Praktyczne ramy ochrony podstacji cyfrowych

Aby jak najlepiej zrozumieć, jak chronić podstacje cyfrowe, przyjrzyjmy się perspektywie atakującego za pomocą łańcucha zabijania przemysłowego systemu sterowania. Ten łańcuch zabijania organizuje działania atakujące w serię operacji, które budują się wzajemnie, aby osiągnąć zamierzony efekt na końcu łańcucha (w naszym przykładzie na Ukrainie utrata energii elektrycznej). Do naszych celów użyjemy skondensowanej wersji łańcucha zabijania, przedstawiającej kroki, takie jak przygotowanie, włamanie, przejście do OT, wykonanie OT i atak.

Przygotowanie

Atakujący zaczynają od zebrania informacji o swoim celu. W przypadku narzędzi może to obejmować identyfikację lokalizacji podstacji, zrozumienie architektury SCADA, badanie sprzętu dostawcy i mapowanie infrastruktury sieciowej. Ukraińscy napastnicy z 2015 roku spędzili miesiące badając swoje cele. Podobnie atak Colonial Pipeline 2021 rozpoczął się od rozpoznania, który zidentyfikował wrażliwe dane uwierzytelniające VPN.

Kontrola obronna: Narzędzia powinny zminimalizować swój ślad cyfrowy poprzez ograniczenie publicznie dostępnych informacji o konfiguracjach podstacji i systemach sterowania. Szkolenie pracowników w zakresie świadomości bezpieczeństwa powinno podkreślać ryzyko związane z nadmiernym udostępnianiem szczegółów operacyjnych w mediach społecznościowych lub sieciach zawodowych, a także prawidłowego obchodzenia się z danymi wrażliwymi.

Wtargnięcie

Atakujący uzyskują dostęp do środowiska docelowego. Typowe metody wprowadzania obejmują wiadomości e-mail typu spear-phishing, uszkodzone aktualizacje oprogramowania, zainfekowane dyski USB lub wykorzystanie systemów opartych na Internecie. Atakujący na Ukrainie wykorzystali spear-phishing ze złośliwymi załącznikami pakietu Microsoft Office, co pozwoliło na zainstalowanie złośliwego oprogramowania BlackEnergy i niezbędną podstawę do dalszych działań.

Kontrola obronnaPostępuj zgodnie z najlepszymi praktykami dotyczącymi cyberbezpieczeństwa IT w przedsiębiorstwach, w tym solidne rozwiązania bezpieczeństwa poczty e-mail z zaawansowanymi funkcjami ochrony przed zagrożeniami i piaskowaniem, rozwiązania antywirusowe/EDR dla korporacyjnych stacji roboczych, systemy wykrywania włamań do sieci i centra operacji bezpieczeństwa (dostarczanie usług wewnętrznych lub zarządzanych). Upewnij się, że zespoły OT są dostosowane i na bieżąco ze strategią cyberbezpieczeństwa IT przedsiębiorstwa.

Pivot do OT

Po uzyskaniu dostępu do korporacyjnych sieci IT atakujący chcą rozszerzyć swój zasięg na sieci OT, takie jak te znajdujące się w podstacjach cyfrowych. Zwykle odbywa się to poprzez wykorzystanie niezabezpieczonych rozwiązań zdalnego dostępu, kradzież prawidłowych danych uwierzytelniających użytkowników z zagrożonych systemów informatycznych lub wykorzystanie zainfekowanych urządzeń przejściowych, takich jak telefony i laptopy. Korzystanie z zainfekowanych dysków USB w ataku Stuxnet jest jednym z przykładów tego, jak nawet sieci o zasięgu powietrznym mogą zostać zagrożone. W ataku na Ukrainę atakujący wykorzystali skradzione dane uwierzytelniające z systemów informatycznych, aby uzyskać dostęp do sieci OT za pośrednictwem połączeń VPN.

Kontrola obronna: Ustal surowe zasady dotyczące nośników wymiennych i urządzeń zewnętrznych. Utrzymuj aktualny spis zasobów całego oprogramowania i oprogramowania układowego oraz aktualizuj zasoby za pomocą podpisanych cyfrowo poprawek zabezpieczeń (o ile pozwalają na to operacje). Rozwiązania do kontroli dostępu do sieci (NAC) mogą uniemożliwić nieautoryzowane urządzenia podłączanie się do sieci podstacji, podczas gdy sieć między sieciami IT i OT oraz strefami podstacji zakłóci ruch boczny. Wdrażaj przemysłowe systemy wykrywania włamań (IDS), które rozumieją protokoły OT i mogą identyfikować anomalną komunikację. Zabezpiecz zdalny dostęp za pomocą uwierzytelniania wieloskładnikowego i upewnij się, że dostęp zdalny innych firm (zwykle do konserwacji dostawcy) jest podobnie zabezpieczony. Wyeliminuj domyślne poświadczenia we wszystkich IED, przekaźnikach i urządzeniach sieciowych, idealnie wdrażając kontrolę dostępu opartą na rolach. Wreszcie, regularne oceny luk w sieciach OT pomagają zidentyfikować słabości przed atakującymi.

Wykonaj atak OT

Ostatni etap polega na osiągnięciu przez atakujących swoich celów — kradzieży danych, manipulacji systemem lub destrukcyjnych działań. Na Ukrainie oznaczało to otwarcie wyłączników (poprzez HMI podstacji) w celu wywołania przerw w dostawie prądu. Atakujący na Ukrainie wykorzystywali złośliwe przesyłanie oprogramowania układowego, aby zerwać komunikację z urządzeniami terenowymi podczas wykonywania ataków typu „odmowa usługi” do centrów telefonicznych, co doprowadziło do opóźnienia wysiłków w zakresie odzyskiwania i sfrustrowanych klientów, którzy nie mogli uzyskać odpowiedzi.

Kontrola obronna: Wdrożyć systemy przyrządów bezpieczeństwa (SIS), które działają niezależnie od systemów sterowania. Utrzymuj kopie zapasowe konfiguracji w trybie offline i weryfikuj procedury przywracania. Prowadź regularne ćwiczenia stołowe i ćwiczenia reagowania na incydenty specyficzne dla środowisk OT, aby zapewnić szybką reakcję nawet w przypadku niepowodzenia kontroli cyberbezpieczeństwa.

Kiedy obrona podstacji cyfrowych wdrażanie kontroli bezpieczeństwa to tylko połowa sukcesu, a przedsiębiorstwa energetyczne muszą również dostosować kontrole do ustalonych ram regulacyjnych i branżowych oraz mapować środki obronne zarówno do wymagań CIP NERC, jak i NIST Cybersecurity Framework (CSF).

Wyrównanie CIP NERC

Normy ochrony infrastruktury krytycznej (CIP) North American Electric Reliability Corporation zapewniają obowiązkowe wymagania dotyczące cyberbezpieczeństwa systemów zasilania masowego. Kluczowe standardy odnoszące się do podstacji cyfrowych obejmują:

CIP-004 (personel i szkolenia)Koncentruje się na najważniejszym elemencie cyberbezpieczeństwa: ludziach. Określa wymagania dotyczące zatrudniania, training i wsiadania/offboardingu.

CIP-005 (elektroniczne perymetry Security): Zajmuje się segmentacją sieci i środkami kontroli dostępu omawianymi w obronie przed włamywaniem i przesunięciu się do OT.

CIP-007 (Zarządzanie bezpieczeństwem systemu): Obejmuje codzienne „blokowanie i zwalczanie” cyberbezpieczeństwa: zarządzanie poprawkami, zapobieganie złośliwemu oprogramowaniu, monitorowanie zdarzeń bezpieczeństwa i zarządzanie kontami. Obejmuje to ochronę punktów końcowych, rejestrowanie i praktyki zarządzania lukami w zabezpieczeniach niezbędne do wczesnego wykrywania.

CIP-008 (Planowanie reagowania na incydenty): Zapewnia, że organizacje rozwijają, utrzymują i ćwiczą swoją zdolność reagowania na ataki.

CIP-009 (Planowanie odzyskiwania): Koncentruje się na powrocie do „normalności” po ataku. Zapewnia, że procedury tworzenia kopii zapasowych są wdrażane i weryfikowane, a przywracanie jest okresowo testowane pod kątem szybkości i dokładności.

CIP-010 (Zarządzanie zmianami konfiguracji): Definiuje konfiguracje bazowe zasobów i ustanawia proces zarządzania zmianami ustrukturyzowanymi dla tych linii bazowych, obejmujący testy poprawek pod kątem integralności operacyjnej. Obejmuje również wymagania dotyczące okresowych ocen podatności na zagrożenia.

CIP-015 (wewnętrzne monitorowanie Security sieci): Najnowszy standard CIP, zatwierdzony latem 2025 roku i wejdzie w życie od października 2028 r. CIP-015 polega na tym, aby wiedzieć, co dzieje się „na drucie”: monitorowanie sieci OT, wykrywanie wszelkich anomalnych działań i podejmowanie świadomych decyzji dotyczących reagowania.

Integracja NIST CSF

NIST Cybersecurity Framework zapewnia elastyczne podejście oparte na ryzyku zorganizowane wokół sześciu podstawowych funkcji, które reprezentują kompleksową strategię cyberbezpieczeństwa:

Rządzić: Ustalanie i monitorowanie strategii zarządzania ryzykiem cyberbezpieczeństwa, oczekiwań i zasad organizacji.

Zidentyfikuj: Zbuduj wspólne zrozumienie ryzyka cyberbezpieczeństwa w różnych systemach, zasobach, danych i ludziach. Uzyskaj wgląd w aktualną postawę bezpieczeństwa i związane z nimi zagrożenia.

Chroń: Wdrożenie omówionych wcześniej kontroli technicznych: segmentacji sieci, kontroli dostępu, ochrony punktów końcowych itp. Staraj się zmniejszyć ogólną powierzchnię ataku, którą atakujący może wykorzystać do zdobycia pozycji w sieci.

Wykryj: Wdrażaj możliwości w celu prawidłowej identyfikacji występowania złośliwych zdarzeń związanych z cyberbezpieczeństwem w odpowiednim czasie. Wykorzystuj dane zagregowane z szerokiej gamy zasobów, aby dodać kontekst widoczności.

Odpowiedz: Po wykryciu cyberataku podejmij działania w celu stłumienia postępów atakujących, złagodzenia skutków i ostatecznie wydalenia atakujących z sieci.

Odzyskaj: Po zneutralizowaniu zagrożenia przywróć wszelkie możliwości lub usługi, które zostały osłabione w wyniku incydentu. Wykorzystaj wyciągnięte wnioski, aby opracować przyszłą strategię bezpieczeństwa.

Łączenie NERC CIP, NIST CSF i kontroli obronnej

Wniosek

Atak na Ukrainę w 2015 r. wykazał, że podstacje cyfrowe stanowią krytyczne cele, w których cyberluki mogą bezpośrednio przełożyć się na konsekwencje fizyczne. Jednak zrozumienie łańcucha zabijania atakującego i wdrożenie warstwowych narzędzi obronnych może znacznie zmniejszyć ich profil ryzyka. Dzięki wpisowi zarówno zespołów IT, jak i OT oraz przemyślanemu zastosowaniu strategii, podstacje cyfrowe mogą być umieszczone na wyjątkowo silnych podstawach bezpieczeństwa i być przygotowane na wszystko, co napastnicy mogą spróbować dalej.