据乌克兰CERT和ESET披露,2022年4月,沙虫黑客组织使用了曾导致乌克兰大停电的Industroyer更新版、CaddyWiper数据擦除软件对乌克兰能源工控设施发起破坏性网络攻击,希望切断区域电力供应。乌克兰计算机应急响应小组在恶意黑客发动攻击后,立即采取了紧急措施,断开并停用了控制高压变电站的工业基础设施,最终成功制止了这次攻击。
乌克兰电网攻击事件深度分析
Industroyer是一款针对工业控制系统的新型攻击武器,早在2017年6月由安全厂商ESET公布,该攻击武器可以直接控制断路器,可导致变电站断电。
Industroyer恶意软件目前支持四种工控协议:IEC 60870-5-101、IEC 60870-5-104、IEC 61850以及OLE for Process Control Data Access(简称OPC DA)。这些协议广泛应用在电力调度、发电控制系统以及需要对电力进行控制行业。
在这次攻击中,攻击者使用了Industroyer的更新版本Industroyer2。Industroyer是沙虫组织使用过的一种恶意软件,曾在2015年导致乌克兰大停电。
CaddyWiper设计用于在部署它的Windows域之间擦除数据,但它将使用DsRoleGetPrimaryDomainInformation()函数来检查设备是否是域控制器。如果是的话,域控制器上的数据将不会被删除。
攻击者部署新版本的CaddyWiper破坏性恶意软件。是为了拖慢电力公司的恢复过程,使其无法在攻击后重新控制ICS控制台。
乌克兰计算机应急响应小组称,对专为工业环境设计的Industroyer2留下的痕迹的分析表明,该组织已经就对乌克兰电力系统攻击筹划了数周,恶意黑客发动攻击后,他们立即采取了“紧急措施”,旨在断开并停用控制高压变电站的工业基础设施。
我国电力行业存在哪些安全问题需要被警惕?
近年来,国内外发生多起针对能源系统的网络攻击行为,造成重大影响和损失,典型案例如乌克兰大面积停电事件、伊朗核电站病毒攻击事件,各行各业网络安全形势日益严峻。一方面,电力监控系统作为国家关键信息基础设施,已成为国家间“网络战”首选攻击目标;另一方面如何提高网络安全性能,完善网络安全防护,保证电力监控系统业务的安全性、连续性及可靠性,也成为电力行业网络安全从业者面临的重要问题。
在电力监控系统防护工作过程中,主要存在以下四大安全问题:
技术管理问题
分区错误跨区并联,电力监控系统复杂性和多样化的特点,大大增加了网络维护人员分区的难度,由于主观意识重视不够、系统建设前瞻性考虑不全或安全防护针对性不强等,导致系统建设完后容易出现设备和系统分区定义错误,安全防护策略与防护水平不满足相应等级保护要求。
运维管理问题
随着新能源电力行业的发展,新能源场站近年来发展迅速,网络安全防护建设水平参差不齐。出于管理便捷的需求,部分场站存在违规进行远程监控或者是远程运维的情况;外部设备接入缺乏管控;发电单元就地测控终端与站控系统的通信缺乏安全防护措施等。设施工作环境和条件通常较为恶劣,场地防尘、电磁防护、静电防护等防护要求不能完全满足建设需求。
人员管理问题
网络安全岗位人员专业技术能力不足以应对突发安全事件,缺乏相关培训。系统网络结构的复杂性导致运行维护所使用的网络拓扑图、系统台账等技术资料内容和实际情况存在不一致的情况,当系统出现故障或异常情况时,网络维护人员不能在第一时间定位故障源头,增大了设备的风险控制难度。
其他问题
如机房门禁系统不稳定、出入登记备案制度不健全、物理入侵等现象未能有效防护,系统备份不及时、不连续,当系统受到攻击时难以及时恢复。
电力行业该如何进行安全建设
电力监控系统安全防护是电力安全生产管理体系的有机组成部分。根据《电力监管条例》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国网络安全法》、《关键信息基础设施安全保护条例》和国家有关规定,电力监控系统安全防护工作应当落实国家信息安全等级保护制度。
木链科技在《发电厂监控系统安全防护方案》的基础上,结合《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》和《工业控制系统信息安全防护指南》等相关文件的要求,综合大量用户系统的实际情况,形成了电力行业整体解决方案:
安全区域划分
根据36号文要求,协助用户梳理系统整体网络架构,确定生产控制大区(包括控制区和非控制区)和管理信息大区范围,并根据业务子系统做进一步划分,为边界安全防护夯实基础。
边界安全防护
边界安全防护需要综合考虑横向边界防护、纵向边界防护和第三方边界防护等多方面要求。在安全区域划分的基础上,在控制区和非控制区边界及其内部子系统之间部署支持工控协议深度解析的工控安全防火墙,根据安全策略对跨越边界的流量进行管控,避免安全威胁跨区域传播。
流量入侵检测
在生产控制大区关键节点交换机旁路部署工控安全审计平台,基于工控协议解析引擎实现对网络通讯流量的深度解析,根据火力发电业务场景制定安全策略,在规则匹配、黑白名单匹配等常规手段的基础上,引入高速数据处理引擎组群,通过流式数据关联分析技术,实现对合法流量异常行为的检测。
主机安全加固
在主机、服务器上安装主机卫士软件,通过白名单方式,对进程、网络、外设、文件等多类对象进行固化,限制恶意代码运行,保护文件免受篡改。同时结合安全服务,对操作系统的安全配置进行加固,提高安全防护水平。
安全合规分析
工控漏洞扫描系统通过接入工控网络,可以快速识别现场资产及其漏洞,根据各类政策文件要求对工控网络安全状况进行评估,满足关键信息基础设施定期安全检查要求。
安全管理中心
部署综合管理平台和工业运维审计管理系统作为安全管理中心。综合管理平台与现场安全设备独立组网,实现对安全设备的集中管控,对安全策略统一下发,大大提高安全工作效率;工业运维管理审计系统能够对运维人员的访问过程进行细粒度的授权、全过程的操作记录、审计和回放等功能,在简化运维操作的同时,全面解决各种复杂环境下的运维安全问题,提升企业运维管理水平。
电力行业作为关键信息基础设施,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益。因此,电力企业应当建立健全电力监控系统安全防护管理制度,将电力监控系统安全防护工作及其信息报送纳入日常安全生产管理体系,落实分级负责的责任制,履行运营者责任义务。返回搜狐,查看更多
责任编辑: