谛听 工控安全月报 | 6月
目录
01
工控安全相关政策
-
工信部印发《工业和信息化领域数据安全风险评估实施细则(试行)》
-
国家能源局印发 《电力网络安全事件应急预案》
-
全国网络安全标准化技术委员会2024年第一次 “标准周”全体会议在南昌召开
-
我国牵头提出的国际标准《网络安全 物联网安全与隐私 家庭物联网指南》正式发布
02
工控安全相关事件
-
俄罗斯电力公司、IT 公司和政府机构遭遇 Decoy Dog 木马攻击
-
Forescout报告显示:物联网漏洞激增,成为黑客攻击的关键切入点
-
全球叉车巨头科朗遭网络攻击,工厂生产被迫中断
03
蜜罐数据分析
04
俄罗斯、乌克兰联网工控设备分析
工控安全相关政策
01
工信部印发《工业和信息化领域数据安全风险评估实施细则(试行)》
6月1日,工业和信息化部发布的《工业和信息化领域数据安全风险评估实施细则(试行)》(以下简称《实施细则》),正式生效施行。《实施细则》完善了工信领域数据安全制度体系,展现了工信数据安全风险评估制度的全貌,可称得上是开行业数据风险评估专项管理制度的“先河”。《实施细则》进一步明确和细化了工信数据安全评估制度的机制和要求,标志着工信领域数据安全风险评估制度正式启动。对于业界学习理解制度要求、预判自身数据评估工作需求、以及提前部署自身评估工作安排等,都具有重要指导意义。
参考链接:
https://www.gov.cn/zhengce/zhengceku/202405/content\_6953528.htm
02
国家能源局印发 《电力网络安全事件应急预案》
6月7日,国家能源局印发《电力网络安全事件应急预案》(以下简称《预案》),要求完善电力网络安全事件应对工作机制,有效预防、及时控制和最大限度消除电力网络安全事件带来的危害和影响。《预案》所指的“电力网络安全事件”是指由计算机病毒或网络攻击、网络侵入等危害网络安全行为导致的,对电力网络和信息系统造成危害,可能影响电力系统安全稳定运行或者影响电力正常供应的事件。根据电力网络安全事件造成停电等后果的影响程度,《预案》将其分为特别重大、重大、较大和一般四级。根据《预案》,国家能源局统筹指导电力网络安全事件应对工作,并根据需要组织提供技术支持,具体工作由国家能源局电力安全监管司承担。
参考链接:
https://zfxxgk.nea.gov.cn/2024-05/16/c\_1310777555.htm
03
全国网络安全标准化技术委员会2024年第一次 “标准周”全体会议在南昌召开
6月12日,全国网络安全标准化技术委员会2024年第一次“标准周”全体会议在江西南昌成功召开。会上,受邀的院士、专家及企业家紧扣“标准支撑构建大网络安全工作格局”,围绕当前网络安全热点主题和领域分享了前沿技术和应用实践。本次“标准周”活动由网安标委秘书处、中国电子技术标准化研究院、江西省委网信办共同承办,时间为2024年6月12日至15日,共有来自340余家工作组成员单位代表约800人参加了全体会议。“标准周”期间,7个工作组将讨论46项新立项标准项目、推进50余项在研网络安全国家标准制修订项目、研讨完善各工作组技术领域标准体系等;同期,组织召开关键信息基础设施安全、人工智能安全、数据安全、网络安全人才、智能终端设备安全共5场技术主题研讨会,以及国家标准基础知识培训会和国际标准化规则培训会。
参考链接:
https://www.gov.cn/zhengce/zhengceku/202405/content\_6953528.htm
04
我国牵头提出的国际标准《网络安全 物联网安全与隐私 家庭物联网指南》正式发布
6月30日,我国牵头提出的国际标准ISO/IEC 27403:2024《网络安全 物联网安全与隐私 家庭物联网指南》(Cybersecurity – IoT security and privacy – Guidelines for IoT-domotics)正式发布。该提案于2018年4月提交至ISO/IEC JTC1/SC27,后经研究,于2019年10月正式立项;2024年6月正式发布。家庭物联网系统具有终端异构、人机交互复杂、智能应用泛在等特点,面临网络安全和隐私保护的多重压力。针对这些特点,ISO/IEC 27403识别了家庭物联网系统的主要相关方以及各自的生命周期阶段,分析了家庭物联网系统的安全和隐私风险,并从网络安全、人工智能安全、数据安全等方面提出了安全控制措施。该标准可指导相关方防范家庭物联网系统中的安全风险,对于提升家庭物联网安全与隐私风险防护能力,完善物联网安全标准体系具有积极作用。
参考链接:
https://www.tc260.org.cn/front/postDetail.html?id=20240701093303
工控安全相关事件
01
俄罗斯电力公司、IT 公司和政府机构遭遇 Decoy Dog 木马攻击
6月6日,FreeBuf早报称,俄罗斯的组织正遭遇网络攻击,这些攻击被发现是传递一种名为Decoy Dog(诱饵狗)的Windows版本恶意软件。网络安全公司正在跟踪这一活动集群,并将其归因于一个名为“HellHounds”的高级持续威胁(APT)组织。HellHounds小组会攻破他们选择的组织并在其网络中隐藏多年未被发现。在此过程中,该小组利用了主要的入侵向量,从漏洞的Web服务到可信赖的关系。HellHounds首次被该公司记录是在2023年11月底,紧随一个未披露的电力公司被Decoy Dog木马攻破之后。迄今为止,已确认其入侵了48个俄罗斯受害者,包括IT公司、政府、航天工业公司和电信供应商。有证据表明,自2021年以来,该威胁行为者一直在针对俄罗斯公司,恶意软件的开发可以追溯到2019年11月。
参考链接:
https://www.freebuf.com/news/402797.html
https://thehackernews.com/2024/06/russian-power-companies-it-firms-and.html
02
Forescout报告显示:物联网漏洞激增,成为黑客攻击的关键切入点
6月11日,根据 Forescout 最新发布的《2024 年最危险的联网设备》报告显示,与一年前相比,含有漏洞的物联网(IoT)设备激增了 136%。此次研究人员分析了近1900万台设备的数据,发现存在漏洞的物联网设备比例从2023年的14%上升到2024年的33%。其中,最容易受到攻击的物联网设备是无线接入点、路由器、打印机、网络电话(VoIP)和 IP 摄像机。在此次分析的上述物联网设备中,约有三分之一(33%)存在漏洞。同时,研究人员还指出,在电子和汽车制造等行业中,机器人的使用正在迅速增加,这些行业的工厂之间的联系越来越紧密。其中许多机器人与其他 OT 设备存在相同的安全问题,包括软件过时和默认凭据。
参考链接:
https://www.infosecurity-magazine.com/news/iot-vulnerabilities-entry-point/
03
全球叉车巨头科朗遭网络攻击,工厂生产被迫中断
6月24日,安全内参消息称,美国叉车制造商科朗设备(Crown Equipment)19日确认,本月早些时候遭受了一次网络攻击,导致其工厂的制造活动中断。科朗是世界上最大的叉车制造商之一,拥有19600名员工,在全球14个地点设有24家制造工厂。大约6月8日起,科朗员工陆续报告公司遭遇了安全入侵,所有IT系统关闭。员工被告知不要接受多因素认证(MFA)请求,并对网络钓鱼邮件保持警惕。科朗19日首次公开确认了网络攻击,称其目前采取的安全措施在限制攻击影响方面发挥了作用。
参考链接:
https://mp.weixin.qq.com/s/oXOZAaG0fgv9a0JR-3OdxQ
蜜罐数据分析
“谛听”工控蜜罐在6月份收集到大量针对不同工控协议、来自不同地区的工控网络攻击数据。图1、图2和图3中展示了经过统计和分析后的数据,以下将对各个图表进行简要说明。
图1展示了6月份和5月份不同协议下各蜜罐受到的攻击量对比情况。从图中可以看到,6月份MODBUS、FOX、CODESYS协议蜜罐受到的攻击数量高于5月份受到的攻击数量,除此以外6月份各协议蜜罐受到的攻击数量都低于5月份受到的攻击数量。
图1. 6月份和5月份蜜罐各协议攻击量对比
(数据来源“谛听”)
图2展示了6月份和5月份攻击量最多的10个国家对比情况。从图中可以看到,6月份英国、西班牙以及德国对工控蜜罐的攻击量有所提高,此外其他所有国家对蜜罐的攻击量均有所减少。
图2. 6月份和5月份其他各国
对蜜罐的攻击量对比TOP10
(数据来源“谛听”)
由图3可以看出, 6月份来自上海的流量最多,来自浙江的流量位居第二,而来自江苏的流量位居第三。排名靠前的几个省市基本为沿海或工业较为发达的地区,此外其他省份的流量有所波动。
图3. 6月份中国国内各省份流量(TOP10)
(数据来源“谛听”)
俄罗斯、乌克兰联网工控设备分析
截至2024年6月底,俄乌战争局势持续恶化,俄军在多条战线上推进,包括库皮扬斯克、斯维尔斯克、恰西夫亚尔、阿夫迪伊夫卡和顿涅茨克市地区,乌克兰军队在这些地区苦苦支撑,部分地区被迫撤退。同时,乌克兰获得美国批准,使用美制武器对俄罗斯境内目标进行打击,无人机多次袭击俄罗斯的炼油厂,尽管美国对此表示警告,但乌克兰继续增加无人机群的规模,对俄罗斯的炼油产出造成一定影响。国际援助方面,美国总统拜登签署了610亿美元的军事援助计划,并承诺在数小时内开始向乌克兰运送武器,芬兰也批准了一项价值1.59亿欧元的军事援助包,而波兰总理表示将在7月的北约峰会前与乌克兰签署双边安全协议。
为了深入了解俄罗斯和乌克兰的工控领域状况,团队持续关注并进行了探测,以获取被扫描设备的详细信息。
/2023年6月俄罗斯、乌克兰暴露工控设备相关协议/
从图4乌克兰各协议暴露数量对比图中可以看出,6月探测到的数量相比于5月份,AMQP协议有小幅度的增加,其他各个协议变化不明显。同时联网摄像头暴露数量相比5月有较大程度的下降,由1264降至1079。
图4. 5月、6月乌克兰各协议
暴露工控资产数量对比
(数据来源“谛听”)
俄罗斯的各协议暴露数量对比如图5所示。从图中可以看出,与5月相比,6月Modbus协议有较大幅度的减少,AMQP有小幅度增加,Nport等协议没有很大幅度的变化。6月联网摄像头暴露数量有小幅度减少,由1800降低至1765。
后续团队将对相关信息持续关注。
图5. 5月、6月俄罗斯各协议
暴露工控资产数量对比
(数据来源“谛听”)
扫码关注我们
微信号|谛听 ditecting
