【秦安點評】網路空間風乍起,於無聲處聽驚雷。網路安全既是國家安全問題,也是重大民生問題,秦安戰略頭條號邀請專業人士,專門推出《網空閒話》專題,深度剖析網路空間蘊含的新質生產力、文化力、國防力,把新領域的熱點、焦點、難點問題,與大家的生活、工作、學習聯絡起來,有助於做好網路安全知識普及和網路強國意識提升,讓大家在網路空間新時代有更多獲得感、幸福感、安全感。
今日摘要
1、比利時和荷蘭多個港口遭遇網路攻擊
2、美《供應鏈安全培訓法》出臺
3、針對Wormhole的駭客攻擊導致超過3億美元的加密貨幣損失
4、五角大樓標定發展中的科技戰略的關鍵要素
5、在ICS環境中使用的Sealevel公司的裝置中發現了嚴重漏洞
6、思科修復了RV路由器中的5個關鍵漏洞
7、全球網路安全人才缺口達272萬
8、白宮推出新的量子科學教育計劃
01 比利時和荷蘭多個港口遭遇網路攻擊
訊息人士當地時間3日證實,西歐一些最大港口的石油碼頭已成為網路攻擊的受害者。比利時檢察官已對該國港口的石油設施遭到駭客攻擊展開調查,其中包括僅次於鹿特丹的歐洲第二大港口安特衛普。據一位專業經紀人稱,駭客攻擊正在影響幾個歐洲港口,並擾亂了已經緊張的石油市場上的駁船卸貨。鹿特丹Riverlake的高階經紀人Jelle Vreeman表示,好多個碼頭都發生了網路攻擊,相當多的碼頭遭到破壞。軟體被劫持,無法處理駁船。系統已經關閉。德國也受到攻擊,歐洲刑警組織表示已向當局提供支援。歐洲刑警組織發言人克萊爾喬治斯稱,現階段調查正在進行中,處於敏感階段。主要受害者之一似乎是阿姆斯特丹-鹿特丹-安特衛普石油交易中心,公司的IT系統受到了攻擊。據比利時日報De Morgen報道,在安特衛普擁有儲存設施的SEA-Tank Terminal受到網路攻擊的影響。
02 美《供應鏈安全培訓法》出臺
美國監督與改革委員會2日批准了《供應鏈安全培訓法》,旨在改善聯邦政府的運營和招聘實踐。它還通過了2022年聯邦資訊保安現代化法案,加強了聯邦機構的網路安全。根據該法案的規定,它要求總務署署長在法案頒佈後的六個月內,透過聯邦採購研究所,為聯邦機構負責供應鏈風險管理的官員制定培訓計劃。培訓計劃應旨在使相關人員做好準備,以執行供應鏈風險管理活動,並識別和減輕整個採購生命週期中出現的供應鏈安全威脅,包括資訊和通訊技術的採購。
03 針對Wormhole的駭客攻擊導致超過3億美元的加密貨幣損失
區塊鏈橋 Wormhole 證實,在週三發現的駭客攻擊後,價值約 3.2 億美元的加密貨幣被盜。Wormhole是連線各種區塊鏈的橋樑,包括Ethereum、Solana、Terra、Binance Smart Chain、Polygon、Avalanche和Oasis。它的主要功能之一是一個代幣橋,它允許使用者在這些區塊鏈之間橋接打包的資產。2日,Wormhole網路已被關閉“進行維護”,因為它已經開始調查潛在的漏洞利用。攻擊者利用了一個漏洞(該漏洞早先已釋出補丁),在Solana區塊鏈上鑄造了120,000個包裹的以太坊(wETH),其中大部分隨後轉移到了以太坊區塊鏈。在攻擊發生時,這120,000個wETH的價值約為 3.2 億美元。
04 美五角大樓標定發展中的科技戰略的關鍵要素
當地時間3日,DOD釋出了由負責研究與工程的國防部副部長和國防部首席技術官Heidi Shyu 撰寫的備忘錄--競爭時代的技術願景,展望了即將到來的國防科技戰略及其發展。備忘錄中列出了三大類14個“關鍵技術領域”,這些領域將隨著能力和防禦策略的發展而更新。主要有新興機會的種子領域:生物技術、量子科學、下一代無線技術(或 FutureG)和先進材料;有效的應用領域:可信人工智慧和自治、整合網路系統、微電子、空間技術、可再生能源發電和儲存、高階計算和軟體以及人機介面;國防特定領域:定向能武器和系統、高超音速以及綜合感測和網路。DOD認為重點任務、基礎建設和團隊合作是該科技戰略的三個支柱。
05 在ICS環境中使用的Sealevel公司的裝置中發現了嚴重漏洞
思科的Talos安全研究人員公佈了SeaConnect 370W WiFi連線的邊緣裝置中解決的一系列關鍵漏洞的詳細資訊。新披露的漏洞中最嚴重的是三個被評為“嚴重”的緩衝區溢位問題,可以利用這些漏洞在易受攻擊的裝置上實現遠端程式碼執行。SeaConnect 370W暴露的LLMNR和 NBNS域名解析服務中發現了兩個漏洞,CVE-2021-21960和CVE-2021-21961,CVSS評分達到10分。第三個嚴重缺陷SeaConnect 370W的OTA更新“u-download”功能中發現的基於堆的緩衝區溢位,CVSS評分9.0,編號為CVE-2021-21962。另外還有4個評分稍低的漏洞。思科指出,他們已與Sealevel合作,以確保正確解決所有已識別的漏洞。
06 思科修復了RV路由器中的5個關鍵漏洞
思科針對小型企業 RV 系列路由器平臺中的多個漏洞釋出了補丁,這些漏洞可能允許遠端攻擊者在許多情況下無需身份驗證即可完全控制裝置。這些安全更新總共修復了15個漏洞,其中5 被評為嚴重,因為威脅行為者可以使用它們獲得“root”許可權或在裝置上遠端執行命令。根據公告,利用這些漏洞的攻擊者可以執行任意程式碼、提升許可權、執行命令、繞過身份驗證保護、檢索和執行未簽名的軟體,並導致拒絕服務(DoS)。思科“產品安全事件響應團隊 (PSIRT)表示,他們知道可用於這些更新中修復的多個漏洞的概念驗證漏洞利用程式碼。
07 全球網路安全人才缺口達272萬
根據(ISC)²2021年網路安全勞動力研究,儘管2021年有超過700,000名專業人士加入了該領域,但全球網路安全勞動力缺口仍為272萬。網路安全人員短缺會產生現實後果,包括更多的資料洩露和資料盜竊。然而,真正的影響更為細微——對於組織和國家的網路防禦而言更為基礎。研究採用了NICE框架,該框架描述了常見網路安全工作職能的七個高階組、30多個不同的專業領域和50多個詳細的工作角色。網路安全專業人員認為勞動力需求最迫切的三大職能領域:安全配置(48%)、分析(47%)以及保護和防禦(47%)。普遍認為,以人為本的方法,輔以流程和技術,是縮小人才差距的最佳途徑。
08 白宮推出新的量子科學教育計劃
白宮科技政策辦公室宣佈了一項新舉措,以補充其量子計算研發工作,重點是改進先進技術教育和推廣。國家量子資訊科技人才發展戰略規劃近日正式公佈。該國家計劃由行政部門制定,廣泛旨在幫助培養必要的勞動力人才,以跟上量子科學領域不斷增長的工作崗位。該計劃中包含的一項關鍵戰略是增加高中和本科生的參與以及獲得STEM和量子科學教育的機會。目標是培養年輕一代的熟悉度和熱情,然後在政府、學術界或私營部門從事職業。雖然該計劃強調教育舉措,但它還包括研究更廣泛的量子科研人才以衡量趨勢和機會。美國國家科學基金會專案主任Durakiewicz表示,戰略計劃的目標是總結美國量子資訊科學和技術勞動力的現狀,為美國政府提出建議,併為學術界、工業界和更廣泛的生態系統中的其他利益相關者討論機會。
