确保工业控制的未来对抗网络威胁

能源系统历史上一直保持一致，安全可靠，但这并不意味着它们不是网络威胁的目标。越来越多的攻击者现在明确地瞄准电信部门依赖的工业控制系统（ICS）。将能源市场融入未来以满足不断变化的需求是第2天的重点能源日，Fortinet运营技术研讨会该活动于2021年8月31日在网上举行。能源日的目标是就如何确保工业控制的未来提供建议和最佳实践。

开幕式：电力部门的网络威胁和建议

罗伯特M. Lee，CEODragos.，并在电力领域的网络威胁开放主题演讲后启动了活动。虽然能量系统已经有弹性，但它们面临着其他ICS环境的许多相同的挑战。日益增长的数字转型和超连接的投资使业内的整体 - 创造更安全，更可靠和更实惠的系统 - 但它也在更大的接触网络威胁。Dragos发现，威胁团体的速度比他们的下降快三倍。

李说，人们明确地将目标对准了工业OT系统，使其成为一个更加复杂的环境。威胁总是越来越严重，但我们不需要对每个漏洞感到“害怕”。随着这个行业的成熟，人们对网络安全的研究越来越深入，因此他们自然会发现更多，但这并不意味着人们应该炒作这个问题。并非所有威胁都是平等产生的。

“威胁比你意识到的更糟糕，但不像你想象的那么糟糕，”李说。

我们需要了解日益增加的威胁的“飓风路径”将走向何方，以便我们能够领先于对手。Dragos检查了电力行业的ICS关键漏洞，发现有些漏洞是有用的，而另一些则是“垃圾”

“如果一个漏洞不会带来新的风险，为什么要用它来烦扰运营团队呢?”李问。

在电力行业，Dragos发现：

• 27％的关键漏洞和暴露（CVES）包含错误
• 46%的咨询有不正确的数据
• 56％有补丁但没有替代的缓解
• 21％没有补丁，没有替代减缓
• 26%的人没有补丁

目标应该是与原始设备制造商（OEM）合作，了解哪些漏洞并需要参加。可能受影响的OEM器件包括蜂窝网关，路由器，无线桥接和接入点。

李说，Dragos一直在跟踪已知的威胁团体，发现11组专门针对电动（每个行业有15个）。电动扇区趋于更成熟，因此它进一步与能见度相比，比其他扇区更多。问题是：我们可以从中获得洞察力的策略，技术和程序（TTP），或可重复的模式和行为是什么。

我们必须担心的特定ICS事项，其中一个是与OEM违反。OEMS远程访问客户网络的关键部分，因此违反OEM的黑客可以使用其凭据来控制关键的客户流程。妥协OEM，如Solarwinds事件发生了，将潜在风险放大到基础设施。根据Lee的说法，我们需要更好地讨论妥协以及我们如何应对事故的成熟讨论。透明度是这个的重要部分。

李总统还讨论了拜登政府最近提出的“100天电力计划”。作为其中的一部分，所有者和运营商需要现代化网络防御，以及提高可视性、检测和响应。截至8月16日，至少有150家电力公司已经采用或承诺采用新技术，为近9000万电力用户提供服务。

李宪宰将这一“100天计划”称为“真正的公私合作”。比如，“我们有个问题;你们去解决吧。”让专家们搞清楚应该采取什么行动总是很重要的。李说，讨论中真正的英雄是电力公司，他们接听了电话并理解问题所在。现在，石油和天然气、化学和水等其他行业也需要100天的行动计划。

能源/电力/公用事业部门的数字和安全趋势

下一位被告是里基·瓦茨英特尔物联网小组讨论能源/电力/公用事业部门的数字和安全趋势。他说，能源行业的架构僵化，早在100多年前就设计好了，现在基本上也是如此。虽然它是集中式和刚性的，但它也非常可靠。当我们考虑改变行业以满足新的需求和标准时，我们必须从过去所做的学习。

根据瓦特，世界正在发生变化，减少碳排放变得越来越重要。与此同时，可再生能源变得更加高效。那么我们如何将这些新来源带入旧网格？

太阳能和风能比煤炭更不稳定，更不可靠，因为太阳能和风能在供应方面是可变的。这造成了不稳定，因此我们需要将电网变平。

由于电动汽车、电力存储、数据中心和微电网等技术的发展，碳基燃料无法满足需求的大幅增长。这种日益增长的需求需要可再生能源——以及它们的不稳定性来回应。在现有的基础设施下，电力行业无法实现这一目标，因此改变电网分布方式至关重要。

要了解更多关于瓦茨电网未来愿景的信息，请访问《工业网络安全脉冲》对他谈话的综合文章。

案例研究：使用Fortinet保护能源/电力/公用事业数字基础设施

紧随瓦茨之后的是拉迪卡·查图维迪通用电气的可再生能源谈到电力部门的安全。Chaturvedi看着OT安全和捍卫来自业务方面的网络威胁。

OT系统受到攻击，控制系统通常是目标。她引用了2017年6月的有线文章，研究人员发现他们可以破解整个风电场，进入控制系统并操纵涡轮机。从那时起，有更多的证据证明了OT系统的敏感性，攻击了Oldsmar和殖民地管道。控制系统是OT环境的核心，所以我们如何解决这些风险？

Chaturvedi表示政府肯定会关注。在北美，已经存在NERC-CIP标准等事情，拜登政府的行政命令和执行备忘录重点关注关键基础设施的网络安全。在全球范围内，欧盟（EU）NIS指令是第一个支持欧盟网络安全的立法。查图维迪说，这是一个非常好的步骤，让人们认识到工业控制系统的重要性以及安全需要如何发展。

那么，这对原始设备制造商意味着什么呢?未来的服务必须与这些规则和需求保持一致，并在提供服务时将其构建到产品和过程中。这就需要更加重视供应链安全和关键基础设施。

一个真正的积极的方面是，客户的需求开始集中在IEC 62443周围，并且NERC CIP和IEC 62443之间有足够的重叠，使符合北极星。

但有些客户有自己独特的需求，这可能会让事情变得更加复杂。理想情况下，我们希望更多地集中于一组单一的需求。

这些新标准的另一个问题是，在一个成本敏感的行业中，IEC正在增加产品安全和工程的成本。Chaturvedi表示，平均陆上风系统的资本成本中的64％至84％是风力涡轮机。不到4％的资本成本是监督控制和数据收购（SCADA）和ICS系统，很少关注网络安全。

虽然客户正在认真对待并提出更好的问题，但安全队和采购团队之间的差距仍然存在。

为了增加成本敏感性行业的成本，查图维迪建议将成本引入整个价值链。为了满足市场需求，行业可以采取以下几种发展方式:

• 组织安全产品的开发、实施和操作符合性
• 创建剧本/策略，通过审查/批准将安全性引入产品开发流程
• 在工程中嵌入一个安全工程师团队，以帮助产品线读者
• 将安全要求转化为工程说话并通过适用的要求蒸馏
• 定义参考架构，以更好地穿过舰队和业务
• 创造基于价值的产品选择和服务，以满足客户要求和预算需求

安全性在需要预期的价值链中增加了成本。预算必须反映这一点，公司需要重置期望。他们需要使用流程，人员和技术来简化成本，并且正确的技术可以更轻松地实现这一实现。

能源/电力/公用事业的深度防御安全

克里斯布鲁威特Fortinet接下来是在谈论与防守深度防御的战斗网络威胁。现在OT系统越来越多地连接，深度防御可以增强网络的弹性。随着数字转换增加的价值链转换，电力，公用事业和可再生能源的威胁景观继续扩大。在现代时代，可靠地移动数据和牢固的是关键。

Blauvelt说，数字创新也在增加风险，因为网络威胁利用了中断。对OT基础设施的威胁是非常真实的，对关键基础设施的攻击的复杂性和数量的增加也是如此。最大的问题是：能源和公用事业如何保护、防御和应对攻击？

Blauvelt推荐了一种标准驱动的安全实现。在设计过程中嵌入安全性并遵循基于平台的方法是很重要的。

深度防御需要整个网络中多层安全控件。这些冗余保护方案无法阻止所有网络威胁，但在一个控制失败的情况下，他们会帮助帮助。Blauvelt提到了政策，物理，周边，内部网络，主机，应用程序和数据层作为构建防御深度的一种方式。

他演讲的主要收获是：

• 随着互联数字基础设施的发展，数字攻击面不断扩大
• 我们需要识别数字基础设施中的弱点，并采用基于风险的方法
• 我们可以通过以下行业标准设计整体网络安全战略
• 企业应该选择平台而不是产品
• 记住，网络安全并不仅限于安全区域和通道;这是一个生命周期
• 使用行业标准遵从框架审计您的安全实现，以识别实现中的任何差距，并进行持续改进。

关闭主题演讲：面对越来越多的网络威胁的操作弹性

戴尔·彼得森，Digital Bond的首席执行官，封闭了谈论在越来越多的网络威胁面前的运营恢复力。彼得森开始讨论殖民管道攻击以及它如何成为网络安全专业人士的罗夏墨迹测验。人们的普遍反应是，人们需要如何使用双因素身份验证进行远程访问，而私营企业需要采取更有力的措施，增加对其系统的控制。但彼得森表示，更重要的是关注风险方程的后果，或攻击的影响。

彼得森说：“Colonial应该让你问一个问题：如果我的IT网络遭到破坏，我能否制造产品并向客户交付产品？”。

虽然殖民地攻击显然从未到过运营技术（OT）网络，但它仍然关闭公司的能力提供产品，这是一个巨大而昂贵的问题。彼得森表示，安全专家应假设其网络受到损害，并在其恢复时间目标（RTO）上工作。

“在我恢复并运行之前，它有多长？你有信心你可以实现吗？“彼得森说。“正确的人需要问这个问题。”

应将后果添加到组织的风险矩阵中。正如彼得森所说，“OT不是一个特殊的小花。”许多高管高估了一个网络事件对公司意味着什么，然后急于增加更多的控制。彼得森表示，目标应该是确定什么是高度后果事件。电厂中断了一个高后果事件吗？在东部海岸上，可能不是。如果工厂倒闭，他们可以从其他地方购买电力。在毛伊岛，那里只有一个电厂，可能是一个主要问题。

彼得森建议，在试图说服高管们需要更多的网络安全时，强调减少后果比降低风险更有效。增加额外控制和降低风险很难量化；处理后果会给你提供硬数字，让你能够用高管理解的语言谈论网络威胁。

有关更多信息，请查看工业网络安全脉冲搭档Fortinet的运营技术研讨会第1天，制造业。