爱游戏ayx网

确保工业控制的未来免受网络威胁

8月31日能源日召开的Fortinet OT研讨会就如何确保能源行业工业控制的未来提供了专家建议和最佳实践。

由Gary Cohen. 2021年9月20日
提供:Fortinet OT研讨会

能源系统在历史上一直是一致、安全和可靠的,但这并不意味着它们不是网络威胁的目标。现在,越来越多的攻击者明确针对电力行业所依赖的工业控制系统(ICS)。将能源市场带入未来,以满足不断变化的需求是本报告第2天的重点Fortinet的运营技术研讨会,能源日,在2021年8月31日举行的在线活动。能源日的目标是提供有关如何确保工业管制未来的建议和最佳做法。

开幕主题演讲:电力行业的OT网络威胁和建议

罗伯特·M·李(Robert M.Lee)是该公司的首席执行官德拉戈斯,以其关于电力行业网络威胁的开幕式主题演讲拉开了活动的序幕。虽然能源系统具有弹性,但它们面临着许多与其他ICS环境相同的挑战。在数字转型和超连接方面不断增长的投资使整个行业受益匪浅——创造了更安全、更可靠、更实惠的系统——但也使其面临更大的网络威胁。德拉戈斯发现,威胁组织的上升速度是下降速度的三倍。

李说,人们明确地将目标对准了工业OT系统,使其成为一个更加复杂的环境。威胁总是越来越严重,但我们不需要对每个漏洞感到“害怕”。随着这个行业的成熟,人们对网络安全的研究越来越深入,因此他们自然会发现更多,但这并不意味着人们应该炒作这个问题。并非所有威胁都是平等产生的。

李说:“威胁比你意识到的更严重,但没有你想象的那么严重。”。

我们需要了解日益增加的威胁的“飓风路径”将走向何方,以便我们能够领先于对手。Dragos检查了电力行业的ICS关键漏洞,发现有些漏洞是有用的,而另一些则是“垃圾”

“如果漏洞不会引入新的风险,为什么要打扰您的运营团队?”李问道。

在电力行业,Dragos发现:

  • 27%的关键漏洞和暴露(CVE)包含错误
  • 46%的咨询有不正确的数据
  • 56%有补丁,但没有其他缓解措施
  • 21%的人没有补丁,也没有其他缓解措施
  • 26%的人没有补丁

目标应该是与原始设备制造商(OEM)合作,了解哪些漏洞很重要,需要注意。可能受影响的OEM设备包括蜂窝网关、路由器、无线网桥和接入点。

李说,德拉戈斯一直在追踪已知的威胁团体,发现11个团体专门针对电气公司(每个行业都有15个)。电力行业趋向于更加成熟,因此它的可视性更高,比其他行业的监控能力更强。问题是:我们可以从哪些战术、技术和程序(TTP)或可重复的模式和行为中获得见解。

有一些具体的事情我们必须担心,其中之一就是违反原始设备制造商的规定。原始设备制造商可以远程访问客户网络的关键部分,因此违反原始设备制造商协议的黑客可以使用他们的凭证来控制关键的客户流程。损害原始设备制造商的利益,如太阳风事件,放大了基础设施的潜在风险。李明博表示,我们需要更好地就妥协和如何处理事件进行成熟的讨论。透明度是其中的一个重要部分。

然后李某讨论了拜登政府最近的100天电力计划。作为此类的一部分,所有者和运营商需要使网络防御性的现代化,以及提高可见性,检测和响应。截至8月16日,至少有150个电机,服务于近9000万个电力客户,已采用或致力于采用新技术。

Lee引用了这个100天的计划,作为真正的公私伙伴关系的一个例子。如同,“我们有问题;你们去解决它。“让专家们弄清楚应该是什么,这总是很重要。李说,讨论的真正英雄是电力公用事业,谁回答了电话并理解了这个问题。现在,其他行业,如石油和天然气,化学和水,还需要100天的行动计划。

能源/电力/公用事业部门的数字和安全趋势

在廊口上的衣服是瑞士的瓦特英特尔事物互联网集团谈论能源/电力/公用事业部门的数字和安全趋势。他表示,能源部门拥有一个僵硬的架构,在100年前的设计范围内容超过100年前并且现在主要是相同的。虽然它是集中而刚性的,但它也非常可靠。正如我们考虑转变行业以满足新的需求和标准,我们必须从过去所做的事情中学习。

瓦茨表示,世界正在发生变化,减少碳排放变得越来越重要。与此同时,可再生能源正变得更加高效。那么,我们如何将这些新资源引入到旧的网格中呢?

太阳能和风能比煤炭更不稳定,更不可靠,因为太阳能和风能在供应方面是可变的。这造成了不稳定,因此我们需要将电网变平。

由于电动汽车,蓄电,数据中心和微电网等的东西,需求的大规模增加,不能与碳的燃料满足。可再生能源需要回答这种需求的增加 - 及其不稳定。该行业不能与今天的基础设施带来这一点,所以转换电网分销至关重要。

要了解更多关于瓦茨电网未来愿景的信息,请访问工业网络安全脉冲关于他的谈话的综合文章.

案例研究:使用Fortinet保护能源/电力/公用事业数字基础设施

追求瓦特是Radhika ChaturvediGE可再生能源谈到电力部门的安全问题。Chaturvedi研究了OT的安全性,并从业务方面防范网络威胁。

OT系统受到攻击,控制系统通常是目标。她引用了2017年6月《连线》上的一篇文章,研究人员发现他们可以侵入整个风电场,访问控制系统并操纵涡轮机。从那时起,有更多的证据证明OT系统的易感性,攻击奥古尔和殖民管道。控制系统是OT环境的核心,那么我们如何应对这些风险?

提供:Fortinet

查图尔维迪说,各国政府肯定在关注此事。在北美,出现了NERC-CIP标准,以及拜登政府的行政命令执行备忘录重点关注关键基础设施的网络安全。在全球范围内,欧盟(EU)NIS指令是第一个支持欧盟网络安全的立法。查图维迪说,这是一个非常好的步骤,让人们认识到工业控制系统的重要性以及安全需要如何发展。

那么OEM的意思是什么?未来的服务必须与这些法规和要求对齐,并根据提供服务的产品和程序构建。这将需要更大的关注供应链安全和关键基础设施。

其中一个真实的阳性是客户的要求开始于IEC 62443周围收敛,并且在NERC CIP和IEC 62443之间存在足够的重叠,以使北星成为合规性。

但有些客户已经开发了自己独特的要求,这可以使事情变得更加复杂。理想情况下,我们希望围绕一组要求进行更多的收敛性。

这些新标准的另一个问题是,在一个成本敏感的行业,IEC正在增加产品安全和工程的成本。Chaturvedi说,在一个平均的陆上风力发电系统中,64%到84%的资本成本是风力涡轮机。不到4%的资本成本是监控和数据采集(SCADA)和ICS系统,很少关注网络安全。

当客户认真对待并提出更好的问题时,安全团队和采购团队之间的差距仍然存在。

为了在成本敏感的行业中增加成本,Chaturvedi建议将成本引入整个价值链。行业可以发展以解决市场需求的某种方式是:

  • 通过安全产品开发,实施和运营合规的目标组织
  • 创建剧本/策略,通过审查/批准将安全性引入产品开发流程
  • 在工程中嵌入一个安全工程师团队,以协助产品线读者
  • 将安全需求转化为工程语言,并根据适用需求进行提炼
  • 定义参考体系结构,以提高整个车队和业务的安全性
  • 创建基于价值的产品选项和服务,以满足客户合规性和预算需求

安全性增加了价值链中需要预期的成本。预算必须反映这一点,公司需要重新设定预期。他们需要使用流程、人员和技术来简化成本,而使用正确的技术可以使实施变得更容易。

能源/功率/实用程序的防御安全性

伦敦大学的克里斯·布劳维尔特Fortinet.接下来是谈论如何通过纵深防御对抗网络威胁。现在OT系统的连接越来越紧密,纵深防御可以增强网络的弹性。随着价值链转型和数字转型的增加,电力、公用事业和可再生能源的威胁范围继续扩大。在现代,可靠、安全地移动数据是关键。

提供:Fortinet

Blauvelt说,数字创新也在增加风险,因为网络威胁利用了中断。对OT基础设施的威胁是非常真实的,对关键基础设施的攻击的复杂性和数量的增加也是如此。最大的问题是:能源和公用事业如何保护、防御和应对攻击?

Blauvelt推荐了一种标准驱动的安全实施。在设计过程中嵌入安全性并遵循基于平台的方法非常重要。

纵深防御需要在整个网络中进行多层安全控制。这些冗余保护方案无法阻止所有网络威胁,但在一个控制失败的情况下,它们确实有帮助。Blauvelt提到了策略、物理层、外围层、内部网络层、主机层、应用程序层和数据层,以此作为建立纵深防御的一种方式。

他演讲的主要收获是:

  • 随着互联数字基础设施的发展,数字攻击面不断扩大
  • 我们需要识别数字基础设施中的弱点,并采用基于风险的方法
  • 我们可以按照行业标准设计一个全面的网络安全战略
  • 公司应该选择平台方法而不是点产品
  • 请记住,网络安全不会以安全区域和管道结束;这是一个生命周期
  • 使用行业标准合规框架审核您的安全实施,以确定实施中的任何差距和持续改进。

闭幕式主题演讲:面对日益增长的网络威胁时的运营弹性

Dale Peterson,数字债券首席执行官,结束了此次活动,讨论了面对日益增长的网络威胁时的运营弹性。彼得森从讨论开始殖民地管道袭击以及如何担任网络安全专业人员的一种RORSchach测试。一般响应是关于人们如何为远程访问使用双因素认证,并且私营行业需要通过向其系统添加更多控件来实现更强的手。但彼得森建议专注于风险方程的后果方面更为重要,或攻击的影响。

提供:Fortinet

彼得森说:“Colonial应该让你问一个问题:如果我的IT网络遭到破坏,我能否制造产品并向客户交付产品?”。

虽然殖民攻击显然从未到达作战技术(OT)网络,但它仍然关闭了该公司交付产品的能力,这是一个巨大而昂贵的问题。彼得森说,安全专家应该假设他们的网络遭到破坏,并致力于实现恢复时间目标(RTO)。

“在我恢复并运行之前,它有多长?你有信心你可以实现吗?“彼得森说。“正确的人需要问这个问题。”

OT后果应添加到组织的风险矩阵中。正如彼得森所说,“OT并不是一朵特别的小花。”许多高管高估了网络事件对公司的意义,然后急于增加更多的控制。彼得森说,目标应该是确定是什么造成了高后果的事件。电厂停运是否为高后果事件?在东海岸,可能不是。如果工厂倒闭,他们可以从其他地方购买电力。在毛伊岛,那里只有一个发电厂,这可能是一个大问题。

彼得森建议,在试图说服高管们需要更多的网络安全时,强调减少后果比降低风险更有效。增加额外控制和降低风险很难量化;处理后果会给你提供硬数字,让你能够用高管理解的语言谈论网络威胁。

有关更多信息,请查看工业网络安全脉搏搭档Fortinet运营技术研讨会第一天,制造日。


加里·科恩
作者简介:Gary Cohen是CFE Media and Technology的高级编辑和产品经理。