT团队的研究人发布了其研究的第二部分，该研究基于对一系列针对工业组织的攻击的调查。该研究涵盖了用于收集数据的第二阶段恶意软件，确定了两种用于收集受感染系统数据的植入程序。第一种类型的植入程序旨在收集和存档本地计算机上的各种数据，而第二种类型的植入程序则用于收集有关可移动驱动器的信息，对其内容进行卷影复制，并用蠕虫病毒感染它们，然后将其用于从气隙网络中窃取数据。7月早些时候，卡巴斯基宣布调查2022年针对东欧工业组织的一系列攻击。在这些活动中，攻击者的目的是建立一个永久的数据泄露通道，包括存储在气隙系统上的数据。

资料来源：http://yske5.xai6.sbs/oBPPUfn

08、国际船舶制造巨头因网络攻击损失超1.6亿元

美国船舶制造巨头宾士域集团(Brunswick Corporation)的首席执行官上周向投资者透露，公司因一次网络安全事件蒙受高达8500万美元(约合人民币6.1亿元)的损失。这家拥有数十亿美元资产的船舶制造公司在2021年创造了近60亿美元的收入，业务遍及24个国家，是海洋休闲产业的全球领导者。6月13日，宾士域集团宣布遭受了一次网络攻击，其系统和部分设施受到影响。官方并未确认这是一次勒索软件攻击，但他们表示在专家和执法部门处理该事件期间，已被迫停止部分地区的运营。

资料来源：https://therecord.media/marine-industry-giant-brunswick-lost-millions

09、以色列最大炼油厂遭伊朗黑客入侵，疑致SCADA系统遭黑

以色列最大的炼油厂运营商BAZAN集团的网站在世界大部分地区都无法访问，因为威胁行为者声称已经侵入了该集团的网络系统。总部位于海法湾的BAZAN Group(前身为Oil Refineries Ltd.)年收入超过135亿美元，拥有员工1,800多人。该公司拥有年炼油总能力约980万吨原油。伊朗黑客组织“网络复仇者”，又名“CyberAv3ngers”，在Telegram频道中声称他们已渗透到BAZAN网络，7月29日晚上，该组织发布了BAZAN集团公司的SCADA系统的屏幕截图，该系统用于监视和控制工业控制系统。但BAZAN对此进行了否认，声称没有受到任何实质性影响。据黑客称他们利用了CheckPoint的防火墙漏洞渗透到了炼油厂的网络，但CheckPoint也否认了这种说法。

资料来源：https://www.securitylab.ru/news/540479.php

10、Dragos:勒索软件将持续使用各种技术扰乱工业运营

工业网络安全供应商Dragos透露，今年第二季度是勒索软件组织异常活跃的时期，对工业组织和基础设施构成了重大威胁。数据显示，北美地区的事故数量比上一季度增加了27%，对关键基础设施构成了重大威胁。“针对工业目标的勒索软件攻击的增加及其随之而来的影响凸显了勒索软件生态系统的快速增长以及这些组织为实现其目标而采用不同的策略、技术和程序(TTP)，”高级威胁猎人Abdulrahman H. Alamri在7月31日是的博客文章中写道。今年第二季度，Dragos发现了253起勒索软件事件，与上一季度相比增加了18%。

资料来源：http://3jak6.xai8.sbs/hRznTWa

11、床垫巨头泰普尔丝遭遇网络攻击迫使系统关闭

全球最大的床垫销售商之一Tempur Sealy正在应对网络攻击，该攻击迫使该公司关闭了部分IT系统。由于旗下拥有Tempus、Cocoon、Sealy和Stearns & Foster等品牌。该公司首席财务官Bhaskar Rao在7月31日上午向美国证券交易委员会报告称，Tempur Sealy的运营因7月23日开始的网络攻击而受到阻碍。

资料来源：https://therecord.media/mattress-giant-tempur-sealy-cyberattack

12、美国大型旅游公司Mondee发生重大客户数据泄露事件

一家大型旅游公司Mondee最近关闭了一个数据库，该数据库之前无意中暴露在公共互联网上，其中包含敏感的客户信息，包括航班详细信息、酒店预订和未加密的信用卡号码。该漏洞的曝光得益于独立网络安全研究员Anurag Sen，他发现了该数据库并将其与TechCrunch共享。Sen表示，访问Oracle云中托管的数据库不需要密码，这样就可以通过Web浏览器访问敏感数据，只需要知道正确的IP地址。后来的事实证明，该基地也可以通过Mondee部门之一所在地的一个容易猜到的子域找到。

资料来源：https://www.securitylab.ru/news/540617.php

13、制造业因勒索软件的财务成本而陷入困境

Comparitech的一项新分析揭示了勒索软件攻击对制造业造成的巨大全球损失。该公司审查了2018年至2023年7月期间针对制造公司的478起已确认的勒索软件攻击，并利用其全球跟踪器了解此类事件的真实成本。这包括造成的停机时间、被盗数据量、赎金要求多少以及这些要求是否得到满足。研究显示，2022年勒索软件造成的平均停机时间比2021年几乎翻了一番，从6.4天增加到12.2天。此外，两个时期记录的最长停机时间也存在较大差距——2021年为32天，2022年为76天。Comparitech数据研究主管丽贝卡·穆迪(Rebecca Moody)告诉Infosecurity，导致停机时间增加的一个可能因素是攻击者“不断改进其恶意软件，以领先组织一步”。此外，平均赎金需求在2021年最高，达到2190万美元。据分析，到2022年，这一数字将降至880万美元，而到2023年，这一数字目前为170万美元。

资料来源：https://www.infosecurity-magazine.com/news/manufacturing-reeling-cost/

14、施耐德电气宣布推出适用于OT环境的托管安全服务

8月1日，能源管理和工业自动化解决方案数字化转型供应商施耐德电气推出了托管安全服务(MSS)产品，帮助OT(操作技术)环境中的客户应对与远程访问和连接技术需求相关的日益增加的网络风险。这些服务还可用于帮助应对复杂IT和OT环境中日益增长的威胁。新产品由施耐德电气的全球网络安全互联服务中心(CCSH)提供支持，提供成熟的技术作为灵活的服务来监控网络威胁并代表客户主动响应。

资料来源：http://pslt2.xai6.sbs/tpXHt1X

15、美国能源部结果驱动型网络知情工程(CCE)方法受到更多OT网络安全公司的支持

8月1日，OT网络安全公司Mission Secur宣布，它已与美国能源部国家实验室爱达荷国家实验室合作。该联盟将扩大结果驱动型网络知情工程(CCE)方法的采用，以保护关键基础设施免受网络威胁。CCE方法由爱达荷国家实验室开发，旨在降低针对关键基础设施系统的潜在灾难性网络攻击的风险。该方法旨在为对手设计机会，对电网、石油和天然气设施、供水系统、运输系统和其他关键资产造成现实破坏。

资料来源：http://ja0x5.xai6.sbs/tKJGjKD

16、Armis与安全风险顾问合作，提高OT安全性，保护网络物理系统

8月3日，资产可视性和安全公司Armi宣布与国际网络安全咨询公司security Risk Advisors (SRA)建立合作伙伴关系。双方利用各自的专业领域来保护运营技术(OT)和网络物理系统(CPS)，从而为共同的客户提供支持。随着OT的联系越来越紧密，监控和保护这些资产的责任对于保护业务连续性、供应链和消费者变得越来越重要。Armis提供业界最全面的资产情报平台，为需要防范看不见的运营和网络风险、提高效率、优化资源使用和通过新技术安全创新的组织提供统一的资产可见性和卓越的安全性。

资料来源：http://6uoe6.xai8.sbs/gsVjY24

来源：安帝Andisec