5月速遞

美國眾議院提出《工業(yè)控制系統(tǒng)網(wǎng)絡安全培訓法案》，旨在加強美國的工控網(wǎng)絡安全。美國拜登總統(tǒng)簽署《國家網(wǎng)絡安全防范聯(lián)盟法案》，將用于確保關鍵基礎設施免受網(wǎng)絡攻擊。歐盟也推出了關鍵領域網(wǎng)絡安全新立法，關注關鍵基礎設施，對關鍵行業(yè)組織實施共同的網(wǎng)絡安全標準。美國針對供應鏈、量子技術以及網(wǎng)絡犯罪方面也相繼出臺了新的標準。英國、意大利和印度也針對不同方面頒布了立法。

美國眾議院提出《工業(yè)控制系統(tǒng)網(wǎng)絡安全培訓法案》

美國眾議院5月16日提出了《工業(yè)控制系統(tǒng)網(wǎng)絡安全培訓法案》，以幫助加強國家的網(wǎng)絡安全保護。該法案旨在修訂2002年的《國土安全法》，以授權網(wǎng)絡安全和基礎設施安全局(CISA)建立工業(yè)控制系統(tǒng)網(wǎng)絡安全培訓計劃并用于其他目的。

資料來源：https://industrialcyber.co/threats-attacks/new-industrial-control-systems-cybersecurity-training-bill-works-toward-bolstering-nations-cybersecurity-posture/

美國拜登總統(tǒng)簽署《國家網(wǎng)絡安全防范聯(lián)盟法案》

5月12日，美國總統(tǒng)拜登簽署了《國家網(wǎng)絡安全防范聯(lián)盟法案》，將用于確保關鍵基礎設施免受網(wǎng)絡攻擊。國土安全部將和眾多大學組成國家網(wǎng)絡安全防范聯(lián)盟(NCPC)，對州及地方政府的響應責任人和官員進行網(wǎng)絡安全培訓。

資料來源：https://executivegov.com/2022/05/biden-inks-legislation-for-national-cybersecurity-preparedness-consortium/

美國總統(tǒng)拜登簽署《優(yōu)化網(wǎng)絡犯罪度量法》

5月5日，美國總統(tǒng)簽署《優(yōu)化網(wǎng)絡犯罪度量法》。該法從網(wǎng)絡犯罪分類、網(wǎng)絡犯罪報告、全國犯罪被害調查、網(wǎng)絡犯罪指標研究四大維度出發(fā)，綜合改善了聯(lián)邦政府“追蹤、衡量、分析、起訴網(wǎng)絡犯罪的方式”，幫助執(zhí)法機構更好地識別網(wǎng)絡安全威脅、防范黑客勒索攻擊、起訴網(wǎng)絡犯罪案件。

資料來源：https://www.securitymagazine.com/articles/97591-better-cybercrime-metrics-act-signed-into-law

美國總統(tǒng)拜登簽署兩項推進量子技術發(fā)展的指令

2022年5月4日，美總統(tǒng)拜登簽署兩項指令《關于加強國家量子倡議咨詢委員會的行政命令》以及《國家安全備忘錄(NSM)》，旨在推動量子信息科學(QIS)的研究與開發(fā)，并幫助美國計算機網(wǎng)絡向后量子加密標準過渡。

資料來源：https://www.whitehouse.gov/briefing-room/statements-releases/2022/05/04/fact-sheet-president-biden-announces-two-presidential-directives-advancing-quantum-technologies

美國NIST推出《網(wǎng)絡安全供應鏈風險管理》指南最終版

美國國家標準與技術研究院(NIST)5月5日發(fā)布了其針對系統(tǒng)和組織的基礎C-SCRM指導文件的最終版本。網(wǎng)絡安全供應鏈風險管理(C-SCRM)文件為企業(yè)提供了有關如何識別、評估、選擇和實施風險管理流程以及減輕整個企業(yè)控制措施的指導，以幫助管理整個供應鏈中的網(wǎng)絡安全風險。

資料來源：https://industrialcyber.co/analysis/nist-rolls-out-final-c-scrm-guidance-to-enhance-cybersecurity-secure-integrity-of-software-supply-chain/

歐盟推出關鍵領域網(wǎng)絡安全新立法

歐盟已就新的立法達成政治協(xié)議，將對關鍵行業(yè)組織實施共同的網(wǎng)絡安全標準，將涵蓋在關鍵領域運營的大中型組織，其中包括公共電子通信服務、數(shù)字服務、廢水和廢物管理、關鍵產(chǎn)品制造、郵政和快遞服務、醫(yī)療保健和公共管理的供應商。

資料來源：https://www.infosecurity-magazine.com/news/eu-cybersecurity-legislation/?&web_view=true

英國公布《數(shù)據(jù)改革法案》

5月10日，英國公布了《數(shù)據(jù)改革法案》。該法案將用于改革英國現(xiàn)有的《通用數(shù)據(jù)保護條例》和《數(shù)據(jù)保護法案》。并且，該法案尋求簡化數(shù)據(jù)保護相關立法，通過創(chuàng)建一種更靈活的、以結果為中心的方法來減輕企業(yè)的負擔，同時還引入了更明確的個人數(shù)據(jù)使用規(guī)則。

資料來源：https://www.computerweekly.com/news/252518054/Data-Reform-Bill-announced-in-Queens-Speech

英國政府發(fā)布《2022民用核網(wǎng)絡安全戰(zhàn)略》

英國政府發(fā)布了《2022民用核網(wǎng)絡安全戰(zhàn)略》。戰(zhàn)略目標是以協(xié)作和成熟的方式有效管理和減輕英國民用核部門的網(wǎng)絡風險，在應對和防范事件方面具有彈性，以加強英國民用核工業(yè)網(wǎng)絡安全態(tài)勢。資料來源：https://industrialcyber.co/threats-attacks/new-uk-2022-civil-nuclear-cyber-security-strategy-focuses-on-building-cybersecurity-across-the-sector/

意大利發(fā)布《2022至2026年國家網(wǎng)絡安全戰(zhàn)略》

意大利政府5月25日發(fā)布《2022至2026年國家網(wǎng)絡安全戰(zhàn)略》，并加強了政府應對網(wǎng)絡威脅和提高該國抵御網(wǎng)絡攻擊的能力的承諾。戰(zhàn)略確定了三大基本目標以更好地應對國家面臨的挑戰(zhàn)，一是保護目標;二是響應目標;三是發(fā)展目標。

資料來源：https://securityaffairs.co/wordpress/131674/security/italy-national-cybersecurity-strategy.html

印度政府要求在六小時內報告網(wǎng)絡安全事件

印度政府發(fā)布了新指令，要求組織在六小時內向計算機應急響應小組(CERT-IN)報告網(wǎng)絡安全事件，即使這些事件是計算機系統(tǒng)的端口或漏洞掃描。CERT-IN小組表示已確定了導致安全事件分析和響應困難的具體差距，為了解決這些問題，它需要采取更積極的措施。

資料來源：https://www.bleepingcomputer.com/news/security/india-to-require-cybersecurity-incident-reporting-within-six-hours/

北京通管局開展2022年電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡與數(shù)據(jù)安全檢查，工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡安全防護情況檢查包括在內。美國能源部成立電能OT安全配置文件工作組，將提升電能OT系統(tǒng)的網(wǎng)絡安全，同時與MITRE合作成立特別興趣小組，重點關注ICS和OT框架中的安全漏洞。美國CISA擴大了愛達荷國家實驗室CELR研究區(qū)的范圍，將為ICS、OT環(huán)境提供交互式測試站點。惠譽評級表示對ICS/OT系統(tǒng)的網(wǎng)絡攻擊更有可能產(chǎn)生信用和ESG影響。以上事件表明美國政府愈發(fā)關注ICS/OT系統(tǒng)的網(wǎng)絡安全，正在著手提升維護其安全性的能力。

北京通管局開展2022年電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡與數(shù)據(jù)安全檢查

北京通管局發(fā)布關于開展2022年電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡與數(shù)據(jù)安全檢查的通知。重點檢查相關網(wǎng)絡運行單位的關鍵信息基礎設施和重要網(wǎng)絡單元及承載的信息系統(tǒng)，包括但不限于：通信網(wǎng)絡基礎設施、工業(yè)互聯(lián)網(wǎng)平臺等。在工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡安全防護情況檢查方面，重點檢查工業(yè)互聯(lián)網(wǎng)服務平臺、工業(yè)互聯(lián)網(wǎng)標識解析系統(tǒng)企業(yè)。

資料來源：https://bjca.miit.gov.cn/zwgk/tzgg/art/2022/art_6dad7c7ba2e54942bde655044f46deee.html

美國能源部成立電能OT安全配置文件工作組

美國能源部(DOE)、全球設備供應商和其他利益相關者5月25日宣布成立電能OT安全配置文件工作組。電能OT安全配置文件將用作設計、實施、測試和維護電能OT系統(tǒng)及其網(wǎng)絡安全功能的基礎，還將對全球的第三方評估組織和監(jiān)管機構發(fā)揮作用。

資料來源：https://industrialcyber.co/analysis/new-electric-energy-ot-security-profile-working-group-set-up-as-part-of-isa99-standards-committee/

美國、澳大利亞、印度和日本宣布關于軟件、供應鏈的網(wǎng)絡安全舉措

美國和三個盟國5月24日宣布了一項伙伴關系，各國將圍繞加固軟件、供應鏈和用戶數(shù)據(jù)，共同開展若干網(wǎng)絡安全舉措。各國領導人承諾通過分享威脅信息和識別數(shù)字產(chǎn)品和服務供應鏈中的潛在風險，改善關鍵基礎設施的集體網(wǎng)絡安全。

資料來源：https://therecord.media/us-australia-india-and-japan-announce-cybersecurity-initiatives-on-software-supply-chains/?web_view=true

普京簽署總統(tǒng)令：各部門機構設立IT安全部門

俄羅斯當?shù)貢r間5月1日，俄羅斯總統(tǒng)普京正式簽署了一份確保俄羅斯信息安全額外措施的總統(tǒng)令，下令俄羅斯所有部門、機構和骨干組織都需要設立IT安全部門。根據(jù)總統(tǒng)令的實際規(guī)定，自2025年1月1日起，俄羅斯國有企業(yè)和機構將禁止使用的不友好國家生產(chǎn)的信息和安全設備。

資料來源：https://www.163.com/dy/article/H6CV97O50511A5GF.html

韓國加入北約網(wǎng)絡防御卓越中心

5月5日，韓國正式加入北大西洋公約組織(NATO)合作網(wǎng)絡防御卓越中心(CCDCOE)，成為首個加入該機構的亞洲國家。隨著韓國加入CCDCOE，未來國情院將參加北約的網(wǎng)絡聯(lián)合訓練并參與相關研究，讓韓國在網(wǎng)絡攻防方面進一步掌握發(fā)言權。

資料來源：https://world.huanqiu.com/article/47tI3EgGSDp

MITRE成立旨在加強ICS/OT網(wǎng)絡防御的特別興趣小組

MITRE與美國能源部(DOE)網(wǎng)絡安全、能源安全和應急響應辦公室(CESER)合作，宣布擴大通用弱點枚舉/通用攻擊模式枚舉和分類計劃，成立一個新的特別興趣小組(SIG)，重點關注工業(yè)控制系統(tǒng)(ICS)和運營技術(OT)框架中的安全漏洞。

資料來源：https://industrialcyber.co/cisa/cwe-capec-ics-ot-special-interest-group-focuses-on-security-weaknesses-within-these-environments/

愛達荷國家實驗室的CELR研究區(qū)為ICS、OT環(huán)境提供交互式測試站點

美國CISA的工業(yè)控制系統(tǒng)(ICS)網(wǎng)絡應急響應小組擴大了愛達荷國家實驗室控制環(huán)境實驗室資源(CELR)研究區(qū)的范圍。實驗室環(huán)境現(xiàn)在將為ICS和OT環(huán)境提供交互式測試站點，使政府和私營行業(yè)合作伙伴能夠體驗動態(tài)信息物理攻擊的可能影響。

資料來源：https://industrialcyber.co/threats-attacks/idaho-national-laboratorys-celr-research-zone-delivers-interactive-test-site-for-ics-ot-environments/

惠譽評級表示對ICS/OT系統(tǒng)的網(wǎng)絡攻擊更有可能產(chǎn)生信用和ESG影響

在題為“美國運營技術中的網(wǎng)絡風險(運營技術如何影響關鍵基礎設施的網(wǎng)絡風險)”的報告中，惠譽評級探討了電力和公用事業(yè)以及供水和下水道行業(yè)的IT/OT挑戰(zhàn)。報告顯示，與對信息技術的相應攻擊相比，對運營技術的攻擊更有可能產(chǎn)生信用和ESG影響。

資料來源：https://industrialcyber.co/utilities-energy-power-water-waste/cyberattacks-on-ics-ot-systems-more-likely-to-have-credit-esg-impact-than-a-corresponding-it-attack-fitch-ratings-says/

加拿大空軍關鍵供應商遭勒索軟件攻擊

加拿大、德國軍方的獨家戰(zhàn)機培訓供應商Top Aces透露，其已遭到LockBit勒索軟件攻擊，44GB內部數(shù)據(jù)疑似被泄露，該公司在5月11日的一份聲明中表示正在對攻擊事件開展調查。資料來源：

https://therecord.media/top-aces-ransomware-attack-lockbit/

美國農(nóng)業(yè)機械制造商AGCO遭受勒索軟件攻擊

美國農(nóng)業(yè)機械生產(chǎn)商巨頭AGCO于5月6日宣布部分生產(chǎn)設施受到影響。AGCO仍在調查攻擊的程度，但預計其業(yè)務運營將受到幾天的不利影響，甚至可能更長的時間才能完全恢復所有服務，該公司可能會關閉其部分IT系統(tǒng)以防止攻擊蔓延。

資料來源：https://www.bleepingcomputer.com/news/security/us-agricultural-machinery-maker-agco-hit-by-ransomware-attack/

5月10日，西門子和施耐德發(fā)布漏洞公告，西門子樓宇自動化控制器PXC4.E16存在DoS漏洞，其他設備存在包括可導致DoS攻擊、代碼執(zhí)行以及管理員賬戶劫持的高危漏洞，在真實的工業(yè)環(huán)境中將會造成嚴重的影響。信捷PLC編程軟件存在高危漏洞，攻擊者可以利用其將任意項目文件寫入PLC并獲得代碼執(zhí)行。InHand工業(yè)路由器存在17個漏洞，攻擊者可鏈接使用其中某些漏洞獲取root訪問權限。uClibc庫存在DNS漏洞，數(shù)百萬個物聯(lián)網(wǎng)產(chǎn)品面臨安全威脅。Open Automation Software自動化軟件平臺存在超危漏洞，包括能源、航天等行業(yè)在內的眾多ICS設備受到影響。Zyxel修復防火墻設備中的操作系統(tǒng)命令注入漏洞。思科修復正在被積極利用的IOS XR漏洞。

西門子修復其產(chǎn)品中的35個漏洞

西門子在5月10日發(fā)布了12條公告，涵蓋35個漏洞。根據(jù)CVSS評分，最重要的公告涵蓋了11個影響SICAM P850和P855設備的Web服務器漏洞。該公告涵蓋的五個高危漏洞可能導致DoS攻擊、代碼執(zhí)行、流量捕獲和干擾設備功能、跨站腳本(XSS)攻擊或訪問設備的管理界面。

資料來源：https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-electric-address-43-vulnerabilities

施耐德修復其產(chǎn)品中的8個漏洞

施耐德電氣在5月10日發(fā)布了3項公告，向客戶通報了8個漏洞。其中6個漏洞影響了一些Wiser Smart家庭自動化產(chǎn)品，包括一個超危硬編碼憑據(jù)漏洞，以及可用于暴力攻擊、管理員賬戶劫持、跨域攻擊和獲取身份驗證憑據(jù)的高危漏洞。

資料來源：https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-electric-address-43-vulnerabilities

西門子樓宇自動化控制器PXC4.E16存在DoS漏洞

Nozomi研究人員發(fā)現(xiàn)西門子樓宇自動化控制器PXC4.E16設備受到可用于拒絕服務(DoS)攻擊的漏洞的影響。在創(chuàng)建或更新賬戶期間，Web應用程序未能強制執(zhí)行PBKDF2派生密鑰的成本因子上限，具有用戶配置文件訪問權限的攻擊者可以通過以非常高的成本設置PBKDF2派生密鑰然后嘗試登錄到如此修改的賬戶來通過CPU消耗導致DoS條件。

資料來源：https://www.securityweek.com/hackers-can-make-siemens-building-automation-controllers-unavailable-days

信捷PLC編程軟件存在高危漏洞

信捷PLC編程軟件中存在兩個漏洞。第一個為zip slip漏洞CVE-2021-34605，該漏洞可以為攻擊者提供具有程序權限的任意寫入權限。第二個漏洞為CVE-2021-34606，一旦一個特制的惡意項目文件被信捷PLC編程軟件打開，在加載新項目的過程中，將加載惡意DLL。

資料來源：https://industrialcyber.co/threats-attacks/clarotys-team82-finds-two-vulnerabilities-in-xinje-plc-program-tool-deployed-across-critical-infrastructure-sector/

InHand工業(yè)路由器存在17個漏洞

InHand Networks制造的無線工業(yè)路由器中存在17個漏洞，可能導致任意文件上傳、代碼執(zhí)行、權限提升、操作系統(tǒng)命令注入和未經(jīng)授權的固件更新。攻擊者首先可以利用XSS漏洞盜取Cookie，如果沒有獲得特權訪問，可以利用其中某兩個漏洞進行提權。

資料來源：https://www.securityweek.com/critical-vulnerabilities-provide-root-access-inhand-industrial-routers

uClibc庫的DNS漏洞影響數(shù)百萬個物聯(lián)網(wǎng)產(chǎn)品

兩個流行C庫uClibc和uClibc-ng存在DNS漏洞，這可能會使數(shù)百萬物聯(lián)網(wǎng)設備面臨安全威脅。該漏洞是由庫生成的DNS請求中包含的事務ID的可預測性引起的，這可能允許攻擊者對目標設備執(zhí)行DNS中毒攻擊。資料來源：https://thehackernews.com/2022/05/unpatched-dns-related-vulnerability.html

Open Automation Software自動化軟件平臺存在超危漏洞

Open Automation Software公司的開放自動化軟件平臺為ICS或IoT設備、數(shù)據(jù)庫和自定義應用程序提供連接解決方案。該平臺受到八個漏洞的影響，攻擊者可以利用這些漏洞執(zhí)行任意代碼、DoS攻擊、獲取敏感信息和其他目的。

資料來源：https://www.securityweek.com/critical-vulnerabilities-found-open-automation-software-platform

Zyxel修復防火墻設備中的操作系統(tǒng)命令注入漏洞

Zyxel防火墻設備存在一個超危漏洞，被跟蹤為CVE-2022-30525，CVSS評分9.8，該漏洞使未經(jīng)身份驗證的遠程攻擊者能夠完成任意代碼執(zhí)行。某些防火墻版本的CGI程序中的命令注入漏洞可能允許攻擊者修改特定文件，然后在易受攻擊的設備上執(zhí)行一些操作系統(tǒng)命令。

資料來源：https://thehackernews.com/2022/05/zyxel-releases-patch-for-critical.html

思科修復正在被積極利用的IOS XR漏洞

思科修復了IOS XR軟件的中危漏洞CVE-2022-20821，CVSS評分6.5，攻擊者正在積極利用該漏洞進行攻擊。攻擊者可以通過連接到開放端口上的Redis實例來利用此漏洞將任意文件寫入容器文件系統(tǒng)，并檢索有關Redis數(shù)據(jù)庫的信息。

資料來源：https://www.securityweek.com/cisco-warns-exploitation-attempts-targeting-new-ios-xr-vulnerability

微軟推出托管服務，結合技術、威脅情報和技術人員幫助企業(yè)尋找惡意感染跡象或外包檢測和響應事件的處理。容器編排器Kubernetes將使用Sigstore項目包含加密簽名證書，以防止供應鏈攻擊。印度科學研究所開發(fā)了一種真隨機數(shù)生成器 (TRNG)，可以改進數(shù)據(jù)加密，提供更高的安全性。Firefox引入了改進的進程隔離機制，通過降低攻擊向量減少瀏覽器的攻擊面。

微軟通過托管服務來增強安全供應商的實力

微軟針對中端市場推出了一套新的托管服務——微軟安全專家，微軟認為人手不足的組織將需要外部幫助來減少臃腫的攻擊面并緩解危險的惡意軟件攻擊持續(xù)激增。這三項新的托管服務結合了技術、威脅情報和技術人員，可幫助企業(yè)尋找惡意感染跡象或外包檢測和響應事件的處理。

資料來源：https://www.securityweek.com/microsoft-flexes-security-vendor-muscles-managed-services?&web_view=true

Kubernetes利用Sigstore阻止開源軟件供應鏈攻擊

容器編排器Kubernetes將使用Sigstore項目包含加密簽名證書，以防止供應鏈攻擊。使用Sigstore證書允許Kubernetes用戶通過“讓用戶能夠驗證簽名和對每個部署的Kubernetes二進制文件、源代碼包和容器映像的來源有更大的信心?！?/span>

資料來源：https://www.zdnet.com/article/kubernetes-taps-sigstore-to-thwart-open-source-software-supply-chain-attacks/?web_view=true

IISc開發(fā)改進數(shù)據(jù)加密、網(wǎng)絡安全的設備

印度科學研究所(IISc)的電氣通信工程系(ECE)開發(fā)了一種破紀錄的真隨機數(shù)生成器 (TRNG)，它可以改進數(shù)據(jù)加密并為信用卡詳細信息等敏感數(shù)字數(shù)據(jù)提供更高的安全性、密碼和其他個人信息，這種加密的強度取決于隨機數(shù)生成的質量。

資料來源：https://indianexpress.com/article/cities/bangalore/iisc-develops-device-that-improves-data-encryption-cyber-security-7939587/?&web_view=true

Firefox首次推出改進的進程隔離以減少瀏覽器攻擊面

Firefox引入了改進的進程隔離機制來減少瀏覽器的攻擊面。當用戶通過Firefox瀏覽網(wǎng)頁時，該軟件會將內容呈現(xiàn)到單獨的進程中，與操作系統(tǒng)隔離并由單個特權父進程管理。該模型背后的原因是，如果內容過程中存在錯誤，則潛在的攻擊向量是有限的。

資料來源：https://portswigger.net/daily-swig/firefox-debuts-improved-process-isolation-to-reduce-browser-attack-surface?&web_view=true