被称为高级持续性威胁(APT)的复杂网络攻击对我国关键基础设施的能源部门构成了日益严峻的挑战。这些袭击很大程度上可以归因于资金充足、有献身精神的民族国家行为体。
APT攻击工业控制系统(ICS)和监督控制和数据采集(SCADA)系统正在增加;国土安全部的美国部(DHS)工业控制系统网络紧急响应小组(ICS-CERT)引用ICS / SCADA和控制系统网络的前两名目标黑客和病毒之一。这些漏洞与人机界面开始(漏洞的13%所需的本地接入)和结束与实际面向Internet的ICS / SCADA硬件(漏洞的87%是通过网络访问的)。
有支持ICS / SCADA的保护公司业务的说法。如果没有地方适当的保护措施,继续APT攻击会造成破坏,退化,残疾和昂贵的和/或irreplacible能源部门的设备和设施可能遭到破坏。能源企业对经济的影响将是比较电力,天然气和石油的损失在整个美国的影响较小。雷竞技比分这是双方能源部门的公司的最佳利益和国家立即计划,资金,有效安全的ICS /从前到后的SCADA。
国土安全部确定的关键基础设施的相互依存关系
| 部门 | 短期到中期的依赖或相互依赖 | |
|---|---|---|
| 化学 | ↔ | 天然气作业所必需的化学品;操作所需的原料 |
| 商业设施 | ← | 设备运行需要电力 |
| 通讯 | → | 监控和控制生产和分销反应 |
| 关键制造 | ← | 设备运行需要电力 |
| 水坝 | ← | 需要电力设施的电力可能来自NG |
| DIB | ← | 设备运行需要电力 |
| 紧急服务 | ← | 设备运行需要电力 |
| 能源:电力 | ↔ | 一些发电依赖于天然气;电力可用于电力NG操作 |
| 能源:天然气 | N/A | |
| 能源:石油 | ↔ | 石油业务可以依靠NG;石油产品可以被用于功率NG操作(直接或间接) |
| 金融服务 | → | 数据收集系统,以确保准确的账单 |
| 粮食和农业 | ← | 设备运行需要电力 |
| 政府设施 | ↔ | 需要运行设施电源;提供控制,法规和standrards |
| 医疗保健和公共卫生 | ← | 设备运行需要电力 |
| 它 | → | ICS和其他数据采集软件 |
| 核反应堆 | 没有一个 | |
| 交通:航空 | 没有一个 | |
| 交通工具:公共交通工具 | 没有一个 | |
| 交通:汽车运输 | → | LNG运输基础设施 |
| 交通:管道 | → | LNG运输基础设施 |
| 交通:轨道 | → | LNG运输基础设施 |
| 交通:海运 | → | LNG运输基础设施 |
| 水 | ← | 后备发电,污泥处理,生物效率与配置 |
| →表示天然气行业的依赖关系 | ||
| ←表示对天然气部门的其他部门依赖 | ||
| 分解表示双向的相互依赖关系 | ||
只有操作依赖性考虑;不考虑购买的机器设备
[ALSO:一个真正的APT活动背后的流程和工具:概述]
控制人为因素变量
人机界面(HMI)是常见的攻击面。网络钓鱼、鱼叉式网络钓鱼和其他社会工程技术的使用继续为对手提供访问管理和ICS/SCADA系统的权限。尽管有最好的内部培训计划和监控,一个受感染的供应商或相关的网络连接经常会向攻击者打开大门,即使在一个其他方面保护良好的系统中也是如此。蓄意的内部威胁更难以预测、识别,而且往往难以采取行动。员工不太可能因为害怕诉讼、尴尬或失去在公司的声望而和同事们争论问题。
训练是减少或消除人为攻击的有效工具。一个动态的程序,通知,指示,验证,并要求书面的遵守协议应该是强制性的在所有能源部门的组织。教学系统设计预先测试员工,并根据他们的需要调整教学的数量/水平。参与培训不应该完全在线或基于计算机;有效的培训应该包括现场演讲者、网络研讨会、案例研究或实习。
在培训结束时,应进行后测。以高平均分通过测试,表明这些课程已经内化,更重要的是,表明员工确实接受并理解了这些信息。成功通过测试的员工不能在以后声称“我不知道”,或者声称不知道同事的安全故障。
ICS / SCADA系统最初被设计成单独运行,无需网络连接。一旦联网,信息远程请求。这种人机交流是可见的攻击者若不采取预防措施。安全连接,类似于网上银行使用的系统,必须在HMI期间建立否认攻击者洞察网络的指挥,控制和通信。VPN是用于与ICS / SCADA装备移动装置,远程通信的必要性。
控制HMI技术威胁其他最佳实践包括使用最小特权帐户,两个人控制的关键活动,便携式媒体的严格控制,以及分配个人密码和账户,以超级用户作为而不是一个一般的“管理员”的登录为了保持对系统的访问和改变归属。
重要的是不要忽视相互连接的网络,如供应商组织。在第三方公司中缺乏访问控制可能会导致未经授权的人员被授予管理特权。这些特权,如果被滥用或劫持,可以用来访问主要公司,并通过互联系统实现控制(正如2014年Target通过暖通空调供应商实现的那样)。第三方供应商可能没有主要公司的资源或动力。
外部的合作伙伴,可以鼓励,为那些谁符合或甚至对那些谁不符合安全的网络运行的能源部门的标准征收业务限制的优惠合同执行网络安全。