谛听 工控安全月报 | 12月
目录
01
工控安全相关政策
-
《信息安全技术 网络安全应急能力评估准则》(GB/T 43269-2023)发布
-
中国民航局发布《民用航空生产运行工业控制系统网络安全防护技术要求》
-
国家互联网信息办公室公开征求《网络安全事件报告管理办法(征求意见稿)》意见
-
中国网络产业联盟征集工业控制系统安全标准与测评
-
工业和信息化部征求《工业和信息化领域数据安全事件应急预案(试行)(征求意见稿)》意见
-
工业和信息化部、国家标准化管理委员会发布《工业领域数据安全标准体系建设指南(2023版)》
02
工控安全相关事件
-
攻击者通过Unitronics PLC入侵美国水处理设施
-
研究人员披露Sierra:21漏洞对关键基础设施路由器的影响
-
爱尔兰一家自来水公司遭遇网络攻击导致供水中断2天
-
CrowdStrike发布《恶意内部人员如何利用已知漏洞对付组织》
-
MITRE、Red Balloon Security和Narf宣布推出关键基础设施嵌入式设备威胁模型框架EMB3D
-
Akira勒索软件组织称其对日产汽车澳大利亚分公司发起网络攻击
03
蜜罐数据分析
04
俄罗斯、乌克兰联网工控设备分析
工控安全相关政策
01
《信息安全技术 网络安全应急能力评估准则》(GB/T 43269-2023)发布
11月27日,由全国信息安全标准化技术委员会归口,国家标准化管理委员会主管的国家标准《信息安全技术 网络安全应急能力评估准则》(GB/T 43269-2023)发布。该标准立足于各行业、各地区、各系统网络安全应急响应工作,规定了网络安全应急能力要求,给出了相应评估流程,适用于各类组织进行网络安全应急能力建设与评估,如网络安全厂商、运营单位、监管部门及第三方测评机构。
参考链接:
https://std.samr.gov.cn/gb/search/gbDetailed?id=0B4529DE1037FCAFE06397BE0A0A46CC
02
中国民航局发布《民用航空生产运行工业控制系统网络安全防护技术要求》
12月6日,中国民航局发布行业标准《民用航空生产运行工业控制系统网络安全防护技术要求》(MH/T 3035-2023),该标准界定了民用航空生产运行工业控制系统的安全防护对象,规定了现场设备、控制设备、工业主机、网络设备、网络安全设备等设备级安全技术要求,以及分区分域与隔离防护、数据与通信安全、安全监控与应急处置、系统运维安全、软件供应链安全等系统级安全技术要求,适用于第三级及以下保护等级民用航空生产运行工业控制系统的网络安全规划设计、建设和运营维护,也可作为行业管理部门开展监督检查工作的依据。
参考链接:
https://www.caac.gov.cn/XXGK/XXGK/BZGF/HYBZ/202312/t20231208\_222271.html
03
国家互联网信息办公室公开征求《网络安全事件报告管理办法(征求意见稿)》意见
12月8日,为规范网络安全事件的报告,减少网络安全事件造成的损失和危害,维护国家网络安全,依据《中华人民共和国网络安全法》等法律法规,国家互联网信息办公室起草和发布了《网络安全事件报告管理办法(征求意见稿)》,并向社会公开征求意见。公众可通过官网“立法意见征集”栏目、电子邮件和信函等方式提出反馈意见,意见反馈截止时间为2024年1月7日。
参考链接:
http://www.cac.gov.cn/2023-12/08/c\_1703609634347501.htm
04
中国网络产业联盟征集工业控制系统安全标准与测评
12月12日,为完善工业控制系统安全标准体系,提升工业控制系统安全领域创新能力,根据工业和信息化部重点实验室“开放、交流、合作、竞争”的工作原则,依托工业控制系统安全标准与测评工业和信息化部重点实验室平台资源,中国网络产业联盟面向产学研用单位征集2024年度开放课题,征集方向有:行业级工业网络安全标准研究、工业网络安全防护与测评技术研究、工业安全与新技术的融合应用研究。
参考链接:
http://www.china-cia.org.cn/home/IndustryNewsDetail?id=65782bc40200341bb0a8497f
05
工业和信息化部征求《工业和信息化领域数据安全事件应急预案(试行)(征求意见稿)》意见
12月15日,工信部公示《工业和信息化领域数据安全事件应急预案(试行)(征求意见稿)》,并征求社会各界意见。该办法是工信部为贯彻落实《数据安全法》《工业和信息化领域数据安全管理办法(试行)》,推动工业和信息化领域数据安全应急处置工作制度化、规范化开展,进一步细化行业数据安全事件应急处置流程、机制和要求,指导各方规范化开展应急处置工作,有效提升数据安全事件应急处置水平而起草。如有修改意见或建议,需在2024年1月15日前反馈。
参考链接:
https://www.miit.gov.cn/jgsj/waj/wjfb/art/2023/art\_119d8297cd40494994bfdf0b299023f9.html
06
工业和信息化部、国家标准化管理委员会发布《工业领域数据安全标准体系建设指南(2023版)》
12月29日,为切实发挥标准对推动工业领域数据安全的技术引领和规范指导,工业和信息化部、国家标准化管理委员会依据《中华人民共和国数据安全法》《工业和信息化领域数据安全管理办法(试行)》等法律法规和政策文件要求,组织编制并发布了《工业领域数据安全标准体系建设指南(2023版)》。该指南规定了工业领域数据安全标准体系的总体框架,并针对基础共性标准、安全管理标准、技术和产品标准、安全评估与产业评价标准、新兴融合领域标准、工业领域细分行业标准六个重点领域进行标准规定。
参考链接:
https://www.miit.gov.cn/jgsj/kjs/wjfb/art/2023/art\_0770e8d871174f0192779dbd22bab4b7.html
工控安全相关事件
01
攻击者通过Unitronics PLC入侵美国水处理设施
11月28日,美国网络安全和基础设施安全局CISA发布名为“Unitronics PLC在供水和废水处理系统中的应用”的安全警戒,指出攻击者通过攻击在线暴露的Unitronics PLC入侵了美国的一个水处理设施。CISA证实了攻击者的入侵行为确实发生,然而,此次攻击并没有危及社区饮用水的安全性。CISA称,此次攻击事件是由于不良的安全措施而导致的,而非设备存在零日漏洞。目前,受影响的市政水务当局已将系统脱机并切换到手动操作。
参考链接:
02
研究人员披露Sierra:21漏洞对关键基础设施路由器的影响
12月6日,美国网络安全技术公司Forescout发布报告称其研究人员发现了Sierra OT/IoT路由器的21个新漏洞,这组漏洞可以通过远程代码执行、未授权访问、跨站点脚本、身份验证绕过和拒绝服务攻击威胁关键基础设施。报告表示Sierra:21主要影响Sierra Wireless AirLink蜂窝路由器以及TinyXML和OpenNDS(开放网络划分服务)等开源组件,其中只有CVE-2023-41101(CVSS v3:9.6分)的严重性为紧急,另有8个漏洞为高严重性、12个漏洞为中等风险。
参考链接:
https://www.forescout.com/resources/sierra21-vulnerabilities
03
爱尔兰一家自来水公司遭遇网络攻击导致供水中断2天
12月7日,爱尔兰媒体WesternPeople报道,黑客攻击了爱尔兰埃里斯地区的一家私人集团供水公司,导致供水中断两天并影响到180户业主。攻击者出于政治动机,选择对该供水公司中源于以色列的设备进行攻击并破坏了抽水系统的用户界面,张贴了反以色列的信息。
参考链接:
https://westernpeople.ie/news/hackers-hit-erris-water-in-stance-over-israel\_arid-4982.html
04
CrowdStrike发布《恶意内部人员如何利用已知漏洞对付组织》
12月7日,美国网络安全技术公司CrowdStrike发布名为《恶意内部人员如何利用已知漏洞对付组织(How Malicious Insiders Use Known Vulnerabilities Against Their Organizations)》网络安全报告,报告依据2021年1月至2023年4月期间收集的安全数据分析表明,组织/企业的内部威胁比例正在上升,而利用权限升级漏洞是未经授权活动的重要组成部分。该报告称,该公司记录的内部威胁中有55%依赖于权限升级漏洞,而其余45%通过下载或滥用攻击性工具无意中引入了风险。
参考链接:
05
MITRE、Red Balloon Security和Narf宣布推出关键基础设施嵌入式设备威胁模型框架EMB3D
12月13日,美国联邦政府资助研发中心运营商MITRE与网络安全技术公司Red Balloon Security、网络安全团队Narf合作推出了一个新的威胁建模框架草案EMB3D,该框架适用于在关键基础设施环境中使用的嵌入式设备的制造商,可以使得设备制造商对其技术中被攻击的漏洞以及解决这些漏洞的安全机制产生共识。EMB3D是与其他广泛使用的MITRE威胁模型和框架,如ATT&CK和通用弱点枚举目录(Common Weakness Enumeration,CWE)相对应的嵌入式系统。类似ATT&CK为防御者提供了威胁行为者策略、技术和程序的通用词汇,CWE提供了归类和描述硬件和软件漏洞的标准方法,EMB3D提供了嵌入式设备威胁的中央知识库。
参考链接:
https://www.mitre.org/news-insights/news-release/mitre-red-balloon-security-and-narf-announce-emb3d
06
Akira勒索软件组织称其对日产汽车澳大利亚分公司发起网络攻击
12月22日,美国网络安全网站BleepingComputer报道称Akira勒索软件团伙在其行动的日期泄露博客中新增了一条记录,表明Akira侵入了日本汽车制造商日产汽车澳大利亚分公司Nissan Australia的网络。Akira表示,其攻击者从该汽车制造商的系统中窃取了约100GB的文件。然而在日产拒绝参与或支付赎金即赎金谈判失败后,Akira威胁要在网上泄露敏感的业务和客户数据,Akira表示:“您会在档案中找到包含员工个人信息的文档,以及许多其他感兴趣的内容,例如保密协议、项目、有关客户和合作伙伴的信息等。”2023年6月开始,Akira勒索软件团伙开始部署其加密的Linux勒索软件变体,其旨在针对企业环境中广泛使用的VMware ESXi虚拟机。
参考链接:
蜜罐数据分析
“谛听”工控蜜罐在12月份收集到大量攻击数据。图1、图2和图3中展示了经过统计和分析后的数据。下面将对各个图表进行简要说明。
图1展示了2023年12月份和11月份不同协议下各蜜罐受到的攻击量对比情况。从图中可以看到,12月份Modbus和Siemens S7协议蜜罐受到的攻击数量高于11月份受到的攻击数量,除此以外12月份各协议蜜罐受到的攻击数量都低于11月份受到的攻击数量。
图1. 12月份和11月份蜜罐各协议攻击量对比
(数据来源“谛听”)
图2展示了12月份和11月份攻击量最多的10个国家对比情况。从图中可以看到,12月份美国、加拿大、保加利亚、英国和意大利对蜜罐的攻击量有所减少,此外其他所有国家对蜜罐的攻击量均有所提高。
图2. 12月份和11月份其他各国
对蜜罐的攻击量对比TOP10
(数据来源“谛听”)
由图3可以看出, 12月份来自浙江的流量最多,来自北京的流量位居第二,而来自江苏的流量位居第三。排名比较靠前的也大都是沿海或者工业较发达的地区,其他省份的流量有所波动。
图3. 12月份中国国内各省份流量(TOP10)
(数据来源“谛听”)
俄罗斯、乌克兰联网工控设备分析
根据CNN的报道,俄罗斯于12月29日对乌克兰发动了自俄乌战争以来最大规模的空袭,涉及大量无人机和导弹,导致至少31人死亡、150多人受伤。美国总统拜登表示,这次空袭是俄乌战争爆发以来规模最大的一次,强调普京试图消灭乌克兰并征服其人民,呼吁国会提供更多援助。拜登指出美国提供的防御系统成功拦截了俄罗斯的无人机和导弹,但警告称,若国会不在新的一年采取紧急行动,将无法继续向乌克兰提供必要的武器和防空系统。他强调这一危机提醒世界普京的目标仍未改变,必须采取措施阻止他的行动。
为了深入了解俄罗斯和乌克兰的工控领域状况,团队持续关注并进行了探测,以获取被扫描设备的详细信息。
/2023年12月俄罗斯、乌克兰暴露工控设备相关协议/
从图4乌克兰各协议暴露数量对比图中可以看出,12月探测到的数量与11月份相比,AMQP协议有小幅下降,其他各个协议几乎均没有太大变化。同时联网摄像头暴露数量相比11月有小幅度升高,由1245升至1470。
图4. 11月、12月乌克兰各协议
暴露工控资产数量对比
(数据来源“谛听”)
俄罗斯的各协议暴露数量对比如图5所示。从图中可以看出,与11月相比, 12月Nport协议有小幅升高,自今年5月份以来首次超过AMQP协议数。12月联网摄像头暴露数量也有大幅度升高,由1869升高至2020。
后续团队将对相关信息持续关注。
图5. 11月、12月俄罗斯各协议
暴露工控资产数量对比
(数据来源“谛听”)
扫码关注我们
微信号|谛听 ditecting
