針對電力行業(yè)的網(wǎng)絡(luò)入侵和攻擊數(shù)量正在增加，2020年Dragos確定了三個針對電力行業(yè)的新活動組織(AG)：TALONITE、KAMACITE和STIBNITE。此外，供應(yīng)鏈風(fēng)險和勒索軟件攻擊繼續(xù)對電力公用事業(yè)運營造成入侵和破壞性影響。通過分析Dragos的《全球電力網(wǎng)絡(luò)威脅視角》報告，可以深入了解更多關(guān)于電力威脅的情況，以及防護(hù)這些威脅挑戰(zhàn)的建議。

[[432253]]

網(wǎng)絡(luò)攻擊造成的電力中斷事件可能發(fā)生在電力系統(tǒng)運行的各個地點，如控制中心、調(diào)度中心，或整個組織服務(wù)區(qū)域內(nèi)的發(fā)電、輸電或配電環(huán)境中。對電力系統(tǒng)的攻擊，就像對其他關(guān)鍵基礎(chǔ)設(shè)施部門的攻擊一樣，可以進(jìn)一步實現(xiàn)攻擊者的政治、經(jīng)濟(jì)和國家安全目標(biāo)。隨著攻擊者及其運營者投入更多的精力和資金來獲得破壞性能力，電力行業(yè)遭受破壞性或破壞性攻擊的風(fēng)險顯著增加。

在世界許多地區(qū)，電力部門在安全投資方面領(lǐng)先于其他工業(yè)部門。雖然安全投資歷來集中在企業(yè)信息技術(shù)(IT)網(wǎng)絡(luò)上，但運營技術(shù)(OT)安全方面正在取得重大進(jìn)展。例如，在北美，電力部門十多年來一直致力于通過董事會級決策、GridEx、北美電力可靠性公司(NERC)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)(CIP)標(biāo)準(zhǔn)等準(zhǔn)備工作來應(yīng)對網(wǎng)絡(luò)威脅。以及近期白宮與能源部合作制定的100天行動計劃，這項行動計劃的重點是提高OT在ICS網(wǎng)絡(luò)中的可視性、檢測和響應(yīng)能力。

隨著電力行業(yè)開始比以往任何時候都更加引人注目，企業(yè)必須在此之前做好準(zhǔn)備。本報告提供了截至2021年6月的威脅概況。

一、電力行業(yè)概述

電力系統(tǒng)包括發(fā)電、輸電及配電，電力系統(tǒng)是復(fù)雜的、有彈性的、相互連接的。例如在北美，電力系統(tǒng)由四個互連部分組成：東部、西部、德克薩斯電力可靠性委員會(ERCOT)和魁北克。在歐洲，輸電系統(tǒng)網(wǎng)絡(luò)由歐洲輸電系統(tǒng)運營商網(wǎng)絡(luò)(ENTSO-E)運營。在澳大利亞，輸電網(wǎng)絡(luò)系統(tǒng)由澳大利亞能源市場運營商(AEMO)運營，運營西澳大利亞的批發(fā)電力市場(WEM)和覆蓋全國其他地區(qū)的國家能源市場(NEM)。這些系統(tǒng)依次由許多地方電網(wǎng)互聯(lián)而成。

這種互連模式使互連內(nèi)部的電力流動安全可靠，并允許通過直接連接(DC)在互連之間進(jìn)行一些直流連接線。這種設(shè)計允許在互連中通過多個路徑發(fā)生功率流，并在互連中包含頻率干擾。工程方法提供冗余，防止完全崩潰，并在緊急操作期間提供了許多好處。然而，盡管該系統(tǒng)具有相當(dāng)?shù)膹椥裕鋸?fù)雜性一直在顯著增加，因此這種相互聯(lián)系和依賴可能實際上會降低其彈性，而在面對確定的網(wǎng)絡(luò)威脅時，這種彈性在很大程度上仍有待檢驗。

電力公司有相應(yīng)的流程，可以在其他實體遭遇風(fēng)暴、火災(zāi)或網(wǎng)絡(luò)攻擊等影響其服務(wù)領(lǐng)域的事件時向其提供互助。區(qū)域互助組織和行業(yè)伙伴關(guān)系可以共享資源，并在破壞性或破壞性事件發(fā)生后實現(xiàn)穩(wěn)定和可靠性。為了響應(yīng)實時事件，電力公司制定了明確的緊急操作程序，以在運行條件惡化時控制和定位電力系統(tǒng)，包括降低負(fù)荷、服務(wù)中斷、甩負(fù)荷和電力系統(tǒng)恢復(fù)行動的公共呼吁。

在美國、加拿大和墨西哥部分地區(qū)注冊執(zhí)行特定可靠性任務(wù)的電力實體，必須遵守由NERC-CIP標(biāo)準(zhǔn)制定的網(wǎng)絡(luò)安全法規(guī)。墨西哥的電網(wǎng)系統(tǒng)由能源監(jiān)管委員會(CRE)監(jiān)管。該委員會在可靠性方面與NERC合作，并為墨西哥的電力實體定義網(wǎng)絡(luò)安全規(guī)則。

在全球范圍內(nèi)，網(wǎng)絡(luò)安全法規(guī)或指南有所不同，但許多國家依賴國際電工委員會(IEC)和國際標(biāo)準(zhǔn)化組織(ISO)制定的標(biāo)準(zhǔn)。ISO和IEC聯(lián)合技術(shù)委員會(JTC1)為包括核電和電力設(shè)施在內(nèi)的操作技術(shù)(OT)設(shè)備制定網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。歐洲和澳大利亞也制定了類似的框架，分別是網(wǎng)絡(luò)和信息系統(tǒng)安全指令(NIS-D)和澳大利亞能源部門網(wǎng)絡(luò)安全框架(AESCSF)。

盡管還沒有被強(qiáng)制執(zhí)行，但對于關(guān)鍵基礎(chǔ)設(shè)施而言，它們的級別更高，而不是完全與電力有關(guān)。遵守網(wǎng)絡(luò)安全法規(guī)和最佳實踐，確保維持最低水平的網(wǎng)絡(luò)安全，從而使電力設(shè)施在ICS行業(yè)中獨樹一幟。

二、電力運營部門威脅

在電力到達(dá)客戶之前，它要經(jīng)過多個步驟，包括發(fā)電、輸電和配電。電力由化石燃料、核能或可再生能源等能源在發(fā)電設(shè)施(通常稱為發(fā)電廠)中產(chǎn)生。輸電系統(tǒng)將電力從發(fā)電廠遠(yuǎn)距離輸送到配電變電站，從那里分發(fā)給客戶。輸電和配電系統(tǒng)包括變電站，其中變壓器用于提高或降低電壓水平，以便向工業(yè)、商業(yè)和住宅客戶提供適當(dāng)?shù)姆?wù)。

圖1 電力分配

1. 發(fā)電

Dragos評估，至少有五個威脅組織(AGs)證明有滲透或破壞發(fā)電的意圖或能力。XENOTIME已經(jīng)展示了在工業(yè)環(huán)境中訪問、操作和實施攻擊的能力。Dragos評估，該組織將有能力對其破壞性工作進(jìn)行重組，并將其重點放在電力設(shè)施上，因為它已經(jīng)瞄準(zhǔn)了安全儀表系統(tǒng)，如Triconex，它是發(fā)電行業(yè)的支柱。DYMALLOY展示了在發(fā)電設(shè)施中訪問OT網(wǎng)絡(luò)的能力，并獲得敏感ICS數(shù)據(jù)的屏幕截圖，包括人機(jī)界面(HMI)的屏幕截圖。ALLANITE也是對發(fā)電的威脅，因為它與DYMALLOY在目標(biāo)定位和能力方面有一些相似之處。到目前為止，這兩個組織都沒有展示出干擾或破壞ICS的能力，只是專注于一般偵察。

WASSONITE積極瞄準(zhǔn)亞洲的關(guān)鍵基礎(chǔ)設(shè)施，包括核能發(fā)電，并在至少一個核電廠的管理系統(tǒng)中成功部署惡意軟件。盡管沒有證據(jù)表明它成功地滲透了運營網(wǎng)絡(luò)。雖然威脅組織尚未顯示出任何特定于ICS的能力或破壞性意圖，但迄今為止的行動表明，對這些資源的興趣持續(xù)不斷。最后，觀察到STIBNITE專門針對阿塞拜疆發(fā)電的風(fēng)力渦輪機(jī)公司。根據(jù)目前的收集工作，該活動似乎僅限于阿塞拜疆。STIBNITE在其入侵操作中使用PoetRAT遠(yuǎn)程訪問惡意軟件在受害者系統(tǒng)上收集信息、截圖、傳輸文件和執(zhí)行命令。該活動反映了Dragos在許多AGs中觀察到的結(jié)果，這些威脅組織攻擊ICS的意圖存在，即使針對ICS的特定能力尚未顯現(xiàn)。

以ICS為攻擊目標(biāo)的威脅者并沒有成功地擾亂電力生產(chǎn)。Dragos觀察到的針對這部分的活動，包括獲取敏感行動網(wǎng)絡(luò)的文件，可能被用于間諜目的或促進(jìn)破壞性攻擊。

2. 輸電

至少有兩個AGs對傳輸操作構(gòu)成威脅。ELECTRUM是一種資源豐富的AG，具有中斷電力傳輸?shù)哪芰?。Dragos評估KAMACITE作為ELECTRUM的初始訪問和促進(jìn)小組。

ELECTRUM對2016年12月在烏克蘭基輔發(fā)生的CRASHOVERRIDE惡意軟件攻擊負(fù)責(zé)。攻擊者定制了惡意軟件，通過打開和關(guān)閉電力系統(tǒng)中用于輸送電力的多個斷路器來切斷傳輸級變電站的電源，并確保操作員、電源線和設(shè)備的安全。這次攻擊顯示了對傳輸環(huán)境和使用的工業(yè)協(xié)議的深刻理解，使攻擊者能夠針對特定目標(biāo)定制惡意軟件。

雖然此次攻擊發(fā)生在歐洲，但類似的網(wǎng)絡(luò)攻擊也有可能發(fā)生在世界其他地區(qū)，并對目標(biāo)環(huán)境中的不同工業(yè)協(xié)議、設(shè)備和網(wǎng)絡(luò)拓?fù)溥M(jìn)行修改。例如，攻擊目標(biāo)斷路器操作由遵守IEC 6185029標(biāo)準(zhǔn)的ABB設(shè)備控制，并使用制造信息規(guī)范(MMS)協(xié)議進(jìn)行通信。攻擊還可以被用于符合這些標(biāo)準(zhǔn)的其他設(shè)備。

3. 配電

2015年12月23日，KAMACITE在烏克蘭發(fā)動了首次網(wǎng)絡(luò)攻擊造成的大范圍停電。攻擊者利用惡意軟件獲得了對三家電力配電公司的遠(yuǎn)程訪問，利用目標(biāo)環(huán)境的配電管理系統(tǒng)執(zhí)行系統(tǒng)操作，并擾亂了大約23萬人的電力供應(yīng)。經(jīng)過人工操作，幾小時后電力才完全恢復(fù)。

與ELECTRUM相反，KAMACITE在2015年烏克蘭事件中沒有使用ICS特定的惡意軟件，它通過操作環(huán)境中的現(xiàn)有工具遠(yuǎn)程控制操作。AGs展示的行為和工具使用，包括KAMACITE和ELECTRUM，可以根據(jù)威脅行為者的重點部署在全球分銷業(yè)務(wù)中。

在整個發(fā)電、輸電和配電過程中的任何一點電力中斷，都需要攻擊者對企業(yè)和運營環(huán)境、使用的設(shè)備以及如何操作專門設(shè)備有基本的了解。攻擊者必須在目標(biāo)環(huán)境中花費很長一段時間學(xué)習(xí)控制系統(tǒng)的細(xì)節(jié)，以成功地實施破壞電力服務(wù)的攻擊，而防御者在潛在的攻擊鏈上有多個機(jī)會檢測并消除攻擊者的訪問。

三、當(dāng)前面臨的威脅現(xiàn)狀

1. 勒索軟件

Dragos觀察到，影響ICS環(huán)境和操作的非公開和公開勒索軟件事件數(shù)量顯著增加。根據(jù)Dragos和IBM Security X-Force跟蹤的數(shù)據(jù)，2018年至2020年，發(fā)生在工業(yè)和相關(guān)實體上的勒索軟件攻擊中有10%是以電力設(shè)施為攻擊目標(biāo)。這是僅次于制造業(yè)的第二大目標(biāo)產(chǎn)業(yè)。盡管大多數(shù)影響ICS和相關(guān)實體的勒索軟件都是以IT為中心的，但如果勒索軟件能夠由于不適當(dāng)?shù)陌踩僮鞫鴱浐螴T/OT差距，則勒索軟件可能會對運營產(chǎn)生破壞性影響。Dragos發(fā)現(xiàn)多個勒索軟件采用ICS感知功能，包括在環(huán)境中發(fā)現(xiàn)時可以殺死以工業(yè)為中心的計算機(jī)進(jìn)程的能力，活動可追溯到2019年。EKANS、MEGACORTEX和CL0P只是包含這類代碼的幾個勒索軟件變種。EKANS和其他ICS勒索軟件代表了一種獨特的和特定的風(fēng)險，工業(yè)操作以前沒有觀察到的勒索軟件操作。

勒索軟件運營商越來越多地將數(shù)據(jù)盜竊技術(shù)納入其活動，以進(jìn)一步索要贖金。攻擊者可能會在加密受感染的機(jī)器之前竊取目標(biāo)公司的數(shù)據(jù)，并威脅在如果不支付贖金，就會在威脅者運營的網(wǎng)站或黑客論壇上公布這些數(shù)據(jù)。黑客竊取或泄露的數(shù)據(jù)可能包含目標(biāo)公司的敏感信息及其客戶信息。盡管勒索軟件攻擊者可能只對利用數(shù)據(jù)用于財務(wù)目的感興趣，但對專門針對電力行業(yè)感興趣的黑客可以使用泄漏的數(shù)據(jù)來幫助開發(fā)攻擊。例如，黑客可以使用客戶數(shù)據(jù)來確定第三方或供應(yīng)鏈的潛在風(fēng)險，或者使用示意圖、網(wǎng)絡(luò)圖或其他內(nèi)部文檔等數(shù)據(jù)來確定運營收益目標(biāo)。

勒索軟件不僅僅適用于有經(jīng)濟(jì)動機(jī)的運營商。國家支持的攻擊者也可能在網(wǎng)絡(luò)行動中利用勒索軟件。2020年5月，中國臺灣政府將針對石油、天然氣和半導(dǎo)體公司的勒索事件歸咎于Winnti組織。

ICS環(huán)境中破壞性惡意軟件的潛在風(fēng)險之一由historian技術(shù)表示，因為historian部署的架構(gòu)通常是連接IT網(wǎng)段中的只讀historian和OT網(wǎng)絡(luò)中的plant historian之間的通信。此外，除非記錄在歷史記錄中，否則傳感器數(shù)據(jù)是短暫的，對其數(shù)據(jù)的破壞性攻擊如果得不到很好的保護(hù)，可能會導(dǎo)致無法挽回的損失。

2. 互聯(lián)網(wǎng)資產(chǎn)風(fēng)險

暴露于互聯(lián)網(wǎng)的工業(yè)和網(wǎng)絡(luò)資產(chǎn)是電力公司的重大網(wǎng)絡(luò)風(fēng)險。各種以ICS為攻擊目標(biāo)的組織，包括PARISITE、MAGNALLIUM、ALLANITE和XENOTIME，以前都曾瞄準(zhǔn)或目前試圖利用遠(yuǎn)程訪問技術(shù)或登錄基礎(chǔ)設(shè)施。

《2020 Dragos年度回顧報告》詳細(xì)介紹了從事件響應(yīng)和服務(wù)團(tuán)隊吸取的經(jīng)驗教訓(xùn)，根據(jù)該報告，100%的事件響應(yīng)案例涉及黑客直接從互聯(lián)網(wǎng)訪問ICS網(wǎng)絡(luò)，有33%的組織有可路由網(wǎng)絡(luò)連接到他們的運營環(huán)境。

2020年7月，美國國土安全部網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)和國家安全局(NSA)發(fā)布了一份警告，鼓勵資產(chǎn)所有者和運營商立即采取行動，限制OT資產(chǎn)暴露于互聯(lián)網(wǎng)。根據(jù)警報，最近在發(fā)布前觀察到的行為包括：

• 先發(fā)制人，在轉(zhuǎn)向OT之前獲得信息技術(shù)(IT)的初步訪問;
• 部署商用勒索軟件以影響IT和OT環(huán)境;
• 連接到無需認(rèn)證的互聯(lián)網(wǎng)可訪問可編程邏輯控制器(PLC);
• 使用公共端口和標(biāo)準(zhǔn)應(yīng)用層協(xié)議與控制器通信，并下載修改后的控制邏輯;
• 使用供應(yīng)商工程軟件和程序下載;
• 修改PLC上的控制邏輯和參數(shù)。

攻擊者迅速武器化并利用面向互聯(lián)網(wǎng)的服務(wù)中的漏洞，包括遠(yuǎn)程桌面協(xié)議(RDP)和VPN服務(wù)。2020年夏季發(fā)現(xiàn)的影響關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施服務(wù)中的新漏洞，包括F5、Palo Alto Networks、Fortinet、Citrix和Juniper網(wǎng)絡(luò)設(shè)備，很可能會被ICS目標(biāo)黑客利用。這些漏洞可使黑客獲得對企業(yè)運營的初始訪問權(quán)限，并可能轉(zhuǎn)移到工業(yè)運營。

3. 供應(yīng)鏈威脅

攻擊者可以濫用現(xiàn)有的信任關(guān)系和互連來訪問敏感資源，并在某些情況下包括系統(tǒng)，而且?guī)缀醪豢赡鼙粰z測到。

2020年12月，火眼公布了一項大規(guī)模供應(yīng)鏈威脅行動的首批細(xì)節(jié)，該行動影響了全球的公司和政府，包括電力公司。黑客利用名為SolarWinds的IT管理軟件，獲得了數(shù)千個使用該軟件的組織的權(quán)限。

值得關(guān)注的是，許多集成商和原始設(shè)備制造商(OEM)在OT網(wǎng)絡(luò)和維護(hù)鏈路中使用SolarWinds。至少有兩家全球原始設(shè)備制造商(OEM)使用了被泄露的SolarWinds軟件，通過維護(hù)鏈接直接進(jìn)入ICS網(wǎng)絡(luò)，包括渦輪機(jī)控制軟件。攻擊者可以很容易地利用這種訪問來造成重大破壞。

該活動是有史以來公開確定的最大的供應(yīng)鏈危害事件之一，并強(qiáng)調(diào)了通過運營環(huán)境中的軟件、固件或第三方集成引入環(huán)境的潛在風(fēng)險。

但軟件更新并不是供應(yīng)鏈入侵中唯一可能被濫用的潛在進(jìn)入載體。2021年4月，Dragos發(fā)現(xiàn)了一家與歐洲電力行業(yè)客戶有重大聯(lián)系的南亞集成電路供應(yīng)商遭到入侵。原始設(shè)備制造商(OEM)、供應(yīng)商和第三方承包商對企業(yè)和ICS運營至關(guān)重要。發(fā)電、輸電和配電中的眾多供應(yīng)商或承包商接觸點，可以通過受損或安全性較差的直接網(wǎng)絡(luò)連接，提供進(jìn)入電力公用事業(yè)環(huán)境入口。

DYMALLOY、ALLANITE和XENOTIME已使用供應(yīng)鏈破壞方法獲得受害者網(wǎng)絡(luò)的訪問權(quán)。DYMALLOY和ALLANITE在針對電力行業(yè)的后續(xù)網(wǎng)絡(luò)釣魚活動中損害了供應(yīng)商和承包商的利益。XENOTIME在2018年損害了多家ICS供應(yīng)商和制造商，提供了潛在的供應(yīng)鏈威脅機(jī)會，并提供了可供供應(yīng)商訪問的目標(biāo)ICS網(wǎng)絡(luò)。

四、系統(tǒng)性威脅

電力行業(yè)以各種形式支持所有關(guān)鍵基礎(chǔ)設(shè)施垂直行業(yè)，電力中斷可能會對制造業(yè)、采礦作業(yè)或海水淡化等其他行業(yè)產(chǎn)生連鎖和破壞性影響。

此外，大型制造企業(yè)也正在成為可再生能源供應(yīng)商，這些發(fā)電廠向所有制造廠供電。其中一個設(shè)施的中斷可能會導(dǎo)致整個公司的生產(chǎn)運營中斷。

全球許多國家(尤其是中東)依靠部分水的淡化操作。設(shè)施可以通過能源密集型工藝將鹽水轉(zhuǎn)化為飲用水。據(jù)國際能源署稱，膜式脫鹽需要大量電力，是世界上最常見的脫鹽技術(shù)。支持海水淡化工作的電力運行中斷可能會限制飲用水的生產(chǎn)。

采礦作業(yè)也需要消耗大量能源。在美國，大約32%的采礦業(yè)能源是電力。在澳大利亞，電力系統(tǒng)為該國采礦業(yè)提供了21%的能源。電能支持鉆井和材料搬運作業(yè)，如果發(fā)電、輸電或配電受到網(wǎng)絡(luò)攻擊，這些作業(yè)可能會中斷，特別是在支持采礦作業(yè)的現(xiàn)場發(fā)電設(shè)施。

五、防范建議

資產(chǎn)所有者和運營商可以實施以下基于主機(jī)和網(wǎng)絡(luò)的建議，以改進(jìn)對ICS目標(biāo)群體的檢測和防御。

(1) 訪問限制和賬戶管理

限制域內(nèi)的管理訪問，限制域管理員的數(shù)量，并將網(wǎng)絡(luò)管理員、服務(wù)器管理員、工作站管理員和數(shù)據(jù)庫管理員分離到單獨的組織單元(OU)中。身份是防御的關(guān)鍵。

確保所有設(shè)備和服務(wù)不使用默認(rèn)憑據(jù)。如果可能，請不要使用硬編碼憑據(jù)。監(jiān)視任何無法刪除或禁用的硬編碼方法。僅限必要人員使用設(shè)備。在所有應(yīng)用程序、服務(wù)和設(shè)備中實現(xiàn)最小特權(quán)原則，以確保個人只能訪問履行職責(zé)所需的資源。這包括確保應(yīng)用層服務(wù)，如文件共享和云存儲服務(wù)被正確劃分。按照普渡模式，網(wǎng)絡(luò)連接在繼續(xù)進(jìn)行不同層次之前應(yīng)該被終止。

(2) 可訪問性

識別控制系統(tǒng)網(wǎng)絡(luò)中的入口和出口路由并對其進(jìn)行分類。這包括工程師和管理員遠(yuǎn)程訪問門戶，也包括需要訪問IT資源或更廣泛的互聯(lián)網(wǎng)的商業(yè)智能和許可服務(wù)器鏈接等項目。通過防火墻規(guī)則或其他方法限制這些類型的連接，以確保最大限度地減少攻擊面。

(3) 響應(yīng)計劃

制定、審查和實踐網(wǎng)絡(luò)攻擊響應(yīng)計劃，并將網(wǎng)絡(luò)調(diào)查整合到所有事件的根本原因分析中。

(4) 分段

在可能的情況下，對網(wǎng)絡(luò)進(jìn)行分段和隔離，以限制橫向移動。這可以通過防火墻或訪問控制列表(ACL)輕松實現(xiàn)，組織可以通過虛擬劃分網(wǎng)絡(luò)并減少攻擊面，同時限制攻擊者移動。

(5) 第三方

確保第三方連接和ICS交互以“信任但驗證”的心態(tài)進(jìn)行監(jiān)控和記錄。在可能的情況下，隔離或創(chuàng)建用于此類訪問的隔離區(qū)(DMZ)，以確保第三方無法完全、不受限制或不受監(jiān)控地訪問整個ICS網(wǎng)絡(luò)。盡可能實施跳轉(zhuǎn)主機(jī)、堡壘主機(jī)和安全遠(yuǎn)程身份驗證方案等功能。建議使用威脅信息和由此產(chǎn)生的復(fù)雜分析來應(yīng)對供應(yīng)鏈網(wǎng)絡(luò)風(fēng)險。

(6) 可見性

對ICS/OT環(huán)境采取全面的可見性方法，以確保在監(jiān)控方面沒有差距。資產(chǎn)所有者、運營商和安全人員應(yīng)共同努力，從最關(guān)鍵的基礎(chǔ)設(shè)施開始收集基于網(wǎng)絡(luò)和主機(jī)的日志。識別和關(guān)聯(lián)可疑網(wǎng)絡(luò)、主機(jī)和進(jìn)程事件的能力可以極大地幫助在入侵發(fā)生時識別入侵，或促進(jìn)破壞性事件發(fā)生后的根本原因分析。確保通過以ICS為重點的技術(shù)對運營網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)監(jiān)控。

六、結(jié)論

由于此類事件可能造成的政治和經(jīng)濟(jì)影響，電力行業(yè)仍然面臨破壞性網(wǎng)絡(luò)攻擊的風(fēng)險。由于電力系統(tǒng)的互連性，在風(fēng)暴或地震等破壞性事件期間，電力系統(tǒng)具有強(qiáng)大的恢復(fù)力和冗余性，因此大多數(shù)發(fā)達(dá)地區(qū)的電力系統(tǒng)可能會從破壞性網(wǎng)絡(luò)事件中快速恢復(fù)。管理機(jī)構(gòu)實施的法規(guī)有助于確保該部門的最低安全水平，但這通常不適用于其他ICS垂直領(lǐng)域。

正如CRASHOVERRIDE所證明的那樣，破壞性攻擊需要付出巨大的努力才能實現(xiàn)。威脅者在目標(biāo)環(huán)境中的必要停留時間為防御者提供了許多識別和刪除惡意活動的機(jī)會。Dragos觀察到的企業(yè)目標(biāo)定位活動可實現(xiàn)初始入侵和數(shù)據(jù)收集，并為威脅者轉(zhuǎn)向潛在破壞性事件奠定基礎(chǔ)。供應(yīng)鏈攻擊和供應(yīng)商妥協(xié)的威脅日益增長，這也為AGs破壞IT和OT環(huán)境提供了新的途徑。