Un cadru practic pentru protejarea stațiilor digitale

Pentru a înțelege cel mai bine cum să protejăm substațiile digitale, să luăm perspectiva atacatorului folosind sistemul de control industrial Kill Chain. Acest lanț de ucidere organizează acțiunile atacatorilor într-o serie de operațiuni care se construiesc una pe cealaltă pentru a oferi efectul dorit la sfârșitul lanțului (în exemplul nostru din Ucraina, pierderea energiei electrice). În scopurile noastre, vom folosi o versiune condensată a lanțului de ucidere, prezentând pașii precum Pregătire, Intruziune, Pivot la OT, Executare OT și Atac.

Pregătirea

Atacatorii încep prin a colecta informații despre ținta lor. Pentru utilități, aceasta ar putea include identificarea locațiilor stațiilor de transformare, înțelegerea arhitecturii SCADA, cercetarea echipamentelor furnizorului și cartografierea infrastructurii rețelei. Atacatorii ucraineni din 2015 au petrecut luni întregi studiindu-și țintele. În mod similar, atacul Colonial Pipeline din 2021 a început cu recunoașterea care a identificat acreditările VPN vulnerabile.

Controale defensiveUtilitățile ar trebui să reducă la minimum amprenta digitală prin limitarea informațiilor disponibile publicului despre configurațiile stațiilor de transformare și sistemele de control. Trainingul de conștientizare a securității angajaților ar trebui să sublinieze riscurile de partajare excesivă a detaliilor operaționale pe rețelele de socializare sau rețelele profesionale, precum și manipularea corectă a datelor sensibile.

Intruziune

Atacatorii obțin intrarea în mediul țintă. Metodele comune de intrare includ e-mailuri de tip spear-phishing, actualizări software compromise, unități USB infectate sau exploatarea sistemelor orientate spre internet. Atacatorii ucraineni au folosit spear-phishing cu atașamente Microsoft Office rău intenționate, ceea ce a permis instalarea malware-ului BlackEnergy și suportul necesar pentru acțiunile ulterioare.

Controale defensiveUrmați cele mai bune practici pentru securitatea informatică a întreprinderilor, inclusiv soluții robuste de securitate a e-mailului cu capacități avansate de protecție împotriva amenințărilor și sandboxing, soluții Antivirus/EDR pentru stațiile de lucru corporative, sisteme de detectare a intruziunilor în rețea și centre de operațiuni de securitate (fie servicii interne, fie livrări de servicii gestionate). Asigurați-vă că echipele OT sunt aliniate și actualizate cu strategia de securitate informatică a întreprinderii.

Pivot la OT

După ce au obținut acces la rețelele IT corporative, atacatorii caută să-și extindă acoperirea în rețele OT precum cele găsite în stațiile digitale. Acest lucru se face de obicei prin exploatarea soluțiilor de acces la distanță nesigure, furtul acreditărilor valide ale utilizatorilor de la sistemele IT compromise sau utilizarea dispozitivelor tranzitorii infectate, cum ar fi telefoanele și laptopurile. Utilizarea unităților USB infectate în atacul Stuxnet este un exemplu al modului în care chiar și rețelele cu spații de aer pot fi compromise. În atacul din Ucraina, atacatorii au folosit acreditările furate din sistemele IT pentru a accesa rețelele OT prin conexiuni VPN.

Controale defensive: Stabiliți politici stricte pentru suporturi amovibile și dispozitive externe. Mențineți un inventar actualizat al activelor tuturor software-urilor și firmware-ului și mențineți activele actualizate cu corecții de securitate semnate digital (atât cât permit operațiunile). Soluțiile de control al accesului la rețea (NAC) pot preveni conectarea dispozitivelor neautorizate la rețelele de stații, în timp ce rețeaua dintre rețelele IT și OT și zonele substațiilor va perturba mișcarea laterală. Implementați sisteme industriale de detectare a intruziunilor (IDS) care înțeleg protocoalele OT și pot identifica comunicațiile anormale. Asigurați accesul la distanță utilizând autentificarea cu mai mulți factori și asigurați-vă că accesul la distanță de la terți (de obicei pentru întreținerea furnizorului) este securizat în mod similar. Eliminați acreditările implicite pe toate IED-urile, releele și dispozitivele de rețea, implementând în mod ideal controlul accesului bazat pe roluri. În cele din urmă, evaluările periodice ale vulnerabilității rețelelor OT ajută la identificarea punctelor slabe înainte ca atacatorii să o facă.

Executați atacul OT

Etapa finală implică atacatorii care își ating obiectivele - fie furtul de date, manipularea sistemului sau acțiuni distructive. În Ucraina, acest lucru a însemnat deschiderea întreruptoarelor (prin HMI pentru stații de transformare) pentru a crea întreruperi de curent. Atacatorii ucraineni au folosit încărcări de firmware rău intenționate pentru a întrerupe comunicațiile către dispozitivele de teren în timp ce executau atacuri de negare a serviciului către centrele de apel, ceea ce a dus la întârzierea eforturilor de recuperare și la frustrarea clienților care nu au putut obține răspunsuri.

Controale defensive: Implementarea sistemelor instrumentate de siguranță (SIS) care funcționează independent de sistemele de control. Mențineți copii de rezervă offline ale configurațiilor și verificați procedurile de restaurare. Efectuați exerciții regulate de masă și exerciții de răspuns la incidente specifice mediilor OT, pentru a asigura un răspuns rapid chiar și atunci când controalele de securitate cibernetică eșuează.

Atunci când apărarea stațiilor digitale, implementarea controalelor de securitate este doar jumătate din luptă, iar utilitățile electrice trebuie, de asemenea, să alinieze controalele cu cadrele de reglementare și industriale stabilite și să mapeze măsurile defensive atât la cerințele NERC CIP, cât și la Cadrul de securitate cibernetică NIST (CSF).

Alinierea CIP NERC

Standardele de protecție a infrastructurii critice (CIP) ale North American Electric Reliability Corporation oferă cerințe obligatorii pentru securitatea cibernetică a sistemului de alimentare în vrac. Standardele cheie relevante pentru stațiile digitale includ:

CIP-004 (Personal și instruire)Se concentrează pe cel mai critic element al securității cibernetice: oamenii. Stabilește cerințele pentru angajare, training și onboarding/offboarding.

CIP-005 (Perimetre electronice de securitate): Abordează segmentarea rețelei și măsurile de control al accesului discutate în apărarea împotriva intruziunii și pivotarea către OT.

CIP-007 (Managementul Securității Sistemului): Acoperă „blocarea și abordarea” de zi cu zi a securității cibernetice: gestionarea corecțiilor, prevenirea malware-ului, monitorizarea evenimentelor de securitate și gestionarea contului. Aceasta include practicile de protecție a punctelor finale, înregistrarea în jurnal și gestionarea vulnerabilităților esențiale pentru detectarea timpurie.

CIP-008 (Planificarea răspunsului la incidente): Se asigură că organizațiile își dezvoltă, mențin și își practică capacitatea de a răspunde la atacuri.

CIP-009 (Planificarea recuperării): Se concentrează pe revenirea la „normal” după un atac. Se asigură că procedurile de backup sunt implementate și verificate și că restaurarea este testată periodic pentru viteză și acuratețe.

CIP-010 (Managementul modificărilor configurației): Definește configurațiile de bază pentru active și stabilește un proces structurat de gestionare a modificărilor pentru acele linii de bază, pentru a include testarea corecțiilor pentru integritatea operațională. Include, de asemenea, cerințe pentru evaluări periodice ale vulnerabilității.

CIP-015 (Monitorizarea securității rețelei interne): Cel mai nou standard CIP, aprobat în vara anului 2025 și intră în vigoare începând cu octombrie 2028. CIP-015 se referă la cunoașterea a ceea ce se întâmplă „pe fir”: monitorizarea rețelelor OT, detectarea oricărei activități anormale și luarea deciziilor de răspuns în cunoștință de cauză.

Integrarea NIST CSF

Cadrul de securitate cibernetică NIST oferă o abordare flexibilă, bazată pe riscuri, organizată în jurul a șase funcții de bază care reprezintă o strategie cuprinzătoare de securitate cibernetică:

GuverneazăStabilirea și monitorizarea strategiei, așteptărilor și politicilor organizației de gestionare a riscurilor de securitate cibernetică.

Identificați: Construiți o înțelegere comună a riscului de securitate cibernetică între sisteme, active, date și oameni. Obțineți vizibilitate asupra poziției actuale de securitate și a riscurilor asociate.

Protejați: Implementați controalele tehnice discutate anterior: segmentarea rețelei, controalele accesului, protecția punctelor finale etc. Scopul este de a reduce suprafața totală de atac pe care un atacator o poate utiliza pentru a-și câștiga poziția în rețea.

Detectați: Implementați capabilități pentru a identifica corect apariția evenimentelor de securitate cibernetică rău intenționate în timp util. Utilizați datele agregate dintr-o mare varietate de materiale pentru a adăuga context la vizibilitate.

Răspunde: După detectarea unui atac cibernetic, luați măsuri pentru a reduce progresul atacatorilor, a atenua impactul și, în cele din urmă, a expulza atacatorii din rețea.

Recuperare: După ce ați neutralizat o amenințare, restaurați orice capacități sau servicii care au fost afectate din cauza incidentului. Utilizați lecțiile învățate pentru a informa viitoarea strategie de securitate.

Combinând NERC CIP, NIST CSF și controale defensive

Concluzie

Atacul din Ucraina din 2015 a demonstrat că stațiile digitale reprezintă ținte critice în care vulnerabilitățile cibernetice se pot traduce direct în consecințe fizice. Cu toate acestea, prin înțelegerea lanțului de ucidere al atacatorului și implementarea utilităților de apărare stratificate pot reduce semnificativ profilul lor de risc. Cu acceptarea atât a echipelor IT, cât și a echipelor OT și aplicarea atentă a strategiei, stațiile digitale pot fi plasate pe o bază de securitate excepțional de puternică și pot fi pregătite pentru orice ar putea încerca atacatorii în continuare.