Attēls, kas pievienots rakstam par kiberdrošību digitālajā apakšstacijā

Raksts

Praktisks ietvars digitālo apakšstaciju aizsardzībai

Izpētiet unikālās kiberdrošības problēmas, ar kurām saskaras digitālās apakšstacijas, un praktisku sistēmu tīkla operatoriem, lai stiprinātu savu drošības pozu, sniedzot inženieriem lielāku kontroli, lielāku ieskatu un spēcīgākas aizsardzības robežas nekā jebkad agrāk.

Uzziniet vairāk par digitālajām apakšstacijām

ICS nogalināšanas ķēdes pārtraukšana

Digitālās apakšstacijas ir galvenā sastāvdaļa notiekošajā elektroenerģijas sistēmu digitālajā pārveidošanā. Lai gan šī modernizācija nodrošina nepieredzētus efektivitātes un redzamības uzlabojumus, tā arī paver durvis iespējamām kiberdrošības problēmām. Operatīvo tehnoloģiju (OT) un informācijas tehnoloģiju (IT) konverģence digitālajās apakšstacijās rada iespējas uzbrucējiem radīt plašus strāvas padeves pārtraukumus, iekārtu bojājumus un draudus sabiedrības drošībai. Šajā rakstā mēs aplūkojam kiberdrošības problēmas, ar kurām saskaras digitālās apakšstacijas, un nodrošinām praktisku sistēmu tīkla operatoriem, lai stiprinātu viņu drošības stāvokli.

2015. gada Ukrainas elektrotīkla uzbrukums - modināšanas zvans

2015. gada decembrī aptuveni 225 000 Ukrainas pilsoņu piedzīvoja aptumšošanas apstāšanos, radot ūdensšķirtnes brīdi digitālās apakšstaciju drošībā. Uzbrukums, kas attiecināts uz smilšu tārpu draudu grupu, izmantojot BlackEnergy ļaunprātīgu programmatūru, iezīmēja pirmo publiski atzīto veiksmīgo uzbrukumu elektroenerģijas infrastruktūrai, kā rezultātā klienti zaudēja jaudu.

Uzbrucēji veica apzinātu, labi plānotu, daudzpakāpju kiberuzlaušanas operāciju pēc mēnešiem ilgas izlūkošanas un tīkla infiltrācijas, izmantojot šķēpu pikšķerēšanas kampaņas, un ieguva piekļuvi utilīta korporatīvajiem IT tīkliem. No turienes uzbrucēji virzījās uz apakšstaciju OT tīkliem, galu galā izmantojot likumīgu attālās piekļuves rīku un ļaunprātīgas programmaparatūras kombināciju, lai izjauktu enerģijas pakalpojumu un kavētu atkopšanas centienus.

Šis incidents atklāja vairākas kritiskas drošības problēmas digitālo apakšstaciju operatoriem: nepietiekama tīkla segmentācija starp IT un OT vidēm, nepietiekama OT tīklu uzraudzība, daudzfaktoru autentifikācijas trūkums attālajai piekļuvei un ierobežota redzamība apakšstaciju darbībās.

Izpētīsim, kā atrisināt šīs problēmas un novietot digitālās apakšstacijas uz spēcīgiem kiberdrošības pamatiem.

c9535eff-9a54-464e-9c05-0960d993ad1b | Cybersecurity Visual 2022 1:1

Problēmas ierāmēšana: domāšana kā uzbrucējs

Lai vislabāk saprastu, kā aizsargāt digitālās apakšstacijas, ņemsim vērā uzbrucēja perspektīvu, izmantojot rūpnieciskās vadības sistēmas nogalināšanas ķēdi. Šī nogalināšanas ķēde organizē uzbrucēju darbības virknē operāciju, kas balstās viena no otras, lai ķēdes beigās sasniegtu paredzēto efektu (mūsu Ukrainas piemērā elektroenerģijas zudums). Mūsu vajadzībām mēs izmantosim nogalināšanas ķēdes saīsinātu versiju, kurā izklāstītas darbības kā sagatavošana, ielaušanās, pagriešana uz OT, izpildīt OT un uzbrukums.

Sagatavošana

Uzbrucēji sāk apkopot informāciju par savu mērķi. Komunālajiem pakalpojumiem tas var ietvert apakšstaciju atrašanās vietu identificēšanu, SCADA arhitektūras izpratni, piegādātāju aprīkojuma izpēti un tīkla infrastruktūras kartēšanu. 2015. gada Ukrainas uzbrucēji pavadīja mēnešus, pētot savus mērķus. Līdzīgi 2021. gada koloniālā cauruļvada uzbrukums sākās ar izlūkošanu, kas identificēja neaizsargātus VPN akreditācijas datus.

Aizsardzības kontrole: Komunālajiem pakalpojumiem vajadzētu samazināt to digitālo nospiedumu, ierobežojot publiski pieejamo informāciju par apakšstaciju konfigurācijām un vadības sistēmām. Darbinieku drošības informētības apmācībā jāuzsver risks, ko rada pārmērīga operatīvā informācija sociālajos medijos vai profesionālajos tīklos, kā arī pareiza apstrāde ar sensitīviem datiem.

Ielaušanās

Uzbrucēji iegūst ienākšanu mērķa vidē. Parastās ievades metodes ietver pikšķerēšanas e-pasta ziņojumus, apdraudētus programmatūras atjauninājumus, inficētus USB diskus vai uz internetu vērstu sistēmu izmantošanu. Ukrainas uzbrucēji izmantoja šķēpu pikšķerēšanu ar ļaunprātīgiem Microsoft Office pielikumiem, kas ļāva instalēt BlackEnergy ļaunprātīgu programmatūru un nepieciešamo vietu turpmākām darbībām.

Aizsardzības kontrole: Ievērojiet uzņēmuma IT kiberdrošības labāko praksi, tostarp stabilus e-pasta drošības risinājumus ar uzlabotām draudu aizsardzības un smilšu kastes iespējām, pretvīrusu/EDR risinājumus korporatīvajām darbstacijām, tīkla ielaušanās noteikšanas sistēmām un drošības operāciju centriem (vai nu iekšējo, vai pārvaldītu pakalpojumu sniegšana). Pārliecinieties, ka OT komandas ir saskaņotas ar uzņēmuma IT kiberdrošības stratēģiju un atjauninātas ar to.

Pivot uz OT

Ieguvuši piekļuvi korporatīvajiem IT tīkliem, uzbrucēji cenšas paplašināt savu sasniedzamību OT tīklos, piemēram, digitālajās apakšstacijās. Parasti tas tiek darīts, izmantojot nedrošus attālās piekļuves risinājumus, nozagjot derīgus lietotāja akreditācijas datus no apdraudētām IT sistēmām vai izmantojot inficētas pārejošas ierīces, piemēram, tālruņus un klēpjdatorus. Inficēto USB disku izmantošana Stuxnet uzbrukumā ir viens no piemēriem tam, kā var tikt apdraudēti pat tīkli ar gaisa caurulēm. Ukrainas uzbrukumā uzbrucēji izmantoja nozagtus akreditācijas datus no IT sistēmām, lai piekļūtu OT tīkliem, izmantojot VPN savienojumus.

Aizsardzības kontrole: Izveidojiet stingru politiku noņemamiem datu nesējiem un ārējām ierīcēm. Saglabājiet atjauninātu visas programmatūras un programmaparatūras aktīvu uzskaiti un atjauniniet aktīvus ar digitāli parakstītiem drošības ielāpiem (ciktāl to atļauj darbības). Tīkla piekļuves kontroles (NAC) risinājumi var novērst neatļautu ierīču savienojumu ar apakšstaciju tīkliem, savukārt tīkls starp IT un OT tīkliem un apakšstaciju zonām traucēs sānu kustību. Izvietojiet rūpnieciskās ielaušanās noteikšanas sistēmas (IDS), kas saprot OT protokolus un var identificēt anomālus sakarus. Nodrošiniet attālo piekļuvi, izmantojot daudzfaktoru autentifikāciju, un pārliecinieties, ka trešās puses attālā piekļuve (parasti piegādātāja uzturēšanai) ir līdzīgi nodrošināta. Noņemiet noklusējuma akreditācijas datus visos IED, relejos un tīkla ierīcēs, ideālā gadījumā ieviešot uz lomām balstītu piekļuves kontroli. Visbeidzot, regulāri OT tīklu ievainojamības novērtējumi palīdz noteikt trūkumus, pirms uzbrucēji to dara.

Izpildiet OT uzbrukumu

Pēdējā posmā uzbrucēji sasniedz savus mērķus - neatkarīgi no tā, vai tie ir datu zādzības, sistēmas manipulācijas vai destruktīvas darbības. Ukrainā tas nozīmēja slēdžu atvēršanu (izmantojot apakšstaciju HMI), lai radītu strāvas padeves pārtraukumus. Ukrainas uzbrucēji izmantoja ļaunprātīgas programmaparatūras augšupielādes, lai pārtrauktu sakarus ar lauka ierīcēm, vienlaikus veicot pakalpojuma atteikuma uzbrukumus zvanu centriem, kā rezultātā tika aizkavēti atkopšanas centieni un neapmierināti klienti, kas nespēja saņemt atbildes.

Aizsardzības kontrole: Izvietot drošības instrumentu sistēmas (SIS), kas darbojas neatkarīgi no vadības sistēmām. Uzturiet konfigurāciju dublējumkopijas bezsaistē un pārbaudiet atjaunošanas procedūras. Veiciet regulārus galda vingrinājumus un reaģēšanas treniņus, kas raksturīgi OT videi, lai nodrošinātu ātru reakciju pat tad, ja kiberdrošības kontrole neizdodas.

Visa salikšana kopā - lietojams ietvars

Ja digitālās apakšstacijas aizstāvēšana drošības kontroles ieviešana ir tikai puse no cīņas, un elektropakalpojumu uzņēmumiem arī jāsaskaņo kontrole ar izveidotajiem normatīvajiem un nozares sistēmām un jākartē aizsardzības pasākumi gan NERC CIP prasībām, gan NIST Cybersecurity sistēmai (CSF).

NERC CIP izlīdzināšana

Ziemeļamerikas elektriskās uzticamības korporācijas kritiskās infrastruktūras aizsardzības (CIP) standarti paredz obligātas prasības lielapjoma enerģijas sistēmu kiberdrošībai. Galvenie standarti, kas attiecas uz digitālajām apakšstacijām, ietver:

CIP-004 (Personāls un apmācība): Koncentrējas uz vissvarīgāko kiberdrošības elementu: cilvēkiem. Izklāsta prasības attiecībā uz pieņemšanu darbā, apmācību un iekāpšanu/izkāpšanu.

CIP-005 (elektroniskie Security perimetri): Risina tīkla segmentācijas un piekļuves kontroles pasākumus, kas apspriesti, aizstāvējot pret ielaušanos un pievēršoties OT.

CIP-007 (Sistēmas Security pārvaldība): Ietver ikdienas kiberdrošības “bloķēšanu un novēršanu”: ielāpu pārvaldību, ļaunprātīgas programmatūras novēršanu, drošības notikumu uzraudzību un konta pārvaldību. Tas ietver galapunktu aizsardzību, reģistrēšanu un ievainojamības pārvaldības praksi, kas ir būtiska agrīnai atklāšanai.

CIP-008 (reaģēšanas uz incidentiem plānošana): Nodrošina, ka organizācijas attīsta, uztur un praktizē savas spējas reaģēt uz uzbrukumiem.

CIP-009 (atkopšanas plānošana): Koncentrējas uz atgriešanos “normālā stāvoklī” pēc uzbrukuma. Nodrošina, ka dublēšanas procedūras tiek izvietotas un pārbaudītas, kā arī atjaunošanas ātrumu un precizitāti periodiski pārbauda.

CIP-010 (konfigurācijas izmaiņu pārvaldība): Definē aktīvu bāzes konfigurācijas un izveido strukturētu izmaiņu pārvaldības procesu šīm bāzes līnijām, iekļaujot ielāpu pārbaudi darbības integritātei. Ietver arī prasības periodiskiem ievainojamības novērtējumiem.

CIP-015 (iekšējā tīkla Security uzraudzība): Jaunākais CIP standarts, kas apstiprināts 2025. gada vasarā un stāsies spēkā 2028. gada oktobrī. CIP-015 mērķis ir zināt, kas notiek “uz stieples”: OT tīklu uzraudzība, jebkādu anomālu darbību noteikšana un apzinātu reaģēšanas lēmumu pieņemšana.

NIST CSF integrācija

NIST kiberdrošības Cybersecurity nodrošina elastīgu, uz risku balstītu pieeju, kas sakārtota ap sešām pamatfunkcijām, kas veido visaptverošu kiberdrošības stratēģiju:

Pārvaldīt: Izveidot un uzraudzīt organizācijas kiberdrošības riska pārvaldības stratēģiju, cerības un politiku.

Identificēt: Veidojiet kopēju izpratni par kiberdrošības risku sistēmās, aktīvos, datos un cilvēkiem. Iegūstiet redzamību par pašreizējo drošības stāju un ar to saistītos riskus.

Aizsargāt: Īstenojiet iepriekš apspriestās tehniskās kontroles: tīkla segmentāciju, piekļuves kontroli, galapunktu aizsardzību utt. Mērķis ir samazināt kopējo uzbrukuma virsmu, ko uzbrucējs var izmantot, lai nostiprinātu vietu tīklā.

Atklāt: Izvietojiet iespējas, lai savlaicīgi pareizi identificētu ļaunprātīgu kiberdrošības notikumu rašanos. Izmantojiet datus, kas apkopoti no visdažādākajiem līdzekļiem, lai redzamībai pievienotu kontekstu.

Atbildēt: Atklājot kiberuzbrukumu, rīkojieties, lai mazinātu uzbrucēju progresu, mazinātu ietekmi un galu galā izraidītu uzbrucējus no tīkla.

Atgūt: Pēc draudu neitralizēšanas atjaunojiet visas iespējas vai pakalpojumus, kas tika traucēti incidenta dēļ. Izmantojiet iegūto pieredzi, lai informētu par turpmāko drošības stratēģiju.

APVIENOJOT NERC CIP, NIST CSF un aizsardzības kontroli

NERC CIP prasība	NIST CSF funkcija (-as)	Aizsardzības kontroles piemēri
CIP-004	Pārvaldīt, identificēt	Darbinieku izpratne par drošību
CIP-005	Identificēt, aizsargāt	Ugunsmūri, DMZ, droša attālā piekļuve
CIP-007	Aizsargāt, atklāt, reaģēt, atgūt	Lāpēšana, mežizstrāde, sistēmas sacietēšana
CIP-008	Atbildēt	Reaģēšanas vingrinājumi uz incidentiem
CIP-009	Atgūt	Bezsaistes dublējumkopijas, pārbaudes atkopšanas procedūras
CIP-010	Pārvaldiet, identificējiet, aizsargājiet	Izmaiņu pārvaldība, ievainojamības novērtējumi
CIP-015	Atklāt, reaģēt	OT tīkla IDS, tīkla reģistrēšana

Secinājums

2015. gada Ukrainas uzbrukums parādīja, ka digitālās apakšstacijas ir kritiski mērķi, kuros kiberievainojamība var tieši pārvērsties fiziskās sekās. Tomēr, saprotot uzbrucēja nogalināšanas ķēdi un ieviešot slāņveida aizsardzības pakalpojumus, var ievērojami samazināt to riska profilu. Izmantojot gan IT, gan OT komandu dalību un pārdomātu stratēģijas piemērošanu, digitālās apakšstacijas var novietot uz ārkārtīgi spēcīgiem drošības pamatiem un būt gatavām jebkuram uzbrucējiem, kas varētu mēģināt tālāk.

Šis raksts sākotnēji tika publicēts Ziemeļamerikas tīrā enerģija.