電力網路的發展日新月異,隨著智慧電網的興起、再生能源的引入,以及各種儲電方式的演進,各方對電網的安全性也提出了前所未有的更高要求。在採用風能和太陽能等間歇性新型能源時,供需平衡意味著電網必須做到即時響應和適應,而這絕非易事。

 

面對這些挑戰,電網正朝著越來越智慧化、互聯化和數位化的方向發展。由此,從整個電網層面到發電層面,再到單獨的智慧型電子設備(IED)層面,都必須實現網路能見度、安全和控制。改進智慧電網的互聯互通、利用IEC-61850和IEC-60870-5-104等基於TCP/IP的現代化標準、採用新的資料採集技術,正在成為事實上的產業標準。

相互連通的網路在創造巨大效率的同時,也產生了更廣泛的攻擊面,能夠輕易從一家供應商傳播到另一家。因此,基於電網的工業網路威脅已成為影響安全、可靠性和業務連續性的核心風險。

 

電力產業的網路攻擊剖析

  • 針對電網發動滲透

  • 以網路中的某個資產為攻擊陣地

  • 開展偵查活動,以確定目標和易受攻擊的設備•傳播到其他資產中,以觸及目標區域

  • 可以破壞電網運作的“最後一哩路”攻擊

近期電力安全大事件

  • 2019年3月 - 委內瑞拉遭遇來歷不明的攻擊,57%的受影響地區斷電近一週時間。

  • 2017年6月 - 美國政府官員稱,俄羅斯已入侵美國電網,並有能力隨意選擇時間點,以關閉絕大部分電網。

  • 2016年12月 - Crashoverride襲擊了烏克蘭電網。這次攻擊切斷了基輔五分之一的電力。

 

缺乏能見度或環境背景

在電網環境中,“最後一哩路”攻擊可能涉及向控制器、繼電器和IED發送合法的協議指令。這些指令可以是標準化的協議,如IEC-61850、
IEC-60870-5和DNP3,也可以是供應商的專有協議。協議中斷可能對安全和電網穩定造成可怕的後果。

這些類型的事件都應當得到充分的解釋。但要在“最後一哩路”的攻擊階段之前發現跡象。流量應隨時隨地受到監控,包括變電站總線本身。對事件的理解要清晰,還要納入足夠的環境背景,識別事件本質上是惡意攻擊,或者只是常規操作的部分流程。解決方案要能適應各個電網的特定需求,以盡可能減少誤報並幫助網路管理人員專注於常規操作。

為了在攻擊的任何階段都能夠識別出事件,需要擁有多個檢測引擎。

  1. DPI引擎同時適用於標準化和專有協議,可識別“最後一哩路”攻擊和偵查事件。

  2. 通用流量映射和流量可視化需要識別出企圖從外部來源進行通信的警報。

  3. 異常檢測機制可用於精確定位非正常網路操作的流量模式。

  4. 充分利用基於特徵碼的檢測,以識別出攻擊者在透過網路建立攻擊陣地或傳播過程中用過的已知威脅。

 

物理篡改

與通常位於單個大型綜合設施中的傳統IT網路或製造工廠不同,電力網路的物理位置往往分佈在龐大的區域中。解決方案必須定期查詢所有地點的每一台設備,以識別出是否執行過任何變更。需要查詢網路中所有的IED,因其控制著電網的正常運行。因此,也很有必要查詢對正常網路操作有關鍵影響的伺服器、工作站、網路設備、閘道,以及其他任何設備。

Tenable.ot充分利用已獲專利的主動查詢技術,同時也是首家專為電力網路建構主動查詢引擎的公司。該技術採用標準和非標準協議的主動查詢,可獲得最大限度的態勢感知,並完整覆蓋分散式電網網路中的所有設備。

 

管理所有資產

電力網路往往擁有龐大的基礎設施。大量不同的設備分佈在廣闊的區域內,有時甚至跨越多個網路。除了品牌和型號的不同外,網路中通常還有多代設備。解決方案應當有能力結合多種發現方法,為整個分散式環境建立最新的資產清單。

需要透過資產追蹤來保持清單更新,並提醒任何來源不明的變更。這種方式針對電力網路中發現的所有類型設備(如 IED、EMS 伺服器、GPS 時間伺服器、防護設備等)提供了必要的能見度。該解決方案還應當能擴展到擁有大量異構設備的大型網路中。此外還要覆蓋未在 網路上正常通信的休眠設備。

Tenable.ot實施混合資產追蹤的企業可以被動地透過 SPAN 端口或感應器提取網線詳情,並識別出所有資產及其中每個資產的特定詳細資訊。將被動式技術與已獲專利的主動設備查詢技術相結合,能夠分析所有設備,甚至包括無法進行正常通信的“休眠”設備。

 

主動漏洞管理

電力網路往往包含各種隨機升級或更換過的舊設備。由於每種設備類型的修補程序級別不同,維護即時更新的修補管理程序可謂困難 重重。如果是手動執行,不僅可能出現疏漏和錯誤,還要耗費大量的時間和精力。這就意味著,有必要即時深入瞭解每台設備的狀態和特性。這就包括在設備的特定條件和可用的漏洞知識庫之間進行精確匹配,以消除誤報。由於電網環境的動態特性,這部分知識應定期更新,並與新發現的漏洞保持同步。在建立了準確的資產清單之後,利用主動和被動檢測機制。

Tenable.ot 能夠提取出設備的詳細資訊(如型號、韌體、修補程序級別、已安裝的軟體、序號)。由此帶來的修補管理功能可讓所有設備保持在最新狀態並獲得充分保護。

 

電力工控安全標準部署示意圖

如今,網路安全是電網公認的核心風險。為了降低風險,必須獲得所有運作資產的充分能見度,包括 IED、RTU、PLC、斷路器、儀錶、驅動器和其他設備。​

Tenable.ot 在標準化和非標準化協議中利用了被動檢測和已獲專利的主動查詢技術,來檢測電網環境中的任何威脅。

此外,Tenable.ot還開發了一套全面的策略機制,以允許網路管理團隊為每個單獨網路的例行程序分別建立適合的規則。同時使用這兩種安全方法,再結合Tenable.ot的彈性部署選項,可確保智慧電網安全運行並降低風險。

 

 


 

 
回上層