在这篇文章中,我们将讨论目前电力行业的信息安全和不可接受的事件的方法。你可能会感到惊讶,但类似的事件以前也发生过。例如,2019年在委内瑞拉,电网的突然弃电导致该国80%的地区停电5天,一年后在印度发生的连环停电影响了该国的交通基础设施,对火车和交通控制系统造成了严重破坏。
工业界信息安全的怪事
根据我们的研究,工业是每年最常被攻击的三大行业之一。例如,在2022年第二季度,该行业的组织受到的攻击数量比上一时期增加了一半。大多数攻击导致机密信息泄露(55%)和工业漏洞(53%)。恶意软件攻击占76%,而勒索软件是虚拟运营商的主要攻击者(61%)。
攻击工业组织的主要病毒软件类型(2022年第二季度)
尽管包括能源行业在内的各行业企业不断增加网络安全预算,并实施各种级别的信息安全解决方案(包括用于保护流程系统),但行业内的情况并没有发生根本性变化。我们在分析工业企业安全方面的经验表明,几乎任何企业,无论其规模和安全储备如何,都可以在短短的几步内被入侵。
此外,业务本身也需要改变:CEO们现在积极参与网络安全目标的制定,并且存在对实际安全的需求。这种需求也得到了政府的支持,政府正在为彻底的变革创造条件。为什么企业没有变得更加安全?这个问题今天无法明确回答。有许多相互关联的因素--例如,工作人员的短缺和IT安全能力的缺乏正迫使企业着眼于MSP或MDR服务模式而不是内部解决方案。然而,针对工业企业技术基础设施部分的安全服务仍然只是在市场上刚刚出现,并且有许多限制。
其他类别的安全功能的情况也是如此。例如,没有专门为SAP设计的数据二极管(单向数据网关)或安装在IP摄像机上的反病毒。也就是说,有用于工艺过程自动化控制系统,计算机辅助工艺过程控制系统的反病毒(与传统的反病毒没有太大区别),并且在可编程逻辑控制器(PLC)中安装了加密模块。这有意义吗?市场仍未决定。
看到这些和其他 "怪事",我们得出结论,网络安全行业总体上出了问题,特别是在保障工业企业安全方面。
对网络安全态度的范式转变
今天,几乎不可能完全保护一个工业,或任何其他公司免受黑客攻击和网络渗透。因此,最高管理层和主要行政人员层面的企业已经开始谈论对不同层次的结果的需求。在Positive Technologies,我们把这称为以结果为导向的网络安全概念,其中包括不可接受的事件的概念。
基于结果的安全是一个可以定性和定量测量的信息保护系统,可以保护公司的关键资产,防止不可接受的事件发生。
对于一个工业工厂来说,总有一些事件是不可接受的。为了确保这些事件不发生,你需要清楚地定义它们以及它们可能的后果。你还需要确保一定的信息安全水平,以防止因网络攻击而导致不可接受的事件发生。一个成功的网络安全方法的目标是从根本上改善公司的安全,并通过它们改善行业和整个国家的安全。
不可容忍的事件是指由于恶意活动而发生的事件,它使公司无法实现其运营和战略目标,或对其核心业务活动造成持久的破坏。
不允许的事件:生活中的发生方式
工业通过其规模、执行的商业流程的重要性、对周围世界和公民生活的影响吸引了网络犯罪分子。黑客入侵工业控制系统可能导致的禁止事件包括停产、工业设备故障、产品损坏、事故。后果可能非常严重:事故可能涵盖整个地区,损失不仅是财务或物质的,而且还有物理的。
在过去的几年里,世界各地都发生了备受瞩目的对工业设施的攻击,导致停电。例如,印度的停电数小时,以及委内瑞拉的案例,当时整个国家停电长达五天。这些因网络攻击而发生的不可接受的事件很有意思,因为它们不是发生在工业设施层面,而是发生在国家电力系统。让我们仔细看看这些事件。
委内瑞拉的古里水电站遭到网络攻击:攻击者停止了一个涡轮机,导致发电突然停止,电网出现大面积电力倾倒。
印度的大规模停电:攻击者造成电力频率不可接受的下降,调度员不得不关闭电源线。结果,孟买开始出现连环停电。
为什么不是所有的网络攻击都能被击退
今天,企业的网络安全在大多数情况下是基于一个相当简单的原则:每个专家都严格按照他的职责范围,根据他的工作描述和他自己的工作条例来履行他的职能。
例如,假设有一个工业设施,其中安装有过程控制系统、设备和流程。在它们的帮助下,调度员监测和控制生产。但他看不到设施本身的IT基础设施发生了什么,他也不知道IT系统中的哪些关键事件可能导致流程层面的问题。这不是他的工作描述,这不是他的职能任务。
尽管如此,鉴于关键设施持续运行的重要性,以及保护它们不受网络攻击和内部攻击者的影响,企业当然要实施网络安全系统。这就产生了另一位现场专家,即安全官员,他负责监控现场或整个企业的IT基础设施中发生的所有事件。 有趣的是,他是在与设施的主要活动隔绝的情况下做的,对设施的运作方式、主要设备或生产线的哪些运作模式被认为是紧急情况没有丝毫的了解。他也不知道功率或频率阈值以及超过这些值意味着什么。
原因是一样的--这既不是他的职能责任领域,也不是他的工作描述。
因此,无论是调度员还是安全员,都无法看到公司运作的全貌。
情况并不乐观:保护系统似乎已经到位,IT预算每年都在增加,信息安全专业人员正在监测大量的事件,但一些网络攻击仍然未能被击退。企业和行业的网络弹性仍然是一个大问号,因为网络安全的标准方法不可能衡量网络安全的影响。
可衡量的安全成果的标准
我们认为,技术设施的网络安全系统必须能够做到以下几点:
- 在监测方面,知道设施的主要关键因素及其运行阈值。此外,该系统必须能够区分设施的正常和紧急操作。
- 在响应方面,了解并响应公司技术和核心业务的不可接受的事件场景,而不仅仅是IT基础设施、操作系统和网络设备的数据。网络安全的有效性来自于了解攻击者的目标和归属。对攻击的反应的正确性和有效性取决于此。
- 在资产管理方面,不仅要掌握IT基础设施中资产的最新信息(服务器数量、操作系统类型、域名策略等),还要了解某个APCS系统所管理的内容。
电力部门的有效网络安全
网络安全系统需要与过程控制系统和IT系统相联系。工业工厂应该为信息安全专家和控制室工作人员之间的互动制定一个流程模型和协议。他们应该看到一个统一的画面,将IT事件数据、关键设备的行为和控制系统的事件联系起来。通过这种方法,可以确保对工业设施和电力系统来说不可接受的事件变得真正不可行。
在我们与客户的项目中,我们始终坚持四项基本原则:
- 能够为整个公司建立端到端的管理流程--从最高管理者到调试工程师到调度员;
- 整个公司的一个结果--在公司的整个基础设施和业务流程中没有不可接受的事件;
- 整个公司的安全管理过程最大程度的自动化和机器人化;
- 所有安全管理职能的集中化。
通过单一的产品组合,我们不再需要区分技术网络和企业网络。如果需要一个端到端的事件管理流程,就意味着要获得基础设施中所有事件的信息,无论是中央办公室还是远程站点,企业网络还是技术网络。因此,在2022年春天,我们向市场推出了第一个保护工业免受网络威胁的综合平台 — PT Industrial Cybersecurity Suite (PT ICS)。PT ICS汇集了Positive Technologies的关键产品及其组件,这些产品部署在过程控制系统内部和外部,负责过程系统的安全。这些组件拥有所有必要的专业知识,特别是识别工业领域特有的网络威胁:
- MaxPatrol SIEM 工业代理从过程网络节点收集信息,并为来自不同制造商的流行过程控制系统提供专门的事件规范化和相关规则,开箱即用。该解决方案可以与计算机辅助工艺过程控制系统和SCADA系统等一起工作。这使得分析与这些系统允许的操作模式有关的安全事件以及用户对其控制和配置功能的访问策略成为可能。
- PT ISIM传感器,适用于不同供应商的过程控制系统,负责深入分析过程网络流量,检测网络中的异常情况,并帮助主动搜索威胁(威胁狩猎)。
- MaxPatrol VM 工业代理可以安全地扫描过程网络,审计来自国外和国内流行供应商的软件和硬件。
- PT Sandbox 的专业能力帮助你动态地检测针对不同供应商的技术系统的恶意软件。
PT ICS有效地检测工业环节中入侵者的行动,并为整个过程基础设施提供端到端的保护,包括数据网络、端点和专用设备,同时考虑到工业设施的运行模式和生产活动的具体情况。实质上,我们正在实施上述同样的方法 — 使工业设施的网络安全成为可操作和可衡量的。