7月速遞

網信辦公布《數據出境安全評估辦法》，規定規定關鍵信息基礎設施運營者向境外提供個人信息應當申報數據出境安全評估。多國相繼出臺關鍵基礎設施網絡安全法規，以應對不斷變化的威脅形勢和日益復雜的網絡攻擊。

網信辦公布《數據出境安全評估辦法》

7月7日，國家互聯網信息辦公室公布《數據出境安全評估辦法》，自2022年9月1日起施行?！掇k法》規定關鍵信息基礎設施運營者向境外提供個人信息應當通過所在地省級網信部門向國家網信部門申報數據出境安全評估。

資料來源：https://mp.weixin.qq.com/s/n91CsxUkhdzOwYy8SwBSnQ

新加坡發布關鍵信息基礎設施網絡安全實踐守則2.0

7月4日，新加坡網絡安全局(CSA)發布了CCoP2.0(關鍵信息基礎設施網絡安全實踐守則2.0)。CCoP2.0旨在提高防御者抵御黑客復雜TTP的幾率并阻止他們的攻擊進展。它使政府和私營部門之間的協調防御能夠及時識別、發現和響應網絡安全威脅和攻擊。

資料來源：https://s.vnshu.com/2lKqPE

新加坡發布關鍵信息基礎設施供應鏈文件

新加坡網絡安全局(CSA)7月27日發布了一份CII(關鍵信息基礎設施)供應鏈計劃文件。該計劃制定了五項基礎舉措，以減輕網絡供應鏈風險并提高新加坡基本服務的網絡彈性，并作為新加坡CII邁向安全和彈性未來之旅的開

資料來源：https://industrialcyber.co/critical-infrastructure/csas-cii-supply-chain-paper-works-on-mitigating-cyber-risks-uplifting-cyber-resilience/

美眾議員在年度國防法案中推動關鍵基礎設施保護

美國眾議員起草了一項修正案，以加強對“具有系統重要性的關鍵基礎設施(SICI)”的防御。提出在識別和指定此類基礎設施后，國土安全部網絡安全和基礎設施安全局局長和國家網絡主管將為其所有者和運營商制定關鍵資產和供應鏈風險管理實踐等報告要求。

資料來源：https://www.cyberscoop.com/sici-defense-authorization-amendment-langevin/

美國國土安全部發布關鍵管道所有者、運營商的網絡安全要求

美國國土安全部(DHS)宣布，其運輸安全管理局(TSA)部門已修訂并重新發布了安全指令。要求TSA指定的關鍵管道的所有者和運營商實施具體的緩解措施，以防止勒索軟件攻擊和其他已知威脅信息技術(IT)和運營技術(OT)系統，制定和實施網絡安全應急和恢復計劃并進行網絡安全架構設計審查。

資料來源：https://s.vnshu.com/2ywKNq

德國政府宣布計劃加強網絡防御

德國政府7月12日宣布計劃加強網絡防御。新措施涉及提高中小企業的網絡彈性，將適用于“關鍵基礎設施”，即涉及運輸、食品、健康、能源和供水的企業。同時，德國國內情報機構和警察的IT基礎設施也將進行現代化改造。

資料來源：https://www.dw.com/en/germany-bolsters-defenses-against-russian-cyber-threats/a-62442479?&web_view=true

Barracuda發布《2022工業安全狀況報告》，調查結果顯示工業網絡安全仍舊相當落后。Mandiant Red Team對勒索軟件在OT環境中可能的影響范圍進行評估，發現OT網絡不堪一擊。攻擊方法層出不窮，工業網絡安全情況不容樂觀，但安全技術也在不斷進步。

Barracuda發布《2022工業安全狀況報告》

7月13日，云安全公司Barracuda發布了《2022工業安全狀況報告》，報告指出，針對工業系統的重大攻擊正在增加，但保護這些系統的安全努力仍相當落后。在過去12個月里，94%的受訪者在其工業物聯網(IIoT)或運營技術(OT)系統上經歷了某種形式的攻擊，這可能影響了他們的工業物聯網基礎設施。

資料來源：https://industrialcyber.co/critical-infrastructure/critical-infrastructure-under-attack-as-ot-organizations-struggle-to-secure-frameworks-barracuda-reports/

微軟發布《保護關鍵基礎設施免受威脅報告》

微軟7月28日發布了《保護關鍵基礎設施免受威脅報告》。報告中包括為政府和關鍵基礎設施提供商應優先解決的五項關鍵建議：1.網絡安全必須被理解為一個持續的過程；2.關注跨部門和國家的統一監管；3.加大信息共享和能力建設力度；4.建立網絡彈性文化；5.追究惡意行為者的責任。

資料來源：https://blogs.microsoft.com/eupolicy/2022/07/28/protecting-critical-infrastructure-from-cyberattacks/

Mandiant Red Team對勒索軟件在OT環境中可能的影響范圍進行評估

Mandiant Red Team在一家歐洲工程組織中模擬了FIN11技術，以了解勒索軟件運營商在OT(運營技術)網絡中的潛在影響力。Mandiant Red Team的三個預期目標——在IT環境中模擬勒索軟件攻擊者，從IT傳播到單獨的OT網絡段，以及通過訪問機密信息以竊取和重新分發來模擬多方面的勒索，全部成功實現。

資料來源：https://s.vnshu.com/1WkD3l

Xage報告顯示，零信任有望在運營技術(OT)環境中實施

Xage對在美國關鍵基礎設施組織工作的網絡安全專業人員進行了調查，最新的報告顯示，零信任也在OT環境中廣泛實施，尤其是在關鍵基礎設施組織中。調查發現，41%的關鍵基礎設施運營商處于零信任實施的早期階段，88%的運營商已朝著零信任邁出了一些步伐。

資料來源：https://www.securityweek.com/critical-infrastructure-operators-implementing-zero-trust-ot-environments

新的氣隙攻擊使用SATA電纜作為天線傳輸無線電信號

研究人員Mordechai Guri發現了一種從氣隙系統中竊取數據的新方法，它使用大多數計算機內部的串行ATA(SATA)電纜作為無線天線，通過無線電信號發送數據。該攻擊方向具有高實現難度，但其攻擊目標多為軍事、政府等核心工業控制系統，其高危害性不容忽視。

資料來源：https://thehackernews.com/2022/07/new-air-gap-attack-uses-sata-cable-as.html

美國政府問責局敦促能源部提高電網彈性

美國政府問責局(GAO)發布了一份報告，為美國能源部(DOE)確定了八項優先建議，在這些建議中，GAO呼吁改善網絡安全，保護工人，并建立電網彈性。為了建立電網彈性，GAO建議能源部長應制定包括時間框架在內的計劃，以指導該機構努力開發彈性規劃工具。

資料來源：https://industrialcyber.co/analysis/gao-report-presses-upon-doe-to-improve-efforts-to-manage-cybersecurity-risks-work-on-electric-grid-resilience/

立陶宛能源公司因DDOS攻擊而中斷

7月9日，立陶宛能源公司Ignitis Group遭受了所謂的“十年來最大的網絡攻擊”，當時針對它的DDoS攻擊破壞了其數字服務和網站。該公司表示已經能夠管理和限制攻擊對其系統的影響，并且沒有記錄任何違規行為。

資料來源：https://www.infosecurity-magazine.com/news/lithuanian-energy-ddos-attack/

2022年上半年CISA披露681個ICS漏洞，略高于2021上半年，但實際數量可能更多，其中超危漏洞占比22%以上。網絡安全審查委員會報告結果出人意料，尚未發現任何針對關鍵基礎設施系統的重大基于Log4j的攻擊。西門子、施耐德等多家廠商的工業產品存在漏洞，其中嚴重的可導致眾多領域的關鍵基礎設施遭受破壞性攻擊。

2022年上半年CISA披露681個ICS漏洞

SynSaber公司統計了2022年上半年CISA披露的681個工業控制系統(ICS)漏洞，略高于2021年上半年。在681個CVE中，大約13%沒有補丁并且可能永遠無法修復——這些被稱為“永久漏洞”。超過22%的漏洞為超危漏洞，42%為高危漏洞。

資料來源：https://www.securityweek.com/hundreds-ics-vulnerabilities-disclosed-first-half-2022

CSRB報告未發現任何針對關鍵基礎設施系統的重大基于Log4j的攻擊

網絡安全審查委員會(CSRB)發布了Log4j漏洞和響應審查報告，報告顯示尚未發現任何針對關鍵基礎設施系統的重大基于Log4j的攻擊。另外還發現，鑒于漏洞的嚴重性，迄今為止，Log4j的利用發生在低于許多專家預測的水平。

資料來源：https://industrialcyber.co/reports/csrb-report-not-aware-of-any-significant-log4j-based-attacks-on-critical-infrastructure-systems/

西門子修復其產品的46個漏洞

西門子7月12日發布了19條新公告，修復了影響其產品的46個漏洞。其中一項公告描述了SIMATIC CP1543-1通信處理器中的三個超危和三個高危漏洞，攻擊者可利用這些漏洞進行提權并執行任意代碼。第二個公告描述了SIMATIC eaSie數字助理中的一個超危和一個高危漏洞，攻擊者可以遠程利用這些漏洞向系統發送任意請求并導致DoS條件。

資料來源：https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-electric-address-59-vulnerabilities

施耐德修復其產品中的13個漏洞

施耐德電氣7月12日發布了四個新的公告，修復了13個漏洞。其中一個描述了SpaceLogicC-BusHomeController產品中的高危操作系統命令注入漏洞。部分OPCUA和X80高級RTU通信模塊受到三個可用于DoS攻擊的高危漏洞以及四個可允許攻擊者加載未經授權固件的中危漏洞影響。

資料來源：https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-electric-address-59-vulnerabilities

Robustel工業路由器中存在10個漏洞

思科在Robustel的工業蜂窩物聯網網關中發現了10個漏洞，其中九個超危漏洞為命令注入漏洞，攻擊者可以通過向目標設備發送特制的網絡請求來執行任意命令。另外一個高危漏洞是一個數據刪除問題，可以利用特制的網絡請求來刪除任意文件。

資料來源：https://www.securityweek.com/10-vulnerabilities-found-widely-used-robustel-industrial-routers

MiCODUS GPS追蹤器存在6個漏洞

BitSight研究人員發現MiCODUS MV720 GPS中存在6個漏洞，包括硬編碼和默認密碼、身份驗證損壞、XSS和不安全的直接對象引用。攻擊者可以使用各種攻擊媒介完全控制GPS跟蹤器，使他們能夠訪問位置和其他信息，并允許他們解除警報和切斷燃料。

資料來源：https://www.securityweek.com/unpatched-micodus-gps-tracker-vulnerabilities-allow-hackers-remotely-disable-cars

工業連接設備Moxa NPort存在兩個高危漏洞

研究人員在Moxa的NPort5110設備服務器發現了兩個高危漏洞CVE-2022-2043和CVE-2022-2044。第一個DoS漏洞可以讓攻擊者使目標設備停止響應合法命令，第二個漏洞是越界問題，攻擊者可以訪問和/或覆蓋設備上的元素，從而導致數據崩潰或損壞。

資料來源：https://www.securityweek.com/moxa-nport-device-flaws-can-expose-critical-infrastructure-disruptive-attacks

大華網絡攝像頭存在高危漏洞

研究人員發現大華網絡攝像頭存在高危漏洞CVE-2022-30563，成功利用該漏洞可能允許攻擊者秘密添加惡意管理員帳戶并利用它以最高權限獲得對受影響設備的無限制訪問，包括觀看實時攝像頭錄像。

資料來源：https://thehackernews.com/2022/07/dahua-ip-camera-vulnerability-could-let.html