普拉姆岛灯塔位于该岛西端,这里也是美国的一处重要实验基地。

当前,美国政府官员正竭尽全力测试本国在应对重大网络攻击方面的真实能力。工程师们不仅模拟了种种可能引发电力中断的安全事件,甚至计划在纽约海岸附近的一处孤岛上组织实战演习。

即便做好了一切工作的准备,但他们仍没有预料到新冠疫情的爆发。

在此之前,美国各大型公共事业企业、国民警卫队人员、五角大楼承包商以及各方工程师一直坚持进行实战演习,希望通过种种极端场景(包括长达数周的停电以及针对公共事业计算机系统的模拟数据删除攻击)测试现有设施的耐受水平。

但在新冠疫情的影响下,本该于今年10月举办的测试活动被迫做出调整。因此,国防部与能源部的项目人员决定以远程方式开展演习,并将疫情冲击视为一次难得的测试机遇。

五角大楼为此项目批准了1.18亿美元的长期预算,试图预测敌对国家支持黑客团伙如何破坏各类关键设施。这项演习一方面是为了给全美各大型电力供应商提供重要的防御指导,同时也是为了应对黑客组织对电力行业工控系统的持续入侵。

五角大楼研发部门(国防高级研究计划局,简称DARPA)核心项目负责人Walter Weiss提到,今年采取的这种反常规场景设计,“能够有效模拟人们该如何针对广泛网络攻击做出远程响应。”作为演习规划者,他强调“这其实更加贴近现实。”

尽管疫情尚未结束,组织者还是允许公共事业工程师与研究人员利用模拟防御软件对设施参与进来。当大多数参与者远程加入后,一批意志坚定的防御人员前往长岛附近长年笼罩于风沙之中的普拉姆岛,在这里举办了上次演习。

今年10月的演习要求电力企业指派真正的一线员工组成防守团队,尝试在一系列强有力的网络攻击之后快速恢复电力供应。参与者必须使用发电机逐步重启电力系统,而后沿供电线路恢复各处变电站,且全程测试由DARPA提供的取证工具能否准确捕捉到攻击方留下的痕迹

Weiss指出,美国情报界曾在2019年进行过威胁评估,发现俄罗斯等国家完全有能力利用网络攻击暂时中断美国本土的天然气管道与供电网络。

演习规划者们还充分借鉴了相关真实案例。2015年,俄罗斯涉嫌对乌克兰电力基础设施发动网络攻击,导致约22.5万人陷入无电可用的境地,当时就连供电运营商自己也无法判断供电体系的真实情况。为此,普拉姆岛上的防守方团队必须想办法解决这类由攻击引发的“运营盲区”。

Weiss表示,“这次事件给了我们极大的警醒,也让我们更深刻地认识到当前公共设施可能遭遇哪些威胁。”

流程部署

此次最新演习属于DARPA提出的“快速攻击检测、隔离与表征系统(RADICS)”的组成部分,也是期间在普拉姆岛组织的第七次、也是最后一次演习

今年允许上岛的电力公司雇员及政府承包商人数被控制在30人以内,参与者在登岛与离岛之前需要定期进行核酸检测。顺便说下,普拉姆岛也是美国政府指定的一处动物传播疾病研究基地。

伊利诺伊大学高级研究员Tim Yardley表示,“我们有专门的渡轮时间表,全程无法与RADICS团队交互,所以确实有种强烈的孤独感。”回顾在普拉姆岛上这六个星期的演习体验,他觉得“大流行期间在全美各地逛来逛去真是太危险了。”

工程师们在岛上安装了高速光纤链路,确保人们以数字化方式参与到演习中来。他们还帮助配置了虚拟专用网络,保证成员能够通过笔记本电脑登录至演习平台。

Yardley提到,参与者们最初担心远程环境会削弱此次演练的指导意义。但事实证明,“大家完全可以用新的方式做出事件响应,并顺利推进整个演习过程。”

作为曾多次参与演习的资深人士,Yardley强调“成功的工具就是这么来的。行之有效的工具必然具有良好的自动化水平,避免参与者们手动完成很多现场调试。”

“整个演习场景当然称不上完美,但现有技术确实可以将原本的不可能转化为可能,这也让不少参与者们大开眼界。”

Weiss与Yardley还提到,演习参与者们能够使用DARPA工具帮助稳定普拉姆岛上的电网,并最终恢复电力供应

发现异常

RADICS计划将为此次演习提供资金,同时帮助参与团队获取数据分析功能、用于对电网内可疑活动进行分类的数据采集软件,以及用于在变电站及控制中心之间进行紧急通信的系统。

根据Weiss的介绍,在本轮普拉姆岛演习中,RADICS提供的仪表板发挥了巨大作用。该仪表板使用户得以准确监控网络活动,甚至可以发现系统是否有异常。换言之,如果控制面板显示变电站正在正常运行,但其实际上已经离线,那么仪表板能够快速发现其中的异常。

纽约普拉姆岛上的变电站设备。演习参与者需要在猛烈的模拟网络攻势下努力恢复电力供应。(照片由DARPA提供)

2015年乌克兰电力公司遭遇的攻击就是个典型案例,证明检测失败很可能引发严重后果。虽然美国本土的电力基础设施从未遇到过这么严重的问题,但公共事业运营商仍需提前做好准备。

Weiss提到,“网络攻击可能给电网造成两大影响:其一,让电网无法反馈真实状况;其二,令电网无法正常运作。总的来说,整个演习场景就是要求防守方团队从电网体系中发现这两类问题。”

随着普拉姆岛演习计划的结束,DARPA已经将相关软件工具移交给与公共事业部门保持密切合作的能源部,借此将更多技术引入实际应用。例如,来自新泽西州的Perspecta Labs公司在着力将其恶意软件搜索系统交付给公共事业企业。

数据利用

今年10月,普拉姆岛演习结束的六周之后,美国政府又为电力行业组织了另一场经过精心筹划的安全演习。

12月9日,由美国能源部组织的“桌面演习”中,美国多家电力巨头企业的高管以及国家安全机构官员齐聚一堂。

与普拉姆岛演习类似,此次演习同样假定外国敌对势力针对美国电力部门发起了攻击。与会者需要讨论如何应对事件、交换情报并迅速转换至备用供电方案。本轮演习属于能源部历史悠久的Liberty Eclipse演习计划中的一部分,普拉姆岛演习此前也曾隶属于Liberty Eclipse。

美国国土安全部前高级官员、现任可再生能源公司Avangrid首席安全官的Brian Harrell提到,“这种开诚布公的交流环境能够减轻冗余环节、官僚主义影响和挫败感。”

能源部并未回应相关采访请求,但在一份声明中表示,Liberty Eclipse的目标在于“对用于增强信息共享能力的工具加以验证,同时确定能源部当前面临的实际威胁。”

未来一段时间,政府内负责电网事务的安全官员将着力从这两轮演习中总结经验。面对外国敌对方可能针对基础设施发起的种种攻击,拜登政府必须继承并利用好这些宝贵的数据。

Yardley本人目前正在筹备演习数据,将包括模拟攻击在内的网络流量直接交付到相应的政府官员手中。他提到,希望政府方面最终能够将数据公开,以供研究人员及整个电力行业做出进一步研究。

Yardley强调,这批数据非常宝贵,因为“很明显,我们没法直接从遭受民族国家攻击的公共事业网站上下载这类数据。”

原文链接:

https://www.cyberscoop.com/plum-island-darpa-cyber-exercise-grid/

声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。