自2006年直至2020年,美国参议院特别情报委员会都会举办一场特殊的听证会,每次听证会至少包括一次“公开”或非机密会议,并发布一份名为“美国情报界全球威胁评估”的文件,详细介绍美国情报界对当年的高级别非机密评估。美国国家情报总监(DNI)丹尼尔 R 科茨(Daniel R. Coats)最近一次发布的非机密文件日期为2019年1月29日。这份文件指出,美国的某些对手有能力发动网络攻击,破坏其全国关键基础设施,包括配电网络。而目前约有3.3亿美国人依靠国家的关键基础设施来维持国家运转。电网、通信系统和供应链的中断可能是灾难性的,然而所有这些都容易受到网络攻击。
认识到网络攻击可能造成的破坏,美国国防高级研究计划局(DARPA)在2016年创建了“快速攻击检测、隔离和表征系统”(RADICS)项目。RADICS的目标是实现网络攻击期间的黑启动恢复。所谓黑启动,是指整个系统因故障停运后,系统全部停电(不排除孤立小电网仍维持运行),处于全“黑”状态,不依赖别的网络帮助,通过系统中具有自启动能力的发电机组启动,带动无自启动能力的发电机组,逐渐扩大系统恢复范围,最终实现整个系统的恢复。该项目的研究人员在过去的四年里开发了一些工具和技术,网络安全人员、公用程序公司和应急人员可以使用这些工具和技术来了解和描述网络攻击,在补救期间隔离网络,并最终加速恢复受影响的部分电网的电力。这个想法是,如果美国能够处理最坏的情况,它将有能力处理其他类型的攻击。
据DARPA信息创新办公室(I2O)负责RADICS的项目经理沃尔特·韦斯(Walter Weiss)介绍:“对电网的网络攻击基本上可以做两件事——让电网不告诉你真相,以及让电网以意想不到的方式运行。例如,电网可以向你显示一个变电站有电,而实际上它没有。这可能会无意中阻止整个地区的电力恢复,因为没有人认为有必要让电力重新上线。在RADICS项目下开发的技术有助于提供围绕电网状态的地面真相,让应急人员有能力快速检测异常情况,然后制定恢复路径。”
作为2020年10月在纽约梅花岛进行的演习的一部分,RADICS箱式变电站曲轴箱正在恢复
提供一个更大的电网
RADICS研究人员开发了一些技术,通过在网络攻击之前、期间和之后提供有关电网状态的准确和及时的信息,为电网运营商提供更强的态势感知。有了这种增强的感知,运营商能够更好地挫败攻击或在攻击对任何物理基础设施造成重大损害之前削弱其影响。为了防止对手在恢复工作期间继续对受损网络进行攻击,研究人员还开发了隔离应急网络的技术,从而实现安全的应急人员协调和通信。
除了提高态势感知能力,RADICS研究人员还开发了针对网络攻击的对策,这些网络攻击旨在破坏配置文件,在控制系统中引入恶意代码,或造成其他类型的破坏。在这些对策中,有一些工具可以自动映射和评估电力网络的状态和配置,并检测和鉴定电网恶意软件。
为了测试和评估RADICS研究人员开发的新电网保护工具,该项目采用了一个定制的测试平台,平台复现了电力公司和应急人员在网络攻击中可能遇到的真实世界条件。为了设计测试平台,RADICS利用了伊利诺伊大学厄巴纳-香槟分校(UIUC)的研究人员以及项目执行人员十多年来的测试平台架构工作。RADICS测试平台由微型变电站组成,这些变电站被设计成与现实世界一样的运行方式,但有保护系统和变电站操作人员的保障措施。这些变电站通过电力线连接起来,形成一个多功用的曲轴箱。通过曲轴箱,产生的电力可以使一个公用程序黑启动,然后为下一个公用程序供电,直到电网完全恢复。该测试平台是围绕北美地区普遍部署的系统设计的,并以实际公用程序使用的方式进行配置。此外,UIUC团队实施了一个分布式的、最先进的计算机网络,允许进行必要的数据收集、动态重新配置和环境适应,这是为满足沃尔特·韦斯和他在DARPA的团队为该项目指定的要求所需要的。
据UIUC负责试验台工作的首席研究员蒂姆·亚德利(Tim Yardley)介绍:“试验台不仅仅是硬件和软件,它们是人员、知识、数据和资产,这些都是构建出一个环境以达到设计目的所必需的。RADICS试验台提供了一个最先进的环境,以探索未知,测试理论和方法,并完成以前从未尝试过的事情,以可控和可观察的方式对关键基础设施系统进行实弹网络攻击。”
RADICS团队与美国国土安全部(DHS)合作,在纽约东方角(Orient Point)开发并部署了测试平台,这里是国土安全部梅花岛动物疾病中心(PIADC)的所在地。该岛为多功用曲轴箱的安全建造和使用提供了一个孤立的环境。虽然测试系统于2017年首次建造,但此后每六个月迭代部署一次,以随着RADICS技术的进步和发展,不断对其进行挑战和评估。
从2017年开始,在利用试验台进行的一系列评估演习中,针对各种威胁场景,DARPA对研究中出现的RADICS工具进行了测试。每次演习的目标是利用这些技术帮助曲轴箱通电,恢复岛上“关键资产”的供电。每次演习都需要研究团队和其他演习参与者之间持续的沟通、协作、解决问题。美国能源部(DOE)从负责国家电网的组织中招募了志愿者参加演习。这些公用程序志愿者与研究团队合作,恢复电力,并在那些技能娴熟的红队部署恶意攻击和行为时与之作战。公用程序公司在真实世界看到网络攻击之前,有能力在演习中看到它,这增强了应急准备和美国应对工作的稳健性。因此,从公用程序公司引入真正的志愿者对于使演习具有相关性至关重要。
对此,DOE网络安全、能源安全和应急响应办公室(CESER)高级网络安全顾问迈克尔·托克(Michael Toecker)表示:“在DOE CESER和DARPA之间为期两年的合作中,我们的能源部门合作伙伴的参与度很高,结果共有12个私营部门实体派出网络和电力专业人员团队参加演习,并协助DARPA开发和完善工具。这种合作关系对我们的能源部门合作伙伴同样有价值,他们有机会在一个与自己的电力环境不一样的环境中观察和应对模拟攻击。”
志愿者的专业知识和投入不断帮助RADICS改进开发中的技术以及演习。在2020年10月为期5天的实战演习中,RADICS技术进行了最后一次测试,该项目在2020年底结束。这是评估系列的第七次演习,是与美国其他部门和机构,包括能源部、国土安全部和国民警卫队,联合进行的。新冠肺炎疫情(COVID-19)使本来就复杂的任务变得更加复杂,但团队通过严格的测试、岛上有限的人员,以及开发一个允许演习参与者远程加入的虚拟存在平台,成功提供了一个安全的工作环境。
对此,沃尔特·韦斯表示:“伴随着新冠肺炎疫情,UIUC团队被要求完成另一项艰巨的任务——让分散在全国各地的参与者能够无缝地远程访问测试平台环境,同时仍然保持高度的参与度”。UIUC团队提供了一个在线/远程环境,使最后的演习得以成功实施。如今,其他政府机构正在密切关注远程环境,以指导如何在资源分散的情况下应对现实世界的网络攻击。
据沃尔特·韦斯介绍:“在PIADC举行的RADICS演习在该项目的生命周期内显著增长和成熟。它最初是在实验室的范围内运行的演习,并发展成为一个拥有多个分站和支持虚拟环境的三个公用测试平台。在项目结束时,我们不仅仅是管理一个试图在电网上建立一个曲轴箱的群体,而是三个独立的‘组织’,它们必须合作,以找出如何相互馈送电力。事实证明,试验台和演习不仅对项目有益,而且对参与电网恢复的更广泛的社区也有益。”
放大价值
DARPA的另一个项目——“利用模拟领域促进安全”(LADS)项目也能够使用RADICS试验台作为项目评估的手段。LADS专注于开发低成本的“网络烟雾探测器”,为许多设备,如电网控制器提供实时态势感知,这些设备支持关键基础设施和军事系统,但无法使用防病毒或其他当前的终端安全技术进行监控。在LADS项目下,来自新泽西州Perspecta实验室的一个团队(被称为CASPER)开发了一种传感器,用于从远处检测SCADA(监督控制和数据采集)设备上的异常软件执行情况。该传感器使用机器学习来测量设备的侧通道、射频(RF)发射,并将这些发射与这些设备上运行的正常软件相关联。
CASPER团队参加了多次RADICS演习,既改善和验证了其传感器在真实测试环境中的性能,又在最后的演习中贡献了警报,以告警RADICS团队电网控制器中潜在的恶意活动。
据领导LADS的DARPA项目经理伊恩·克罗恩(Ian Crone)介绍:“在团队参与的第一次演习中,LADS传感器既没有经过加固以处理恶劣的真实环境,也没有被调整以提供支持实时分析所需的高置信度指标。然而,在项目结束时,该团队能够部署一个坚固可靠的传感器来满足任务需要。RADICS演习为测试LADS和其他技术提供了一个独特的环境,这些技术可以真正改善当今和未来的电网安全和弹性。”
最后的RADICS演习的一个关键成就是将控制权从研究人员过渡到在操作环境中开展日常工作的参与者。来自公用程序公司和国民警卫队的志愿者接管这项技术,并能够像在真实事件中一样操作技术。对此,沃尔特·韦斯表示:“我们经常发现,研究只有开发人员或研究人员可以使用,在我看来,这意味着它与操作无关。在第七次演习中,真正发生变化的是这种从我们的研究人员是操作工具的人到操作人员负责和运行技术的转变。这个项目的里程碑正在帮助我们规划一条持续的技术转型之路。”
然而,最终演习最重要的产出或许是证明了RADICS工具有能力捕捉电网上的威胁。这些工具已经证明了它们在受控、测试平台环境中的工作能力,但也已经有过渡到商业化平台的能力。其中一个例子是Perspecta Labs的SecureSmart解决方案。SeureSmart是一个检测无线网络入侵的系统,包括那些涉及SCADA的入侵。该系统提供实时网络健康、异常检测、安全分析和可视化。目前,公用程序公司正在使用该平台来增强态势感知和网络可视性,从而实现对威胁的更快响应。
除了加快RADICS诞生的技术在商业用途上的过渡,预计测试平台设计和配套的演练形式也将过渡到DOE。该项目的这些增值产出将继续支持公用程序公司和其他公司的培训和评估工作,以对抗国家关键基础设施的网络攻击。
CESER的能源部门演习和网络培训项目经理布莱恩·马尔科(Brian Marko)表示:“DOE CESER和我们的能源部门合作伙伴从与RADICS项目的合作中实现了几个好处,特别是在利用测试平台为能源系统网络安全的演习、培训和劳动力发展目标提供信息和加强。我们将研究RADICS风格的网络物理测试平台在哪些方面可以而且应该用于改善能源部的准备和协调工作。”
UIUC团队正在努力利用其RADICS工作来支持未来的研究,并研究其新的诀窍如何应用于劳动力发展和培训。通过课程和培训开发、实践演示平台、未来的演习以及与基础和应用研究的整合,大学研究人员将继续开发、调整和推进他们所建立的平台,以帮助美国并帮助缩小剩余的安全差距。
更多保护电网的围带
沃尔特·韦斯指出:“虽然我们已经针对RADICS快速恢复电网的任务取得了重大进展,但仍有机会进一步探索能够挫败攻击的技术,例如加强对电网设备的取证分析,以更好地了解威胁。”
如今,应急人员缺乏与受感染设备进行对接、了解这些设备在恶意影响下的行为并最终应用修复的方法。取证——在这种情况下,故意提取和保存入侵数据的做法——还不是网格设备支持的功能。由于很难将设备从电网中移除,以了解攻击后发生了什么,这一点更加复杂。为了解决这一挑战,SRI国际公司领导的一个团队正在开发一个取证端口,在这些设备中提供一个物理开口,以便本地访问各种诊断信息。有了这个端口,授权用户可以执行各种事件响应行动,如内存验证和取证成像,而不会泄露供应商的IP或公用事业的专有信息。SRI正在与DOE、供应商和其他社区领导者分享该端口的设计,以启动关于需要哪些额外工具来适当装备电网响应团队的讨论。
此外,还需要解决的是,如果SCADA或EMS功能丢失,公用程序公司和电网运营商目前需要在停电期间采用手动程序来恢复电网。如今,这需要花费数周时间为数以万计的电网节点手动创建可靠性和弹性模型。这个过程通常需要多个服务器和工程师,他们必须依靠不完整的数据进行电网恢复。为了帮助加速这一过程,来自卡耐基梅隆大学(CMU)的研究人员开发了一项基础技术,用于建模、模拟和优化电网的功率流。这款名为“模拟与统一电网分析和可再生能源”(SUGAR)的原型软件工具为开发实时电网模型提供了前所未有的速度和强健性,将这一过程从数天缩短到数秒或数分钟,并且可以在标准笔记本电脑上完成。
沃尔特·韦斯表示:“SRI和CMU发生的持续研究将大大有利于电网恢复工作。”然而,如何在第一时间防止攻击发生的问题仍然存在。DARPA正在进行的其他研究可以通过从头开始重新思考计算机安全问题来帮助解决这一挑战。“物理安全的保证架构”(GAPS)项目正在研究更智能的连接网络内计算机的方法,以便这些关键资产不会被放在直接连接到互联网的计算机网络上。“通过GAPS,我们正在研究如何过滤被允许的东西,例如电网上的设备仍然可以上传它所需要的一切,但如果有人远程进来,他们就无法破坏它的活动或破坏关键数据的流动”,沃尔特·韦斯指出,他也是GAPS项目的负责人。
第二个项目是SSITH,即“通过硬件和固件实现系统安全集成”。SSITH专注于开发能够挫败来自软件漏洞的常见硬件攻击的安全处理器。该项目正在开发的安全硬件架构和相关设计工具最终可用于各种系统,包括电网内的系统。
声明:本文来自从心推送的防务菌,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。