关键信息基础设施安全动态周报【2022年第19期】
发布时间:
2022-05-20
来源:
作者:
天地和兴
访问量:
810
目 录
第一章 国外关键信息基础设施安全动态
(一)InHand工业路由器存在多个安全漏洞可获得root权限
(二)Vmware修复了影响多款产品的严重身份验证绕过漏洞
(三)西门子楼宇自动化软件存在安全漏洞可导致系统几天无法使用
(四)Rust供应链攻击使用Go恶意软件感染GitLab CI管道
(五)Conti勒索软件组织关闭运营
(六)新型Nerbian木马针对欧洲各行业传播恶意邮件
(七)美国警告攻击者利用错误配置获得初始访问
(八)英国宣布数据改革法案
(九)欧盟横向网络安全指令达成政治协议
(十)美国德州近200万个人信息泄露近三年
(十一)MITRE成立新组织旨在加强ICS/OT网络防御
(十二)水务行业遭受勒索软件攻击增加
第一章 国外关键信息基础设施安全动态
(一)InHand工业路由器存在多个安全漏洞可获得root权限
思科Talos研究人员发现,InHand Networks制造的无线工业路由器中存在17个漏洞,这些漏洞可能允许攻击者将目标设备上的权限从非特权用户提升到特权用户,以及可以通过让用户点击恶意链接以获得不受限制的root访问权限。
这些漏洞影响了InRouter 302紧凑型工业LTE路由器,包括远程管理功能和多种安全保护机制,例如VPN连接和防火墙。该路由器专为商业和工业环境而设计,包括酒店、金融、汽车、公用事业、零售、公共安全和能源领域的应用。一些世界上最大的组织使用InHand产品。
思科Talos威胁情报和研究部门发现了这些漏洞,其中绝大多数为严重或高危漏洞,可能导致任意文件上传、代码执行、权限提升、操作系统命令注入、和未经授权的固件更新。
这些漏洞会影响IR302版本3.5.37及之前的版本,并且已在3.5.45版本中对其进行了修补。
Talos研究人员在InRouter 302产品中发现的17个漏洞中,一些可以被链接以获得对设备的root访问权限。路由器可以通过Web界面或可以通过telnet或SSH访问的控制台进行管理,但用户不应访问底层Linux系统。
理论攻击场景首先是利用跨站脚本(XSS)漏洞,该漏洞允许攻击者执行任意JavaScript代码,并泄露点击触发漏洞的特制链接的用户的会话cookie。
无论被盗的cookie是否赋予他们特权或非特权访问权限,攻击者都可以利用三个漏洞之一来获得root访问权限,包括滥用生成root shell的隐藏命令,以及上传特制文件以实现远程代码执行。
在Talos的攻击场景中,如果攻击者在利用XSS漏洞后获得了非特权访问,就可以使用允许较低权限用户升级权限的两个漏洞之一,包括更改或获取特权用户的密码。
如果XSS攻击帮助攻击者获得特权访问,至少有两个漏洞可供攻击者利用,可以利用这些漏洞获得对路由器上运行的Linux操作系统的root访问权限。
Talos解释表示,“一旦获得对路由器的root访问权限,就可以实现任何数量的效果,包括但不限于注入、投放或检查数据包、DNS中毒或进一步进入网络,”
Talos在5月12日发布了博客文章和公告,描述了其调查结果,InHand于5月10日发布了自己的公告。InHand似乎正在改进其漏洞处理流程。
参考来源:SecurityWeek http://985.so/akaf
(二)Vmware修复了影响多款产品的严重身份验证绕过漏洞
VMware解决了其多款产品中存在的影响本地域用户的严重身份验证绕过漏洞。该漏洞CVE-2022-22972的CVSS得分为9.8分,攻击者可利用该漏洞获取管理员权限,并敦促客户立即安装补丁。
该漏洞影响的产品包括Workspace ONE Access、VMware Identity Manager(vIDM)和vRealize Automation。
VMware发布的公告表示,“应根据VMSA-2021-0014中的说明立即修补或缓解此严重漏洞,该漏洞的后果很严重,强烈建议立即采取行动。VMware Workspace ONE Access、Identity Manager和vRealize Automation包含影响本地域用户的身份验证绕过漏洞。对UI具有网络访问权限的恶意行为者可能无需进行身份验证即可获得管理访问权限。”
VMware还修复了一个影响VMware Workspace ONE Access和Identity Manager的高危本地权限提升安全漏洞。该漏洞编号为CVE-2022-22973,CVSS得分为7.8分,攻击者可利用该漏洞将权限提升为root。
VMware还为无法立即安装安全补丁的管理员提供了解决方法。管理员禁用除预配管理员之外的所有用户,并通过SSH登录以重新启动Horizon-workspace服务。
然而VMware并不建议应用此变通方法,并表示完全解决CVE-2022-22972漏洞的唯一方法是修补易受攻击的产品。“从环境中删除漏洞的唯一方法是应用VMSA-2021-0014中提供的补丁。解决方法虽然方便,但不会删除漏洞,并且可能会引入补丁不会带来的额外复杂性。虽然修补或使用解决方法的决定权在您,但VMware始终强烈建议将修补作为解决此类问题的最简单、最可靠的方法。”
目前尚不清楚该公司解决的这两个漏洞是否在野外攻击中被积极利用。
4月份,VMware修补了VMware Workspace ONE Access和VMware Identity Manager中的另一个严重远程代码执行漏洞CVE-2022-22954。在PoC在线发布一周内,攻击者开始在攻击中利用该漏洞。
参考来源:SecurityAffairs http://985.so/aucd
(三)西门子楼宇自动化软件存在安全漏洞可导致系统几天无法使用
Nozomi Networks安全研究人员发现,西门子Desigo/APOGEE系列楼宇自动化系统PXC4.E16中存在CVE-2022-24040漏洞,该漏洞是由于用户账户的基于密码的密钥派生机制实施不当而导致的,也可能被滥用来对控制器执行拒绝服务(DoS)攻击。
该漏洞与使用PBKDF2密钥派生功能保护用户密码有关,拥有该工具“用户配置文件访问”权限的恶意内部人员或攻击者可以创建或更新账户,并通过尝试登录该账户从而导致DoS条件。
测试表明,在最坏的情况下,攻击者可以仅通过尝试登录使设备在几天内不可用,并且可以重复该过程以进一步延长控制器的停机时间。
将凭证以明文形式存储到存储设备中都会对系统的整体安全性构成风险,无论是持久存储还是设备RAM长时间存储。可能有多种方式可以破坏明文密码:直接从物理内存中转储其值、获得对允许其逻辑读取的原语的访问权、间接分析设备的导出备份等。
为了避免这个问题,密码首先被通过加密哈希函数生成的摘要代替。例如在给定无界输入的情况下,快速产生固定大小输出的单向函数将同时使数学上难以恢复生成的输入。
尽管对于许多与安全相关的用例来说,直接使用加密哈希函数来存储密码已经足够了,但事实证明并不是正确的解决方案。在仅从密码值生成摘要的情况下,预先计算的哈希表允许在给定生成的摘要值的情况下大大减少密码的搜索时间。此外,密码哈希函数在从输入生成摘要时的快速特性,使得生成的摘要面临破解攻击的严重风险,尤其是在通过GPU等高度并行计算设备执行时。
为了解决这些问题和其他问题,随着时间的推移,密码哈希函数已被基于密码的密钥派生函数所取代。这些函数对加密哈希函数执行大量连续迭代,以从输入密码值生成摘要的算法,其最终目的是使暴力攻击在计算上平均不可行。这些函数的值得注意的例子包括基于密码的密钥派生函数2(PBKDF2)、scrypt和Argon2。
在用户配置文件设置中,西门子ABT现场软件(设备的参考工程和调试工具)允许用户为角色设置“用户配置文件访问”权限,从而添加用户管理功能,例如创建、更新或删除用户。
此权限甚至可以添加到低权限角色,可以将“用户配置文件访问”权限添加到具有“基本操作”权限的角色,即尽可能低的设置。
研究人员创建了一个用户并登录,应用程序通过Web界面允许为新用户输入普通的明文密码。然而在后台,惊讶地发现,负责实际创建新定义用户的HTTP请求携带了该密码的PBKDF2 符串,格式如下:Prf ID $ Iteration count $ Salt $ Digest。
研究人员假设,维护者试图在已经存在的系统之上快速实现安全密码存储机制,该系统之前存储的是明文密码,或者最多是未加密的哈希,而没有对后端代码进行适当的深入更改。
在对负责处理Web服务通信的服务器二进制文件进行了简短的逆向工程活动之后,研究人员发现,除了验证该值是可解析的无符号整数之外,没有对迭代计数值进行任何特定的验证检查。
这意味着,任何具有用户配置文件访问权限的恶意内部人员都可以创建具有PBKDF2字符串的用户,具有缓慢的PRF和极高的迭代次数。或者如果攻击者设法通过利用会话cookie的安全属性漏洞,也可以执行此类操作。然后,只需尝试使用上述用户登录,就可以通过CPU耗尽对控制器执行拒绝服务(DoS)攻击。事实上,在设备上执行登录的纯粹行为会触发长时间执行如此配置的PBKDF2算法来执行密码比较,从而阻碍设备上的任何进一步操作。
在测试中,研究人员仅通过设置HMAC-SHA256的PRF和1,000,000的迭代计数值,就能够使设备在大约98秒内完全不可用。考虑到该设备支持更复杂的PRF(例如HMAC-SHA512)和最大迭代次数为4,294,967,295,在最坏的情况下,仅通过尝试登录就可能使设备几天不可用。最令人担忧的是,没有什么可以阻止攻击者在其他时间重新尝试登录,从而进一步延长控制器的停机时间。
楼宇自动化控制器是多方面的,因为它们用于控制HVAC、消防控制系统、安全警报、安全摄像头以及设施运行所需的其他系统。研究表明,威胁行为者不仅可以访问控制器,还可以启动拒绝服务,从而使设备在长达几天内无法运行。威胁行为者也有可能攻击BAS,同时对设施内的其他工业控制系统(ICS)发起灾难性攻击。如果火警系统或其他系统受到DDoS攻击,可能会加剧网络物理攻击。过去,威胁行为者在发起多层攻击时会针对BAS,例如不间断电源(UPS)。威胁行为者似乎将BAS视为一个有吸引力的目标。
西门子发布了解决此漏洞的补丁程序,并建议将受影响的设备更新到最新的固件版本。Desigo DXR2和PXC3必须更新到V01.21.142.5-22或更高版本。Desigo PXC4和PXC5必须更新到V02.20.142.10-10884。
参考来源:NozomiNetworks http://985.so/ak2r
(四)Rust供应链攻击使用Go恶意软件感染GitLab CI管道
SentinelLabs安全研究人员发现了针对Rust开发社区的软件供应链攻击,称之为CrateDepression,其恶意软件直接旨在感染GitLab持续集成(CI)管道。受感染的CI管道提供第二阶段的有效负载。攻击者冒充已知的Rust开发人员,来推送托管Rust依赖项社区存储库上的恶意crate。
2022年5月10日,Rust安全响应工作组发布了一份公告,宣布在Rust依赖社区存储库中发现了一个恶意crate。受感染的CI管道提供第二阶段的有效负载。研究人员已将这些有效负载识别为构建在红队框架Mythic上的Go二进制文件。鉴于目标受害者的性质,与受感染的开发管道相比,这种攻击将成为随后更大规模的供应链攻击的促成因素。因此怀疑该活动包括冒充已知的Rust开发人员,使用依赖于域名仿冒的恶意依赖项并引发感染链的源代码陷阱。
该活动被称为CrateDepression,结合了域名抢注和冒充知名Rust开发人员,来推送托管Rust依赖项社区存储库上的恶意crate,crate是Rust中的一个编译单元。
恶意包被迅速标记并删除,但SentinelLabs研究人员发现了专门为Gitlab CI管道构建的第二阶段有效负载,这表明存在进一步大规模供应链攻击的风险。
SentinelLabs在技术报告中表示,“鉴于目标受害者的性质,这种攻击将成为后续供应链攻击的促成因素,其规模相对于受感染的开发管道而言更大规模。检查受感染机器的GITLAB_CI环境变量,以尝试识别用于软件开发的持续集成(CI)管道。在这些系统上,攻击者会提取基于红队后利用框架Mythic构建的下一阶段有效载荷。”
这个第二阶段的有效载荷包含一个带有大量任务选项的交换机,包括捕获屏幕截图、键盘敲击、以及文件上传和下载的能力。在macOS上,操作员可以选择通过LaunchAgent/Daemon和LoginItem中的一个或两个来持久化。
SentinelLabs表示,crates.io安全团队和Rust安全响应工作组的调查发现了15个恶意rustdecimal的迭代版本,因为攻击者测试了不同的方法和改进。
SentinelLabs补充表示,“虽然攻击者的最终意图尚不清楚,但预期的目标可能会导致后续更大规模的供应链攻击,具体取决于受感染的GitLab CI管道。软件供应链攻击已经从一种罕见的事件变成了一种非常理想的攻击方式,攻击者可以用炸药钓鱼,试图一次感染整个用户群体。”
参考来源:SecurityWeek http://985.so/agf8
(五)Conti勒索软件组织关闭运营
据消息人士声称,Conti勒索软件组织已正式关闭运营,基础设施离线,Conti负责人声称该组织已不复存在。
此消息来自Advanced Intel的Yelisey Boguslavskiy,在推特上表示该组织的内部基础设施已关闭。
虽然面向公众的Conti News数据泄露和赎金谈判网站仍然在线,但Boguslavskiy表示,成员用来进行谈判和在其数据泄露网站上发布新闻的Tor管理面板现在已离线。其他内部服务,如他们的火箭聊天服务器,正在停用。
虽然Conti在与哥斯达黎加的信息战中关闭可能看起来很奇怪,但Boguslavskiy声称,Conti发动了这次非常公开的攻击,以创建一个实时操作的假象,而Conti成员则慢慢迁移到其他较小的勒索软件组织中。
Advanced Intel在一份报告中解释声称,“然而AdvIntel独特的对抗可见性和情报发现,导致了事实上相反的结论,Conti想要在这次最终攻击中的唯一目标是使用该平台作为宣传工具,以最合理的方式实现自己的死亡和随后的重生。Conti领导层内部宣布了以宣传而非赎金为目的对哥斯达黎加发动袭击的议程。组织成员之间的内部沟通表明,要求的赎金远低于100万美元,尽管未经证实的赎金是1000万美元,随后Conti自己声称金额为2000万美元。”
虽然Conti勒索软件品牌已不复存在,但网络犯罪集团将在未来很长一段时间内继续在勒索软件行业发挥重要作用。
Boguslavskiy表示,Conti领导层并没有将其重新命名为另一个大型勒索软件操作,而是与其他较小的勒索软件团伙合作进行攻击。
在这种合作关系下,较小的勒索软件组织获得了大量经验丰富的Conti渗透测试人员、谈判人员和操作人员。Conti网络犯罪组织通过分裂成更小的“单元”,获得了流动性和更大的逃避执法的能力,所有这些都由中央领导层管理。
Advanced Intel报告解释,Conti与众多知名勒索软件运营商合作,包括HelloKitty、AvosLocker、Hive、BlackCat、BlackByte等。
现有的Conti成员,包括谈判人员、英特尔分析师、渗透测试人员和开发人员,分布在其他勒索软件操作中。虽然这些成员现在将使用这些其他勒索软件操作的加密器和谈判站点,但他们仍然是更大的Conti网络犯罪组织的一部分。
Conti组织分裂成更小的半自治和自治团体。Advanced Intel还表示,新成立的Conti成员自治团体完全专注于数据泄露,而不是数据加密。其中一些团体包括Karakurt、BlackByte和Bazarcall组织。这些举措允许现有的网络犯罪集团继续运作,但不再使用Conti的名称运作。
Conti的品牌重塑对于过去几个月一直关注他们的研究人员来说并不意外。在取代Ryuk勒索软件之后,Conti勒索软件行动于2020年夏天启动。
与Ryuk一样,Conti通过与其他恶意软件感染者的合作伙伴关系分发,例如TrickBot和BazarLoader,后者提供了对勒索软件团伙的初始访问权限。
随着时间的推移,Conti成长为最大的勒索软件运营商,随着他们接管TrickBot、BazarLoader和Emotet的运营,慢慢变成了一个网络犯罪集团。
Conti曾发起过多次攻击,包括针对塔尔萨市、布劳沃德县公立学校和研华的袭击。Conti在袭击爱尔兰卫生服务执行机构(HSE)和卫生部(DoH)后,将该国的IT系统关闭数周,引起了媒体的广泛关注。最终,该勒索软件组织为爱尔兰的HSE提供了一个免费解密器,但从那时起他们已经坚定地成为了全球执法部门的目标。
然而,直到Conti在俄乌冲突中支持俄罗斯,Conti品牌才变得令人难以置信,他们的命运就注定了。在支持俄罗斯后,一名乌克兰安全研究人员开始泄露Conti勒索软件团伙成员之间的超过170,000条内部聊天对话,以及Conti勒索软件加密器的源代码。此源代码公开后,其他威胁参与者开始在自己的攻击中使用它,其中一个黑客组织使用Conti加密程序攻击俄罗斯实体。
美国政府认为Conti是有史以来最昂贵的勒索软件之一,有数千名受害者和超过1.5亿美元的赎金支付。Conti勒索软件团伙的犯罪行为导致美国政府提供高达15,000,000美元的悬赏,用于识别和定位担任领导职务的Conti成员。
参考来源:BleepingComputer http://985.so/ag5n
(六)新型Nerbian木马针对欧洲各行业传播恶意邮件
Proofpoint研究人员发现了一种名为Nerbian RAT的新型远程访问木马,该木马具有丰富的功能,包括逃避研究人员检测和分析的能力。该新型恶意软件变种是用Go编写的,是跨平台的64位威胁,目前通过使用带有宏的文档附件的小规模电子邮件分发活动进行分发。分发Nerbian RAT的恶意软件活动冒充世卫组织,向目标发送关于新冠疫情的信息。
RAR附件包含带有恶意宏代码的Word文档,因此如果在Microsoft Office上打开并将内容设置为“启用”,bat文件将执行PowerShell执行步骤以下载64位dropper。名为UpdateUAV.exe的dropper也是用Golang编写的,并打包在UPX中以保持大小可管理。
在部署Nerbian RAT之前,UpdateUAV重用来自各种GitHub项目的代码,以整合一组丰富的反分析和检测规避机制。除此之外,dropper还通过创建一个每小时启动该RAT的计划任务来建立持久性。
Nerbian的反分析工具包括:检查进程列表中是否存在逆向工程或调试程序、检查可疑的MAC地址、检查WMI字符串以查看磁盘名称是否合法、检查硬盘大小是否低于100GB,这是虚拟机的典型情况、检查进程列表中是否存在内存分析或篡改检测程序、检查自执行以来经过的时间量并将其与设置的阈值进行比较、使用IsDebuggerPresent API确定是否正在调试可执行文件。所有这些检查使得RAT几乎不可能在沙箱虚拟化环境中运行,从而确保恶意软件操作员的长期隐秘性。
该木马下载为MoUsoCore.exe并保存到C:\ProgramData\USOShared\。它支持多种功能,而其操作员可以选择使用其中一些功能对其进行配置。它的两个显著功能是以加密形式存储击键的键盘记录器和适用于所有操作系统平台的屏幕捕获工具。
与C2服务器的通信是通过SSL(安全套接字层)处理的,因此所有数据交换都经过加密,并防止网络扫描工具在传输过程中进行检查。
Proofpoint发现了一个有趣且复杂的新恶意软件,它通过大量检查、加密通信和代码混淆来关注隐秘性。不过就目前而言,Nerbian RAT是通过少量电子邮件活动分发的,因此还不是一个巨大的威胁,但如果其作者决定向更广泛的网络犯罪社区开放他们的业务,这种情况可能会改变。
参考来源:BleepingComputer http://985.so/arbn
(七)美国警告攻击者利用错误配置获得初始访问
美国、加拿大、新西兰、荷兰、和英国的网络安全部门5月17日联合发布安全警告声称,网络攻击者通常会利用糟糕的安全配置(配置错误或未加保护)、控制薄弱和其他糟糕的网络卫生来获得初始访问权限,或作为其他策略的一部分来破坏受害者的系统。该联合网络安全警告确定了通常被利用的控制和实践,并包括缓解问题的最佳实践。
恶意行为者通常使用以下技术来获得对受害者网络的初始访问权限:利用面向公众的应用程序、外部远程服务、网络钓鱼、信任关系、有效账户。
恶意网络攻击者经常利用以下常见的薄弱安全控制、糟糕的配置、和糟糕的安全实践来采用初始访问技术,包括:未强制执行多因素身份验证(MFA)、在访问控制列表中错误地应用了特权或权限和错误、软件不是最新版本、使用供应商提供的默认配置或默认登录用户名和密码、远程服务缺乏足够的控制来防止未经授权的访问、未实施强密码策略、云服务不受保护、开放的端口和错误配置的服务暴露在互联网上、未能检测或阻止网络钓鱼尝试、端点检测和响应不佳。
该联合警告建议采取以下措施,可以帮助组织加强其网络防御,以抵御常见的被利用的弱安全控制和实践,包括:控制访问权限、实施凭证强化、建立集中日志管理、使用防病毒程序、使用检测工具并搜索漏洞、维护严格配置管理程序。
参考来源:CISA http://985.so/auqh
(八)英国宣布数据改革法案
2022年5月10日,作为女王演讲的一部分,英国政府宣布有意推出数据改革法案。英国政府的背景和对女王演讲的简报指出,该法案的目的是“利用英国脱欧的好处,创建一个世界级的数据权利制度,减轻企业负担,促进经济发展,帮助科学家创新,并改善英国人民的生活。”
该法案将寻求实现英国信息专员办公室(ICO)现代化,使其有权对违反数据规则的企业采取“更强有力的行动”,同时还要求ICO对议会和公众负责。进一步指出,该法案将侧重于灵活的、“以结果为中心”的方法,而不是“框选”,并将简化与个人数据用于研究目的相关的规则,以促进英国作为科技“超级大国”。
英国政府还将英国《通用数据保护条例》(GDPR)(因英国曾是欧盟成员而继承)和2018年的《数据保护法》称为“高度复杂和规定性”的立法,对企业施加了过度的行政负担,而对公民几乎没有好处。尽管如此,英国仍将寻求在2025年自动到期后更新欧盟委员会关于英国的充分性决定,这是个人数据继续在欧盟和英国之间不受限制地流动所必需的。然而,英国数据保护制度的任何变化都会降低英国的数据保护标准,从而危及英国作为欧盟GDPR下个人数据的适当目的地的地位。
参考来源:Hunton Andrews Kurth http://985.so/agvu
(九)欧盟横向网络安全指令达成政治协议
5月13日星期五凌晨,欧洲议会和欧盟理事会就一项新的欧盟网络安全框架达成临时政治协议,名为NIS2。这项新法律将取代现有的NIS指令,旨在加强欧盟范围内更广泛领域的网络安全保护,包括制药行业、医疗设备制造和食品部门。
该最新协议进行了更清晰的范围划定,NIS2仅适用于在规定行业中达到一定规模门槛的实体,包括基本实体和重要实体。基本实体是指在以下领域运营的实体:能源、运输、银行业、金融市场基础设施、健康、饮用水、废水、数字基础设施、公共行政、和太空。重要实体是指在以下行业运营的实体:邮政和快递服务、废物管理、化学品、食物、医疗器械、计算机和电子产品、机械设备、机动车辆制造、和数字提供商。
NIS2仅适用于拥有超过250名员工和营业额超过1000万欧元的实体,这些阈值将帮助实体及早确定其是否是预计受新法律约束的十万多个实体之一。
据报道,议会和理事会已就根据NIS2可以处以的最高罚款水平达成一致。对基本实体处以年营业额2%或1000万欧元的最高罚款,例如在云计算、能源、健康或银行业运营的实体。但是对于违反义务的重要实体,商定的最高罚款已降至实体所属企业上一财政年度全球总营业额的1.4%,或700万欧元,以较高者为准。例如搜索引擎、在线市场和社交网络等数字提供商,以及活跃于化学品生产和分销以及食品生产等行业的实体。委员会的原始提案为这些实体设定了最高为年营业额2%的罚款。罚款水平旨在大致等同于勒索软件攻击者要求的典型金额。
。联合立法者宣布其已简化报告义务,以避免过度报告,并减轻相关实体(和监管机构)的负担。例如,简化的通知程序旨在明确应向谁报告事件,并且通过使用强大的底层技术支持的清晰接口,通知过程显然也将变得简单。
欧洲议会成功地提出了交错报告时间表,实体将有24小时的时间提交事件的初步报告,但必须在事件发生后72小时内提交更详细的报告,其中列出更多细节,包括与入侵指标有关的细节。
联合立法者对文本进行了修改,以与特定行业的立法保持一致,例如《金融部门数字运营弹性法规》(DORA)和《关键实体弹性指令》,这旨在帮助减轻公司在重叠的欧盟立法中的合规负担。
立法程序的下一步是欧洲议会和欧盟理事会的正式批准。一旦实施,成员国将有21个月的时间将NIS2转化为国家法律。展望未来,预计NIS2将在实施后的三到四年内进行审查。随着NIS2现已达成一致,注意力可能会转向欧盟委员会关于网络弹性法案的提案。该提案被定位为基于NIS2和网络安全法案规定的基线要求的法案,并将主要为传感器、摄像头、网络设备、路由器和移动设备等数字产品以及这些产品执行其功能所必需的服务制定网络安全要求。网络弹性法案的提案目前正在接受公众咨询,利益相关者和公众可以在5月25日之前提供反馈。该提案的全文预计将在秋季发布。
参考来源:Covington http://985.so/a85d
(十)美国德州近200万个人信息泄露近三年
由于美国得克萨斯州保险部(TDI)存在编程问题,近200万德克萨斯个人信息被曝光了近三年。
在该部门发布的州审计报告中披露,从2019年3月到2022年1月,180万提出赔偿要求的工人的详细信息在网上公开,包括社会安全号码、地址、出生日期、电话号码和有关工人受伤的信息。
在3月24日的公告中TDI表示,它于2022年1月4日首次发现管理工人薪酬信息的TDI Web应用程序存在安全问题,使得公众能够访问受保护的在线部分应用。
TDI是一个监督德克萨斯州保险业并执行州法规的州立机构,立即下线了该应用程序,迅速解决了问题,并开始与一家取证公司一起调查事件的性质和范围。然后向在2019年3月至2022年1月期间提交新的工人赔偿要求的个人发出信函,告知他们信息可能被泄露。
最近公布的国家审计报告显示,有180万工人受到泄漏的影响。
在5月17日星期二发布的最新新闻稿中TDI表示,调查没有发现任何证据表明工人的个人信息被滥用。“2022年1月,TDI开始调查,以确定问题的全部性质和范围,其中包括与一家取证公司合作,并努力找出TDI以外的人已经或可能已经查看了谁的信息。迄今为止,我们还没有发现任何滥用这些信息的情况。”
TDI部门将免费为可能受到影响的人提供12个月的信用监控和身份保护服务。
Egnyte网络安全宣传总监Neil Jones表示,“最近TDI的数据泄露尤其令人担忧,因为工人的薪酬数据本身就包括PII(个人身份信息)和PHI(受保护的健康信息),这是网络攻击者的潜在宝库。尽管目前没有证据表明泄露的信息被恶意使用,但攻击者等待合适的时间将泄露的数据发布到暗网的情况并不少见。”
去年,德克萨斯州的立法者通过了一项法案,要求在网上发布任何涉及250名或更多孤星州居民个人信息的数据泄露事件的通知。
参考来源:InfoSecurityMagazine http://985.so/agvs
(十一)MITRE成立新组织旨在加强ICS/OT网络防御
MITRE宣布了一个新的特殊利益集团(SIG),其目标是帮助加强工业控制系统(ICS)和运营技术(OT)的网络防御。
新的SIG由MITRE和网络安全制造创新研究所(CyManII)共同主持,CyManII是一家网络安全研究机构,其活动围绕美国的制造和供应链展开。该倡议得到美国能源部网络安全、能源安全和应急响应办公室(CESER)和国土安全部系统工程与开发研究所的支持。
该倡议是通用缺陷枚举(CWE)计划的扩展,该计划对900多种软件和硬件弱点进行分类,并对通用攻击模式列举和分类(CAPEC)进行了扩展,以帮助防御者识别和理解攻击。
目标是为研究人员和供应商提供一个交流和分享意见和专业知识的论坛,以识别和分类特定于ICS和其他OT的漏洞和常见攻击模式。
新的SIG将于美国东部时间5月18日下午3:00至4:30举行第一次会议。感兴趣的各方,包括政府、行业和学术界的代表,可以通过cwe@mitre.org联系MITRE进行注册。
MITRE指出,SIG向ICS/OT漏洞研究人员、工程师、OEM代表、系统集成商、基础设施供应商以及资产所有者和运营商开放。虽然经理和其他领导也可以加入,但建议带上技术人员。
美国能源部主任Puesh Kumar表示,“保护能源基础设施执行工作组为开发新类别的安全漏洞,这些新类别的重点是ICS,与现有的IT漏洞类别不同,已经开始填补一个重要空白。”
Kumar补充表示,“CWE和CAPEC在分类网络物理系统中的安全弱点和常见攻击模式方面处于领先地位。SIG代表了一个强大的机会,可以推动在能源和其他关键基础设施领域识别、分类和减轻安全漏洞方面的实践状态。”
参考来源:SecurityWeek http://985.so/au5y
(十二)水务行业遭受勒索软件攻击增加
随着针对水务行业的勒索软件攻击不断增加,越来越多的水务公司发现他们无法购买保险。
公用事业公司American Water负责数字基础设施和安全的副总裁Nick Santillo表示,保险公司越来越要求水务公司满足严格的网络安全要求,甚至考虑为其投保。这些要求包括一个强大的安全访问管理程序,用于保护具有特权账户的管理凭据,以及端点检测和响应工具。
Santillo对在华盛顿特区参加全国水公司协会(NAWC)会议的水务公司高管表示,“有很多公司经历了续保,最终要么变得无法投保,要么实施了一些新的控制措施,以达到可投保的目的。”
美国自来水厂协会联邦关系经理Kevin Morley表示,随着成本的上升,保险公司的承保范围也在缩小。
大型保险公司首席执行官去年表示,整个行业的网络保险费大幅飙升,AIG首席执行官表示,费率增加了40%,而Chubb首席执行官Evan Greenberg表示,公司费率正在急剧上升,但仍未能正确捕捉重大网络事件带来的风险。
根据信用评级机构AM Best的数据,勒索软件正在推动大部分网络保险问题,2021年夏季,勒索软件占所有网络保险索赔的75%,而2016年这一比例为55%。
白宫国家安全委员会关键基础设施网络安全主任Elke Sobieraj表示,一些水务公司没有报告勒索软件事件,这增加了评估水务部门面临的勒索软件风险的难度。
Sobieraj表示,“我们只是不知道我们不知道什么,供水公司可能会受到攻击,而不向FBI报告,特别是如果它是一个较小的实体。”
Sobieraj表示,白宫专注于责任保护,以便水务公司觉得他们可以向EPA、CISA或FBI报告,并“了解他们受到保护,他们的名字不会出现在他们发生事故的地方。”
Sobieraj对3月份通过的网络事件报告法案表示欢迎,该法案要求水公司等关键基础设施实体在72小时内向国土安全部网络安全和基础设施安全局报告事件。
NAWC总裁兼首席执行官Rob Powelson表示,全国水务公司董事会正在讨论水务部门面临的保险危机。“随着时间的推移,保险市场无法承受这些勒索软件攻击的费用。平均勒索软件攻击在500到800万美元之间,如果在一个财政年度内有四次攻击怎么办?一家良好的保险公司如何能够支付这些款项?”
Powelson表示,随着时间的推移,勒索软件攻击和保险成本可能不可避免地会转嫁给消费者,特别是因为许多水务公司都得到了私人投资者的支持。
尤其是水务部门面临困难,甚至由于碎片化而难以追踪勒索软件的严重程度。全国有51,000个饮用水系统,而配电公司有3,200家,估计85%的自来水公司是市政公司,而且很多规模非常小。
Powelson表示,他很高兴保险业参加了白宫在夏天召开的网络安全峰会。“这很重要,因为这是一个迫在眉睫的问题,可能会产生深远的影响。”
参考来源:CyberScoop http://985.so/auj7
(如未标注,均为天地和兴工业网络安全研究院编译)
相关信息
2022-09-16
2022-09-09
2022-09-02
