Практическа рамка за защита на цифровите подстанции

За да разберем най-добре как да защитим цифровите подстанции, нека вземем перспективата на нападателя, използвайки веригата за убиване на индустриалната система за управление. Тази верига за убийство организира нападателните действия в поредица от операции, които се изграждат една от друга, за да постигнат желания ефект в края на веригата (в нашия пример за Украйна, загуба на електрическа енергия). За нашите цели ще използваме кондензирана версия на веригата за убийство, очертавайки стъпките като подготовка, проникване, завъртане към OT, изпълнение на OT и атака.

Подготовка

Нападателите започват с събиране на информация за целта си. За комуналните услуги това може да включва идентифициране на местоположения на подстанциите, разбиране на архитектурата на SCADA, проучване на оборудването на доставчиците и картографиране на мрежовата инфраструктура. Нападателите в Украйна през 2015 г. прекараха месеци в проучване на целите си. По същия начин атаката на Colonial Pipeline през 2021 г. започна с разузнаване, което идентифицира уязвими идентификационни данни за VPN.

Отбранителен контрол: Комуналните услуги трябва да сведат до минимум цифровия си отпечатък чрез ограничаване на публично достъпната информация за конфигурациите на подстанциите и системите за управление. Обучението за информираност за сигурността на служителите трябва да подчертае рисковете от прекомерно споделяне на оперативни подробности в социалните медии или професионалните мрежи, както и правилното боравене с чувствителни данни.

проникване

Нападателите получават влизане в целевата среда. Често срещаните методи за въвеждане включват имейли за фишинг, компрометирани софтуерни актуализации, заразени USB устройства или експлоатация на системи, обърнати към интернет. Нападателите в Украйна използваха копиен фишинг със злонамерени прикачени файлове на Microsoft Office, което позволи инсталирането на зловредния софтуер BlackEnergy и необходимата опора за последващи действия.

Отбранителен контролСледвайте най-добрите практики за корпоративна ИТ киберсигурност, включително стабилни решения за защита на електронната поща с усъвършенствана защита от заплахи и възможности за пясъчбокс, антивирусни/EDR решения за корпоративни работни станции, системи за откриване на проникване в мрежа и оперативни центрове за сигурност (вътрешно или управлявано предоставяне на услуги). Уверете се, че екипите на OT са съгласувани и актуални с корпоративната ИТ стратегия за киберсигурност.

Обръщане към OT

След като са получили достъп до корпоративни ИТ мрежи, нападателите се стремят да разширят обхвата си в OT мрежи като тези, намиращи се в цифровите подстанции. Това обикновено се прави чрез използване на несигурни решения за отдалечен достъп, кражба на валидни потребителски идентификационни данни от компрометирани ИТ системи или използване на заразени преходни устройства като телефони и лаптопи. Използването на заразени USB устройства при атаката на Stuxnet е един пример за това как дори мрежите с въздушни мрежи могат да бъдат компрометирани. При атаката в Украйна нападателите използваха откраднати идентификационни данни от ИТ системи за достъп до OT мрежи чрез VPN връзки.

Отбранителен контрол: Създайте строги политики за сменяеми носители и външни устройства. Поддържайте актуален опис на активите на целия софтуер и фърмуер и поддържайте активите актуализирани с цифрово подписани корекции за сигурност (доколкото операциите позволяват). Решенията за контрол на мрежовия достъп (NAC) могат да предотвратят свързването на неоторизирани устройства към мрежи на подстанции, докато мрежата между ИТ и OT мрежите и зоните на подстанциите ще наруши страничното движение. Разгърнете индустриални системи за откриване на проникване (IDS), които разбират OT протоколите и могат да идентифицират аномални комуникации. Осигурете отдалечен достъп с помощта на многофакторно удостоверяване и се уверете, че отдалеченият достъп от трети страни (обикновено за поддръжка на доставчици) е защитен по подобен начин. Елиминирайте идентификационните данни по подразбиране на всички IED, релета и мрежови устройства, като в идеалния случай прилагате контрол на достъпа, базиран на роли. И накрая, редовните оценки на уязвимостта на OT мрежите помагат да се идентифицират слабостите, преди нападателите да го

Изпълнете OT атака

Последният етап включва нападателите да постигнат целите си - независимо дали са кражба на данни, манипулация на системата или разрушителни действия. В Украйна това означаваше отваряне на прекъсвачи (чрез HMI на подстанциите), за да се създадат прекъсвания на електрозахранването. Нападателите в Украйна използваха злонамерени качвания на фърмуер, за да прекъснат комуникациите с полеви устройства, докато извършват атаки с отказ на услуга към кол центрове, което доведе до забавяне на усилията за възстановяване и разочаровани клиенти, които не могат да получат отговори.

Отбранителен контрол: Внедряване на системи с инструменти за безопасност (ШИС), които работят независимо от системите за управление. Поддържайте офлайн архиви на конфигурации и проверявайте процедурите за възстановяване. Провеждайте редовни настолни упражнения и упражнения за реагиране на инциденти, специфични за OT средите, за да осигурите бърза реакция дори когато контролите в киберсигурността се провалят.

Когато защитата на цифровите подстанции прилагането на контрол на сигурността е само половината от битката и електрическите комунални услуги също трябва да приведат контрол с установените регулаторни и индустриални рамки и да картографират защитните мерки както с изискванията на NERC CIP, така и към рамката за Cybersecurity на NIST (CSF).

NERC CIP подравняване

Стандартите за защита на критичната инфраструктура (CIP) на Северноамериканската корпорация за електрическа надеждност осигуряват задължителни изисквания за киберсигурността на системите за насипно захранване. Основните стандарти, свързани с цифровите подстанции, включват:

CIP-004 (Персонал и обучение): Фокусира се върху най-критичния елемент на киберсигурността: хората. Определя изисквания за наемане, обучение и качване/офборд.

CIP-005 (електронни периметри за Security): Адресира мерките за сегментиране на мрежата и контрол на достъпа, обсъдени в защитата срещу проникване и обръщането към OT.

CIP-007 (Управление на Security на системата): Обхваща ежедневното „блокиране и справяне“ на киберсигурността: управление на корекции, предотвратяване на злонамерен софтуер, наблюдение на събития в областта на сигурността и управление на акаунти. Това включва практиките за защита на крайните точки, регистриране и управление на уязвимостта, от съществено значение за ранното откриване.

CIP-008 (Планиране на реагиране на инциденти): Гарантира, че организациите развиват, поддържат и практикуват способността си да реагират на атаки.

CIP-009 (Планиране на възстановяването): Фокусира се върху връщането към „нормалното“ след атака. Гарантира, че процедурите за архивиране са внедрени и проверени и че възстановяването периодично се тества за скорост и точност.

CIP-010 (Управление на промените в конфигурацията): Определя базовите конфигурации за активите и установява структуриран процес на управление на промените за тези базови линии, за да включва тестване на корекции за оперативна цялост. Също така включва изисквания за периодични оценки на уязвимостта.

CIP-015 (Мониторинг на вътрешната мрежова сигурност): Най-новият стандарт CIP, одобрен през лятото на 2025 г. и влиза в сила от октомври 2028 г. CIP-015 е свързан с това да знаете какво се случва „по жицата“: наблюдение на OT мрежи, откриване на всякакви аномални дейности и вземане на информирани решения за отговор.

Интеграция на NIST CSF

Рамката за Cybersecurity на NIST предоставя гъвкав подход, основан на риска, организиран около шест основни функции, които представляват цялостна стратегия за киберсигурност:

Управлявайте: Създаване и наблюдение на стратегията, очакванията и политиките на организацията за управление на риска за киберсигурност.

Идентифицирайте: Изградете общо разбиране за риска от киберсигурността между системи, активи, данни и хора. Получете видимост за текущата позиция за сигурност и свързаните с тях рискове.

Защитете: Прилагайте техническите контроли, обсъдени по-рано: сегментиране на мрежата, контрол на достъпа, защита на крайните точки и т.н. Стремете се да намалите цялостната повърхност на атака, която нападателят може да използва, за да се утвърди в мрежата.

Откриване: Разгърнете възможности за своевременно правилно идентифициране на появата на злонамерени събития в киберсигурността. Използвайте данни, обобщени от голямо разнообразие от активи, за да добавите контекст към видимостта.

Отговорете: След откриване на кибератака предприемете действия, за да заглушите напредъка на нападателите, да смекчите въздействието и в крайна сметка да изгоните нападателите от мрежата.

Възстановяване: След като неутрализирате заплаха, възстановете всички възможности или услуги, които са били нарушени поради инцидента. Използвайте научените уроци, за да информирате бъдещата стратегия за сигурност.

Комбиниране на NERC CIP, NIST CSF и отбранителен контрол

Заключение

Атаката в Украйна през 2015 г. показа, че цифровите подстанции представляват критични цели, при които киберуязвимостта може да се превърне директно в физически последици. Въпреки това, чрез разбиране на веригата за убийство на нападателя и внедряване на многопластова защита, помощните програми могат значително да намалят рисковия им профил. С вход както от ИТ, така и от OT екипи и внимателно прилагане на стратегията, цифровите подстанции могат да бъдат поставени на изключително силна основа за сигурност и да бъдат подготвени за всичко, което нападателите могат да опитат по-нататък.