国家关键基础设施该如何认定?国际最新认定指南发布
澳大利亚网络和基础设施安全中心(CISC)日前发布《关键基础设施资产类别定义指南》,适用于所有相关的基础设施行业。指南简化了关键基础设施责任主体和直接利益相关方的义务,有助于提高运营弹性、降低复杂性。 作为类别定义文件,指南对关键基础设施资产分类提供了指导意见。关键基础设施资产的定义可参见2018年《关键基础设施安全法案》(SOCI法案),或者《SOCI定义规则》(LIN 21/039)。指南要求资产所有者和经营者参考《SOCI法案》和《SOCI定义规则》,确定他们的资产具体符合哪一项关键基础设施资产的定义。 指南涵盖了10大类别,共计22个关键基础设施行业。其中通信业(含广播、域名系统、电信);金融业(含银行、金融市场基础设施、保险和养老金);能源业(含电力、能源市场运营商、天然气和液体燃料);以及运输业(含航空、货运基础设施、货运服务、港口和公共交通)四大类涵盖了16个行业。其他六类关键行业则分别对应6个行业,具体包括数据存储或处理、水和污水行业、国防工业、医疗保健业、高等教育和研究、食品杂货业。 以电力行业为例,指南对资产定义提供了如下指导意见: 首先,拥有资产的实体需要判断,资产是否为关键电力资产。其次,实体需要判断,资产是否位于澳大利亚。再次,实体需要判断,资产所有者是否并非联邦政府或联邦机构(国有企业除外)。 如果前两个问题的答案都是“是”,接下来需要判断,资产是否符合以下任何定义。指南提供了两种判断标准。 第一,该电网、电力系统或电力系统连接器是否向超过10万个客户输电配电。如果本条答案为“是”,资产应定义为能源业的关键电力资产。 第二,该发电站是否对州/领地电网或电力系统安全与可靠性起到至关重要的影响。这又细分为两种情况:(1)州/领地内的发电机装机容量超过30兆瓦并接入电力批发市场;(2)发电机所有者或运营者需履约向州/领地提供系统重启辅助服务。所谓“系统重启辅助服务”是指,在没有外部电源的情况下,启动发电机并网,并向电网或电力系统提供电能,实现输电配电。如果本条答案为“是”,资产应定义为能源业的关键电力资产。 确定资产属于能源业之后,接下来需要判断,实体是否是关键电力资产的报告实体。实体必须选出对其与关键电力资产关系描述最准确的选项。指南提供了三个选项。 第一个选项称“我是持有许可证,批准或授权操作关键电力资产并提供需交付服务的实体。”如果勾选此项,实体是关键电力资产的责任实体。 第二选项称“本人与合作伙伴一起持有不少于10%的关键电力资产权益(含共同权益)”;第三选项称“本人持有关键电力资产的权益,足以直接或间接控制该资产。”如果勾选第二或第三项,实体是关键电力资产的直接权益人。 如果任何一项都不符合,实体不是关键电力资产的报告实体。 今年2月,澳大利亚政府基于《2015年关键基础设施弹性战略》发布了《2023年关键基础设施弹性战略》。该战略提供了一个全国性框架,指导澳大利亚加强关键基础设施的安全性和弹性。在该文件框架内,业界、州/领地政府和联邦政府需要共同努力,提升关键基础设施的安全性和弹性,积极预测、预防、备战、应对各类隐患,并做好相关恢复工作。 4月,澳大利亚政府发布了一份讨论文件,征求航空和海事利益相关者对战略改革议程和新监管模式的意见。根据建议,文件重点确定了的五个高影响领域,计划尽快加以落实。这些领域分别是:删除安全计划中的解决方案、提供结果和基于风险的安全管理方法、内政部与筛选供应商的监管关系、筛选和未筛选的航空服务、通过行业参与和教育改进绩效与合规。 转自 安全内参,原文链接:https://mp.weixin.qq.com/s/FStq6h-4qUPirlgbz5HLog 封面来源于网络,如有侵权请联系删除
美国政府正在修订关基安全保护顶层政策
为了保护关键基础设施,拜登政府正在修改一份十年前的总统令。官员和专家表示,面对不断变化的网络世界,这条2013年发布的总统令亟需修改。美国政府或将采取新的措施,进一步保护银行、能源、农业等领域关键目标免受潜在的网络攻击。 本周三,美国网络安全与基础设施安全局(CISA)局长Jen Easterly在“Hack the Capitol”会议上说:“如何管理这些保护措施已经发生了变化,而且将会继续发生变化。Colonial管道等事件让我们更好地认识到保护关键基础设施的重要性。”Colonial管道公司是美国东海岸主要燃料供应商,曾在2021年遭到勒索软件攻击。她说:“我们仍然非常容易受到来自对手的严重威胁,” 从过去到现在 去年11月,拜登政府首次向国会发出信号,计划修改2013年21号总统令“关键基础设施安全与弹性”(简称PPD-21)。PPD-21已经实施了超过两届总统任期,取代了小布什政府时期的另一条总统令。旧总统令详细规定了16个关键基础设施行业分别由哪些机构负责保护,这些机构被称为行业风险管理机构。 PPD-21在保留了布什政府备忘录大体结构的基础上,进行了一些修改,比如要求更新国家基础设施保护计划,以详细说明应采取哪些具体措施加强关键基础设施防御。 值得注意的是,奥巴马政府发布PPD-21时,CISA尚未成立。2021财年国防政策法案要求CISA承担一些行业风险管理机构的责任,而拜登政府表示将进一步厘清CISA的角色。 拜登总统在去年11月的备忘录中写道:“更新的政策将加强公私合作伙伴关系,并将明确指导行政部门和机构如何确定系统性、重要性关键基础设施。它还将澄清行业风险管理机构和CISA的角色、责任和服务,从而协调全国范围内的力量,有效防范关键基础设施风险。” CISA、国家网络总监办公室和国家安全委员会等机构正在共同修改PPD-21。Easterly表示:“我们正在研究,如何评估各个行业,决定是否某些行业值得保留,确定是否要增加太空行业或其他行业。” 一旦联邦政府认定某个行业为关键基础设施行业,联邦主管机构将更关注该行业的网络安全,并加强与该行业的协调合作。 代理国家网络总监Kemba Walden最近会见了太空产业官员,讨论是否应将太空行业认定为关键基础设施行业。一些人认为,太空公司已经属于一个或多个现有关键基础设施行业的范畴。 Easterly还表示,CISA已经完成了《国家基础设施保护计划》的初步修订,待PPD-21修改完成后就可以定稿。 改进幅度未知 然而,美国国会成立的网络空间日光浴委员会(CSC)及其继任组织CSC 2.0的执行主任Mark Montgomery表示,政府无需等待PPD-21,应该尽早发布更新的《国家基础设施保护计划》。 他在“Hack the Capitol”会议上说,现有计划下的具体行业计划“都是垃圾”。大部分计划像是复制粘贴的产物,只是改了具体行业的名称。并且也没有任何一个计划提到CISA,因为CISA是根据一项国会法案在2018年11月才设立。 Mark Montgomery认为,PPD-21和《国家基础设施保护计划》都需要更加频繁地进行更新。“十多年都不更新,就不配叫新兴技术文件。”他担心文件更新可能无法很快完成。虽然政府已表示将于九月完成 PPD-21 的修订,问题是“哪个九月?” 值得注意的是,太空和云计算都不在关键基础设施行业的名单上。Mark Montgomery还指出了其他重大缺陷,比如负责特定行业的机构和对应关键基础设施行业之间的威胁信息共享不到位,对某些非常小众行业的风险管理机构的拨款是否合理,等等。他还提出了许多其他批评,这为拜登政府在 PPD-21 的修订上设定了很高的门槛。 转自 安全内参,原文链接:https://mp.weixin.qq.com/s/x6-cRbKCbM9xBXc5Wfrk_Q 封面来源于网络,如有侵权请联系删除
至少2个关键基础设施组织被 3CX 攻击背后的朝鲜相关黑客破坏
Lazarus 是针对3CX 的级联供应链攻击背后的多产朝鲜黑客组织,它还利用木马化的 X_TRADER 应用程序入侵了电力和能源领域的两个关键基础设施组织以及另外两个涉及金融交易的企业。 据悉,赛门铁克的威胁猎人团队提供的新发现证实了早先的怀疑,即 X_TRADER 应用程序危害影响的组织比 3CX 多。博通旗下赛门铁克的安全响应主管 Eric Chien 在一份声明中告诉黑客新闻,这些攻击发生在 2022 年 9 月至 2022 年 11 月之间。 Chien 说:“目前这些感染的影响尚不清楚——需要进行更多调查,并且正在进行中。”他补充说,“这个故事可能还有更多内容,甚至可能还有其他被木马化的软件包。” 事态发展之际,Mandiant透露,上个月 3CX 桌面应用程序软件遭到入侵,是由于 2022 年另一起针对 X_TRADER 的软件供应链泄露事件导致的,一名员工将其下载到他们的个人电脑上。 目前尚不清楚朝鲜网络攻击者 UNC4736 如何篡改由一家名为 Trading Technologies 的公司开发的交易软件 X_TRADER。虽然该服务于 2020 年 4 月停止,但直到去年仍可在公司网站上下载。 Mandiant 的调查显示,注入到损坏的 X_TRADER 应用程序中的后门(称为 VEILEDSIGNAL)允许对手获得对员工计算机的访问权限并窃取他们的凭据,然后使用这些凭据来破坏 3CX 的网络,横向移动并破坏 Windows 和macOS 构建环境以插入恶意代码。 这场规模庞大的相互关联的攻击似乎与以往与朝鲜结盟的团体和活动有很大重叠,这些团体和活动历来以加密货币公司为目标,并进行了出于经济动机的攻击。 谷歌云子公司以“中等信心”评估该活动与 AppleJeus 有关,AppleJeus 是一项针对加密公司进行金融盗窃的持续活动。网络安全公司 CrowdStrike 此前将此次攻击归因于一个名为Labyrinth Chollima的 Lazarus 集群。 2022年2月,Google 的威胁分析小组 (TAG)曾将同一敌对集体与 Trading Technologies 网站的入侵联系起来,以提供利用 Chrome 网络浏览器中当时的零日漏洞的漏洞利用工具包。 ESET 在分析不同的 Lazarus Group 活动时,披露了一种名为 SimplexTea 的新的基于 Linux 的恶意软件,它共享被识别为 UNC4736 使用的相同网络基础设施,进一步扩展了现有证据表明 3CX 黑客攻击是由朝鲜威胁策划的演员。 ESET 恶意软件研究员 Marc-Etienne M 表示:“[Mandiant] 发现第二次供应链攻击导致 3CX 遭到破坏,这表明 Lazarus 可能会越来越多地转向这种技术,以获得对目标网络的初始访问权限。” .Léveillé 告诉黑客新闻。 X_TRADER 应用程序的妥协进一步暗示了攻击者的经济动机。Lazarus(也称为 HIDDEN COBRA)是一个总称,由位于朝鲜的几个子团体组成,这些子团体代表隐士王国从事间谍活动和网络犯罪活动,并逃避国际制裁。 赛门铁克对感染链的分解证实了 VEILEDSIGNAL 模块化后门的部署,该后门还包含一个可以注入 Chrome、Firefox 或 Edge 网络浏览器的进程注入模块。该模块本身包含一个动态链接库 (DLL),可连接到 Trading Technologies 的网站以进行命令和控制 (C2)。 赛门铁克总结说:“发现 3CX 被另一个更早的供应链攻击所破坏,这使得更多的组织很可能会受到这次活动的影响,现在发现这种活动的范围比最初认为的要广泛得多。” 转自 E安全,原文链接:https://mp.weixin.qq.com/s/WpJpB4rt4liYqbW0tBaWDQ 封面来源于网络,如有侵权请联系删除
多方建议美国将太空系统列为关键基础设施
根据颇具影响力的网络空间日光浴室委员会的一项研究,美国应正式将太空列为关键基础设施部门,并采取措施保护卫星和其他太空系统免受网络攻击。 报告指出,“将太空系统指定为美国的关键基础设施部门将缩小目前的差距,并向国内外发出信号,表明太空安全和弹性是重中之重。太空达到了指定的门槛,因为它越来越多地卷入美国的军事和经济。” 由于没有任何一个联邦实体负责保护空间系统(如地面站和卫星)免受黑客攻击,白宫应将空间指定为第 17 个关键基础设施部门,并将 NASA 作为其“部门风险管理机构”提供监督和小组争论。当前的关键基础设施部门包括水坝、运输系统、化学部门和通信。 根据该研究的执行摘要,美国太空系统的主要部分仍然没有被指定为关键基础设施,也没有得到这样的指定所需要的关注或资源,今天的大多数太空系统都是在太空是冲突避难所的前提下开发的,但情况已不再如此。 网络空间日光浴室委员会由国会于 2019 年创建,由两党立法者小组领导。它于 2021 年底停用,但作为非营利组织继续发布报告和建议。 最近的一系列事态发展可能会为委员会在国会山提出的新建议提供动力。 在莫斯科无端入侵乌克兰之初,俄罗斯黑客将目标对准了卫星公司Viasat,以中断通信。 国土安全部还建议政策制定者考虑为太空和生物经济创建新的关键基础设施部门。国家安全委员会目前正在敲定重写总统指令 PPD-21,该指令决定哪些部门获得关键基础设施标签。 该报告指出,“有必要减轻源于太空地理和技术特殊性的独特网络安全挑战,通过国会拨款进行大量投资将势在必行,因为没有资源的政策只是空谈。” 为此,委员会建议国会每年向 NASA 提供 1500 万美元的初始投资,以及 25 名全职员工,以承担其新的风险管理职责。然而,该小组告诫不要授予该机构任何新的监管权力,而是建议国会研究服务处梳理现有法规并提出立法构想。 它还敦促航天部门建立一个协调委员会,以帮助促进工业界与联邦政府之间的信息共享。 报告还指出,“来自俄罗斯和其他国家的威胁正在增加。这些国家都将美国和合作伙伴的太空系统置于他们的十字准线之下,正如他们对反卫星 (ASAT) 能力的测试所证明的那样。美国需要一种更加协调一致的方法来进行空间系统基础设施的风险管理和公私合作。” 转自 E安全,原文链接:https://mp.weixin.qq.com/s/E8PEHH78mZYLG78Yk2XXxw 封面来源于网络,如有侵权请联系删除
FBI:勒索软件去年入侵了 860 个关键基础设施
近日,FBI(美国联邦调查局)在其2022年互联网犯罪报告中透露,勒索软件团伙2022年入侵了至少860个关键基础设施网络,与2021年(649个)相比大幅增长。 由于FBI的报告仅统计了向互联网犯罪投诉中心(IC3)报告的攻击,实际发生的攻击数量可能更高。 报告显示,在16个关键基础设施行业中,14个行业至少有1个实体在2022年遭受勒索软件攻击。 勒索软件受害者在2022年全年总共提交了2385起投诉,调整后的损失超过3400万美元。 按照攻击次数排名,2022年实施关键基础设施攻击的前三大勒索软件组织是Lockbit(149次),ALPHV/BlackCat(114次)和Hive(87次)。 此外,Ragnar Locker勒索软件至少入侵了52个关键基础设施实体,Cuba勒索软件攻击了至少49个美国关键基础设施实体,BlackByte勒索软件也成功入侵了至少三个关键基础设施实体。 FBI建议关键基础设施组织不要向网络犯罪分子支付赎金,因为付款并不能保证受害者会恢复他们的文件,反而会鼓励进一步的攻击,并且赎金很可能会被用来资助额外的攻击。 FBI还分享了勒索软件攻击防御清单: 更新操作系统和软件。 实施用户培训和网络钓鱼练习,以提高对可疑链接和附件风险的认识。 如果使用远程桌面协议(RDP),请保护并监视它。 对数据进行脱机备份。 CISA(关键基础设施管理局)本周一宣布,该机构自2023年1月30日以来一直在扫描关键基础设施实体的网络,查找易受勒索软件攻击的设备,在黑客入侵之前发出警告,帮助关键基础设施实体修复漏洞。 转自 GoUpSec,原文链接:https://mp.weixin.qq.com/s/nN0sOWXfW6ieic-qIeZ5Nw 封面来源于网络,如有侵权请联系删除
小心!新的高级恶意软件专攻政府关基设施
近日,Morphisec 的网络安全研究人员发现了一种新的高级信息窃取程序,称为 SYS01 窃取程序,自 2022 年 11 月以来,该程序被用于针对关键政府基础设施员工、制造公司和其他部门的攻击。 专家们发现 SYS01 窃取程序与 Bitdefender 研究人员发现的另一种信息窃取恶意软件(跟踪为 S1deload)之间存在相似之处。“我们已经看到 SYS01 窃取者攻击关键的政府基础设施员工、制造公司和其他行业。该活动背后的威胁行为者通过使用谷歌广告和虚假的 Facebook 个人资料来瞄准 Facebook 商业账户,这些账户宣传游戏、成人内容和破解软件等内容,以引诱受害者下载恶意文件。该攻击旨在窃取敏感信息,包括登录数据、cookie 以及 Facebook 广告和企业帐户信息。” 专家报告说,该活动于2022年5月首次被发现,Zscaler 研究人员将其与Zscaler 的Ducktail 行动联系起来 。2022 年 7 月,WithSecure(前身为 F-Secure Business)的研究人员首次分析了DUCKTAIL 活动,该活动针对在 Facebook 的商业和广告平台上运营的个人和组织。 攻击链首先引诱受害者点击虚假 Facebook 个人资料或广告中的 URL,以下载假装有破解软件、游戏、电影等的 ZIP 文件。 打开 ZIP 文件后,将执行加载程序(通常采用合法 C# 应用程序的形式)。该应用程序容易受到 DLL side-loading的攻击,这是一种用于在调用合法应用程序时加载恶意 DLL 的技术。 专家观察到威胁行为者滥用合法应用程序 Western Digital 的 WDSyncService.exe 和 Garmin 的 ElevatedInstaller.exe 来旁加载恶意负载。 最后一个阶段的恶意软件是基于 PHP 的 SYS01stealer 恶意软件,它能够窃取浏览器 cookie 并滥用经过身份验证的 Facebook 会话来窃取受害者 Facebook 帐户中的信息。 最终目标是劫持受害者管理的 Facebook 商业账户。 为了从受害者那里窃取 Facebook 会话 cookie,恶意软件会扫描机器以查找流行的浏览器,包括 Google Chrome、Microsoft Edge、Brave Browser 和 Firefox。对于它找到的每个浏览器,它都会提取所有存储的 cookie,包括任何 Facebook 会话 cookie。 该恶意软件还从受害者的个人 Facebook 帐户中窃取信息,包括姓名、电子邮件地址、出生日期和用户 ID,以及其他数据,例如 2FA 代码、用户代理、IP 地址和地理位置 该恶意软件还能够将文件从受感染的系统上传到 C2 服务器,并执行 C&C 发送的命令。恶意代码还支持更新机制。 “帮助防止 SYS01 窃取者的基本步骤包括实施零信任政策和限制用户下载和安装程序的权利。SYS01 窃取者本质上依赖于社会工程活动,因此培训用户了解对手使用的技巧非常重要,这样他们就知道如何发现他们。” Morphisec 总结道,它还提供了妥协指标 (IoC)。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/SXnDLFpIgEZABFAJEK7MqQ 封面来源于网络,如有侵权请联系删除
美国又一关基行业开展全国网络安全大检查
作为美国白宫保护国家关键基础设施免受民族国家攻击及其他网络威胁侵扰的总体举措之一,联邦政府开始要求各州评估其饮用水系统的网络安全能力。 美国环境保护署(EPA,以下简称环保署)梳理了公共供水系统官员在饮用水保护方面应当采取的步骤,并要求在供水系统的“卫生检查”中强制纳入网络安全评估。 在上周五(3月3日)发布的这些要求前,环保署进行了历时数月的安全调查工作。调查结果显示,虽然许多公共供水系统(PWS)都制定了网络安全计划,但仍有相当一部分系统没有。 环保署负责水资源的助理署长Radhika Fox在一份备忘录中写道,包括公共供水系统在内的美国关键基础设施面临日益增长的攻击威胁,但表现并不理想。这份备忘录名为《在卫生检查或类似过程中解决公共供水系统网络安全问题》。 Fox指出,“如今,公共供水系统经常成为恶意网络活动的目标。安全饮用水的处理和分配,面临着等同甚至高于物理形式攻击的网络风险水平。” “因此需要强调,各州必须在卫生检查期间对供水系统的装置及运行状况进行评估,这将有助于降低供水系统被成功攻击的可能性,并在发生网络事件时提高设施的恢复能力。” 拼凑而成的供水体系 这项调查凸显出美国饮用水供应环境“东拼西凑”的特性。也正是这一特性,导致网络安全标准的制定面临挑战。 根据美国参议院共和党政策委员会去年发布的一份报告,全美约有15.3万个公共饮用水系统,为80%的美国人口提供饮用水资源。 安全软件厂商Tripwire在2022年9月一份报告中表示,美国许多供水系统“规模很小,服务于低密度社区且运营预算有限。供水设施覆盖范围的分散,再加上低预算和专业技术知识不足,意味着其中大量系统已经陈旧过时且缺乏维护。” 令人头疼的不只是供水系统的数量。环保署的Fox表示,过去二十年间,公共供水管理者越来越依赖电子工具来操作其供水系统,但这些电子系统现在极易受到网络攻击影响。 供水与废水系统行业的重要组织水业协调委员会曾在2021年的报告中指出,该行业应当从培训到教育、再到评估和工具,将网络安全视为重中之重。 曾发生过安全事件 2021年,堪萨斯州埃尔斯沃思Post Rock农村水区的一名前雇员面临指控,涉嫌远程访问并试图关闭供水系统。 同年,未知人员远程访问了佛罗里达州奥兹马尔的供水系统,并试图将氢氧化钠含量提高到正常量的100倍以上来毒化水质。 目前,环保署正在敦促所有公共供水系统,要求建立起针对此类攻击的保护措施。 负责网络与新兴技术的副国家安全顾问Anne Neuberger在备忘录中指出,“美国人民应该对自己的供水系统在网络攻击下的恢复能力充满信心。”她还提到,环保署提出的方案预设了灵活空间,供水系统管理员可以通过细节调整在保持安全供应的同时符合自身实际。 命令已经下达 根据环保署的要求,如果公共供水系统在运营当中使用了工业控制系统(ICS)等运营技术,那么作为大规模卫生检查的一部分,评估工作必须涵盖对实践和控制等运营技术的网络安全保护。 如果在网络安全保护中发现“重大缺陷”,例如设计/运营缺陷,水处理、贮存或分配系统故障等,则所在州必须保证公共供水系统解决它。 环保署也为部分组织提供更灵活的回旋空间,具体取决于之前实施的计划,包括允许供水系统运营商对其系统开展自我评估、由第三方负责评估或者由各州进行评估。 环保署还提出通过饮用水州循环基金和大中型饮用水系统基础设施恢复力与可持续性计划等,为公共供水系统提供培训、技术援助和财务支持。 在拜登政府的领导下,网络安全和基础设施安全局(CISA)及其他政府实体一直在努力加强16个关键基础设施领域的网络安全水平,包括化工、石油、电力、天然气和水资源等。这是白宫于2021年启动的工业控制系统网络安全计划的一部分。 这项计划是在此前亲俄黑客团伙DarkSide对科洛尼尔管道运输公司发动勒索软件攻击后制定的,此次攻击导致美国东海岸多个主要市场的燃油供应发生中断。不久后,全球肉类加工公司JBS Foods也遭遇复杂网络攻击,美国、加拿大及澳大利亚的多处设施受到影响。 转自 安全内参,原文链接:https://www.secrss.com/articles/52577 封面来源于网络,如有侵权请联系删除
网电全面中断!这一地区关基设施突发“严重事故”
上周五晚以来,百慕大地区发生大面积停电,并导致该岛的互联网与电话服务无法正常使用。 当地政府称,问题根源是百慕大唯一电力供应商Belco遭遇“严重事故”,并建议客户“拔掉所有敏感的电气设备”,避免工作人员的连夜抢修造成用电器损坏。 百慕大位于北大西洋西部,归属北美洲,是英国的海外自治领土,当地居民约64000人。 电力中断:政府号召民众拔掉电器插头 上周五傍晚,百慕大唯一的电力供应商Belco表示正努力解决这起影响全岛的“大规模断电”。 百慕大政府确认,该电力供应商发生了“严重事故”,并发布了进一步指导意见。 注:百慕大政府获悉Belco发生严重事故,导致全岛停电。Belco目前正在努力恢复供电。 公告还指出,“百慕大安全部长Michael Weeks一直在关注最新进展。” “目前,所有政府办公室均已关闭。这里呼吁公众拔掉敏感设备的电源,后续消息将通过100.1 FM紧急广播(站)进行播报。” 之所以强调拔掉电器插头,是因为停电后经常出现电涌,很可能损坏笔记本电脑、手机、医疗设备等对电压较为敏感的设备。 百慕大政府还要求居民保持道路通畅,并且不要拨打Belco的955热线上报停电问题。 图:百慕大各区域停电示意图 停电影响到互联网与电话服务 报告显示,此次大规模停电影响到百慕大地区的大部分互联网连接,部分客户甚至无法正常拨打电话。 互联网状态监测组织NetBlocks证实,在断电之后数小时,岛上互联网连接已降至正常水平的30%左右。Cloudflare Radar随后也观察到,该地区互联网流量有明显下降。 注:确认!大规模停电导致百慕大大部分地区的互联网连接中断;实时网络数据显示,当地网络连接降至正常水平的30%左右;与此同时,有报道称供电服务商Belco发生一起严重事故。 Belco最新上报的停电地图共涉及4464名客户。截至百慕大当地时间上周五晚8点30分,Belco公司已经为约90%的客户恢复了供电,到晚间9点45分所有线路均已恢复。仍未获得供电的客户现可拨打955热线联系。 到当晚11:00左右,Cloudflare Radar观察到互联网流量水平逐渐恢复正常。 Belco公司总裁Wayne Caines在声明中表示,“我们将员工和公众的安全放在第一位。我也很高兴向大家报告,公司全体员工都受到关注和保护、安全无虞。” 但目前还不清楚,这起神秘的大规模断电事件因何而起。 “对于今天停电造成的不便,我真诚向我们的客户道歉。我们将对此次停电进行根本原因分析,并在适当时发布结果。感谢我们Belco的员工们迅速采取行动,以专业的态度快速安全地恢复了供电。” 2020年12月,Belco也曾遭遇过一次全岛大停电,原因是工作人员在执行标准操作程序时引发了电站设备故障。 转自 安全内参,原文链接:https://www.secrss.com/articles/51617 封面来源于网络,如有侵权请联系删除
关基保护重大事件!能源巨头因遭受勒索攻击影响信用评级
南美洲国家哥伦比亚的能源巨头Empresas Publicas de Medellin (EPM)近日遭到网络攻击。穆迪评级称,这起事件可能影响其信用水平。该事件为关键基础设施行业敲响警钟,提醒相关企业应制定行之有效的缓解措施与漏洞管理计划。 EPM是哥伦比亚最大的公共电力、水与天然气供应商之一。据报道该公司在12月13日遭受勒索软件攻击,导致公司网站、移动应用、支付网关以及内联网运营中断。穆迪称EPM正在努力处置善后工作,但攻击事实可能影响其信用评分。 12月20日,穆迪评级发布报告称,“虽然EPM没有对攻击的严重性发表评论,但勒索软件攻击可能导致运营中断,迫使企业将本该自动执行的流程转为成本更高、速度更慢的手动模式——这会损害其信用评级。” EPM的危机也给电力、天然气和供水等关键基础设施行业敲响了警钟。在2022年的网络热力图中,穆迪确认这些领域将面临极高的网络攻击风险。 穆迪在报告中提到,“这类关键基础设施企业在整体经济中具有重要的系统性作用,也在迅速向服务体系内引入数字技术。但与银行、电信等其他同样面临高攻击风险的行业相比,关基领域的网络防御实践仅处于中等水平。” 根据穆迪的说法,衡量网络防御实践是否健全的关键指标之一,就是补丁修复速度——即相关企业能否在勒索攻击等安全事件期间及时修复已知漏洞。 具体而言,网络安全评级与分析厂商、穆迪合作伙伴BitSight公司的首席风险官Derek Vadala认为,补丁修复速度与遭遇勒索攻击的几率之间存在着很强的相关性。全球最大保险经纪公司威达信集团(Marsh McLennan)在最近的一项独立研究中,也证实了这种相关性。 在网络防御实践方面,EPM在BitSight的近期评级中只得到了“C”,表明该公司沦为攻击目标的可能性相当于评级为“A”的组织的近七倍。 穆迪指出,“虽然还不清楚攻击者如何渗透EPM网络,也必须承认恶意黑客也许并未利用未经补丁修复的系统,但补丁安装速度太慢无疑代表着EPM在现行网安实践方面存在不足之处。” 受此次勒索攻击影响,穆迪公司暂未对EPM做出信用评级。 穆迪高级副总裁Gerry Granovsky表示,穆迪始终关注网络风险带来的长期影响。如果风险确对业务运营产生持续压力,则穆迪可能会下调组织评级。 转自 安全内参,原文链接:https://www.secrss.com/articles/50449 封面来源于网络,如有侵权请联系删除
思科智能安装协议遭到滥用,数十万关键基础设施倍感压力
外媒 4 月 6 日消息,思科发布安全公告称其智能安装(SMI)协议遭到滥用,数十万设备在线暴露。目前一些研究人员已经报告了用于智能安装客户端(也称为集成分支客户端(IBC))的智能安装协议可能会允许未经身份验证的远程攻击者更改启动配置文件并强制重新加载设备,在设备上加载新的 IOS 映像,以及在运行 Cisco IOS 和 IOS XE 软件的交换机上执行高权限 CLI 命令。 根据思科的说法,他们发现试图检测设备的互联网扫描量大幅增加,因为这些设备在完成安装后,其智能安装功能仍处于启用状态,并且没有适当的安全控制,以至于很可能容易让相关设备误用该功能。思科不认为这是 Cisco IOS,IOS XE 或智能安装功能本身中的漏洞,而是由于不要求通过设计进行身份验证的智能安装协议造成的。思科表示已经更新了“ 智能安装配置指南”,其中包含有关在客户基础设施中部署思科智能安装功能的最佳安全方案。 在 3 月底,思科修补了其 IOS 软件中的 30 多个漏洞,包括影响 Cisco IOS 软件和 Cisco IOS XE 软件智能安装功能的 CVE-2018-0171 漏洞。未经身份验证的远程攻击者可利用此漏洞重新加载易受攻击的设备或在受影响的设备上执行任意代码。 思科发布的安全公告显示该漏洞是由于分组数据验证不当造成的,攻击者可以通过向 TCP 端口 4786 上的受影响设备发送制作好的智能安装(SMI)协议来利用此漏洞。 目前专家已经确定了约 250,000 个具有 TCP 端口 4786 的易受攻击的思科设备。思科最近进行的一次扫描发现,有 168,000 个系统在线暴露。 思科安全公告: 《Cisco Smart Install Protocol Misuse》 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。