Digitaalse alajaama küberturvalisuse kohta artiklile lisatav pilt

Artikkel

Praktiline raamistik digitaalsete alajaamade kaitsmiseks

Tutvuge ainulaadsete küberturvalisuse probleemidega, millega digitaalsed alajaamad silmitsi seisavad, ja praktilist raamistikku võrguettevõtjatele, et tugevdada oma turvapositsiooni, andes inseneridele rohkem kontrolli, rohkem ülevaadet ja tugevamaid kaitsepiire kui kunagi varem.

Lisateave digitaalsete alajaamade kohta

ICS-i tapmisahela purustamine

Digitaalsed alajaamad on elektrienergiasüsteemide käimasoleva digitaalse ümberkujundamise võtmekomponent. Kuigi see moderniseerimine toob enneolematuid tõhususe ja nähtavuse parandusi, avab see ukse ka võimalikele küberturvalisuse probleemidele. Operatiivtehnoloogia (OT) ja infotehnoloogia (IT) lähenemine digitaalsetes alajaamades loob ründajatele võimaluse tekitada laialdasi elektrikatkestusi, seadmete kahjustusi ja ohtu avalikule turvalisusele. Käesolevas artiklis uurime digitaalsete alajaamade küberturvalisuse väljakutseid ja pakume võrguettevõtjatele praktilise raamistiku oma turvapositsiooni tugevdamiseks.

2015. aasta Ukraina elektrivõrgu rünnak - äratuskõne

2015. aasta detsembris koges ligikaudu 225 000 Ukraina kodanikku elektrikatkestust, mis põhjustas digitaalsete alajaamade turvalisuse alajaama valgipunkti. Rünnak, mis oli omistatud BlackEnergy pahavara kasutavale liivaluumi ohugrupile, tähistas esimest avalikult tunnustatud edukat rünnakut elektrienergia infrastruktuuri vastu, mille tulemuseks oli klientide elektrikaotus.

Ründajad viisid läbi tahtliku, hästi planeeritud mitmeastmelise küberhäkkimise operatsiooni pärast mitu kuud kestnud luure- ja võrku sissetungimist oda-andmepüügikampaaniate kaudu ning said juurdepääsu utiliidi ettevõtte IT-võrkudele. Sealt edasi pöördusid ründajad alajaama OT-võrkudesse, kasutades lõpuks seaduslike kaugjuurdepääsutööriistade ja pahatahtliku püsivara kombinatsiooni, et häirida energiateenust ja takistada taastamise jõupingutusi.

See juhtum paljastas digitaalsete alajaamade operaatorite jaoks mitmeid kriitilisi turvaprobleeme: ebapiisav võrgu segmenteerimine IT- ja OT-keskkondade vahel, OT-võrkude ebapiisav jälgimine, kaugjuurdepääsu jaoks mitmetegurilise autentimise puudumine ja alajaama toimingute piiratud nähtavus.

Uurime, kuidas neid väljakutseid lahendada ja panna digitaalsed alajaamad tugevale küberturvalisuse alusele.

c9535eff-9a54-464e-9c05-0960d993ad1b | Cybersecurity Visual 2022 1:1

Probleemi kujundamine: mõtlemine nagu ründaja

Selleks, et kõige paremini mõista, kuidas digitaalseid alajaamu kaitsta, võtame ründaja vaatenurka, kasutades tööstusliku juhtimissüsteemi Kill Chain. See tapmisahel korraldab ründajate tegevused toimingute seeriaks, mis toetuvad üksteisest, et saavutada ahela lõpus kavandatud mõju (meie Ukraina näites elektrienergia kaotus). Oma eesmärkidel kasutame tapmisahela lühendatud versiooni, milles kirjeldatakse samme nagu ettevalmistus, sissetungimine, OT-i pöördumine, OT-i täitmine ja rünnak.

Ettevalmistus

Ründajad alustavad oma sihtmärgi kohta luureandmete kogumisest. Kommunaalteenuste puhul võib see hõlmata alajaama asukohtade tuvastamist, SCADA arhitektuuri mõistmist, tarnija seadmete uurimist ja võrgu infrastruktuuri kaardistamist. 2015. aasta Ukraina ründajad veetsid mitu kuud oma sihtmärke uurides. Samamoodi algas 2021. aasta Colonial Pipeline rünnak luurega, mis tuvastas haavatavad VPN-i mandaadid.

Kaitsekontroll: Kommunaalteenused peaksid minimeerima oma digitaalset jalajälge, piirates avalikult kättesaadavat teavet alajaamade konfiguratsioonide ja juhtimissüsteemide kohta. Töötajate turvalisuse teadlikkuse training peaks rõhutama operatiivsete üksikasjade ülejagamise ohte sotsiaalmeedias või professionaalsetes võrgustikes ning tundlike andmete nõuetekohast käitlemist.

Sissetungimine

Ründajad pääsevad sihtkeskkonda. Levinud sisestamismeetodid hõlmavad andmepüügi e-kirju, kahjustatud tarkvarauuendusi, nakatunud USB-draive või Interneti-suunatud süsteemide kasutamist. Ukraina ründajad kasutasid andmepüüki pahatahtlike Microsoft Office'i manustega, mis võimaldas installida BlackEnergy pahavara ja vajalikku tuge järeltoiminguteks.

Kaitsekontroll: Järgige ettevõtte IT-küberturvalisuse parimaid tavasid, sealhulgas tugevaid e-posti turbalahendusi, millel on täiustatud ohukaitse ja liivakaitse võimalused, viirusetõrje/EDR-lahendused ettevõtte tööjaamadele, võrku sissetungimise tuvastamise süsteemid ja turvaoperatsioonide keskused (kas ettevõttesisesed või hallatavad teenuste osutamine). Veenduge, et OT-meeskonnad oleksid ettevõtte IT-küberturvalisuse strateegiaga kooskõlas ja sellega kursis.

Pivot kuni OT

Olles saanud juurdepääsu ettevõtte IT-võrkudele, püüavad ründajad laiendada oma haaret OT-võrkudesse, nagu need leiduvad digitaalsetes alajaamades. Tavaliselt tehakse seda ebakindlate kaugjuurdepääsulahenduste kasutamise, kehtivate kasutajate mandaatide varastamise kaudu ohustatud IT-süsteemidest või nakatunud mööduvate seadmete, näiteks telefonide ja sülearvutite, kasutamisega. Nakatunud USB-draivide kasutamine Stuxneti rünnakus on üks näide sellest, kuidas isegi õhugaandega võrgud võivad olla ohus. Ukraina rünnakus kasutasid ründajad IT-süsteemidest varastatud mandaate, et pääseda OT-võrkudele VPN-ühenduste kaudu.

Kaitsekontroll: kehtestage ranged eeskirjad eemaldatavate andmekandjate ja väliste seadmete jaoks. Hoidke kogu tarkvara ja püsivara ajakohastatud varade inventuuri ning hoidke varasid ajakohastatud digitaalselt allkirjastatud turvaplaastritega (nii palju kui toimingud seda võimaldavad). Võrgujuurdepääsukontrolli (NAC) lahendused võivad takistada volitamata seadmete ühendamist alajaamade võrkudega, samas kui IT- ja OT-võrkude ning alajaama tsoonide vaheline võrk häirib külgliikumist. Kasutage tööstuslikke sissetungimise tuvastamise süsteeme (IDS), mis mõistavad OT-protokolle ja suudavad tuvastada anomaalset sidet. Turvalige kaugjuurdepääs mitmetegurilise autentimise abil ja veenduge, et kolmanda osapoole kaugjuurdepääs (tavaliselt tarnija hoolduseks) oleks sarnaselt turvaline. Kõigi IED-de, releede ja võrguseadmete vaikimisi mandaate kõrvaldamine, rakendades ideaaljuhul rollipõhist juurdepääsukontrolli. Lõpuks aitavad OT-võrkude regulaarsed haavatavuse hinnangud tuvastada nõrkusi enne ründajaid.

Käivitage OT rünnak

Viimane etapp hõlmab ründajaid oma eesmärkide saavutamist - olgu siis andmevargus, süsteemiga manipuleerimine või hävitavad toimingud. Ukrainas tähendas see kaitselülitite avamist (alajaama HMI-de kaudu) elektrikatkestuste tekitamiseks. Ukraina ründajad kasutasid pahatahtlikke püsivara üleslaadimisvahendeid, et katkestada side välisseadmetega, teostades samal ajal teenuse keelamise rünnakuid kõnekeskustesse, põhjustades taastamise viivitusi ja pettunud kliendid ei saanud vastuseid.

Kaitsekontroll: Kasutada ohutusinstrumentidega süsteeme (SIS), mis töötavad juhtimissüsteemidest sõltumatult. Hoidke konfiguratsioonide võrguühenduseta varukoopiaid ja kontrollige taastamisprotseduure. Korraldage regulaarselt OT-keskkondadele spetsiifilisi lauaharjutusi ja vahejuhtumitele reageerimise harjutusi, et tagada kiire reageerimine ka siis, kui küberturvalisuse kontrollid

Selle kõik kokku panemine - rakendatav raamistik

Kui digitaalsete alajaamade kaitsmine on turvakontrolli rakendamine vaid pool lahingust ja elektriettevõtted peavad ühtlustama kontrollid kehtestatud regulatiivsete ja tööstusraamistikega ning kaardistama kaitsemeetmed nii NERC CIP nõuetele kui ka NIST-i küberturvalisuse raamistikuga (CSF).

NERC CIP joondamine

Põhja-Ameerika elektrilise usaldusväärsuse korporatsiooni kriitilise infrastruktuuri kaitse (CIP) standardid pakuvad kohustuslikke nõudeid hulgienergiasüsteemi küberturvalisusele. Digitaalsete alajaamade jaoks olulised standardid hõlmavad järgmist:

CIP-004 (personal ja koolitus): Keskendub küberturvalisuse kõige kriitilisemale elemendile: inimestele. Sätestab nõuded palkamiseks, koolitamiseks ja pardale mineks/väljalasõiduks.

CIP-005 (elektroonilised turvameetrid): käsitleb võrgu segmenteerimise ja juurdepääsukontrolli meetmeid, mida arutati sissetungimise eest kaitsmisel ja OT-le pöördumisel.

CIP-007 (süsteemi turvalisuse juhtimine): Hõlmab küberturvalisuse igapäevast blokeerimist ja sellega tegelemist: plaastrite haldamine, pahavara ennetamine, turvasündmuste jälgimine ja kontohaldus. See hõlmab varajase avastamise jaoks hädavajalikke lõpp-punktide kaitset, logimist ja haavatavuse haldamise tavasid.

CIP-008 (juhtumitele reageerimise planeerimine): Tagab, et organisatsioonid arendavad, säilitavad ja harjutavad oma võimet rünnakutele reageerida.

CIP-009 (taastamise planeerimine): Keskendub pärast rünnakut „normaalseks” naasmisele. Tagab varundamisprotseduuride kasutuselevõtmise ja kontrollitamise ning taastamise perioodiliselt testitud kiiruse ja täpsuse osas.

CIP-010 (konfiguratsiooni muutuste haldamine): Määratleb varade baaskonfiguratsioonid ja loob nende baasjoonte struktureeritud muudatuste haldamise protsessi, mis hõlmab operatiivse terviklikkuse plaastritestimist. Sisaldab ka perioodiliste haavatavuste hindamise nõudeid.

CIP-015 (sisemise võrgu Security jälgimine): Uusim CIP standard, mis kiideti heaks 2025. aasta suvel ja jõustub oktoobrist 2028. CIP-015 eesmärk on teada, mis toimub „juhtmel”: OT-võrkude jälgimine, mis tahes anomaalse tegevuse tuvastamine ja teadlike reageerimisotsuste tegemine.

NIST CSF integreerimine

NIST Cybersecurity raamistik pakub paindlikku, riskipõhist lähenemisviisi, mis on korraldatud kuue põhifunktsiooni ümber, mis kujutavad endast terviklikku küberturvalisuse strateegiat:

Valitseeri: kehtestada ja jälgida organisatsiooni küberturvalisuse riskijuhtimise strateegia, ootusi ja poliitikat.

Tuvastage: Looge ühine arusaam küberturvalisuse riskist süsteemide, varade, andmete ja inimeste vahel. Saage nähtavus praegusest turvapositsioonist ja sellega seotud riskidest.

Kaitse: Rakendage eelnevalt käsitletud tehnilisi kontrolle: võrgu segmenteerimine, juurdepääsukontrollid, lõpp-punktide kaitse jne. Eesmärk on vähendada üldist rünnakupinda, mida ründaja saab kasutada võrgus oma positsiooni saavutamiseks.

Tuvastage: Kasutage võimalusi pahatahtlike küberturvalisuse sündmuste õigeks tuvastamiseks õigeaegselt. Nähtavusele konteksti lisamiseks kasutage mitmesugustest varadest koondatud andmeid.

Vastake: Küberrünnaku avastamisel võtke meetmeid ründajate edusammude nüristamiseks, mõju leevendamiseks ja lõpuks ründajate võrgust väljasaatmiseks.

Taasta: Pärast ohu neutraliseerimist taastage kõik võimalused või teenused, mis olid vahejuhtumi tõttu kahjustatud. Kasutage saadud õppetunde tulevase turvastrateegia teavitamiseks.

NERC CIP, NIST CSF ja kaitsekontrolli ühendamine

NERC CIP nõue	NIST CSF funktsioon (id)	Kaitsekontrolli näited
CIP-004	Valitsege, tuvastage	Töötajate turvalisuse teadlikkus
CIP-005	Tuvastage, kaitske	Tulemüürid, DMZ-d, turvaline kaugjuurdepääs
CIP-007	Kaitske, tuvastage, reageerige, taastage	Paigaldamine, metsaraie, süsteemi karastamine
CIP-008	Vastake	Vahejuhtumitele reageerimise
CIP-009	Taasta	Võrguühenduseta varukoopiad, testi taastamise protseduurid
CIP-010	Juhtida, tuvastada, kaitsta	Muutuste juhtimine, haavatavuse hindamine
CIP-015	Tuvastage, vastake	OT võrgu IDS, võrgu logimine

Järeldus

2015. aasta Ukraina rünnak näitas, et digitaalsed alajaamad kujutavad endast kriitilisi sihtmärke, kus küberhaavatavus võib olla otseselt füüsiliste tagajärgedega. Kuid, mõistes ründaja tapmisahelat ja rakendades kihilist kaitset, saab utiliidid oluliselt vähendada nende riskiprofiili. Nii IT- kui ka OT-meeskondade sisseostuga ning strateegia läbimõeldud rakendamisega saab digitaalsed alajaamad paigutada erakordselt tugevale turvaalusele ja olla valmis kõigeks, mida ründajad järgmisena proovivad.

See artikkel avaldati algselt aastal Põhja-Ameerika puhas energia.