針對(duì)電力行業(yè)的網(wǎng)絡(luò)入侵和攻擊數(shù)量正在增加，2020年Dragos確定了三個(gè)針對(duì)電力行業(yè)的新活動(dòng)組織(AG)：TALONITE、KAMACITE和STIBNITE。此外，供應(yīng)鏈風(fēng)險(xiǎn)和勒索軟件攻擊繼續(xù)對(duì)電力公用事業(yè)運(yùn)營(yíng)造成入侵和破壞性影響。通過(guò)分析Dragos的《全球電力網(wǎng)絡(luò)威脅視角》報(bào)告，可以深入了解更多關(guān)于電力威脅的情況，以及防護(hù)這些威脅挑戰(zhàn)的建議。

[[432253]]

網(wǎng)絡(luò)攻擊造成的電力中斷事件可能發(fā)生在電力系統(tǒng)運(yùn)行的各個(gè)地點(diǎn)，如控制中心、調(diào)度中心，或整個(gè)組織服務(wù)區(qū)域內(nèi)的發(fā)電、輸電或配電環(huán)境中。對(duì)電力系統(tǒng)的攻擊，就像對(duì)其他關(guān)鍵基礎(chǔ)設(shè)施部門的攻擊一樣，可以進(jìn)一步實(shí)現(xiàn)攻擊者的政治、經(jīng)濟(jì)和國(guó)家安全目標(biāo)。隨著攻擊者及其運(yùn)營(yíng)者投入更多的精力和資金來(lái)獲得破壞性能力，電力行業(yè)遭受破壞性或破壞性攻擊的風(fēng)險(xiǎn)顯著增加。

在世界許多地區(qū)，電力部門在安全投資方面領(lǐng)先于其他工業(yè)部門。雖然安全投資歷來(lái)集中在企業(yè)信息技術(shù)(IT)網(wǎng)絡(luò)上，但運(yùn)營(yíng)技術(shù)(OT)安全方面正在取得重大進(jìn)展。例如，在北美，電力部門十多年來(lái)一直致力于通過(guò)董事會(huì)級(jí)決策、GridEx、北美電力可靠性公司(NERC)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)(CIP)標(biāo)準(zhǔn)等準(zhǔn)備工作來(lái)應(yīng)對(duì)網(wǎng)絡(luò)威脅。以及近期白宮與能源部合作制定的100天行動(dòng)計(jì)劃，這項(xiàng)行動(dòng)計(jì)劃的重點(diǎn)是提高OT在ICS網(wǎng)絡(luò)中的可視性、檢測(cè)和響應(yīng)能力。

隨著電力行業(yè)開(kāi)始比以往任何時(shí)候都更加引人注目，企業(yè)必須在此之前做好準(zhǔn)備。本報(bào)告提供了截至2021年6月的威脅概況。

一、電力行業(yè)概述

電力系統(tǒng)包括發(fā)電、輸電及配電，電力系統(tǒng)是復(fù)雜的、有彈性的、相互連接的。例如在北美，電力系統(tǒng)由四個(gè)互連部分組成：東部、西部、德克薩斯電力可靠性委員會(huì)(ERCOT)和魁北克。在歐洲，輸電系統(tǒng)網(wǎng)絡(luò)由歐洲輸電系統(tǒng)運(yùn)營(yíng)商網(wǎng)絡(luò)(ENTSO-E)運(yùn)營(yíng)。在澳大利亞，輸電網(wǎng)絡(luò)系統(tǒng)由澳大利亞能源市場(chǎng)運(yùn)營(yíng)商(AEMO)運(yùn)營(yíng)，運(yùn)營(yíng)西澳大利亞的批發(fā)電力市場(chǎng)(WEM)和覆蓋全國(guó)其他地區(qū)的國(guó)家能源市場(chǎng)(NEM)。這些系統(tǒng)依次由許多地方電網(wǎng)互聯(lián)而成。

這種互連模式使互連內(nèi)部的電力流動(dòng)安全可靠，并允許通過(guò)直接連接(DC)在互連之間進(jìn)行一些直流連接線。這種設(shè)計(jì)允許在互連中通過(guò)多個(gè)路徑發(fā)生功率流，并在互連中包含頻率干擾。工程方法提供冗余，防止完全崩潰，并在緊急操作期間提供了許多好處。然而，盡管該系統(tǒng)具有相當(dāng)?shù)膹椥裕鋸?fù)雜性一直在顯著增加，因此這種相互聯(lián)系和依賴可能實(shí)際上會(huì)降低其彈性，而在面對(duì)確定的網(wǎng)絡(luò)威脅時(shí)，這種彈性在很大程度上仍有待檢驗(yàn)。

電力公司有相應(yīng)的流程，可以在其他實(shí)體遭遇風(fēng)暴、火災(zāi)或網(wǎng)絡(luò)攻擊等影響其服務(wù)領(lǐng)域的事件時(shí)向其提供互助。區(qū)域互助組織和行業(yè)伙伴關(guān)系可以共享資源，并在破壞性或破壞性事件發(fā)生后實(shí)現(xiàn)穩(wěn)定和可靠性。為了響應(yīng)實(shí)時(shí)事件，電力公司制定了明確的緊急操作程序，以在運(yùn)行條件惡化時(shí)控制和定位電力系統(tǒng)，包括降低負(fù)荷、服務(wù)中斷、甩負(fù)荷和電力系統(tǒng)恢復(fù)行動(dòng)的公共呼吁。

在美國(guó)、加拿大和墨西哥部分地區(qū)注冊(cè)執(zhí)行特定可靠性任務(wù)的電力實(shí)體，必須遵守由NERC-CIP標(biāo)準(zhǔn)制定的網(wǎng)絡(luò)安全法規(guī)。墨西哥的電網(wǎng)系統(tǒng)由能源監(jiān)管委員會(huì)(CRE)監(jiān)管。該委員會(huì)在可靠性方面與NERC合作，并為墨西哥的電力實(shí)體定義網(wǎng)絡(luò)安全規(guī)則。

在全球范圍內(nèi)，網(wǎng)絡(luò)安全法規(guī)或指南有所不同，但許多國(guó)家依賴國(guó)際電工委員會(huì)(IEC)和國(guó)際標(biāo)準(zhǔn)化組織(ISO)制定的標(biāo)準(zhǔn)。ISO和IEC聯(lián)合技術(shù)委員會(huì)(JTC1)為包括核電和電力設(shè)施在內(nèi)的操作技術(shù)(OT)設(shè)備制定網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。歐洲和澳大利亞也制定了類似的框架，分別是網(wǎng)絡(luò)和信息系統(tǒng)安全指令(NIS-D)和澳大利亞能源部門網(wǎng)絡(luò)安全框架(AESCSF)。

盡管還沒(méi)有被強(qiáng)制執(zhí)行，但對(duì)于關(guān)鍵基礎(chǔ)設(shè)施而言，它們的級(jí)別更高，而不是完全與電力有關(guān)。遵守網(wǎng)絡(luò)安全法規(guī)和最佳實(shí)踐，確保維持最低水平的網(wǎng)絡(luò)安全，從而使電力設(shè)施在ICS行業(yè)中獨(dú)樹(shù)一幟。

二、電力運(yùn)營(yíng)部門威脅

在電力到達(dá)客戶之前，它要經(jīng)過(guò)多個(gè)步驟，包括發(fā)電、輸電和配電。電力由化石燃料、核能或可再生能源等能源在發(fā)電設(shè)施(通常稱為發(fā)電廠)中產(chǎn)生。輸電系統(tǒng)將電力從發(fā)電廠遠(yuǎn)距離輸送到配電變電站，從那里分發(fā)給客戶。輸電和配電系統(tǒng)包括變電站，其中變壓器用于提高或降低電壓水平，以便向工業(yè)、商業(yè)和住宅客戶提供適當(dāng)?shù)姆?wù)。

圖1 電力分配

1. 發(fā)電

Dragos評(píng)估，至少有五個(gè)威脅組織(AGs)證明有滲透或破壞發(fā)電的意圖或能力。XENOTIME已經(jīng)展示了在工業(yè)環(huán)境中訪問(wèn)、操作和實(shí)施攻擊的能力。Dragos評(píng)估，該組織將有能力對(duì)其破壞性工作進(jìn)行重組，并將其重點(diǎn)放在電力設(shè)施上，因?yàn)樗呀?jīng)瞄準(zhǔn)了安全儀表系統(tǒng)，如Triconex，它是發(fā)電行業(yè)的支柱。DYMALLOY展示了在發(fā)電設(shè)施中訪問(wèn)OT網(wǎng)絡(luò)的能力，并獲得敏感ICS數(shù)據(jù)的屏幕截圖，包括人機(jī)界面(HMI)的屏幕截圖。ALLANITE也是對(duì)發(fā)電的威脅，因?yàn)樗cDYMALLOY在目標(biāo)定位和能力方面有一些相似之處。到目前為止，這兩個(gè)組織都沒(méi)有展示出干擾或破壞ICS的能力，只是專注于一般偵察。

WASSONITE積極瞄準(zhǔn)亞洲的關(guān)鍵基礎(chǔ)設(shè)施，包括核能發(fā)電，并在至少一個(gè)核電廠的管理系統(tǒng)中成功部署惡意軟件。盡管沒(méi)有證據(jù)表明它成功地滲透了運(yùn)營(yíng)網(wǎng)絡(luò)。雖然威脅組織尚未顯示出任何特定于ICS的能力或破壞性意圖，但迄今為止的行動(dòng)表明，對(duì)這些資源的興趣持續(xù)不斷。最后，觀察到STIBNITE專門針對(duì)阿塞拜疆發(fā)電的風(fēng)力渦輪機(jī)公司。根據(jù)目前的收集工作，該活動(dòng)似乎僅限于阿塞拜疆。STIBNITE在其入侵操作中使用PoetRAT遠(yuǎn)程訪問(wèn)惡意軟件在受害者系統(tǒng)上收集信息、截圖、傳輸文件和執(zhí)行命令。該活動(dòng)反映了Dragos在許多AGs中觀察到的結(jié)果，這些威脅組織攻擊ICS的意圖存在，即使針對(duì)ICS的特定能力尚未顯現(xiàn)。

以ICS為攻擊目標(biāo)的威脅者并沒(méi)有成功地?cái)_亂電力生產(chǎn)。Dragos觀察到的針對(duì)這部分的活動(dòng)，包括獲取敏感行動(dòng)網(wǎng)絡(luò)的文件，可能被用于間諜目的或促進(jìn)破壞性攻擊。

2. 輸電

至少有兩個(gè)AGs對(duì)傳輸操作構(gòu)成威脅。ELECTRUM是一種資源豐富的AG，具有中斷電力傳輸?shù)哪芰?。Dragos評(píng)估KAMACITE作為ELECTRUM的初始訪問(wèn)和促進(jìn)小組。

ELECTRUM對(duì)2016年12月在烏克蘭基輔發(fā)生的CRASHOVERRIDE惡意軟件攻擊負(fù)責(zé)。攻擊者定制了惡意軟件，通過(guò)打開(kāi)和關(guān)閉電力系統(tǒng)中用于輸送電力的多個(gè)斷路器來(lái)切斷傳輸級(jí)變電站的電源，并確保操作員、電源線和設(shè)備的安全。這次攻擊顯示了對(duì)傳輸環(huán)境和使用的工業(yè)協(xié)議的深刻理解，使攻擊者能夠針對(duì)特定目標(biāo)定制惡意軟件。

雖然此次攻擊發(fā)生在歐洲，但類似的網(wǎng)絡(luò)攻擊也有可能發(fā)生在世界其他地區(qū)，并對(duì)目標(biāo)環(huán)境中的不同工業(yè)協(xié)議、設(shè)備和網(wǎng)絡(luò)拓?fù)溥M(jìn)行修改。例如，攻擊目標(biāo)斷路器操作由遵守IEC 6185029標(biāo)準(zhǔn)的ABB設(shè)備控制，并使用制造信息規(guī)范(MMS)協(xié)議進(jìn)行通信。攻擊還可以被用于符合這些標(biāo)準(zhǔn)的其他設(shè)備。

3. 配電

2015年12月23日，KAMACITE在烏克蘭發(fā)動(dòng)了首次網(wǎng)絡(luò)攻擊造成的大范圍停電。攻擊者利用惡意軟件獲得了對(duì)三家電力配電公司的遠(yuǎn)程訪問(wèn)，利用目標(biāo)環(huán)境的配電管理系統(tǒng)執(zhí)行系統(tǒng)操作，并擾亂了大約23萬(wàn)人的電力供應(yīng)。經(jīng)過(guò)人工操作，幾小時(shí)后電力才完全恢復(fù)。

與ELECTRUM相反，KAMACITE在2015年烏克蘭事件中沒(méi)有使用ICS特定的惡意軟件，它通過(guò)操作環(huán)境中的現(xiàn)有工具遠(yuǎn)程控制操作。AGs展示的行為和工具使用，包括KAMACITE和ELECTRUM，可以根據(jù)威脅行為者的重點(diǎn)部署在全球分銷業(yè)務(wù)中。

在整個(gè)發(fā)電、輸電和配電過(guò)程中的任何一點(diǎn)電力中斷，都需要攻擊者對(duì)企業(yè)和運(yùn)營(yíng)環(huán)境、使用的設(shè)備以及如何操作專門設(shè)備有基本的了解。攻擊者必須在目標(biāo)環(huán)境中花費(fèi)很長(zhǎng)一段時(shí)間學(xué)習(xí)控制系統(tǒng)的細(xì)節(jié)，以成功地實(shí)施破壞電力服務(wù)的攻擊，而防御者在潛在的攻擊鏈上有多個(gè)機(jī)會(huì)檢測(cè)并消除攻擊者的訪問(wèn)。

三、當(dāng)前面臨的威脅現(xiàn)狀

1. 勒索軟件

Dragos觀察到，影響ICS環(huán)境和操作的非公開(kāi)和公開(kāi)勒索軟件事件數(shù)量顯著增加。根據(jù)Dragos和IBM Security X-Force跟蹤的數(shù)據(jù)，2018年至2020年，發(fā)生在工業(yè)和相關(guān)實(shí)體上的勒索軟件攻擊中有10%是以電力設(shè)施為攻擊目標(biāo)。這是僅次于制造業(yè)的第二大目標(biāo)產(chǎn)業(yè)。盡管大多數(shù)影響ICS和相關(guān)實(shí)體的勒索軟件都是以IT為中心的，但如果勒索軟件能夠由于不適當(dāng)?shù)陌踩僮鞫鴱浐螴T/OT差距，則勒索軟件可能會(huì)對(duì)運(yùn)營(yíng)產(chǎn)生破壞性影響。Dragos發(fā)現(xiàn)多個(gè)勒索軟件采用ICS感知功能，包括在環(huán)境中發(fā)現(xiàn)時(shí)可以殺死以工業(yè)為中心的計(jì)算機(jī)進(jìn)程的能力，活動(dòng)可追溯到2019年。EKANS、MEGACORTEX和CL0P只是包含這類代碼的幾個(gè)勒索軟件變種。EKANS和其他ICS勒索軟件代表了一種獨(dú)特的和特定的風(fēng)險(xiǎn)，工業(yè)操作以前沒(méi)有觀察到的勒索軟件操作。

勒索軟件運(yùn)營(yíng)商越來(lái)越多地將數(shù)據(jù)盜竊技術(shù)納入其活動(dòng)，以進(jìn)一步索要贖金。攻擊者可能會(huì)在加密受感染的機(jī)器之前竊取目標(biāo)公司的數(shù)據(jù)，并威脅在如果不支付贖金，就會(huì)在威脅者運(yùn)營(yíng)的網(wǎng)站或黑客論壇上公布這些數(shù)據(jù)。黑客竊取或泄露的數(shù)據(jù)可能包含目標(biāo)公司的敏感信息及其客戶信息。盡管勒索軟件攻擊者可能只對(duì)利用數(shù)據(jù)用于財(cái)務(wù)目的感興趣，但對(duì)專門針對(duì)電力行業(yè)感興趣的黑客可以使用泄漏的數(shù)據(jù)來(lái)幫助開(kāi)發(fā)攻擊。例如，黑客可以使用客戶數(shù)據(jù)來(lái)確定第三方或供應(yīng)鏈的潛在風(fēng)險(xiǎn)，或者使用示意圖、網(wǎng)絡(luò)圖或其他內(nèi)部文檔等數(shù)據(jù)來(lái)確定運(yùn)營(yíng)收益目標(biāo)。

勒索軟件不僅僅適用于有經(jīng)濟(jì)動(dòng)機(jī)的運(yùn)營(yíng)商。國(guó)家支持的攻擊者也可能在網(wǎng)絡(luò)行動(dòng)中利用勒索軟件。2020年5月，中國(guó)臺(tái)灣政府將針對(duì)石油、天然氣和半導(dǎo)體公司的勒索事件歸咎于Winnti組織。

ICS環(huán)境中破壞性惡意軟件的潛在風(fēng)險(xiǎn)之一由historian技術(shù)表示，因?yàn)閔istorian部署的架構(gòu)通常是連接IT網(wǎng)段中的只讀historian和OT網(wǎng)絡(luò)中的plant historian之間的通信。此外，除非記錄在歷史記錄中，否則傳感器數(shù)據(jù)是短暫的，對(duì)其數(shù)據(jù)的破壞性攻擊如果得不到很好的保護(hù)，可能會(huì)導(dǎo)致無(wú)法挽回的損失。

2. 互聯(lián)網(wǎng)資產(chǎn)風(fēng)險(xiǎn)

暴露于互聯(lián)網(wǎng)的工業(yè)和網(wǎng)絡(luò)資產(chǎn)是電力公司的重大網(wǎng)絡(luò)風(fēng)險(xiǎn)。各種以ICS為攻擊目標(biāo)的組織，包括PARISITE、MAGNALLIUM、ALLANITE和XENOTIME，以前都曾瞄準(zhǔn)或目前試圖利用遠(yuǎn)程訪問(wèn)技術(shù)或登錄基礎(chǔ)設(shè)施。

《2020 Dragos年度回顧報(bào)告》詳細(xì)介紹了從事件響應(yīng)和服務(wù)團(tuán)隊(duì)吸取的經(jīng)驗(yàn)教訓(xùn)，根據(jù)該報(bào)告，100%的事件響應(yīng)案例涉及黑客直接從互聯(lián)網(wǎng)訪問(wèn)ICS網(wǎng)絡(luò)，有33%的組織有可路由網(wǎng)絡(luò)連接到他們的運(yùn)營(yíng)環(huán)境。

2020年7月，美國(guó)國(guó)土安全部網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)和國(guó)家安全局(NSA)發(fā)布了一份警告，鼓勵(lì)資產(chǎn)所有者和運(yùn)營(yíng)商立即采取行動(dòng)，限制OT資產(chǎn)暴露于互聯(lián)網(wǎng)。根據(jù)警報(bào)，最近在發(fā)布前觀察到的行為包括：

• 先發(fā)制人，在轉(zhuǎn)向OT之前獲得信息技術(shù)(IT)的初步訪問(wèn);
• 部署商用勒索軟件以影響IT和OT環(huán)境;
• 連接到無(wú)需認(rèn)證的互聯(lián)網(wǎng)可訪問(wèn)可編程邏輯控制器(PLC);
• 使用公共端口和標(biāo)準(zhǔn)應(yīng)用層協(xié)議與控制器通信，并下載修改后的控制邏輯;
• 使用供應(yīng)商工程軟件和程序下載;
• 修改PLC上的控制邏輯和參數(shù)。

攻擊者迅速武器化并利用面向互聯(lián)網(wǎng)的服務(wù)中的漏洞，包括遠(yuǎn)程桌面協(xié)議(RDP)和VPN服務(wù)。2020年夏季發(fā)現(xiàn)的影響關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施服務(wù)中的新漏洞，包括F5、Palo Alto Networks、Fortinet、Citrix和Juniper網(wǎng)絡(luò)設(shè)備，很可能會(huì)被ICS目標(biāo)黑客利用。這些漏洞可使黑客獲得對(duì)企業(yè)運(yùn)營(yíng)的初始訪問(wèn)權(quán)限，并可能轉(zhuǎn)移到工業(yè)運(yùn)營(yíng)。

3. 供應(yīng)鏈威脅

攻擊者可以濫用現(xiàn)有的信任關(guān)系和互連來(lái)訪問(wèn)敏感資源，并在某些情況下包括系統(tǒng)，而且?guī)缀醪豢赡鼙粰z測(cè)到。

2020年12月，火眼公布了一項(xiàng)大規(guī)模供應(yīng)鏈威脅行動(dòng)的首批細(xì)節(jié)，該行動(dòng)影響了全球的公司和政府，包括電力公司。黑客利用名為SolarWinds的IT管理軟件，獲得了數(shù)千個(gè)使用該軟件的組織的權(quán)限。

值得關(guān)注的是，許多集成商和原始設(shè)備制造商(OEM)在OT網(wǎng)絡(luò)和維護(hù)鏈路中使用SolarWinds。至少有兩家全球原始設(shè)備制造商(OEM)使用了被泄露的SolarWinds軟件，通過(guò)維護(hù)鏈接直接進(jìn)入ICS網(wǎng)絡(luò)，包括渦輪機(jī)控制軟件。攻擊者可以很容易地利用這種訪問(wèn)來(lái)造成重大破壞。

該活動(dòng)是有史以來(lái)公開(kāi)確定的最大的供應(yīng)鏈危害事件之一，并強(qiáng)調(diào)了通過(guò)運(yùn)營(yíng)環(huán)境中的軟件、固件或第三方集成引入環(huán)境的潛在風(fēng)險(xiǎn)。

但軟件更新并不是供應(yīng)鏈入侵中唯一可能被濫用的潛在進(jìn)入載體。2021年4月，Dragos發(fā)現(xiàn)了一家與歐洲電力行業(yè)客戶有重大聯(lián)系的南亞集成電路供應(yīng)商遭到入侵。原始設(shè)備制造商(OEM)、供應(yīng)商和第三方承包商對(duì)企業(yè)和ICS運(yùn)營(yíng)至關(guān)重要。發(fā)電、輸電和配電中的眾多供應(yīng)商或承包商接觸點(diǎn)，可以通過(guò)受損或安全性較差的直接網(wǎng)絡(luò)連接，提供進(jìn)入電力公用事業(yè)環(huán)境入口。

DYMALLOY、ALLANITE和XENOTIME已使用供應(yīng)鏈破壞方法獲得受害者網(wǎng)絡(luò)的訪問(wèn)權(quán)。DYMALLOY和ALLANITE在針對(duì)電力行業(yè)的后續(xù)網(wǎng)絡(luò)釣魚活動(dòng)中損害了供應(yīng)商和承包商的利益。XENOTIME在2018年損害了多家ICS供應(yīng)商和制造商，提供了潛在的供應(yīng)鏈威脅機(jī)會(huì)，并提供了可供供應(yīng)商訪問(wèn)的目標(biāo)ICS網(wǎng)絡(luò)。

四、系統(tǒng)性威脅

電力行業(yè)以各種形式支持所有關(guān)鍵基礎(chǔ)設(shè)施垂直行業(yè)，電力中斷可能會(huì)對(duì)制造業(yè)、采礦作業(yè)或海水淡化等其他行業(yè)產(chǎn)生連鎖和破壞性影響。

此外，大型制造企業(yè)也正在成為可再生能源供應(yīng)商，這些發(fā)電廠向所有制造廠供電。其中一個(gè)設(shè)施的中斷可能會(huì)導(dǎo)致整個(gè)公司的生產(chǎn)運(yùn)營(yíng)中斷。

全球許多國(guó)家(尤其是中東)依靠部分水的淡化操作。設(shè)施可以通過(guò)能源密集型工藝將鹽水轉(zhuǎn)化為飲用水。據(jù)國(guó)際能源署稱，膜式脫鹽需要大量電力，是世界上最常見(jiàn)的脫鹽技術(shù)。支持海水淡化工作的電力運(yùn)行中斷可能會(huì)限制飲用水的生產(chǎn)。

采礦作業(yè)也需要消耗大量能源。在美國(guó)，大約32%的采礦業(yè)能源是電力。在澳大利亞，電力系統(tǒng)為該國(guó)采礦業(yè)提供了21%的能源。電能支持鉆井和材料搬運(yùn)作業(yè)，如果發(fā)電、輸電或配電受到網(wǎng)絡(luò)攻擊，這些作業(yè)可能會(huì)中斷，特別是在支持采礦作業(yè)的現(xiàn)場(chǎng)發(fā)電設(shè)施。

五、防范建議

資產(chǎn)所有者和運(yùn)營(yíng)商可以實(shí)施以下基于主機(jī)和網(wǎng)絡(luò)的建議，以改進(jìn)對(duì)ICS目標(biāo)群體的檢測(cè)和防御。

(1) 訪問(wèn)限制和賬戶管理

限制域內(nèi)的管理訪問(wèn)，限制域管理員的數(shù)量，并將網(wǎng)絡(luò)管理員、服務(wù)器管理員、工作站管理員和數(shù)據(jù)庫(kù)管理員分離到單獨(dú)的組織單元(OU)中。身份是防御的關(guān)鍵。

確保所有設(shè)備和服務(wù)不使用默認(rèn)憑據(jù)。如果可能，請(qǐng)不要使用硬編碼憑據(jù)。監(jiān)視任何無(wú)法刪除或禁用的硬編碼方法。僅限必要人員使用設(shè)備。在所有應(yīng)用程序、服務(wù)和設(shè)備中實(shí)現(xiàn)最小特權(quán)原則，以確保個(gè)人只能訪問(wèn)履行職責(zé)所需的資源。這包括確保應(yīng)用層服務(wù)，如文件共享和云存儲(chǔ)服務(wù)被正確劃分。按照普渡模式，網(wǎng)絡(luò)連接在繼續(xù)進(jìn)行不同層次之前應(yīng)該被終止。

(2) 可訪問(wèn)性

識(shí)別控制系統(tǒng)網(wǎng)絡(luò)中的入口和出口路由并對(duì)其進(jìn)行分類。這包括工程師和管理員遠(yuǎn)程訪問(wèn)門戶，也包括需要訪問(wèn)IT資源或更廣泛的互聯(lián)網(wǎng)的商業(yè)智能和許可服務(wù)器鏈接等項(xiàng)目。通過(guò)防火墻規(guī)則或其他方法限制這些類型的連接，以確保最大限度地減少攻擊面。

(3) 響應(yīng)計(jì)劃

制定、審查和實(shí)踐網(wǎng)絡(luò)攻擊響應(yīng)計(jì)劃，并將網(wǎng)絡(luò)調(diào)查整合到所有事件的根本原因分析中。

(4) 分段

在可能的情況下，對(duì)網(wǎng)絡(luò)進(jìn)行分段和隔離，以限制橫向移動(dòng)。這可以通過(guò)防火墻或訪問(wèn)控制列表(ACL)輕松實(shí)現(xiàn)，組織可以通過(guò)虛擬劃分網(wǎng)絡(luò)并減少攻擊面，同時(shí)限制攻擊者移動(dòng)。

(5) 第三方

確保第三方連接和ICS交互以“信任但驗(yàn)證”的心態(tài)進(jìn)行監(jiān)控和記錄。在可能的情況下，隔離或創(chuàng)建用于此類訪問(wèn)的隔離區(qū)(DMZ)，以確保第三方無(wú)法完全、不受限制或不受監(jiān)控地訪問(wèn)整個(gè)ICS網(wǎng)絡(luò)。盡可能實(shí)施跳轉(zhuǎn)主機(jī)、堡壘主機(jī)和安全遠(yuǎn)程身份驗(yàn)證方案等功能。建議使用威脅信息和由此產(chǎn)生的復(fù)雜分析來(lái)應(yīng)對(duì)供應(yīng)鏈網(wǎng)絡(luò)風(fēng)險(xiǎn)。

(6) 可見(jiàn)性

對(duì)ICS/OT環(huán)境采取全面的可見(jiàn)性方法，以確保在監(jiān)控方面沒(méi)有差距。資產(chǎn)所有者、運(yùn)營(yíng)商和安全人員應(yīng)共同努力，從最關(guān)鍵的基礎(chǔ)設(shè)施開(kāi)始收集基于網(wǎng)絡(luò)和主機(jī)的日志。識(shí)別和關(guān)聯(lián)可疑網(wǎng)絡(luò)、主機(jī)和進(jìn)程事件的能力可以極大地幫助在入侵發(fā)生時(shí)識(shí)別入侵，或促進(jìn)破壞性事件發(fā)生后的根本原因分析。確保通過(guò)以ICS為重點(diǎn)的技術(shù)對(duì)運(yùn)營(yíng)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)監(jiān)控。

六、結(jié)論

由于此類事件可能造成的政治和經(jīng)濟(jì)影響，電力行業(yè)仍然面臨破壞性網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。由于電力系統(tǒng)的互連性，在風(fēng)暴或地震等破壞性事件期間，電力系統(tǒng)具有強(qiáng)大的恢復(fù)力和冗余性，因此大多數(shù)發(fā)達(dá)地區(qū)的電力系統(tǒng)可能會(huì)從破壞性網(wǎng)絡(luò)事件中快速恢復(fù)。管理機(jī)構(gòu)實(shí)施的法規(guī)有助于確保該部門的最低安全水平，但這通常不適用于其他ICS垂直領(lǐng)域。

正如CRASHOVERRIDE所證明的那樣，破壞性攻擊需要付出巨大的努力才能實(shí)現(xiàn)。威脅者在目標(biāo)環(huán)境中的必要停留時(shí)間為防御者提供了許多識(shí)別和刪除惡意活動(dòng)的機(jī)會(huì)。Dragos觀察到的企業(yè)目標(biāo)定位活動(dòng)可實(shí)現(xiàn)初始入侵和數(shù)據(jù)收集，并為威脅者轉(zhuǎn)向潛在破壞性事件奠定基礎(chǔ)。供應(yīng)鏈攻擊和供應(yīng)商妥協(xié)的威脅日益增長(zhǎng)，這也為AGs破壞IT和OT環(huán)境提供了新的途徑。