US bulk energy providers must now report 企图 breaches

美国大宗能源供应商现在必须报告企图违反和成功违反的情况。对于什么是“尝试过的”违规行为,指南含糊不清。

影响深远且可能毁灭性的SolarWinds供应链黑客活动中最有害的方面之一是,它隐藏了看似正常的软件操作,从而成功逃避了至少十个月的检测。 SolarWinds Orion产品遭到黑客攻击,俄罗斯演员得以将监视恶意软件嵌入广泛使用的管理软件中。它使用普通活动的隐形斗篷将所谓的SUNBURST恶意软件推入公共和私有网络的深处,因为它在静默运行时不会造成任何伤害或破坏。

SolarWinds骇客在很大程度上被认为是涡轮增压的民族国家间谍活动。但是,大多数专家都不会排除违规事件背后的俄罗斯情报小组也没有为可能破坏行动的攻击铺平道路的可能性。黑客入侵影响最大的担忧之一是它如何影响了美国的电网。

旨在发现不会造成损害的未尝试破坏的新法规(如SolarWinds)已于2021年1月1日生效。目前尚不清楚新要求是否将有助于能源行业发现此类攻击。

电力公司可能会受到SolarWinds的损害

早期报告 表明 电力,石油和制造行业的十几家未命名的关键基础设施公司与三个关键基础设施OEM(原始设备制造)供应商一起运行了受污染的恶意软件。一些感染已从普通的IT基础架构传播到了受感染的公司的运营技术或工业控制组件。国土安全部网络安全和基础设施安全局(CISA)上个月发布了警报,称基础设施实体受到SolarWinds黑客的“威胁”。

新的NERC网络安全标准扩展了报告要求

要求 NERC CIP-008-6标准体现了北美电力可靠性公司(NERC)的产品。 (CIP代表重要的基础架构保护)。 008-6标准遵循一组其他相对较新的网络安全要求,即CIP-007-6。

符合 订购 根据联邦能源管理委员会(FERC)的规定,新标准要求相关的大功率电力实体不仅报告大电气系统的实际危害,而且还应首次“试图危害”这些系统。所有网络安全事件,无论是实际的妥协还是试图进行的尝试,都必须报告给DHS工业控制系统网络紧急响应小组(ICS-CERT)(现在称为国家网络安全和通信集成中心(NCCIC))以及电力部门信息共享和分析中心(E-ISAC)。

可报告的未遂折衷的增加是一笔大事,有一天可以尽早捕获SolarWinds型感染,但尚不清楚何时到达。那是因为NERC取消了实施指南,该指南定义了“尝试折衷”,这是一种几乎不会造成损失的操作,不会对运营造成损害,只有模糊的解释:有些陈述不适合实施指南。”

缺乏指导将灰色区域留作报告

工业网络安全中心的美国协调员帕特里克·米勒(Patrick Miller)告诉CSO,在过去,唯一报告的事件是“突破某个门槛,这是对大电力系统电力运营的破坏”的情况。 “现在,您必须报告可能没有通过但尝试这样做的事情。”

Miller认为,公用事业面临的最大挑战是构成“尝试”的“模糊的灰色区域”,特别是考虑到明确定义的指导原则。 “尝试看起来像什么?”米勒问。 “如果有人开车去街上看着你的房子,那是在整理东西……这是尝试吗?还是当他们实际进入您的财产时,是尝试吗?还是当他们实际转动门把手时?那是尝试吗?还是当他们拿起锁时?那是尝试吗?”

没有明确的指导,公用事业公司可能会做以下两件事之一。 “他们只会报告明显的攻击事件,意图就在这里,很明显,您甚至可能得到一些外部帮助,或者也许是联邦调查局通知您的事情,”米勒说。或者他们会说:“我不知道这是什么尝试,所以我将向您发送所有信息,您将予以解决。”

米勒说:“对于什么才算是一次尝试,我们没有太多指导,因此对于报道什么和什么没有,这将是一个混杂的话题。”

无论如何都可以遵循废止的指导

一位工业控制系统(ICS)网络安全专家,FireEye的Mandiant部门的Chris Sistrunk认为,即使NERC取消了指导,但相关的电力公司仍可能会依靠它来定义折衷的尝试。他还预测,相关的电力实体可能会报告SolarWinds交付的恶意软件,以试图进行折衷。他告诉CSO:“根据FireEye的分析,从表面上看,Sunburst后门(或任何后门)是一种折衷的尝试,因此公用事业必须确定它是否用于试图折衷适用的电网资产。” (复杂的NERC要求仅适用于某些电网资产。)

FireEye首先发现了SolarWinds后门,“无法确认电力公用事业网络受到了影响。据我们所知,由于SolarWinds攻击,对电网运营没有影响。” Sistrunk说。但是,他承认“公用事业公司使用SolarWinds软件是合理的,尤其是在IT网络方面。”

缺乏清晰度会影响新标准的有效性

尽管大多数ICS安全专家都认为新的NERC要求是向前迈出的积极一步,但是缺乏明确的指导原则无疑会妨碍其有效性。 “我们实际上没有任何方法可以确定输入的信息是什么。可能是一切,也可能只是FBI确定为合法的攻击尝试。从安全性和合规性的角度来看,这使他们很难做到这一点。” Miller说。

米勒认为,可能需要18到24个月的时间,才能弄清楚应根据新标准报告哪些电力公司。即使大型电力系统实体对其报告的内容有了清晰的了解,古老的电力行业谚语即合规并不等于安全。

“合规标准是最低要求,而实施准则旨在作为最佳实践,” Sistrunk说。 “攻击者不断改进和发展,因此我们作为捍卫者也必须勤奋和改进。纵深防御永远是最好的方法。与往常一样,安全性是一个反复的过程,从来没有一个人完成过。”

另一个难题:这些新要求仅适用于相关的大宗电力实体,不适用于最后一英里的电力供应商。他说:“如果你在洛杉矶熄灯,那将不是可报告的网络安全事件,因为那是分布,那是最后一英里,那不是散装电力系统,实际上只是输电线路和大型发电机,”他说。 。

但是,他希望大量的未遂妥协数据能够为NCCIC或CISA中的其他指定实体提供足够的上下文信息,以至少为网格的配电组件提供一些帮助。 “我怀疑[CISA]可以在分销方面提供帮助,并说'嘿,我们正在看到这些东西,这些活动正在发生,您拥有这些系统,您可能想检查一下,”,Miller说。

版权© 2021 IDG通讯,Inc.