Skip to main content
Ta stran je prikazana z avtomatskim prevajanjem. Namesto tega glej v angleščini?
Slika, ki spremlja članek o kibernetski varnosti v digitalni podpostaji
Članek

Praktični okvir za zaščito digitalnih podpostaj

Raziščite edinstvene izzive kibernetske varnosti, s katerimi se soočajo digitalne podpostaje, in praktičen okvir za operaterje omrežij za okrepitev njihove varnostne položaje, kar daje inženirjem več nadzora, več vpogleda in močnejše obrambne meje kot kdaj koli prej.

Preberite več o digitalnih postajah

Prekinitev verige ubijanja ICS

Digitalne podpostaje so ključni sestavni del stalne digitalne preobrazbe elektroenergetskih sistemov. Čeprav ta posodobitev prinaša izjemne izboljšave učinkovitosti in prepoznavnosti, odpira vrata tudi morebitnim vprašanjem kibernetske varnosti. Konvergenca operativne tehnologije (OT) in informacijske tehnologije (IT) v digitalnih podpostajah ustvarja napadalcem priložnosti, da povzročijo razširjene izpade električne energije, poškodbe opreme in ogrožajo javno varnost. V tem članku preučujemo izzive kibernetske varnosti, s katerimi se soočajo digitalne podpostaje, in zagotavljamo praktičen okvir za operaterje omrežij za okrepitev njihove varnostne položaje.

Napad na električno omrežje v Ukrajini leta 2015 - poziv za prebujanje

Decembra 2015 je približno 225.000 ukrajinskih državljanov doživelo izpad električne energije, kar je povzročilo prelomni trenutek varnosti digitalnih podpostaj. Napad, pripisan skupini groženj Sandworm z uporabo zlonamerne programske opreme BlackEnergy, je bil prvi javno priznan uspešen napad na električno infrastrukturo, ki je povzročil izgubo energije za stranke.

Napadalci so izvedli namerno, dobro načrtovano, večstopenjsko operacijo kibernetskega vdora po mesecih izvidništva in infiltracije omrežja skozi kampanje za lažno predstavljanje predstavljanja in pridobili dostop do korporativnih IT omrežij pripomočka. Od tam so se napadalci preusmerili v omrežja podpostaje OT in sčasoma uporabili kombinacijo legitimnih orodij za oddaljeni dostop in zlonamerne vdelane programske opreme, da bi motili storitve napajanja in ovirali prizadevanja za obnovitev.

Ta incident je razkril več kritičnih varnostnih pomislekov za operaterje digitalnih podpostaj: neustrezna segmentacija omrežja med okolji IT in OT, nezadostno spremljanje omrežij OT, pomanjkanje večfaktorske avtentikacije za oddaljeni dostop in omejeno vidnost delovanja podpostaj.

Raziščimo, kako rešiti te izzive in postaviti digitalne podpostaje na močne podlage kibernetske varnosti.

c9535eff-9a54-464e-9c05-0960d993ad1b | Vizual kibernetske varnosti 2022 (1:1)

Uokvirjanje problema: razmišljanje kot napadalec

Da bi najbolje razumeli, kako zaščititi digitalne podpostaje, vzemimo perspektivo napadalca z uporabo industrijskega nadzornega sistema Kill Chain. Ta veriga ubijanja organizira napadalce v vrsto operacij, ki se medsebojno gradijo in dosežejo predvideni učinek na koncu verige (v našem ukrajinskem primeru izguba električne energije). Za naše namene bomo uporabili zgoščeno različico verige ubijanja, v kateri bomo opisali korake, kot so priprava, vdor, prehod v OT, izvršitev OT in napad.

Priprava

Napadalci začnejo z zbiranjem obveščevalnih podatkov o svoji tarči. Pri pripomočkih lahko to vključuje prepoznavanje lokacij podpostaj, razumevanje arhitekture SCADA, raziskovanje opreme dobaviteljev in kartiranje omrežne infrastrukture. Ukrajinski napadalci leta 2015 so mesece preučevali svoje tarče. Podobno se je napad Colonial Pipeline 2021 začel z izvidništvom, ki je identificiralo ranljive poverilnice VPN.

Obrambni nadzor: Pripomočki bi morali zmanjšati svoj digitalni odtis z omejevanjem javno dostopnih informacij o konfiguracijah podpostaj in nadzornih sistemih. Usposabljanje za ozaveščanje o varnosti zaposlenih bi moralo poudariti tveganja prekomerne delitve operativnih podrobnosti na družbenih omrežjih ali profesionalnih omrežjih ter pravilnega ravnanja z občutljivimi podatki.

vdor

Napadalci pridobijo vstop v ciljno okolje. Pogosti načini vnosa vključujejo e-poštna sporočila s lažnim predstavljanjem, ogrožene posodobitve programske opreme, okužene pogone USB ali izkoriščanje internetnih sistemov. Ukrajinski napadalci so uporabili lažno predstavljanje z zlonamernimi prilogami Microsoft Office, kar je omogočilo namestitev zlonamerne programske opreme BlackEnergy in potrebno oporo za nadaljnja dejanja.

Obrambni nadzor: Upoštevajte najboljše prakse za kibernetsko varnost IT v podjetjih, vključno z robustnimi rešitvami za varnost e-pošte z naprednimi zmožnostmi zaščite pred grožnjami in peskovnikom, protivirusne/EDR rešitvami za poslovne delovne postaje, sistemi za zaznavanje vdorov v omrežju in centri za varnostne operacije (notranja ali upravljana storitev). Zagotovite, da so ekipe OT usklajene in posodobljene s strategijo kibernetske varnosti IT podjetja.

Pivot v OT

Po pridobitvi dostopa do korporativnih IT omrežij si napadalci prizadevajo razširiti svoj doseg v omrežja OT, kot so tista, ki jih najdemo v digitalnih podpostajah. To se običajno naredi z izkoriščanjem negotovih rešitev za oddaljeni dostop, krajo veljavnih uporabniških poverilnic iz ogroženih informacijskih sistemov ali uporabo okuženih prehodnih naprav, kot so telefoni in prenosniki. Uporaba okuženih pogonov USB v napadu Stuxnet je eden od primerov, kako so lahko ogrožena celo omrežja z zračnimi klapami. V ukrajinskem napadu so napadalci uporabili ukradene poverilnice iz IT sistemov za dostop do omrežij OT prek povezav VPN.

Obrambni nadzor: Vzpostavite stroge politike za izmenljive medije in zunanje naprave. Vzdržujte posodobljen popis sredstev vse programske opreme in vdelane programske opreme ter posodabljajte sredstva z digitalno podpisanimi varnostnimi popravki (kolikor to dovoljujejo operacije). Rešitve za nadzor dostopa do omrežja (NAC) lahko preprečijo, da bi se nepooblaščene naprave povezale z omrežji podpostaj, medtem ko bo omrežje med IT in OT omrežji ter območji podpostaj motilo bočno gibanje. Uvedite industrijske sisteme za zaznavanje vdorov (IDS), ki razumejo protokole OT in lahko prepoznajo nepravilne komunikacije. Varujte oddaljeni dostop z večfaktorsko preverjanje pristnosti in zagotovite, da je oddaljeni dostop tretjih oseb (običajno za vzdrževanje prodajalca) podobno zaščiten. Odpravite privzete poverilnice na vseh IED, relejih in omrežnih napravah ter v idealnem primeru uporabite nadzor dostopa, ki temelji na vlogah. Nazadnje, redne ocene ranljivosti omrežij OT pomagajo ugotoviti pomanjkljivosti, preden to storijo napadalci.

Izvedite OT napad

Zadnja faza vključuje napadalci, ki dosežejo svoje cilje - bodisi krajo podatkov, manipulacijo s sistemom ali uničujoča dejanja. V Ukrajini je to pomenilo odpiranje odklopnikov (prek HMI podpostaj) za ustvarjanje izpada električne energije. Ukrajinski napadalci so uporabili zlonamerno nalaganje vdelane programske opreme za prekinitev komunikacije s terenskimi napravami, medtem ko so izvajali napade zavrnitve storitve na klicne centre, kar je privedlo do zamude pri obnovitvi in razočaranih strank, ki niso mogle dobiti odgovorov.

Obrambni nadzor: Uvedite sisteme z varnostnimi instrumenti (SIS), ki delujejo neodvisno od nadzornih sistemov. Vzdržujte varnostne kopije konfiguracij brez povezave in preverite postopke obnovitve. Redno izvajajte namizne vaje in vaje za odzivanje na incidente, specifične za okolja OT, da zagotovite hiter odziv tudi v primeru neuspeha nadzora kibernetske varnosti.

Sestavljanje vsega skupaj - izvedljiv okvir

Kadar je obramba digitalnih podpostaj izvajanje varnostnega nadzora le polovica bitke, električni zavodi pa morajo tudi nadzor uskladiti z uveljavljenimi regulativnimi in industrijskimi okviri ter oblikovati obrambne ukrepe tako z zahtevami NERC CIP kot tudi na okvir Cybersecurity NIST (CSF).

NERC CIP poravnava

Standardi za zaščito kritične infrastrukture (CIP) Severnoameriške korporacije za električno zanesljivost zagotavljajo obvezne zahteve za kibernetsko varnost sistemov v razsutem stanju. Ključni standardi, pomembni za digitalne podpostaje, vključujejo:

CIP-004 (osebje in usposabljanje): Osredotoča se na najbolj kritičen element kibernetske varnosti: ljudi. Določa zahteve za zaposlovanje, training in vkrcanje/odkrcanje.

CIP-005 (elektronski Security perimetri): Obravnava ukrepe segmentacije omrežja in nadzora dostopa, o katerih so obravnavani pri obrambi pred vdorom in preusmeritvi na OT.

CIP-007 (Upravljanje sistemske Security): Zajema vsakodnevno »blokiranje in reševanje« kibernetske varnosti: upravljanje popravkov, preprečevanje zlonamerne programske opreme, spremljanje varnostnih dogodkov in upravljanje računov. To vključuje prakse zaščite končnih točk, beleženja in upravljanja ranljivosti, ki so bistvene za zgodnje odkrivanje.

CIP-008 (Načrtovanje odziva na incidente): Zagotavlja, da organizacije razvijajo, vzdržujejo in izvajajo svojo sposobnost odzivanja na napade.

CIP-009 (načrtovanje obnovitve): Osredotoča se na vrnitev v »normalno« po napadu. Zagotavlja, da so postopki varnostnega kopiranja uvedeni in preverjeni ter da se obnovitev redno preizkuša glede hitrosti in natančnosti.

CIP-010 (upravljanje sprememb konfiguracije): Določa osnovne konfiguracije za sredstva in vzpostavi strukturiran postopek upravljanja sprememb za te izhodiščne črte, ki vključuje testiranje popravkov za operativno celovitost. Vključuje tudi zahteve za redne ocene ranljivosti.

CIP-015 (spremljanje notranje Security omrežja): Najnovejši standard CIP, odobren poleti 2025 in začne veljati oktobra 2028. CIP-015 je namenjen vedenju, kaj se dogaja »na žici«: spremljanje OT omrežij, odkrivanje kakršnih koli nepravilnih dejavnosti in sprejemanje informiranih odločitev o odzivu.

Integracija NIST CSF

Okvir Cybersecurity NIST ponuja prilagodljiv pristop, ki temelji na tveganju, organiziran okoli šestih ključnih funkcij, ki predstavljajo celovito strategijo kibernetske varnosti:

Upravljati: Vzpostaviti in spremljati strategijo organizacije za obvladovanje tveganj kibernetske varnosti, pričakovanja in politike.

Opredelite: Ustvarite skupno razumevanje tveganja kibernetske varnosti med sistemi, sredstvi, podatki in ljudmi. Pridobite prepoznavnost trenutne varnostne drže in s tem povezanih tveganj.

Zaščitite: Izvedite tehnične kontrole, o katerih smo že govorili: segmentacija omrežja, nadzor dostopa, zaščita končnih točk itd. Cilj je zmanjšati celotno površino napada, ki jo lahko napadalec uporabi za uveljavitev v omrežju.

Zaznati: Uporabite zmogljivosti za pravočasno pravilno prepoznavanje pojava zlonamernih dogodkov kibernetske varnosti. Uporabite podatke, združene iz najrazličnejših sredstev, da dodate kontekst vidnosti.

Odgovorite: Ko odkrijete kibernetski napad, ukrepajte, da zmanjšate napredek napadalcev, ublažite vpliv in na koncu izgnanete napadalce iz omrežja.

Obnovite: Po nevtralizaciji grožnje obnovite vse zmogljivosti ali storitve, ki so bile oslabljene zaradi incidenta. Izkoristite pridobljene izkušnje za pripravo prihodnje varnostne strategije.

Združevanje NERC CIP, NIST CSF in obrambnih kontrol

Zahteva za CIP NERC

Funkcije NIST CSF

Primeri obrambnega nadzora

CIP-004

Upravljajte, identificirajte

Zavedanje zaposlenih o varnosti

CIP-005

Prepoznajte, zaščitite

Požarni zidovi, DMZ, varen oddaljeni dostop

CIP-007

Zaščitite, zaznajte, odzivajte, obnovite

Popravljanje, sečenje, kaljenje sistema

CIP-008

Odgovorite

Vaje za odzivanje na incidente

CIP-009

Obnovite

Varnostne kopije brez povezave, preskusni postopki obnovitve

CIP-010

Upravljajte, prepoznajte, zaščitite

Upravljanje sprememb, ocene ranljivosti

CIP-015

Zaznati, odgovoriti

OT omrežni IDS, beleženje omrežja

Zaključek

Napad na Ukrajino leta 2015 je pokazal, da digitalne podpostaje predstavljajo kritične cilje, kjer lahko kibernetske ranljivosti neposredno povzročijo fizične posledice. Vendar pa lahko z razumevanjem napadalčeve verige ubijanja in izvajanjem večplastnih obrambnih pripomočkov znatno zmanjšajo njihov profil tveganja. Z vstopnino ekip IT in OT ekip ter premišljeno uporabo strategije se lahko digitalne podpostaje postavijo na izjemno močne varnostne podlage in so pripravljene na vse, kar bodo napadalci poskusili naprej.

Ta članek je bil prvotno objavljen v Severnoameriška čista energija.