Vaizdas pridedamas prie straipsnio apie kibernetinį saugumą skaitmeninėje pastotėje

Straipsnis

Praktinė sistema skaitmeninėms pastotėms apsaugoti

Ištirkite unikalius kibernetinio saugumo iššūkius, su kuriais susiduria skaitmeninės pastotės, ir praktinę sistemą tinklų operatoriams sustiprinti savo saugumo laikyseną, suteikiančią inžinieriams daugiau kontrolės, daugiau įžvalgos ir stipresnių gynybinių ribų nei bet kada anksčiau.

Sužinokite daugiau apie skaitmenines pastotes

ICS nužudymo grandinės nutraukimas

Skaitmeninės pastotės yra pagrindinis komponentas vykstančioje skaitmeninėje elektros energijos sistemų transformacijoje. Nors šis modernizavimas suteikia precedento neturinčių efektyvumo ir matomumo patobulinimų, jis taip pat atveria duris potencialiems kibernetinio saugumo klausimams. Operacinių technologijų (OT) ir informacinių technologijų (IT) konvergencija skaitmeninėse pastotėse sukuria užpuolikams galimybes sukelti plačiai nutrūkus elektros energijai, sugadinti įrangą ir kelti grėsmę visuomenės saugumui. Šiame straipsnyje nagrinėjame kibernetinio saugumo iššūkius, su kuriais susiduria skaitmeninės pastotės, ir pateikiame praktinę sistemą tinklų operatoriams sustiprinti savo saugumo laikyseną.

2015 m. Ukrainos elektros tinklų ataka — žadinimo skambutis

2015 metų gruodį maždaug 225 000 Ukrainos piliečių patyrė elektros energijos tiekimo sutrikimą, sukėlusį skaitmeninių pastotės saugumo kliūčių momentą. Ataka, priskirta “Sandworm” grėsmių grupei, naudojančiai “BlackEnergy” kenkėjišką programą, buvo pirmoji viešai pripažinta sėkminga ataka prieš elektros energijos infrastruktūrą, dėl kurios klientai prarado energiją.

Užpuolikai įvykdė sąmoningą, gerai suplanuotą daugiapakopę kibernetinio įsilaužimo operaciją po kelis mėnesius trukusios žvalgybos ir infiltracijos į tinklą per “ieties sukčiavimo” kampanijas ir įgijo prieigą prie bendrovės IT tinklų. Iš ten užpuolikai nukreipė į pastotės OT tinklus, galiausiai panaudodami teisėtų nuotolinės prieigos įrankių ir kenkėjiškos programinės įrangos derinį, kad sutrikdytų energijos aptarnavimą ir trukdytų atkūrimo pastangoms.

Šis incidentas atskleidė keletą kritinių skaitmeninių pastotės operatorių saugumo problemų: netinkamas tinklo segmentavimas tarp IT ir OT aplinkų, nepakankamas OT tinklų stebėjimas, daugiafaktorinio autentifikavimo nebuvimas nuotolinei prieigai ir ribotas pastotės operacijų matomumas.

Panagrinėkime, kaip išspręsti šiuos iššūkius ir pastatyti skaitmenines pastotes ant stiprių kibernetinio saugumo pagrindų.

c9535eff-9a54-464e-9c05-0960d993ad1b | Vizualinis kibernetinis saugumas 2022 1:1

Problemos įrėminimas: mąstymas kaip užpuolikas

Norint geriausiai suprasti, kaip apsaugoti skaitmenines pastotes, paimkime užpuoliko perspektyvą, naudodamiesi Pramonės valdymo sistema “Kill Chain”. Ši žudymo grandinė organizuoja užpuolikų veiksmus į operacijų seriją, kurios kaupiasi viena nuo kitos, kad grandinės pabaigoje būtų pasiektas numatytas efektas (mūsų Ukrainos pavyzdyje - elektros energijos praradimas). Savo tikslams naudosime sutrumpintą nužudymo grandinės versiją, apibūdinančią veiksmus kaip “Preparation”, “Intrusion”, “Pivot to OT”, “Execute OT” ir “Attack”.

Paruošimas

Užpuolikai pradeda rinkti informaciją apie savo taikinį. Komunalinių paslaugų atveju tai gali apimti pastotės vietų nustatymą, SCADA architektūros supratimą, tiekėjų įrangos tyrimą ir tinklo infrastruktūros žemėlapių kūrimą. 2015 metų Ukrainos užpuolikai praleido mėnesius tyrinėdami savo taikinius. Panašiai 2021 m. “Colonial Pipeline” ataka prasidėjo žvalgyba, kuri nustatė pažeidžiamus VPN įgaliojimus.

Gynybinė kontrolė: Komunalinės paslaugos turėtų sumažinti savo skaitmeninį pėdsaką ribodamos viešai prieinamą informaciją apie pastotės konfigūracijas ir valdymo sistemas. Darbuotojų saugumo informuotumo mokymuose turėtų būti akcentuojama rizika, kad socialinėje žiniasklaidoje ar profesionaliuose tinkluose gali būti dalijamasi operacinėmis detalėmis, taip pat tinkamas slaptų duomenų tvarkymas.

Įsibrovimas

Užpuolikai patenka į tikslinę aplinką. Įprasti įvedimo būdai apima “spear-phishing” el. laiškus, pažeistus programinės įrangos atnaujinimus, užkrėstus USB diskus ar internetą nukreiptų sistemų išnaudojimą. Ukrainos užpuolikai naudojo “spear-phishing” su kenkėjiškais “Microsoft Office” priedais, kurie leido įdiegti kenkėjišką programą “BlackEnergy” ir būtiną įsitvirtinimą tolesniems veiksmams atlikti.

Gynybinė kontrolė: Laikykitės geriausių įmonių IT kibernetinio saugumo praktikos, įskaitant tvirtus el. pašto saugumo sprendimus su pažangiomis apsaugos nuo grėsmių ir smėlio bokso galimybėmis, antivirusinius/EDR sprendimus įmonių darbo stotims, tinklo įsibrovimo aptikimo sistemas ir saugumo operacijų centrus (arba vidaus, arba valdomų paslaugų teikimą). Užtikrinkite, kad OT komandos būtų suderintos ir atnaujintos su įmonės IT kibernetinio saugumo strategija.

Pivot į OT

Gavę prieigą prie įmonių IT tinklų, užpuolikai siekia išplėsti savo pasiekiamumą į OT tinklus, tokius kaip tie, kurie randami skaitmeninėse pastotėse. Paprastai tai daroma išnaudojant nesaugius nuotolinės prieigos sprendimus, vagiant galiojančius vartotojo kredencialus iš pažeistų IT sistemų arba naudojant užkrėstus trumpalaikius įrenginius, tokius kaip telefonai ir nešiojamieji kompiuteriai. Užkrėstų USB diskų naudojimas “Stuxnet” atakoje yra vienas iš pavyzdžių, kaip gali būti pakenkta net oro gaubtais tinklais. Ukrainos atakoje užpuolikai panaudojo pavogtus kredencialus iš IT sistemų, kad pasiektų OT tinklus per VPN ryšius.

Gynybinė kontrolė: Nustatykite griežtą politiką keičiamoms laikmenoms ir išoriniams įrenginiams. Laikykite naujausią visos programinės įrangos ir programinės įrangos turto aprašą ir nuolat atnaujinkite išteklius skaitmeniniu būdu pasirašytais saugos pataisomis (tiek, kiek leidžia operacijos). Tinklo prieigos kontrolės (NAC) sprendimai gali užkirsti kelią neleistiniems įrenginiams prisijungti prie pastotės tinklų, o tinklas tarp IT ir OT tinklų bei pastotės zonų sutrikdys šoninį judėjimą. Diegti pramonines įsibrovimo aptikimo sistemas (IDS), kurios supranta OT protokolus ir gali nustatyti anomalius ryšius. Saugokite nuotolinę prieigą naudodami kelių veiksnių autentifikavimą ir užtikrinkite, kad trečiosios šalies nuotolinė prieiga (paprastai tiekėjo priežiūrai) būtų panašiai apsaugota. Pašalinkite numatytuosius kredencialus visuose IED, relėse ir tinklo įrenginiuose, idealiu atveju įgyvendindami vaidmenimis pagrįstą prieigos kontrolę. Galiausiai, reguliarūs OT tinklų pažeidžiamumo vertinimai padeda nustatyti trūkumus prieš tai, kai užpuolikai daro.

Vykdykite OT ataką

Paskutiniame etape užpuolikai pasiekia savo tikslus - nesvarbu, ar tai būtų duomenų vagystė, manipuliavimas sistema ar destruktyvūs veiksmai. Ukrainoje tai reiškė atidarius išjungiklius (per pastotės HMI), kad būtų galima nutraukti elektros energiją. Ukrainos užpuolikai naudojo kenkėjišką programinės įrangos įkėlimą, kad nutrauktų ryšius su lauko įrenginiais, tuo pačiu vykdydami paslaugų atsisakymo išpuolius skambučių centruose, todėl atidėtos atkūrimo pastangos ir nusivylė klientai, negalintys gauti atsakymų.

Gynybinė kontrolė: Diegti saugos instrumentines sistemas (SIS), kurios veikia nepriklausomai nuo valdymo sistemų. Palaikykite konfigūracijų atsargines kopijas neprisijungus ir patikrinkite atkūrimo procedūras. Vykdykite reguliarias stalo pratybas ir reagavimo į incidentus treniruotes, būdingus OT aplinkai, kad užtikrintumėte greitą reakciją net ir tada, kai kibernetinio saugumo kontrolė nepavyksta.

Visa tai sudėjus - veiksminga sistema

Kai ginant skaitmenines pastotes įgyvendinant saugumo kontrolę yra tik pusė mūšio ir elektros komunalinės paslaugos taip pat turi suderinti kontrolę su nustatytomis reguliavimo ir pramonės sistemų ir žemėlapis gynybines priemones tiek NERC CIP reikalavimus ir NIST Cybersecurity sistemą (CSF).

NERC CIP suderinimas

Šiaurės Amerikos elektros patikimumo korporacijos kritinės infrastruktūros apsaugos (CIP) standartai numato privalomus didžiosios energijos sistemos kibernetinio saugumo reikalavimus. Pagrindiniai standartai, susiję su skaitmeninėmis pastotėmis, yra šie:

CIP-004 (personalas ir mokymas): Dėmesys skiriamas svarbiausiam kibernetinio saugumo elementui: žmonėms. Nustatomi reikalavimai įdarbinimui, training ir įlaipinimui/išlipimui.

CIP-005 (elektroniniai Security perimetrai): sprendžiamos tinklo segmentavimo ir prieigos kontrolės priemonės, aptartos ginantis nuo įsibrovimo ir pereinant prie OT.

CIP-007 (sistemos Security valdymas): Apima kasdienį kibernetinio saugumo “blokavimą ir šalinimą”: pataisų valdymą, kenkėjiškų programų prevenciją, saugumo įvykių stebėjimą ir paskyrų valdymą. Tai apima galutinių taškų apsaugą, registravimą ir pažeidžiamumo valdymo praktiką, būtiną ankstyvam nustatymui.

CIP-008 (reagavimo į incidentus planavimas): Užtikrina, kad organizacijos vystytų, išlaikytų ir praktikuotų savo gebėjimą reaguoti į atakas.

CIP-009 (atkūrimo planavimas): Pagrindinis dėmesys skiriamas grįžimui į “normalią” padėtį po atakos. Užtikrina, kad atsarginės kopijos procedūros būtų įdiegtos ir patikrintos, ir kad atkūrimas periodiškai tikrinamas dėl greičio ir tikslumo.

CIP-010 (konfigūracijos keitimo valdymas): Apibrėžiamos pagrindinės turto konfigūracijos ir nustatomas struktūrizuotas tų bazinių linijų pokyčių valdymo procesas, apimantis operacijų vientisumo pataisų testavimą. Taip pat apima reikalavimus periodiniams pažeidžiamumo vertinimams.

CIP-015 (Vidaus tinklo Security stebėjimas): Naujausias CIP standartas, patvirtintas 2025 metų vasarą ir įsigalioja nuo 2028 m. Spalio mėn. CIP-015 yra viskas apie žinoti, kas vyksta “ant vielos”: stebėti OT tinklus, aptikti bet kokią anomalią veiklą ir priimti pagrįstus reagavimo sprendimus.

NIST CSF integracija

NIST Cybersecurity sistema suteikia lankstų, rizika pagrįstą požiūrį, susijusį su šešiomis pagrindinėmis funkcijomis, kurios atspindi išsamią kibernetinio saugumo strategiją:

Valdyti: Sukurti ir stebėti organizacijos kibernetinio saugumo rizikos valdymo strategiją, lūkesčius ir politiką.

Nustatyti: Sukurkite bendrą supratimą apie kibernetinio saugumo riziką įvairiose sistemose, turtuose, duomenyse ir žmonėse. Įsivaizduokite dabartinę saugumo padėtį ir su tuo susijusią riziką.

Apsaugoti: Įgyvendinkite anksčiau aptartas technines kontrolės priemones: tinklo segmentavimą, prieigos kontrolę, galutinių taškų apsaugą ir kt. Siekite sumažinti bendrą atakos paviršių, kurį užpuolikas gali panaudoti įsitvirtindamas tinkle.

Aptikti: Diegti galimybes laiku teisingai nustatyti kenkėjiškų kibernetinio saugumo įvykių atsiradimą. Naudokite duomenis, suvestus iš įvairiausių išteklių, kad padidintumėte kontekstą matomumui.

Atsakyti: Aptikę kibernetinę ataką, imkitės veiksmų, kad atbukintumėte užpuolikų pažangą, sušvelnintumėte poveikį ir galiausiai pašalintumėte užpuolikus iš tinklo.

Atkurti: Neutralizavę grėsmę, atkurkite visas galimybes ar paslaugas, kurios buvo sutrikusios dėl incidento. Panaudokite išmoktas pamokas, kad informuotumėte apie būsimą saugumo strategiją.

DERINANT NERC CIP, NIST CSF ir gynybinę kontrolę

NERC CIP reikalavimas	NIST CSF funkcija (-os)	Gynybinės kontrolės pavyzdžiai
CIP-004	Valdykite, identifikuokite	Darbuotojų saugumo supratimas
CIP-005	Identifikuoti, apsaugoti	Ugniasienės, DMZ, saugi nuotolinė prieiga
CIP-007	Apsaugokite, aptikkite, atsakykite, atkurkite	Pataisymas, medienos ruoša, sistemos grūdinimas
CIP-008	Atsakyti	Reagavimo į incidentus pratybos
CIP-009	Atgauti	Atsarginės kopijos neprisijungus, bandomosios atkūrimo procedūros
CIP-010	Valdykite, identifikuokite, apsaugokite	Pokyčių valdymas, pažeidžiamumo vertinimas
CIP-015	Aptikti, atsakyti	OT tinklo IDS, tinklo registravimas

Išvada

2015 metų Ukrainos ataka parodė, kad skaitmeninės pastotės yra svarbiausi tikslai, kai kibernetinis pažeidžiamumas gali tiesiogiai virsti fizinėmis pasekmėmis. Tačiau suprasdami užpuoliko nužudymo grandinę ir įgyvendindami sluoksniuotą gynybą komunalinės paslaugos gali žymiai sumažinti jų rizikos profilį. Su tiek IT, tiek OT komandų įpirkomis ir apgalvotai pritaikius strategiją, skaitmeninės pastotės gali būti pastatytos ant išskirtinai stiprių saugumo pagrindų ir būti pasirengusios bet kokiems užpuolikams gali bandyti toliau.

Šis straipsnis iš pradžių buvo paskelbtas Šiaurės Amerikos švari energija.