Một khuôn khổ thực tế để bảo vệ các trạm biến áp kỹ thuật số

Để hiểu rõ nhất cách bảo vệ các trạm biến áp kỹ thuật số, hãy xem quan điểm của kẻ tấn công bằng cách sử dụng Hệ thống điều khiển công nghiệp Kill Chain. Chuỗi giết này tổ chức các hành động của kẻ tấn công thành một loạt các hoạt động xây dựng lẫn nhau để mang lại hiệu quả dự định ở cuối chuỗi (trong ví dụ Ukraine của chúng tôi, mất điện). Đối với mục đích của chúng tôi, chúng tôi sẽ sử dụng một phiên bản cô đọng của chuỗi giết, phác thảo các bước như Chuẩn bị, Xâm nhập, Pivot to OT, Thực thi OT và Tấn công.

Chuẩn bị

Những kẻ tấn công bắt đầu bằng cách thu thập thông tin tình báo về mục tiêu của họ. Đối với các tiện ích, điều này có thể bao gồm xác định vị trí trạm biến áp, hiểu kiến trúc SCADA, nghiên cứu thiết bị của nhà cung cấp và lập bản đồ cơ sở hạ tầng mạng. Những kẻ tấn công Ukraine năm 2015 đã dành nhiều tháng để nghiên cứu mục tiêu của họ. Tương tự, cuộc tấn công Đường ống thuộc địa năm 2021 bắt đầu bằng trinh sát xác định thông tin đăng nhập VPN dễ bị tổn thương.

Kiểm soát phòng thủ: Các tiện ích nên giảm thiểu dấu chân kỹ thuật số của họ bằng cách hạn chế thông tin có sẵn công khai về cấu hình trạm biến áp và hệ thống điều khiển. Việc đào tạo nhận thức về bảo mật của nhân viên nên nhấn mạnh những rủi ro của việc chia sẻ quá nhiều chi tiết hoạt động trên phương tiện truyền thông xã hội hoặc các mạng chuyên nghiệp, cũng như xử lý đúng cách dữ liệu nhạy cảm.

Xâm nhập

Kẻ tấn công xâm nhập vào môi trường mục tiêu. Các phương pháp nhập thông thường bao gồm email lừa đảo, cập nhật phần mềm bị xâm nhập, ổ USB bị nhiễm hoặc khai thác các hệ thống đối diện với internet. Những kẻ tấn công Ukraine đã sử dụng spear-phishing với các tệp đính kèm Microsoft Office độc hại, cho phép cài đặt phần mềm độc hại BlackEnergy và có chỗ đứng cần thiết cho các hành động tiếp theo.

Kiểm soát phòng thủ: Thực hiện theo các phương pháp hay nhất cho an ninh mạng CNTT doanh nghiệp, bao gồm các giải pháp bảo mật email mạnh mẽ với khả năng bảo vệ mối đe dọa và hộp cát tiên tiến, giải pháp chống vi-rút /EDR cho máy trạm công ty, hệ thống phát hiện xâm nhập mạng và trung tâm hoạt động bảo mật (cung cấp dịch vụ nội bộ hoặc được quản lý). Đảm bảo rằng các nhóm OT phù hợp và cập nhật chiến lược an ninh mạng CNTT doanh nghiệp.

Pivot sang OT

Sau khi có được quyền truy cập vào các mạng CNTT của công ty, những kẻ tấn công tìm cách mở rộng phạm vi tiếp cận của họ vào các mạng OT giống như những mạng được tìm thấy trong các trạm biến áp kỹ thuật số. Điều này thường được thực hiện thông qua việc khai thác các giải pháp truy cập từ xa không an toàn, đánh cắp thông tin đăng nhập người dùng hợp lệ từ các hệ thống CNTT bị xâm nhập hoặc sử dụng các thiết bị tạm thời bị nhiễm bệnh như điện thoại và máy tính xách tay. Việc sử dụng các ổ USB bị nhiễm trong cuộc tấn công Stuxnet là một ví dụ về cách ngay cả các mạng không khí có thể bị xâm nhập. Trong cuộc tấn công Ukraine, những kẻ tấn công đã sử dụng thông tin đăng nhập bị đánh cắp từ các hệ thống CNTT để truy cập mạng OT thông qua các kết nối VPN.

Kiểm soát phòng thủ: Thiết lập các chính sách nghiêm ngặt cho phương tiện di động và các thiết bị bên ngoài. Duy trì bản kiểm kê tài sản cập nhật của tất cả các phần mềm và chương trình cơ sở, đồng thời cập nhật tài sản bằng các bản vá bảo mật được ký kỹ thuật số (càng nhiều hoạt động cho phép). Các giải pháp kiểm soát truy cập mạng (NAC) có thể ngăn các thiết bị trái phép kết nối với mạng trạm biến áp, trong khi mạng giữa mạng CNTT và OT và các khu trạm biến áp sẽ làm gián đoạn chuyển động bên. Triển khai các hệ thống phát hiện xâm nhập công nghiệp (IDS) hiểu các giao thức OT và có thể xác định thông tin liên lạc bất thường. Bảo mật truy cập từ xa bằng cách sử dụng xác thực đa yếu tố và đảm bảo rằng quyền truy cập từ xa của bên thứ ba (thường là để bảo trì nhà cung cấp) được bảo mật tương tự. Loại bỏ thông tin đăng nhập mặc định trên tất cả IED, rơle và thiết bị mạng, lý tưởng nhất là triển khai kiểm soát truy cập dựa trên vai trò. Cuối cùng, đánh giá lỗ hổng thường xuyên của mạng OT giúp xác định điểm yếu trước khi kẻ tấn công làm vậy.

Thực hiện tấn công OT

Giai đoạn cuối cùng liên quan đến việc kẻ tấn công đạt được mục tiêu của họ - cho dù là trộm cắp dữ liệu, thao túng hệ thống hoặc hành động phá hoại. Ở Ukraine, điều này có nghĩa là mở các cầu dao (thông qua HMI của trạm biến áp) để tạo ra sự cố mất điện. Những kẻ tấn công Ukraine đã sử dụng phần mềm độc hại tải lên để cắt đứt liên lạc đến các thiết bị hiện trường trong khi thực hiện các cuộc tấn công từ chối dịch vụ đến các trung tâm cuộc gọi, dẫn đến các nỗ lực khôi phục bị trì hoãn và khách hàng thất vọng không thể nhận được câu trả lời.

Kiểm soát phòng thủ: Triển khai các hệ thống thiết bị an toàn (SIS) hoạt động độc lập với các hệ thống điều khiển. Duy trì các bản sao lưu ngoại tuyến của cấu hình và xác minh các quy trình khôi phục. Thực hiện các bài tập trên bàn thường xuyên và các bài tập ứng phó sự cố dành riêng cho môi trường OT, để đảm bảo phản ứng nhanh chóng ngay cả khi các kiểm soát an ninh mạng không thành công.

Khi bảo vệ các trạm biến áp kỹ thuật số, việc thực hiện kiểm soát an ninh chỉ là một nửa trận chiến và các tiện ích điện cũng phải điều chỉnh các biện pháp kiểm soát với các khuôn khổ quy định và công nghiệp đã thiết lập và lập bản đồ các biện pháp phòng thủ theo cả yêu cầu CIP của NERC và Khung an ninh mạng NIST (CSF).

Căn chỉnh NERC CIP

Các tiêu chuẩn bảo vệ cơ sở hạ tầng quan trọng (CIP) của North American Electric Reliability Corporation cung cấp các yêu cầu bắt buộc đối với an ninh mạng hệ thống điện số lượng lớn. Các tiêu chuẩn chính liên quan đến trạm biến áp kỹ thuật số bao gồm:

CIP-004 (Nhân sự & Đào tạo)Tập trung vào yếu tố quan trọng nhất của an ninh mạng: con người. Đặt ra các yêu cầu cho việc tuyển dụng, đào tạo và onboarding/offboarding.

CIP-005 (Vành đai bảo mật điện tử): Giải quyết các biện pháp phân đoạn mạng và kiểm soát truy cập được thảo luận trong việc bảo vệ chống lại sự xâm nhập và chuyển sang OT.

CIP-007 (Quản lý bảo mật hệ thống): Bao gồm việc “chặn và giải quyết” an ninh mạng hàng ngày: quản lý bản vá, ngăn chặn phần mềm độc hại, giám sát sự kiện bảo mật và quản lý tài khoản. Điều này bao gồm các biện pháp bảo vệ điểm cuối, ghi nhật ký và quản lý lỗ hổng cần thiết để phát hiện sớm.

CIP-008 (Lập kế hoạch ứng phó sự cố): Đảm bảo rằng các tổ chức phát triển, duy trì và thực hành khả năng ứng phó với các cuộc tấn công.

CIP-009 (Lập kế hoạch phục hồi): Tập trung vào việc trở lại “bình thường” sau một cuộc tấn công. Đảm bảo rằng các quy trình sao lưu được triển khai và xác minh, và việc khôi phục được kiểm tra định kỳ về tốc độ và độ chính xác.

CIP-010 (Quản lý thay đổi cấu hình): Xác định cấu hình cơ sở cho tài sản và thiết lập quy trình quản lý thay đổi có cấu trúc cho các mốc cơ sở đó, bao gồm kiểm tra bản vá về tính toàn vẹn hoạt động. Cũng bao gồm các yêu cầu cho đánh giá lỗ hổng định kỳ.

CIP-015 (Giám sát An ninh mạng nội bộ): Tiêu chuẩn CIP mới nhất, được phê duyệt vào mùa hè năm 2025 và có hiệu lực bắt đầu từ tháng 10 năm 2028. CIP-015 là tất cả về việc biết những gì đang xảy ra “trên dây”: giám sát mạng OT, phát hiện bất kỳ hoạt động bất thường nào và đưa ra quyết định phản ứng sáng suốt.

Tích hợp NIST CSF

Khung An ninh mạng NIST cung cấp một cách tiếp cận linh hoạt, dựa trên rủi ro được tổ chức xung quanh sáu chức năng cốt lõi đại diện cho một chiến lược an ninh mạng toàn diện:

Quản trịThiết lập và giám sát chiến lược, kỳ vọng và chính sách quản lý rủi ro an ninh mạng của tổ chức.

Xác định: Xây dựng sự hiểu biết chung về rủi ro an ninh mạng trên các hệ thống, tài sản, dữ liệu và con người. Có được khả năng hiển thị tình hình bảo mật hiện tại và các rủi ro liên quan.

Bảo vệ: Thực hiện các biện pháp kiểm soát kỹ thuật đã thảo luận trước đây: phân đoạn mạng, kiểm soát truy cập, bảo vệ điểm cuối, v.v... Nhằm mục đích giảm bề mặt tấn công tổng thể mà kẻ tấn công có thể sử dụng để có được chỗ đứng của họ trong mạng.

Phát hiện: Triển khai các khả năng để xác định chính xác sự xuất hiện của các sự kiện an ninh mạng độc hại một cách kịp thời. Sử dụng dữ liệu được tổng hợp từ nhiều loại tài sản khác nhau để thêm ngữ cảnh vào khả năng hiển thị.

Trả lời: Khi phát hiện ra một cuộc tấn công mạng, hãy hành động để ngăn chặn tiến trình của kẻ tấn công, giảm thiểu tác động và cuối cùng là trục xuất kẻ tấn công khỏi mạng.

Phục hồi: Sau khi vô hiệu hóa mối đe dọa, hãy khôi phục bất kỳ khả năng hoặc dịch vụ nào bị suy giảm do sự cố. Sử dụng các bài học kinh nghiệm để cung cấp thông tin cho chiến lược bảo mật trong tương lai.

Kết hợp NERC CIP, NIST CSF và Kiểm soát Phòng thủ

Kết luận

Cuộc tấn công Ukraine năm 2015 đã chứng minh rằng các trạm biến áp kỹ thuật số đại diện cho các mục tiêu quan trọng, nơi các lỗ hổng mạng có thể chuyển trực tiếp thành hậu quả vật lý. Tuy nhiên, bằng cách hiểu chuỗi tiêu diệt của kẻ tấn công và triển khai các tiện ích phòng thủ theo lớp có thể làm giảm đáng kể hồ sơ rủi ro của họ. Với sự ủng hộ từ cả nhóm CNTT và OT, và áp dụng chiến lược chu đáo, các trạm biến áp kỹ thuật số có thể được đặt trên nền tảng bảo mật đặc biệt mạnh mẽ và chuẩn bị cho bất kỳ kẻ tấn công nào có thể thử tiếp theo.