网络安全

返回攻击:来自Aurora漏洞的课程

一项由政府资助的关于网络攻击是否会对现实世界造成物理损害的测试至今仍有重大影响。请参阅有关如何减轻针对工业控制系统(ICSs)的潜在网络攻击的八个步骤。

Daniel E. Capano著 2021年4月29日
图片提供:Brett Sayles

我们可以从之前的网络安全努力中吸取教训,甚至是更早的努力,正如2007年的演示所显示的那样。你知道缓解奥罗拉脆弱的八种方法吗?

2007年,国土安全部(Department of Homeland Security)与爱达荷国家实验室(Idaho National Laboratory)合作,着手证明网络攻击实际上可能会造成现实世界中的物理损害。人们已经知道,网络攻击可以通过在硬盘驱动器中制造异常行为和超频微处理器来摧毁计算机设备;这次测试的目的是确定对各种控制部件的操纵是否会损坏或摧毁大型基础设施,在这个例子中是一台2.25兆瓦,27吨的柴油发电机。试验是成功的,因为它证明了这是可以做到的。然而,它也确定,它揭示的脆弱性可能难以减轻。这项测试代号为“奥罗拉”,被称为“奥罗拉脆弱性”。

电力发电的网络安全影响101

发电是一个复杂但常规的操作。典型的发电机通过重型铜线线圈旋转强大的磁铁以诱导电流;转动电枢或现场的旋转力,如壳体,可以是内燃机,蒸汽轮机或水轮。然后将电源通过电网分发到家庭和企业。在配电系统的任一端是断路器。这些断路器的目的是保护连接到网格的布线和设备并保护电网。

用于大型安装的发电机使用由保护继电器系统控制的断路器。保护继电器是一种自己的科学;它们监测连接到发电机的接线上发生的情况,并保护其免受网格上的异常情况或发电机的损坏。

这些条件是过电流,暗流,欠压,相位不平衡,同步丧失和接地故障。每个继电器都有一个美国国家标准研究所(ANSI)指定的设备编号,必须定期检查和校准,以避免损坏发电机或分配系统。当保护继电器感测到旨在监控的条件时,继电器驾驶断路器并断开发电机或从线路的连接设备。

这些保护系统的点是通过从系统中拆卸断层设备,使电网保持稳定并操作,尽可能多地留下分配系统。在美国和北美其余部分,电网在60 Hz上运行。对于任何电网功能正常,连接到它的所有发电设备必须通过电压,相位和频率同步。

如果任何一个发电机不同步,系统就会不平衡,这可能会损坏发电机、配电系统或其他连接的设备。如果发电机脱离同步,相位不平衡保护(同步)继电器将跳闸和断开发电机从线路。如果这没有发生,那么系统的巨大力量将试图重新同步机器。

发电机的电气和物理特性自然会抵制这一点,大扭矩将施加到传动轴和发电机绕组产生的高电流。这些电流尖峰会损坏其他设备,如变压器和电机。

网络安全回顾:极光发电机测试描述

将一个不同步的发电机连接到一个工作的电网是危险的,如果发电机没有被摧毁,也会导致损坏。如果一个了解发电系统工作原理的威胁行动者要通过物理或虚拟的方式访问保护系统,那会怎么样呢?这是美国能源部(Department of Energy)管理的爱达荷国家实验室(Idaho National Laboratories)进行的概念验证测试的基础。

该实验室拥有自己的大型电网和发电能力,用于测试用于潜艇、船舶和航天器的小型核动力系统。一个大型柴油发电机是从多余的,并建立了一个设施来容纳它。一个新的变电站被建造,复制了常见的做法,包括在这类安装中经常使用的保护继电器系统。

为了方便测试的主要目的,振动监测、超速和同步跳闸被禁用。其目标是在发电机运行并与电网相连时,通过打开和关闭发电机的断路器来产生所谓的非相同步(OOPS)。保护系统被设计用来隔离故障的发电机。在试验中,对同步和相不平衡保护继电器进行了重新编程,使其随机断开和闭合发电机断路器。

在启动测试之前,发电机与网格同步并按预期操作。在开始测试后,保护系统首先检查同步;然后他们将发电机与网格断开连接。卸载,发电机自然加速。然后,再次关闭断路器,将发电机绑在网格中。发电机被电网的压倒力猛烈地抛回来;另一个连接的发电机和器件的力将小质量的测试发生器返回到与60Hz网格频率同步。

损坏保护系统功能的恶意代码小于130 kB,这是约30行代码。发电机断路器的开启和关闭仅持续了几微秒,或大约15个周期。代码已执行三次。每次,观察到发电机猛烈地颠簸和摇动;第二次击中后,机器的碎片开始飞走。将发电机连接到发动机的大型橡胶连接器从机器上施加的极端扭矩迅速劣化。发电机开始吸烟。它的绕组已经开始熔化和融化伴随哎呀的高电流尖峰。

在代码的第三和第四个执行上,发动机和发电机基本上撕裂了自己。PostMortem显示发电机绕组熔化并燃烧。发动机轴扭曲并击中了曲轴箱的内部 - 发电机是废金属。测试持续了三分钟,发电机在一分钟内被摧毁。

测试视频可以在这里找到:https://www.youtube.com/watch?v=bAWU5aMyAAo

网络攻击方法

将产生源连接到电网需要频率,电压和相位旋转以匹配与网格的适当和安全连接。保护继电器监控这些参数中的每一个以确保成功连接;如果这些参数中的任何一个超过容差,则机器断开连接,以防止损坏机器或电网。

要破坏这些系统,攻击者必须攻破多个安全层,并对系统有良好的工作知识,以锁定正确的破坏者。攻击者还需要对变电站进行物理访问,或者破坏连接保护继电器和监控和数据采集(SCADA)系统的通信系统。各种警报也需要被关闭,这样就不会提醒操作员这个问题。需要破解的几层安全系统最好每一层都有密码保护。密码保护是一个常见的疏忽和漏洞。

Aurora漏洞的根本原因是物理安全和网络安全状况不佳。设计师和运营商必须在一开始就考虑网络安全,并计划所有可能的攻击模式,包括对设施的物理攻击。极光的脆弱性,如果不能得到缓解,可能会严重损坏许多与电网相连的设备,并可能导致长期断电。攻击不一定发生在发电机或变电站;它可以从任何地方发起。

随着更高价值的选择,它们的防御性强化,关键基础设施和工业控制系统(ICS)正在成为素数。大多数攻击都是远程进行的。然而,安全良好的设施也可以为地下物理攻击提供机会。

直接黑客是一种攻击方式,物理访问保护继电器系统,并重新编程器件以影响异常 - 直接攻击保护继电器。这需要物理访问和电力系统和黑客知识。这种攻击意味着它可以由内幕或违反设施的物理安全的人进行。

任何能实际进入变电站的人都可以手动打开和关闭断路器,并达到相同的效果——手动开关绕过任何自动控制或保护系统。这种攻击属于“心怀不满的员工”或恶意破坏行为。

受损通信通道是用于远程攻击各种控制系统的公共访问方法。事实上,鉴于大多数威胁演员的物理位置是海上的最常见的攻击载体。与任何其他攻击一样,允许成功泄露的首席罪魁祸首是网络饱现,密码政策差,网络架构差和保护。人类因素也在减轻这种风险的情况下发挥作用,不容忽视。

第三种,也是越来越常见的攻击方式,正在渗透到供应链中。如果攻击者可以在制造过程中或安装前的任何时刻访问保护系统,就可以将嵌入式代码注入设备,并在特定日期或事件上触发。这种攻击在最近的事件中已经出现,在供应商和最终用户(例如SolarWinds)之间的供应链中,软件完整性遭到了破坏。

八种减轻奥罗拉脆弱的方法

这听起来像一个常见的克制,​​但缓解这种漏洞是类似的,如果不是相同的,则保护任何其他IC。这些措施需要对时间和金钱的投资。如果正确执行,它们可以使设施实际上坚不可摧。防守措施的水平,被视为防御深度,通过物理堵塞或混淆,误导和阻止他们的努力来挫败确定的攻击者。最终,这些糟糕的演员将放弃并继续前进以更轻松的目标。

通过遵循适当的安全措施,可以减轻极光漏洞。这八项措施是一个很好的基线。

  1. 审计通信系统。重要的是要知道如何设置控制网络以及可能发生任何可能的漏洞。像黑客一样思考 - 他们像走在街道上的窃贼一样,检查门把手 - 并关闭任何未使用的端口或外来的沟通渠道。审计点是确定哪些系统以及哪些员工可以访问包括SCADA的关键系统通信网络。了解实际使用的通信频道,可以消除哪些通信频道。
  2. 制定监控保护继电器和断路器操作的算法。继电器或断路器的异常开启和关闭可能遵循可识别的模式,并在执行攻击之前被检测和减轻。
  3. 加密和保护通信通道。使用具有VPN (virtual private network,虚拟专用网)功能的防火墙来满足外部的访问需求。建立一个安全的加密(和未公布的)备用通信通道,以便在主通道受到威胁时使用。
  4. 消除与办公室或公司网络的任何交叉连接。SCADA或能源管理系统网络与设施的办公室网络之间应该没有连接,办公室网络很可能与互联网相连。这是一个严重的漏洞,因为攻击以“网络钓鱼”电子邮件开始;85%的攻击都是从网络钓鱼邮件开始的。此外,攻击可能是恶意或心怀不满的员工的“内部工作”。
  5. 应该建立并执行密码策略。修改保护继电器的默认密码。使用长且强的密码和分层访问控制。要求定期修改密码。对关键系统访问使用多因素身份验证(MFA)。将每个系统视为唯一的安全域,不要对所有系统使用相同的密码。
  6. 为所有员工限制对关键系统的访问权限最小特权的政策。将原理图、产品手册、图表、流程图和任何其他详细的系统信息视为机密,并在需要知道的基础上限制对这些员工的访问。划分系统知识和用于保护每个领域的安全方法。
  7. 检查进货设备是否符合供应商的规格。这有助于用户确定是否发生了供应链攻击。与供应商合作,确定设备或软件是否在工厂和客户之间被篡改。
  8. 审计和加强身体安全。能够渗透设施和物理进入设备的威胁行动者可以造成巨大的破坏。

任何网络安全方案中最薄弱的链接是人类要素。尽可能多地自动化,包括启动,同步和发电设备的启动,可以容易地自动化,并且这些过程的启动可以基本上自动化。现代保护系统与超过人类的可靠性水平效果很好地执行它们 - 它们并没有分散注意力或恼火或受到委屈,而且他们在没有投诉的情况下工作24/7。

网络安全漏洞的警示故事

2009年,第一个目的建造的数字武器被用来摧毁伊朗的空调Natanz实验室的三分之一的铀浓缩离心。由NSA和以色列网络战士开发的Stuxnet蠕虫被偷运到承包商笔记本电脑上的设施。蠕虫通过专门针对控制它们的可编程逻辑控制器(PLC)来感染离心机控制系统。这是第一个已知的数字武器来破坏现实世界的物理设备。

2016年,俄罗斯的Gru军事情报机构在乌克兰电网上进行了攻击。该攻击始于一个网络钓鱼电子邮件,该电子邮件释放了一个快速损害网格的脚本,主要是通过无担保或不稳定的通信渠道。该袭击导致广泛的停电和附带损害。一个经常被忽视的项目是攻击造成的破坏:蠕虫针对用于过程控制和发电的PLC和PC等钥匙设备。使用Aurora型攻击损坏或破坏了几个发电机;使用类似的技术损坏变压器和变电站。

从网络安全错误中学习,演示

Aurora漏洞在2009年首次无意中透露于2009年的信息法案(FOIA)请求的关于恰好被称为Aurora的不同计划的信息时,漏洞漏洞在整个网络安全和电力行业中发送了冲击波。

这种脆弱性可以得到缓解,而且自2007年以来,在保护关键系统方面取得了很大进展。然而,许多遗留系统仍然存在,运营商相信这是一个寻找问题的解决方案。问题是存在的,预防问题的手段和方法也是存在的。由于大规模和长期停电会造成混乱,这个问题需要对事实进行清醒的审查,并让负责任的各方采取行动。

丹尼尔E.卡纳诺是高级项目经理,甘尼特弗莱明工程师和建筑师事务所,CFE媒体内容合作伙伴并在控制工程编辑顾问委员会。由Chris Vavra,Web Content Manager编辑,控制工程,CFE媒体,cvavra@cfemedia.com.


丹尼尔E.卡纳诺
作者生物:Daniel E. Capano, P.C. Gannett Fleming Engineers and Architects高级项目经理,Control Engineering编辑顾问委员会成员