【編者按】針對(duì)電力行業(yè)的網(wǎng)絡(luò)入侵和攻擊數(shù)量正在增加，2020年Dragos確定了三個(gè)針對(duì)電力行業(yè)的新活動(dòng)組織（AG）：TALONITE、KAMACITE和STIBNITE。此外，供應(yīng)鏈風(fēng)險(xiǎn)和勒索軟件攻擊繼續(xù)對(duì)電力公用事業(yè)運(yùn)營造成入侵和破壞性影響。通過分析Dragos的《全球電力網(wǎng)絡(luò)威脅視角》報(bào)告，可以深入了解更多關(guān)于電力威脅的情況，以及防護(hù)這些威脅挑戰(zhàn)的建議。

　　網(wǎng)絡(luò)攻擊造成的電力中斷事件可能發(fā)生在電力系統(tǒng)運(yùn)行的各個(gè)地點(diǎn)，如控制中心、調(diào)度中心，或整個(gè)組織服務(wù)區(qū)域內(nèi)的發(fā)電、輸電或配電環(huán)境中。對(duì)電力系統(tǒng)的攻擊，就像對(duì)其他關(guān)鍵基礎(chǔ)設(shè)施部門的攻擊一樣，可以進(jìn)一步實(shí)現(xiàn)攻擊者的政治、經(jīng)濟(jì)和國家安全目標(biāo)。隨著攻擊者及其運(yùn)營者投入更多的精力和資金來獲得破壞性能力，電力行業(yè)遭受破壞性或破壞性攻擊的風(fēng)險(xiǎn)顯著增加。

　　在世界許多地區(qū)，電力部門在安全投資方面領(lǐng)先于其他工業(yè)部門。雖然安全投資歷來集中在企業(yè)信息技術(shù)（IT）網(wǎng)絡(luò)上，但運(yùn)營技術(shù)（OT）安全方面正在取得重大進(jìn)展。例如，在北美，電力部門十多年來一直致力于通過董事會(huì)級(jí)決策、GridEx、北美電力可靠性公司（NERC）關(guān)鍵基礎(chǔ)設(shè)施保護(hù)（CIP）標(biāo)準(zhǔn)等準(zhǔn)備工作來應(yīng)對(duì)網(wǎng)絡(luò)威脅。以及近期白宮與能源部合作制定的100天行動(dòng)計(jì)劃，這項(xiàng)行動(dòng)計(jì)劃的重點(diǎn)是提高OT在ICS網(wǎng)絡(luò)中的可視性、檢測(cè)和響應(yīng)能力。

　　隨著電力行業(yè)開始比以往任何時(shí)候都更加引人注目，企業(yè)必須在此之前做好準(zhǔn)備。本報(bào)告提供了截至2021年6月的威脅概況。

　　一、電力行業(yè)概述

　　電力系統(tǒng)包括發(fā)電、輸電及配電，電力系統(tǒng)是復(fù)雜的、有彈性的、相互連接的。例如在北美，電力系統(tǒng)由四個(gè)互連部分組成：東部、西部、德克薩斯電力可靠性委員會(huì)（ERCOT）和魁北克。在歐洲，輸電系統(tǒng)網(wǎng)絡(luò)由歐洲輸電系統(tǒng)運(yùn)營商網(wǎng)絡(luò)（ENTSO-E）運(yùn)營。在澳大利亞，輸電網(wǎng)絡(luò)系統(tǒng)由澳大利亞能源市場(chǎng)運(yùn)營商（AEMO）運(yùn)營，運(yùn)營西澳大利亞的批發(fā)電力市場(chǎng)（WEM）和覆蓋全國其他地區(qū)的國家能源市場(chǎng)（NEM）。這些系統(tǒng)依次由許多地方電網(wǎng)互聯(lián)而成。

　　這種互連模式使互連內(nèi)部的電力流動(dòng)安全可靠，并允許通過直接連接（DC）在互連之間進(jìn)行一些直流連接線。這種設(shè)計(jì)允許在互連中通過多個(gè)路徑發(fā)生功率流，并在互連中包含頻率干擾。工程方法提供冗余，防止完全崩潰，并在緊急操作期間提供了許多好處。然而，盡管該系統(tǒng)具有相當(dāng)?shù)膹椥?，但其?fù)雜性一直在顯著增加，因此這種相互聯(lián)系和依賴可能實(shí)際上會(huì)降低其彈性，而在面對(duì)確定的網(wǎng)絡(luò)威脅時(shí)，這種彈性在很大程度上仍有待檢驗(yàn)。

　　電力公司有相應(yīng)的流程，可以在其他實(shí)體遭遇風(fēng)暴、火災(zāi)或網(wǎng)絡(luò)攻擊等影響其服務(wù)領(lǐng)域的事件時(shí)向其提供互助。區(qū)域互助組織和行業(yè)伙伴關(guān)系可以共享資源，并在破壞性或破壞性事件發(fā)生后實(shí)現(xiàn)穩(wěn)定和可靠性。為了響應(yīng)實(shí)時(shí)事件，電力公司制定了明確的緊急操作程序，以在運(yùn)行條件惡化時(shí)控制和定位電力系統(tǒng)，包括降低負(fù)荷、服務(wù)中斷、甩負(fù)荷和電力系統(tǒng)恢復(fù)行動(dòng)的公共呼吁。

　　在美國、加拿大和墨西哥部分地區(qū)注冊(cè)執(zhí)行特定可靠性任務(wù)的電力實(shí)體，必須遵守由NERC-CIP標(biāo)準(zhǔn)制定的網(wǎng)絡(luò)安全法規(guī)。墨西哥的電網(wǎng)系統(tǒng)由能源監(jiān)管委員會(huì)（CRE）監(jiān)管。該委員會(huì)在可靠性方面與NERC合作，并為墨西哥的電力實(shí)體定義網(wǎng)絡(luò)安全規(guī)則。在全球范圍內(nèi)，網(wǎng)絡(luò)安全法規(guī)或指南有所不同，但許多國家依賴國際電工委員會(huì)（IEC）和國際標(biāo)準(zhǔn)化組織（ISO）制定的標(biāo)準(zhǔn)。ISO和IEC聯(lián)合技術(shù)委員會(huì)（JTC1）為包括核電和電力設(shè)施在內(nèi)的操作技術(shù)（OT）設(shè)備制定網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。歐洲和澳大利亞也制定了類似的框架，分別是網(wǎng)絡(luò)和信息系統(tǒng)安全指令（NIS-D）和澳大利亞能源部門網(wǎng)絡(luò)安全框架（AESCSF）。盡管還沒有被強(qiáng)制執(zhí)行，但對(duì)于關(guān)鍵基礎(chǔ)設(shè)施而言，它們的級(jí)別更高，而不是完全與電力有關(guān)。遵守網(wǎng)絡(luò)安全法規(guī)和最佳實(shí)踐，確保維持最低水平的網(wǎng)絡(luò)安全，從而使電力設(shè)施在ICS行業(yè)中獨(dú)樹一幟。

　　二、電力運(yùn)營部門威脅

　　圖片

　　圖1 電力分配

　　在電力到達(dá)客戶之前，它要經(jīng)過多個(gè)步驟，包括發(fā)電、輸電和配電。電力由化石燃料、核能或可再生能源等能源在發(fā)電設(shè)施（通常稱為發(fā)電廠）中產(chǎn)生。輸電系統(tǒng)將電力從發(fā)電廠遠(yuǎn)距離輸送到配電變電站，從那里分發(fā)給客戶。輸電和配電系統(tǒng)包括變電站，其中變壓器用于提高或降低電壓水平，以便向工業(yè)、商業(yè)和住宅客戶提供適當(dāng)?shù)姆?wù)。

　　1、發(fā)電

　　Dragos評(píng)估，至少有五個(gè)威脅組織（AGs）證明有滲透或破壞發(fā)電的意圖或能力。XENOTIME已經(jīng)展示了在工業(yè)環(huán)境中訪問、操作和實(shí)施攻擊的能力。Dragos評(píng)估，該組織將有能力對(duì)其破壞性工作進(jìn)行重組，并將其重點(diǎn)放在電力設(shè)施上，因?yàn)樗呀?jīng)瞄準(zhǔn)了安全儀表系統(tǒng)，如Triconex，它是發(fā)電行業(yè)的支柱。DYMALLOY展示了在發(fā)電設(shè)施中訪問OT網(wǎng)絡(luò)的能力，并獲得敏感ICS數(shù)據(jù)的屏幕截圖，包括人機(jī)界面（HMI）的屏幕截圖。ALLANITE也是對(duì)發(fā)電的威脅，因?yàn)樗cDYMALLOY在目標(biāo)定位和能力方面有一些相似之處。到目前為止，這兩個(gè)組織都沒有展示出干擾或破壞ICS的能力，只是專注于一般偵察。

　　WASSONITE積極瞄準(zhǔn)亞洲的關(guān)鍵基礎(chǔ)設(shè)施，包括核能發(fā)電，并在至少一個(gè)核電廠的管理系統(tǒng)中成功部署惡意軟件。盡管沒有證據(jù)表明它成功地滲透了運(yùn)營網(wǎng)絡(luò)。雖然威脅組織尚未顯示出任何特定于ICS的能力或破壞性意圖，但迄今為止的行動(dòng)表明，對(duì)這些資源的興趣持續(xù)不斷。最后，觀察到STIBNITE專門針對(duì)阿塞拜疆發(fā)電的風(fēng)力渦輪機(jī)公司。根據(jù)目前的收集工作，該活動(dòng)似乎僅限于阿塞拜疆。STIBNITE在其入侵操作中使用PoetRAT遠(yuǎn)程訪問惡意軟件在受害者系統(tǒng)上收集信息、截圖、傳輸文件和執(zhí)行命令。該活動(dòng)反映了Dragos在許多AGs中觀察到的結(jié)果，這些威脅組織攻擊ICS的意圖存在，即使針對(duì)ICS的特定能力尚未顯現(xiàn)。

　　以ICS為攻擊目標(biāo)的威脅者并沒有成功地?cái)_亂電力生產(chǎn)。Dragos觀察到的針對(duì)這部分的活動(dòng)，包括獲取敏感行動(dòng)網(wǎng)絡(luò)的文件，可能被用于間諜目的或促進(jìn)破壞性攻擊。

　　2、輸電

　　至少有兩個(gè)AGs對(duì)傳輸操作構(gòu)成威脅。ELECTRUM是一種資源豐富的AG，具有中斷電力傳輸?shù)哪芰?。Dragos評(píng)估KAMACITE作為ELECTRUM的初始訪問和促進(jìn)小組。

　　ELECTRUM對(duì)2016年12月在烏克蘭基輔發(fā)生的CRASHOVERRIDE惡意軟件攻擊負(fù)責(zé)。攻擊者定制了惡意軟件，通過打開和關(guān)閉電力系統(tǒng)中用于輸送電力的多個(gè)斷路器來切斷傳輸級(jí)變電站的電源，并確保操作員、電源線和設(shè)備的安全。這次攻擊顯示了對(duì)傳輸環(huán)境和使用的工業(yè)協(xié)議的深刻理解，使攻擊者能夠針對(duì)特定目標(biāo)定制惡意軟件。

　　雖然此次攻擊發(fā)生在歐洲，但類似的網(wǎng)絡(luò)攻擊也有可能發(fā)生在世界其他地區(qū)，并對(duì)目標(biāo)環(huán)境中的不同工業(yè)協(xié)議、設(shè)備和網(wǎng)絡(luò)拓?fù)溥M(jìn)行修改。例如，攻擊目標(biāo)斷路器操作由遵守IEC 6185029標(biāo)準(zhǔn)的ABB設(shè)備控制，并使用制造信息規(guī)范（MMS）協(xié)議進(jìn)行通信。攻擊還可以被用于符合這些標(biāo)準(zhǔn)的其他設(shè)備。

　　3、配電

　　2015年12月23日，KAMACITE在烏克蘭發(fā)動(dòng)了首次網(wǎng)絡(luò)攻擊造成的大范圍停電。攻擊者利用惡意軟件獲得了對(duì)三家電力配電公司的遠(yuǎn)程訪問，利用目標(biāo)環(huán)境的配電管理系統(tǒng)執(zhí)行系統(tǒng)操作，并擾亂了大約23萬人的電力供應(yīng)。經(jīng)過人工操作，幾小時(shí)后電力才完全恢復(fù)。

　　與ELECTRUM相反，KAMACITE在2015年烏克蘭事件中沒有使用ICS特定的惡意軟件，它通過操作環(huán)境中的現(xiàn)有工具遠(yuǎn)程控制操作。AGs展示的行為和工具使用，包括KAMACITE和ELECTRUM，可以根據(jù)威脅行為者的重點(diǎn)部署在全球分銷業(yè)務(wù)中。

　　在整個(gè)發(fā)電、輸電和配電過程中的任何一點(diǎn)電力中斷，都需要攻擊者對(duì)企業(yè)和運(yùn)營環(huán)境、使用的設(shè)備以及如何操作專門設(shè)備有基本的了解。攻擊者必須在目標(biāo)環(huán)境中花費(fèi)很長一段時(shí)間學(xué)習(xí)控制系統(tǒng)的細(xì)節(jié)，以成功地實(shí)施破壞電力服務(wù)的攻擊，而防御者在潛在的攻擊鏈上有多個(gè)機(jī)會(huì)檢測(cè)并消除攻擊者的訪問。

　　三、當(dāng)前面臨的威脅現(xiàn)狀

　　1、勒索軟件

　　Dragos觀察到，影響ICS環(huán)境和操作的非公開和公開勒索軟件事件數(shù)量顯著增加。根據(jù)Dragos和IBM Security X-Force跟蹤的數(shù)據(jù)，2018年至2020年，發(fā)生在工業(yè)和相關(guān)實(shí)體上的勒索軟件攻擊中有10%是以電力設(shè)施為攻擊目標(biāo)。這是僅次于制造業(yè)的第二大目標(biāo)產(chǎn)業(yè)。盡管大多數(shù)影響ICS和相關(guān)實(shí)體的勒索軟件都是以IT為中心的，但如果勒索軟件能夠由于不適當(dāng)?shù)陌踩僮鞫鴱浐螴T/OT差距，則勒索軟件可能會(huì)對(duì)運(yùn)營產(chǎn)生破壞性影響。Dragos發(fā)現(xiàn)多個(gè)勒索軟件采用ICS感知功能，包括在環(huán)境中發(fā)現(xiàn)時(shí)可以殺死以工業(yè)為中心的計(jì)算機(jī)進(jìn)程的能力，活動(dòng)可追溯到2019年。EKANS、MEGACORTEX和CL0P只是包含這類代碼的幾個(gè)勒索軟件變種。EKANS和其他ICS勒索軟件代表了一種獨(dú)特的和特定的風(fēng)險(xiǎn)，工業(yè)操作以前沒有觀察到的勒索軟件操作。

　　勒索軟件運(yùn)營商越來越多地將數(shù)據(jù)盜竊技術(shù)納入其活動(dòng)，以進(jìn)一步索要贖金。攻擊者可能會(huì)在加密受感染的機(jī)器之前竊取目標(biāo)公司的數(shù)據(jù)，并威脅在如果不支付贖金，就會(huì)在威脅者運(yùn)營的網(wǎng)站或黑客論壇上公布這些數(shù)據(jù)。黑客竊取或泄露的數(shù)據(jù)可能包含目標(biāo)公司的敏感信息及其客戶信息。盡管勒索軟件攻擊者可能只對(duì)利用數(shù)據(jù)用于財(cái)務(wù)目的感興趣，但對(duì)專門針對(duì)電力行業(yè)感興趣的黑客可以使用泄漏的數(shù)據(jù)來幫助開發(fā)攻擊。例如，黑客可以使用客戶數(shù)據(jù)來確定第三方或供應(yīng)鏈的潛在風(fēng)險(xiǎn)，或者使用示意圖、網(wǎng)絡(luò)圖或其他內(nèi)部文檔等數(shù)據(jù)來確定運(yùn)營收益目標(biāo)。

　　勒索軟件不僅僅適用于有經(jīng)濟(jì)動(dòng)機(jī)的運(yùn)營商。國家支持的攻擊者也可能在網(wǎng)絡(luò)行動(dòng)中利用勒索軟件。2020年5月，中國臺(tái)灣政府將針對(duì)石油、天然氣和半導(dǎo)體公司的勒索事件歸咎于Winnti組織。

　　ICS環(huán)境中破壞性惡意軟件的潛在風(fēng)險(xiǎn)之一由historian技術(shù)表示，因?yàn)閔istorian部署的架構(gòu)通常是連接IT網(wǎng)段中的只讀historian和OT網(wǎng)絡(luò)中的plant historian之間的通信。此外，除非記錄在歷史記錄中，否則傳感器數(shù)據(jù)是短暫的，對(duì)其數(shù)據(jù)的破壞性攻擊如果得不到很好的保護(hù)，可能會(huì)導(dǎo)致無法挽回的損失。

　　2、互聯(lián)網(wǎng)資產(chǎn)風(fēng)險(xiǎn)

　　暴露于互聯(lián)網(wǎng)的工業(yè)和網(wǎng)絡(luò)資產(chǎn)是電力公司的重大網(wǎng)絡(luò)風(fēng)險(xiǎn)。各種以ICS為攻擊目標(biāo)的組織，包括PARISITE、MAGNALLIUM、ALLANITE和XENOTIME，以前都曾瞄準(zhǔn)或目前試圖利用遠(yuǎn)程訪問技術(shù)或登錄基礎(chǔ)設(shè)施。

　　《2020 Dragos年度回顧報(bào)告》詳細(xì)介紹了從事件響應(yīng)和服務(wù)團(tuán)隊(duì)吸取的經(jīng)驗(yàn)教訓(xùn)，根據(jù)該報(bào)告，100%的事件響應(yīng)案例涉及黑客直接從互聯(lián)網(wǎng)訪問ICS網(wǎng)絡(luò)，有33%的組織有可路由網(wǎng)絡(luò)連接到他們的運(yùn)營環(huán)境。

　　2020年7月，美國國土安全部網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）和國家安全局（NSA）發(fā)布了一份警告，鼓勵(lì)資產(chǎn)所有者和運(yùn)營商立即采取行動(dòng)，限制OT資產(chǎn)暴露于互聯(lián)網(wǎng)。根據(jù)警報(bào)，最近在發(fā)布前觀察到的行為包括：

　　先發(fā)制人，在轉(zhuǎn)向OT之前獲得信息技術(shù)（IT）的初步訪問；

　　部署商用勒索軟件以影響IT和OT環(huán)境；

　　連接到無需認(rèn)證的互聯(lián)網(wǎng)可訪問可編程邏輯控制器（PLC）；

　　使用公共端口和標(biāo)準(zhǔn)應(yīng)用層協(xié)議與控制器通信，并下載修改后的控制邏輯；

　　使用供應(yīng)商工程軟件和程序下載；

　　修改PLC上的控制邏輯和參數(shù)。

　　攻擊者迅速武器化并利用面向互聯(lián)網(wǎng)的服務(wù)中的漏洞，包括遠(yuǎn)程桌面協(xié)議（RDP）和VPN服務(wù)。2020年夏季發(fā)現(xiàn)的影響關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施服務(wù)中的新漏洞，包括F5、Palo Alto Networks、Fortinet、Citrix和Juniper網(wǎng)絡(luò)設(shè)備，很可能會(huì)被ICS目標(biāo)黑客利用。這些漏洞可使黑客獲得對(duì)企業(yè)運(yùn)營的初始訪問權(quán)限，并可能轉(zhuǎn)移到工業(yè)運(yùn)營。

　　3、供應(yīng)鏈威脅

　　攻擊者可以濫用現(xiàn)有的信任關(guān)系和互連來訪問敏感資源，并在某些情況下包括系統(tǒng)，而且?guī)缀醪豢赡鼙粰z測(cè)到。

　　2020年12月，火眼公布了一項(xiàng)大規(guī)模供應(yīng)鏈威脅行動(dòng)的首批細(xì)節(jié)，該行動(dòng)影響了全球的公司和政府，包括電力公司。黑客利用名為SolarWinds的IT管理軟件，獲得了數(shù)千個(gè)使用該軟件的組織的權(quán)限。

　　值得關(guān)注的是，許多集成商和原始設(shè)備制造商（OEM）在OT網(wǎng)絡(luò)和維護(hù)鏈路中使用SolarWinds。至少有兩家全球原始設(shè)備制造商（OEM）使用了被泄露的SolarWinds軟件，通過維護(hù)鏈接直接進(jìn)入ICS網(wǎng)絡(luò)，包括渦輪機(jī)控制軟件。攻擊者可以很容易地利用這種訪問來造成重大破壞。

　　該活動(dòng)是有史以來公開確定的最大的供應(yīng)鏈危害事件之一，并強(qiáng)調(diào)了通過運(yùn)營環(huán)境中的軟件、固件或第三方集成引入環(huán)境的潛在風(fēng)險(xiǎn)。

　　但軟件更新并不是供應(yīng)鏈入侵中唯一可能被濫用的潛在進(jìn)入載體。2021年4月，Dragos發(fā)現(xiàn)了一家與歐洲電力行業(yè)客戶有重大聯(lián)系的南亞集成電路供應(yīng)商遭到入侵。原始設(shè)備制造商（OEM）、供應(yīng)商和第三方承包商對(duì)企業(yè)和ICS運(yùn)營至關(guān)重要。發(fā)電、輸電和配電中的眾多供應(yīng)商或承包商接觸點(diǎn)，可以通過受損或安全性較差的直接網(wǎng)絡(luò)連接，提供進(jìn)入電力公用事業(yè)環(huán)境入口。

　　DYMALLOY、ALLANITE和XENOTIME已使用供應(yīng)鏈破壞方法獲得受害者網(wǎng)絡(luò)的訪問權(quán)。DYMALLOY和ALLANITE在針對(duì)電力行業(yè)的后續(xù)網(wǎng)絡(luò)釣魚活動(dòng)中損害了供應(yīng)商和承包商的利益。XENOTIME在2018年損害了多家ICS供應(yīng)商和制造商，提供了潛在的供應(yīng)鏈威脅機(jī)會(huì)，并提供了可供供應(yīng)商訪問的目標(biāo)ICS網(wǎng)絡(luò)。

　　四、系統(tǒng)性威脅

　　電力行業(yè)以各種形式支持所有關(guān)鍵基礎(chǔ)設(shè)施垂直行業(yè)，電力中斷可能會(huì)對(duì)制造業(yè)、采礦作業(yè)或海水淡化等其他行業(yè)產(chǎn)生連鎖和破壞性影響。

　　此外，大型制造企業(yè)也正在成為可再生能源供應(yīng)商，這些發(fā)電廠向所有制造廠供電。其中一個(gè)設(shè)施的中斷可能會(huì)導(dǎo)致整個(gè)公司的生產(chǎn)運(yùn)營中斷。

　　全球許多國家（尤其是中東）依靠部分水的淡化操作。設(shè)施可以通過能源密集型工藝將鹽水轉(zhuǎn)化為飲用水。據(jù)國際能源署稱，膜式脫鹽需要大量電力，是世界上最常見的脫鹽技術(shù)。支持海水淡化工作的電力運(yùn)行中斷可能會(huì)限制飲用水的生產(chǎn)。

　　采礦作業(yè)也需要消耗大量能源。在美國，大約32%的采礦業(yè)能源是電力。在澳大利亞，電力系統(tǒng)為該國采礦業(yè)提供了21%的能源。電能支持鉆井和材料搬運(yùn)作業(yè)，如果發(fā)電、輸電或配電受到網(wǎng)絡(luò)攻擊，這些作業(yè)可能會(huì)中斷，特別是在支持采礦作業(yè)的現(xiàn)場(chǎng)發(fā)電設(shè)施。

　　五、防范建議

　　資產(chǎn)所有者和運(yùn)營商可以實(shí)施以下基于主機(jī)和網(wǎng)絡(luò)的建議，以改進(jìn)對(duì)ICS目標(biāo)群體的檢測(cè)和防御。

　　訪問限制和賬戶管理

　　限制域內(nèi)的管理訪問，限制域管理員的數(shù)量，并將網(wǎng)絡(luò)管理員、服務(wù)器管理員、工作站管理員和數(shù)據(jù)庫管理員分離到單獨(dú)的組織單元（OU）中。身份是防御的關(guān)鍵。

　　確保所有設(shè)備和服務(wù)不使用默認(rèn)憑據(jù)。如果可能，請(qǐng)不要使用硬編碼憑據(jù)。監(jiān)視任何無法刪除或禁用的硬編碼方法。僅限必要人員使用設(shè)備。在所有應(yīng)用程序、服務(wù)和設(shè)備中實(shí)現(xiàn)最小特權(quán)原則，以確保個(gè)人只能訪問履行職責(zé)所需的資源。這包括確保應(yīng)用層服務(wù)，如文件共享和云存儲(chǔ)服務(wù)被正確劃分。按照普渡模式，網(wǎng)絡(luò)連接在繼續(xù)進(jìn)行不同層次之前應(yīng)該被終止。

　　可訪問性

　　識(shí)別控制系統(tǒng)網(wǎng)絡(luò)中的入口和出口路由并對(duì)其進(jìn)行分類。這包括工程師和管理員遠(yuǎn)程訪問門戶，也包括需要訪問IT資源或更廣泛的互聯(lián)網(wǎng)的商業(yè)智能和許可服務(wù)器鏈接等項(xiàng)目。通過防火墻規(guī)則或其他方法限制這些類型的連接，以確保最大限度地減少攻擊面。

　　響應(yīng)計(jì)劃

　　制定、審查和實(shí)踐網(wǎng)絡(luò)攻擊響應(yīng)計(jì)劃，并將網(wǎng)絡(luò)調(diào)查整合到所有事件的根本原因分析中。

　　分段

　　在可能的情況下，對(duì)網(wǎng)絡(luò)進(jìn)行分段和隔離，以限制橫向移動(dòng)。這可以通過防火墻或訪問控制列表（ACL）輕松實(shí)現(xiàn)，組織可以通過虛擬劃分網(wǎng)絡(luò)并減少攻擊面，同時(shí)限制攻擊者移動(dòng)。

　　第三方

　　確保第三方連接和ICS交互以“信任但驗(yàn)證”的心態(tài)進(jìn)行監(jiān)控和記錄。在可能的情況下，隔離或創(chuàng)建用于此類訪問的隔離區(qū)（DMZ），以確保第三方無法完全、不受限制或不受監(jiān)控地訪問整個(gè)ICS網(wǎng)絡(luò)。盡可能實(shí)施跳轉(zhuǎn)主機(jī)、堡壘主機(jī)和安全遠(yuǎn)程身份驗(yàn)證方案等功能。建議使用威脅信息和由此產(chǎn)生的復(fù)雜分析來應(yīng)對(duì)供應(yīng)鏈網(wǎng)絡(luò)風(fēng)險(xiǎn)。

　　可見性

　　對(duì)ICS/OT環(huán)境采取全面的可見性方法，以確保在監(jiān)控方面沒有差距。資產(chǎn)所有者、運(yùn)營商和安全人員應(yīng)共同努力，從最關(guān)鍵的基礎(chǔ)設(shè)施開始收集基于網(wǎng)絡(luò)和主機(jī)的日志。識(shí)別和關(guān)聯(lián)可疑網(wǎng)絡(luò)、主機(jī)和進(jìn)程事件的能力可以極大地幫助在入侵發(fā)生時(shí)識(shí)別入侵，或促進(jìn)破壞性事件發(fā)生后的根本原因分析。確保通過以ICS為重點(diǎn)的技術(shù)對(duì)運(yùn)營網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)監(jiān)控。

　　六、結(jié)論

　　由于此類事件可能造成的政治和經(jīng)濟(jì)影響，電力行業(yè)仍然面臨破壞性網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。由于電力系統(tǒng)的互連性，在風(fēng)暴或地震等破壞性事件期間，電力系統(tǒng)具有強(qiáng)大的恢復(fù)力和冗余性，因此大多數(shù)發(fā)達(dá)地區(qū)的電力系統(tǒng)可能會(huì)從破壞性網(wǎng)絡(luò)事件中快速恢復(fù)。管理機(jī)構(gòu)實(shí)施的法規(guī)有助于確保該部門的最低安全水平，但這通常不適用于其他ICS垂直領(lǐng)域。

　　正如CRASHOVERRIDE所證明的那樣，破壞性攻擊需要付出巨大的努力才能實(shí)現(xiàn)。威脅者在目標(biāo)環(huán)境中的必要停留時(shí)間為防御者提供了許多識(shí)別和刪除惡意活動(dòng)的機(jī)會(huì)。Dragos觀察到的企業(yè)目標(biāo)定位活動(dòng)可實(shí)現(xiàn)初始入侵和數(shù)據(jù)收集，并為威脅者轉(zhuǎn)向潛在破壞性事件奠定基礎(chǔ)。供應(yīng)鏈攻擊和供應(yīng)商妥協(xié)的威脅日益增長，這也為AGs破壞IT和OT環(huán)境提供了新的途徑。