全球工业信息安全动态速递(2022年第1期)
全球工业信息安全动态速递 国家工业信息安全发展研究中心监测应急所 2022年第一期总第1期 英国推出《产品安全和电信基础设施法案》 比利时国防部成Log4j2漏洞首个知名政府机构受害者 2022年APT与工控安全威胁趋势预测 乌克兰对能源网络进行了大规模的攻击模拟演练 2022年1月 刊首语 当前,5G、云计算、大数据、人工智能、区块链等新一代信息技术与制造业加速融合,为经济社会发展注入强劲动力的同时,也带来了更为严峻的工业信息安全挑战。工业信息安全是网络安全、国家安全的要组成部分,涉及工业领域各个环节,涵盖工业控制系统安全、工业互联网安全、工业数据安全等各领域,直接关系到经济发展和社会稳定,保障工业信息安全,对于推动制造业高质量发展、加快建设制造强国具有重要意义。 国家工业信息安全发展研究中心是保障工业信息安全的国家队,长期从事工业信息安全相关工作,承担多项制造业高质量发展专项,致力于建设一流工业信息安全综合保障体系,逐步形成集政策研究、态势感知、漏洞挖掘、风险预警、应急响应、管理服务等于一体的工业信息安全保障能力。 《全球工业信息安全动态速递》是国家工业信息安全发展研究中心着眼全球视野、立足我国需求推出的工业信息安全领域内部刊物,以半月刊的形式定期发布,力求通过关注政策动向、紧跟技术发展、聚焦风险事件、把握未来趋势,从整体上展现全球工业信息安全发展概况,为党政机关、军方、科研机构、业界开展工业信息安全工作提供参考。 目录 一、政策标准1 英国推出《产品安全和电信基础设施法案》1 美联邦首席信息官将网络安全列为其2022年首要任务1 《工业互联网综合标准化体系建设指南(2021版)》发布2 《“十四五”国家信息化规划》将网络安全作为主攻方向3 《“十四五”智能制造发展规划》强调健全安全保障5 拜登签署2022年国防授权法案涉及多项网络安全条款6 二、安全事件6 网络安全公司Avast在美国联邦机构网络中发现后门6 Clop勒索团伙正在泄露英国警方的机密数据7 比利时国防部成Log4j2漏洞首个知名政府机构受害者8 美国McMenamins啤酒厂遭到Conti勒索软件攻击8 网络钓鱼活动冒充辉瑞公司窃取商业和财务信息9 全球数万设备遭受PseudoManuscrypt间谍软件攻击9 三、安全风险10 不断恶化的网络威胁态势给工业企业带来诸多挑战10 2022年及以后的五项网络安全风险预测11 五眼联盟发布针对ApacheLog4Shell漏洞的联合警报12 研究发现PYSA勒索软件攻击大幅增加13 四、重大报告13 2022年APT与工控安全威胁趋势预测14 研究显示缺乏可见性是保护IoT/OT安全的一项关键挑战14专家建议IT设备制造商提升安全性15 五、漏洞披露16 金属探测器外围设备中的漏洞可能允许设备被攻击者操纵16捷克工业自动化公司mySCADA产品中被发现多个关键漏洞17FDA、CISA警告费森尤斯卡比输液泵存在十几个漏洞17 EVlink电动汽车充电站的漏洞使其易受远程黑客攻击18 六、技术发展19 美国DARPA推出开放资源以支持对人工智能韧性的评估19 CISA发布ApacheLog4j漏洞扫描器19 七、产业信息20 美国SANS启动网络安全和工业基础设施安全学徒计划20 乌克兰对能源网络进行了大规模的攻击模拟演练21 波音、空客高管游说拜登政府推迟美国5G部署计划21 2021网络安全行业生态大会暨金帽子年度盛典成功举办.22 2026年企业数据防护市场将达62.65亿美元23 一、政策标准 英国推出《产品安全和电信基础设施法案》 12月20日,据gov.uk网站报道,英国政府推出了《产品安全和电信基础设施法案》(PSTI),以更好地保护消费者的手机、平板电脑、智能电视、健身追踪器、摄像头等物联网设备免受黑客攻击。该法案不仅适用于制造商,还适用于实体店和在线零售商等企业。法案要求数字技术产品的制造商、进口商和分销商确保他们符合严格的网络安全标准,若不遵守将被处以高达1000万英镑或全球收入4%的巨额罚款。具体要求包括禁止公司使用通用默认密码,强制制造商在销售点告知客户并让他们了解产品收到重要安全更新和补丁的最短时间,向客户公开产品安全漏洞修复措施,并创建一个更好地促进漏洞发现的公共报告系统。 美联邦首席信息官将网络安全列为其2022年首要任务 12月22日,据meritalk网站报道,美联邦多名首席信 息官(CIO)概述2022年优先事项,将劳动力培养和网络安全列为重中之重。美国务院联邦首席信息官基斯·琼斯表示,未来将进一步加强企业网络安全,建立零信任路线图,以减少网络漏洞,促进网络安全整体水平提升。美司法部副首席信息官凯文·考克斯表示,其首要任务是全面推行零信任, 向零信任的过渡将是美国司法部2022年最大的现代化项目。此外,美国海关和边境保护局助理专员兼首席信息官桑吉夫·巴戈瓦利亚也表示,安全技术将成为该机构2022年的优先事项。 《工业互联网综合标准化体系建设指南(2021版)》发布 12月24日,据工信部网站报道,工业和信息化部、国家标准化管理委员会当日联合印发了《工业互联网综合标准化体系建设指南(2021版)》(以下简称《建设指南》)。 《建设指南》提出,到2023年,工业互联网标准体系持续完善。制定术语定义、通用需求、供应链/产业链、人才等基础共性标准15项以上,“5G+工业互联网”、信息模型、工 业大数据、安全防护等关键技术标准40项以上,面向汽车、电子信息、钢铁、轻工(家电)、装备制造、航空航天、石油化工等重点行业领域的应用标准25项以上,推动标准优先在重点行业和领域率先应用,引导企业在研发、生产、管理等环节对标达标。到2025年,制定工业互联网关键技术、 产品、管理及应用等标准100项以上,建成统一、融合、开放的工业互联网标准体系,形成标准广泛应用、与国际先进水平保持同步发展的良好局面。 《建设指南》进一步指出,安全体系是工业互联网健康 发展的保障。目前,我国工业互联网安全已取得阶段性成效,工业互联网企业网络安全分类分级管理试点工作稳步推进,研制了一批安全技术产品,建成了一批测试验证、在线培训等公共服务平台,已初步形成政府指导、部门协同、企业主责的安全管理格局,基本构建可感可知的安全技术监测服务体系。随着我国工业互联网的快速发展,安全问题将更加突出,需以安全分类分级标准规范为基础,进一步加快安全防护、安全管理、安全应用服务等标准研制,持续提升工业互联网的安全水平。 《“十四五”国家信息化规划》将网络安全作为主攻方向 12月27日,据freebuf网站报道,中央网络安全和信息化委员会印发《“十四五”国家信息化规划》(以下简称《规划》)。《规划》重点部署了10项重大任务,明确了17项重点工程作为落实任务的重要抓手。 就构建普惠便捷的数字民生保障体系这一目标,《规划》指出,要规范有序的数字化发展治理能力明显提升,数字生态不断优化,新技术新产品新业态新模式的创新活力充分激发,网络空间治理能力和安全保障能力显著增强。 在“主攻方向”中,《规划》指出,全面加强网络安全保障体系和能力建设,深化关口前移、防患于未然的安全理 念,压实网络安全责任,加强网络安全信息统筹机制建设,形成多方共建的网络安全防线。《规划》强调开发网络安全技术及相关产品,提升网络安全自主防御能力;完善相关法律法规和技术标准,规范各类数据资源采集、管理和使用,避免重要敏感信息泄露;强化新技术应用安全风险动态评估,逐步探索建立人工智能、区块链等新技术的治理原则和标准,确保新技术始终朝着有利于社会的方向发展。 在“重大任务和重点工程”中,《规划》提出强化数据安全保障。加强数据收集、汇聚、存储、流通、应用等全生命周期的安全管理,建立健全相关技术保障措施。建立数据分类分级管理制度和个人信息保护认证制度,强化数据安全风险评估、监测预警、检测认证和应急处理。强化平台企业数据安全保护责任。建立健全数据出境安全管理制度,开展数据出境安全评估试点。 在“建立健全规范有序的数字化发展治理体系”目标中, 《规划》强调要“全面加强网络安全保障体系和能力建设”,具体包括加强网络安全核心技术联合攻关,开展高级威胁防护、态势感知、监测预警等关键技术研究,建立安全可控的网络安全软硬件防护体系;实施国家基础网络安全保障能力提升工程,加强关键信息基础设施安全防护体系建设,增强网络安全平台支撑能力,强化5G、工业互联网、大数据中 心、车联网等安全保障;完善网络安全监测、通报预警、应急响应与处臵机制,提升网络安全态势感知、事件分析以及快速恢复能力。 《“十四五”智能制造发展规划》强调健全安全保障 12月28日,据中国电子报官微报道,近日,工业和信息化部、国家发展和改革委员会、教育部、科技部、财政部、人力资源和社会保障部、国家市场监督管理总局、国务院国有资产监督管理委员会等八部门联合发布了《“十四五”智能制造发展规划》(以下简称《规划》)。《规划》围绕2025 年和2035发展目标,从创新、应用、供给和支撑4个方面,提出了“十四五”推动智能制造发展的主要任务。在夯实基础支撑、构筑智能制造新保障方面,《规划》强调明确提出:加强智能制造安全风险研判,同步推进网络安全、数据安全和功能安全,推动密码技术深入应用;实施企业网络安全分类分级管理,督促企业落实网络安全主体责任;完善国家、地方、企业多级工控信息安全监测预警网络,加快建设工业互联网安全技术监测服务体系。探索建立数据跨境传输备案与监管机制;建立符合政策标准要求的技术防护体系和安全管理制度;培育安全服务机构,加大网络安全技术产品推广应用,提升诊断、咨询、设计、实施等服务能力。 拜登签署2022年国防授权法案涉及多项网络安全条款 12月29日,据govinfosecurity网站报道,美国总统签 署了2022财年国防授权法案(NDAA),其中包含约7680亿美元的国防开支,比2021年增加5%,以及多项网络安全条款。在网络安全方面,NDAA授权CISA开展CyberSentry计划,旨在提高提供关键基础设施的组织的弹性;制定CISA国家网络演习计划,该计划允许该机构测试美国对重大事件的响应计划;要求国防部制定关于小型企业如何受到其网络安全成熟度模型认证计划影响的报告;加强国防部首席信息官与国家安全局网络安全相关部门的协作;在联合部队总部设立项目办公室,集中管理网络威胁信息产品;授权制定首个网络武器和网络能力分类法;在军事设施上部署5G无线基础设施的试点计划;要求CISA至少每两年更新一次事件响应计划;指示国防部研究出台关于中国活动的报告 ——包括安全发展和新兴技术;要求国防部长审查国防部如何使用人工智能和数字技术。 二、安全事件 网络安全公司Avast在美国联邦机构网络中发现后门 12月17日,据govinfosecurity网站报道,网络安全公 司Avast的发言人称,美国国际宗教自由委员会的网络存在后门,允许攻击者拦截并可能窃取该机构系统上的所有本地网络流量。研究人员基于对获得的两个文件的分析,怀疑网络已被拦截和渗透。攻击者疑似通过其中一个文件启动后门,并伪装成一个名为oci.dll的合法Windows文件WinDivert。WinDivert是一个合法的包捕获工具,可用实现用户制作的包过滤器、包嗅探器、防火墙、NAT、VPN、隧道应用程序等,而无需编写内核模式代码,这使得攻击者可以通过受害者的网络监听所有的互联网通信。 Clop勒索团伙正在泄露英国警方的机密数据 12月19日,据securityaffairs网站报道,Clop勒索软件运营商窃取了一些英国警方掌握的机密信息,网络犯罪分子使用网络钓鱼攻击破坏了IT公司Dacoll的系统,而Dacoll公司可访问警方的计算机系统。今年10月,Clop勒索团伙获取了Dacoll系统的数据访问权限,包括PNC的数据,其中涉及1300万人的个人信息和记录,勒索团伙从国家自动车牌识别(ANP
