我的位置 首页  >  新闻动态  >  国内新闻

工业互联网安全资讯周报20181105期

来源:科技成果转化中心时间:2018-11-06
      

目录s://mp.weixin.qq.com/s/maINLd0aFwTkRqcjaXZyxQ目录


技术标准规范

  • 国家能源局:《关于加强电力行业网络安全工作的指导意见》解读

 安全威胁分析

  • 思科WebEx在线视频会议软件曝命令注入漏洞

  • Telecrane起重机爆漏洞:攻击者可重放信号控制设备

  • 最新Chalubo僵尸网络来袭,目标指向服务器和物联网设备

  • 大多数路由器都存在固件缺陷使用户面临风险

  • 工业安全预警:维控WECON PI Studio曝多个漏洞,且暂无补丁可用

 行业发展动态

  • 物联网安全发展趋势研究(上)——物联网技术简介

  • 会议 | 信安标委2018年第二次工作组“会议周”全体会议在青岛召开

  • Gartner:2018/2019 六大安全趋势

  • 物联网安全发展趋势研究(下)——物联网安全管理

  • 美国国防部将开展更多安全众测活动

  • 万亿市场的IoT市场 这是一场席卷全球的海啸

  • 美国用于漏洞利用的网空攻击装备解析

  • 美国对网络空间国际法的影响及其对中国的启示(黄志雄)

技术标准规范

1.国家能源局:《关于加强电力行业网络安全工作的指导意见》解读

国家能源局电力安全监管司副司长张扬民从五个方面对《关于加强电力行业网络安全工作的指导意见》进行解读。,国家能源局举行例行新闻发布会,将发布今年前三季度能源形势、可再生能源并网运行情况、第三季度12398能源监管热线投诉举报受理情况,并对《关于加强电力行业网络安全工作的指导意见》内容进行解读。

https://mp.weixin.qq.com/s/cgv97ebbpNz5sawbW11yyw

安全威胁分析

2.思科WebEx在线视频会议软件曝命令注入漏洞

研究员称,思科的WebEx在线视频会议软件受到一个严重漏洞的影响,该漏洞可以被利用来提供权限并执行任意命令。两名安全研究人员于近日发布消息称,思科的WebEx在线视频会议软件受到一个严重漏洞的影响,该漏洞可以被利用来提供权限并执行任意命令。这个安全漏洞由来自Counter Hack的Ron Bowes和Jeff McJunkin发现,并被命名为“WebExec”。 

https://mp.weixin.qq.com/s/tj6raoy5ogiwkUvp4nz-9w

3.Telecrane起重机爆漏洞:攻击者可重放信号控制设备

起重机使用了可通过嗅探和重新传输复制的固定代码,利用这个漏洞可以让未经授权的用户查看命令、重放命令、控制设备或阻止设备运行。Telecrane的一款联网施工起重机存在一个漏洞,可以让网络攻击者拦截其通信并接管设备。

https://mp.weixin.qq.com/s/H1w2hWu-fqD6RfkZVv--Rg

4.最新Chalubo僵尸网络来袭,目标指向服务器和物联网设备

网络安全公司Sophos旗下SophosLabs在本周一(10月22日)发表的一篇博文中指出,他们近两个月一直在持续关注一场开始于9月初的网络攻击活动,目标是开启了SSH服务器的Linux服务器。而在这场攻击活动中,攻击者的主要目的在于传播一种被他们称之为“Chalubo”的最新自动化DDos攻击工具。SophosLabs的分析表明,攻击者使用了ChaCha流密码来加密Chalubo的主组件以及相应的Lua脚本,而在最新的版本中,攻击者已经采用了更常见的Windows恶意软件原理来阻止对Chalubo的检测。不变的是,最新版本的Chalubo同样整合了来自Xor.DDoS和Mirai恶意软件家族的代码。

https://mp.weixin.qq.com/s/SEXGghPXZ7d04tavKBkN-g

5.大多数路由器都存在固件缺陷使用户面临风险

如果你有一台无线路由器,那你就得小心了。因为这台路由器可能到处都是安全漏洞,而这些漏洞很可能会让你的一切陷入安全风险之中。美国消费者协会(ACI)的最新研究结果显示,由于无线路由器的固件更新问题(未能及时和正确地更新),美国的家庭和办公室中平均每六台无线路由器就有五台(83%的概率)存在安全漏洞,并会导致用户陷入网络攻击的风险之中。

https://mp.weixin.qq.com/s/TVE3PkY79ciNZGcUDEgoOg

6.工业安全预警:维控WECON PI Studio曝多个漏洞,且暂无补丁可用

由美国工业控制系统网络紧急响应小组(ICS-CERT)于近日发布的一份咨询报告显示,研究人员Mat Powell和Natnael Samson在WECON的PI Studio HMI软件中发现了多个安全漏洞。虽然这些漏洞已经得到了WECON的确认,但到目前为止该厂商仍未发布任何补丁。

https://mp.weixin.qq.com/s/JVvegiLh29QFbTFipJM5Xg

行业发展动态

7.物联网安全发展趋势研究(上)——物联网技术简介

如今,或许对一部分人来说,物联网还是一个比较新潮的概念,甚至大部分人还未曾听说过这一名词,但是,物联网已被公认为是继计算机、互联网与移动通信网之后的世界信息产业第三次浪潮,未来物联网将会以惊人的速度渗透进我们的生活。而它的安全问题也是继互联网安全之后的又一大难题,如何构建和优化它的结构更好地服务于人类社会也是一个全新的世界性的课题。

https://mp.weixin.qq.com/s/IatdpofVTjCcqn1brTy_cg

8.会议 | 信安标委2018年第二次工作组“会议周”全体会议在青岛召开

10月25日上午,全国信息安全标准化技术委员会(以下简称信安标委)2018年第二次工作组“会议周”全体会议在青岛召开。信安标委副主任委员、中央网信办总工兼网络安全协调局局长赵泽良,国家市场监督管理总局标准技术管理司处长刘大山出席会议并讲话。中国科学院王小云院士、部分特邀网络安全专家、信安标委各工作组组长和副组长,以及220多家信安标委成员单位代表共500余人参加了会议。会议由信安标委秘书长杨建军主持。

https://mp.weixin.qq.com/s/13l7hNuqXYjlOzlElPpMVw

9.Gartner:2018/2019 六大安全趋势

Gartner副总裁兼分析师 Peter Firstbrook 讲述了2018/2019的六个安全趋势。他的演讲并未涉及具体技术,而着眼于策略性问题,可供企业高管用作未来一年的安全规划与决策参考。

https://mp.weixin.qq.com/s/pPxl928sdvmiqXdmo1khzA

10.物联网安全发展趋势研究(下)——物联网安全管理

如今,或许对一部分人来说,物联网还是一个比较新潮的概念,甚至大部分人还未曾听说过这一名词,但是,物联网已被公认为是继计算机、互联网与移动通信网之后的世界信息产业第三次浪潮,未来物联网将会以惊人的速度渗透进我们的生活。而它的安全问题也是继互联网安全之后的又一大难题,如何构建和优化它的结构更好地服务于人类社会也是一个全新的世界性的课题。

https://mp.weixin.qq.com/s/bYxXVfezTcez-KIC5jo4gQ

11.美国国防部将开展更多安全众测活动

美国国防部于10月24日发布消息,称刚与位于硅谷的三家私营公司(HackerOne、Synack和Bugcrowd)签订总金额高达3400万美元的合同,将在已成功举办“入侵五角大楼”系列活动的基础上进行拓展,进一步提升开展“漏洞奖励计划”安全众测活动的能力,以期加强对国防部资产的安全防护。

https://mp.weixin.qq.com/s/5YkIClgekTKXzr8dY6_J9Q

12.万亿市场的IoT市场 这是一场席卷全球的海啸

根据趋势科技做的一个调查研究,超过10万台医疗设备是不安全的。试想一下,如果精确监控着输注入家人体内的救命药流量的输液泵被黑了,输注剂量或者速度被改了,会是怎样一幅场景?HIPPA期刊最近刊载了范德堡大学的一篇研究文章,称医疗数据泄露每年致死2100例。这项调查研究结果与IoT之间是否有关不得而知,但不安全IoT可能导致的后果却是证据确凿,必须加以解决。

https://mp.weixin.qq.com/s/XXoZ5nQMBy27YalKUoEkQQ

13.美国用于漏洞利用的网空攻击装备解析

NSA、CIA利用其持有的覆盖各类设备、平台、系统、软件的零日漏洞对各类高价值目标实施网络空间作业,有效支撑了美方的计算机网络利用(CNE)和计算机网络攻击(CNA)。而我国关键信息基础设施防护现状不容乐观,应不断提升漏洞研究和漏洞防护能力。我们将对美方用于实现漏洞利用的网空攻击装备进行介绍,揭示出美方丰富的漏洞储备及强大的漏洞利用能力。

https://mp.weixin.qq.com/s/Zb2M_BBi_VYPCj-SmmA8Mw

14.美国对网络空间国际法的影响及其对中国的启示(黄志雄)

网络空间已经成为在海洋、陆地、空气空间和外层空间之外的“第五空间(fifth domain)”。尽管网络空间给人类生活带来了巨大的利益和优势,但它也成为各种威胁和漏洞的栖身之地,亟需得到治理。不过,受传统国际政治格局的影响,网络空间的全球治理被视为是对这一空间中权力与资源的争夺,这就使网络空间实际上成为旧游戏中的新棋盘。为了在这一“棋局”中赢得主动,各国特别是主要大国都不遗余力地投身其中。正是在这一背景下,网络空间国际法这一新领域自2011年以来变得炙手可热。美国作为在网络空间的“硬实力”和“软实力”方面都占据明显优势的国家,一直致力于在国际博弈中积极影响和塑造网络空间国际规则,并且其相当一部分主张已经在国际上产生很大影响。对于日益重视积极参与网络空间国际规则制定、建设网络空间国际法强国的中国来说,美国的策略和经验无疑具有不可忽视的借鉴意义。

https://mp.weixin.qq.com/s/iP8HmWk4CKyRwx8un4mnmA

[本文资讯内容来源于互联网,版权归作者所有。由“工业互联网安全应急响应中心”整理发布]




       (科技成果转化中心供稿)