北美电力可靠性公司NERC的电网安全演习GridEx VI已经结束了其演习的分布式演练部分。在11月16-17两天时间里,700多名规划人员领导他们的组织努力实施他们的响应和恢复计划,以应对针对北美大容量电力系统和其他关键基础设施的模拟、协调的网络和物理攻击。GridEx是北美最大的电网安全演习,由NERC的电力信息共享和分析中心(E-ISAC)每两年举办一次。今年GridEx VI的总体目标是为各组织提供了加强危机沟通关系的机会,并就演习中吸取的教训提供反馈。NERC称GridEx VI的具体目标是:启动事件、操作和危机管理响应计划;加强与政府的协调,以促进恢复工作;确定与天然气和电信部门的相互依存关系;对基于供应链的关键部件的攻击做出反应;识别跨域互连的通用模式和网络操作问题。E-ISAC将根据所有参与者的意见编写一份公开报告,预计将于2022年3月发布。

GridEx VI电网演习的主要特点

GridEx VI由两部分组成。首先是16和17日为期两天的分布式演习,包括电力公司、联邦和州政府、制造商和支持行业在内的 700 多个组织参加了此次演习。第二部分是18日的桌面会议,来自电力、天然气、金融和电信行业的高管,电力分部门协调委员会(ESCC),以及美国和加拿大政府官员。最后阶段的这个仅限受邀的高管会议,汇集了美国和加拿大的高级政府官员和行业首席执行官,讨论在北美电力系统受到严重的网络和物理攻击的情况下,恢复电网可靠性所需的政策决定和特别操作措施。

受新冠疫情全球蔓延的影响,网络空间威胁格局乃至世界格局均发生了巨大变化,供应链攻击、勒索软件攻击 、APT攻击此起彼伏,安全态势异常复杂严峻,因此今年GridEX VI电网安全演习呈现了不同以往的明显特点。

一是供应链攻击和勒索攻击的场景想定均被纳入;虽然NERC没有透露有关分布式演习或桌面推演场景的详细信息,但 Manny Cancel表示“供应链攻击......对远程访问平台的攻击以及勒索软件[都]被纳入。”由于 SolarWinds Orion和Microsoft Exchange 平台的黑客攻击以及针对Colonial Pipeline的勒索软件攻击等事件,这些攻击媒介中的每一种都成为今年关键基础设施提供商之间的主要话题。

二是人力供给不足、居家办公安全风险也纳入演习要素;GridEx VI 是自COVID-19 大流行爆发以来的第一次,虽然参与者称赞该行业尽管存在供应困难,但仍能敏锐地感受到病毒的影响。南方公司首席执行官汤姆范宁表示,该行业非常清楚大多数员工需要在家工作所带来的网络安全风险,而这些威胁是演习的必要元素。“疫情流行开辟了一个不同的工作环境,我认为这种环境将从现在开始持续存在。通过演习能够测试我们以分散的方式工作的能力,以应对可能发生的非常真实的场景。”旧的工作环境,即 80% 的员工必须亲自在办公室,可能已经不复存在了,而且我确信我们都在采用混合方法……这需要将远程位置与工作联系起来,”范宁说。“因此,每一个交流的交叉点都为坏人提供了进入的机会。”范宁补充说,由大流行引起的劳动力变化是“战术性的”,与“战略性变化”的担忧程度不同,例如人工智能和计算能力的增长使更复杂的网络攻击成为可能。

三是关联的通信、金融等准备程度不高的部门对电网至关重要,一并需要检验;NERC首席执行官Jim Robb表示,他对电力行业创建的“防御措施非常满意”,并引用了通过NERC的关键基础设施保护标准实施的网络安全保护和“高度敬业的执行文化”。然而,电力公司对其他准备程度不高的部门的依赖使得他们必须与这些利益相关者建立牢固的关系,他说。“我们都必须认识到,我们无法围绕这个行业画一个盒子。跨部门影响以及供应链在确保可靠性和安全性方面的作用是关键,这就是像 GridEx这样的事件如此重要的原因,”Robb 说。 “它将生态系统中的所有参与者聚集在一起……练习和演练,相互了解,并润滑那些在实际紧急情况下所需的关键通信设备。这让我们所有人都变得更强大。”

GridEx电网安全演习的规模和影响力日益提升

NERC的电力信息共享和分析中心(E-ISAC)自2011年以来一直主办GridEx电网安全演习,每两年一次,旨在帮助电力行业做好准备,应对威胁和安全问题。从那时起,GridEx为电力公司和政府利益相关者提供了提高行业安全性和弹性的机会,在影响北美电网可靠运行的模拟网络和物理攻击中,通过实施他们的响应和恢复计划和协作努力,提高行业安全性和弹性。

像GridEx这样的演习是NERC任务的一个重要方面,以确保大容量电力系统的可靠性和弹性,这与电网安全密不可分。自2019年GridEx V以来,在地缘政治事件、新的漏洞、技术变化以及越来越大胆的网络犯罪和黑客的引导下,网络安全态势发生了重大演进和变化。

Grid Ex 电网安全演习的影响力日趋扩大,目前已发展成为北美同类演习中最大的分布式演习。参与人数稳步增长,从2011年最初的75个组织增加到2019年GridEx v的500多个组织和7000名来自美国、加拿大和墨西哥的参与者。参与人数的增长,加上参与组织的多样性,是一个积极的信号,表明该行业认识到面临的集体威胁和防范的关键重要性。

GridEx电网安全演习的场景更加丰富

为了确保参与者获得最大的收益,E-ISAC及其合作伙伴致力于创建真实的场景,反映当时的威胁状况。观察到Stuxnet蠕虫病毒——一种最初针对伊朗核设施的计算机蠕虫病毒,已经变异并传播到其他工业和能源生产设施——以及其他可能影响大容量电力系统运行和可靠性的网络事件,NERC设计了第一个GridEx场景,以验证电力行业应对网络事件的准备情况,加强公用事业的危机响应功能,并为内部安全计划的改进提供输入。

从那时起,GridEx发展到包括网络和物理安全威胁。比如2013年的梅特卡夫变电站步枪袭击事件——一个团体或个人袭击了一个变电站,造成了超过1500万美元的损失——强调了物理安全事件带来的潜在破坏,以及在融合威胁环境中对网络和物理安全事件进行响应的机会的价值。

由NERC和E-ISAC与行业主题问题专家合作开发的GridEx方案旨在挑战组织的响应能力。这些场景是可定制的,允许组织满足特定的内部培训和练习需求,以及满足区域目标。这最大限度地提高了组织与邻近公用事业和可靠性协调者的协调能力,从而有效地执行和解决电网可靠性问题。

电信、金融、油气关联基础设施部门的参与意义重大

过去十年的情景要素包括各种当前和紧急威胁,包括针对工业控制系统的恶意软件、勒索软件、分布式拒绝服务攻击、供应链受损、高压输电变电站的步枪射击和关键天然气管道的定向爆炸。

多年来从GridEx中学到的经验不仅包括对实体的切实建议,还包括对整个行业的深刻见解。演习和随后的行业行动的结果导致了整个行业的危机沟通程序的加强。在GridEx V期间,网络互助计划成功启动并实施,共享信息和资源,并纳入地区和国家行动。GridEx还通过模拟退化或中断的通信路径,为业界提供了锻炼和增强通信弹性的机会。这促使相关利益方寻找替代方案并使用备用通信工具。GridEx还强调,该行业需要继续加强与情报合作伙伴、执法机构、应急反应机构和国家安全机构的关系。

根据这些发现,GridEx多年来已经成熟,包括电力行业以外的其他组织。今天,GridEx的参与者包括一系列在应对、响应和恢复中发挥重要作用的利益攸关方,包括执法部门、地方、州和联邦各级的政府机构,以及金融、电信和天然气等其他关键基础设施部门

协同防御集体防御必不可少

E-ISAC的首席执行官Manny Cancel说:“我不能过分强调我们与行业和政府领导人的合作在减轻这些威胁方面所发挥的作用。”“演习期间进行的应急响应计划和协调加强了我们的集体能力,以防御未来的网络和物理安全威胁。”

今年,GridEx的参与者扩大到包括更多来自公共电力、合作和市政实体、加拿大合作伙伴和其他关键基础设施部门的代表,如天然气、原始设备制造商、金融服务和电信。Cancel指出:“这些跨界、跨行业的关系为缓解当前威胁提供了必要的深度合作。”

多年来,从GridEx中学到的经验包括对实体的切实建议,以及对加强整个行业危机沟通程序的全行业洞察力,如网络互助计划的发展,这已被证明是一种关键资源。

参考资源

1、https://www.rtoinsider.com/articles/29110-gridex-vi-incorporates-recent-cyber-lessons

2、https://thehill.com/policy/cybersecurity/582246-hundreds-participate-in-electric-grid-cyberattack-simulation-amid

3、https://www.eisac.com/

声明:本文来自网空闲话,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。