《2019年北美电力网络威胁》全文中文翻译

编者按：对电力系统的网络攻击，如同针对其他关键基础设施的攻击一样, 极大助长攻击者实现其犯罪企图，经济抑或政治目的。随着攻击方获得越来越多的资金和资源资助，包括北美在内的电力行业所面临的破坏性攻击风险空前加剧。

网安知讯首译了Dragos在2020年初发布的报告：《北美电力网络威胁》。报告中的信息来自于Dragos的工控威胁情报，全球平台的态势感知和基于服务的信息收集，报告提供对北美电力和其他关键基础设施领域的威胁概览。基本结论是，关键基础设施的网络威胁正在增长。Dragos的报告对北美电力部门的所面临的威胁进行了全面研究，首次披露了电力行业可能面对的六大威胁场景，并为电力行业应对现实威胁提供了防御性建议。

关键基础设施网络威胁（核心观点）：

关键基础设施行业，特别是电力行业的网络威胁正在恶化，一个重要的工控网络安全趋势就是，工控网络黑客组织的关注领域已经从单一工控行业向多种工控行业过度。Dragos在2019年首次识别了两个黑客组织，MAGNALLIUM 和 XENOTIME都已将其主要目标从石油和天然气行业扩展到北美电力系统。

此外，供应链和第三方伙伴仍然工控领域最大的风险来源，特别是对电力系统构成了巨大威胁。攻击者很大程度上利用工控企业与其供应商和承包商的远程连接服务。例如Dragos 在2019年首次识别的一个新的黑客组织PARISITE，主要通过VPN应用漏洞来发起对工控网络对渗透。

国家的“能源基础设施部门”，特别是电力、石油和天然气等部门都面临严重风险，因为“能源基础设施部门”的相关部门和公司所面对是众多资源充足、专注于信息系统的对手。在能源领域，网络攻击被越来越多地用于投射对称和非对称力量。

《North American Electric Cyber threat Perspective》

《北美电力网络威胁报告》

作者：Dragos

发布日期：2020年1月

概述

对于那些试图利用工业控制系统的攻击者来说，无论出于何种目的，包括工控和OT网络的关键基础设施行业无疑是极具价值的目标。

网络攻击造成的电力中断事件，可能发生在电力系统的各个环节，包括用于态势感知和电力交易的操作系统的中断；以企业（生产）环境为目标，通过与之连接和相互依赖的IT系统实现攻击；或者通过对OT环境中使用的网络数字资产对对电力系统的直接攻击。

攻击组织：可以推进一个对手的犯罪，政治，经济，或地缘政治的目标。作为对手和他们的发起人投入了更多的精力和资金来获得以效果为中心的能力，而风险是破坏性，对电力部门的破坏性攻击显著增加。

全球范围内，为公众所知的工控领域的网络攻事件正在增加，相应的，由于破坏性的网络事件影响，北美电力所面临的潜在风险评级很高。这份报告强调了多种威胁和对手，重点关注关键基础设施及其能力。Dragos预计，随着探测到的入侵行为继续增多，与该领域相关的威胁前景将保持高位。

在Dragos所跟踪的活跃黑客组织中，接近三分之二的组织所执行ICS特定的任务目标定位和干扰活动主要集中在北美电力部门。此外,现有的对ICS的威胁正在扩大，对北美的电力设施运营尤为关注。

例如，Dragos跟踪的XENOTIME——一个最危险和最有能力的活跃组织。

该组织最初将目标集中在石油和天然气业务上，后来扩展到北美地区电力公司。另一个Dragos跟踪的组织MAGNALLIUM，该活动组织将目标扩大到美国电力系统。这一活跃组织的扩张和向电力部门的转移与增长与海湾沿岸国家的政治和军事的紧张局势向呼应。

Dragos对CRASHOVERRIDE攻击的研究表明，ELECTRUM恢复了有针对性的行动。这种攻击如果成功，可能造成更长的停机时间，甚至会对设备造成物理损伤或对操作员造成伤害。这些调查表明，该组织的期望获得比2016年在国际会议期间所发动的网络袭击更大成果，这代表了令人担忧的安全趋势和保护性的攻击的可能。

历史上，攻击者已经展示了通过专门的恶意软件和凭借对目标操作环境的深入了解，在大规模的网络事件中明显干扰电力运营的能力。

尽管北美还没有经历过类似的攻击，但以工控为目标的对手表现出了对此类网络的兴趣和能力，并极有可能发动此类攻击。

作为一个整体，电力部门十多年来一直致力于通过董事会级别的决策、GridEx预演、NERC CIP标准以及对工控安全技术的投资来应对网络威胁。然而，对手在持续进化，工控行业必须做好适应的准备。

这份报告提供了截至2020年1月的威胁概况，并预测了即将发生的未来的对手和题目行为的变化

关键结论：

* 以北美电力设施为重点的威胁范围正在扩大，而且还在不断扩大，这主要是由于出于侦察和研究目的而对工控网络的多次入侵，以及工控（威胁）活跃组织对电力部门表现出了新的兴趣。

* 对电力设施的攻击可能会产生重大的地缘政治、人道主义和经济影响。因此,

与国家相关的组织将越来越多地把目标对准电力和天然气等相关行业。

* 一个突出的威胁是，包括针对供应链的渗透成为的活跃组织的第一跳板。

* 对2016年CRASHOVERRIDE攻击的研究证明了攻击者具有造成长时间的停机、设备损坏和人身安全问题的意图和能力

* 公用事业公司正在缓慢改善电力运营环境的可见度，当前北美标准以确保电力部门维在最低水平的网络安全。本报告还提出了进一步的建议，帮助资产所有者和经营者在其经营环境中应对网络风险。

•所有国家的整个“能源基础设施部门”(电力、石油和天然气等)都面临风险，

（关键基础设施行业）企业和公用事业部门，正面对多个全球对手。网络攻击是一种日益增长的利用网络攻击在能源领域投射支配地位的手段。

活跃的黑客组织：

Dragos追踪了11个黑客组织，其中七个专门针对北美电力公司。

包括，Parisite,Xenotime,Magnallium,Dymalloy,Electrum,Raspite,

Allanite,Covellite,Chrysene,Hexane,Wassonite.

对能源基础设施的威胁:

针对黑客组织XENOTIME和MAGNALLIUM在石油和天然气在电力领域的扩张证明，在关键的基础设施领域，威胁扩散的趋势日益明显。也就是说，对一个工控实体的威胁就是对其他工业垂直领域的潜在威胁。对手越来越多地瞄准多个领域，目的包括间谍活动、信息收集和潜在的破坏性事件

这一趋势是由多种因素所驱动的，包括不断增加的投资以发展针对洲际弹道导弹的进攻能力。攻击者正在获得网络物理事件所必需的技能，因为他们对集成电路的关注越来越多，而且作为工业网络、协议、设备变得更加普及。此外，商品IT硬件和软件的传播到OT网络增加了攻击面，通过熟悉的技术提供入侵机会的对手。

因此，所有与能源相关的实体都应该熟悉跨关键基础设施部门的恶意活动。

北美电网现状：

“电网”作为一个单一实体的说法有点用词不当。在北美，发电、输电和配电的方式可以用电气系统来最好地描述:大规模电力系统。系统是复杂的、有弹性的、分段的。北美的散货电力系统分为四个部分

连接，东部，西部，德克萨斯和魁北克互联

美国的某些电力实体必须遵守由美国联邦能源监管委员会(FERC)授权并由北美建立的强制性网络安全标准

电力可靠性公司(NERC)。这些关键基础设施保护(CIP)可靠性标准对跨电力系统(BES)的范围内设施和系统有几个要求。这些规定在美国以外的北美地区也同样适用。加拿大的每个省都采用了各自的公用事业标准，而墨西哥的监管机构——能源委员会(CRE)则与NERC合作，并为他们的国家定义了网络安全规则。NERC CIP可靠性标准分为几个主题领域，

包括以下标准:

关于供应链网络风险管理的CIP-013新标准将于2020年7月强制实施。有

根据FERC规则或行业努力，定期更新NERC CIP可靠性标准处理新的主题领域或需求。遵守网络安全法规使北美电力公司成为工控行业中唯一确保维持最低水平的网络安全的最佳做法。

电力生产系统的网络威胁透视：

黑色：发电 蓝色：传输 绿色：配电

电力在创造、运输和交付电力给客户的过程中经历了多个阶段。电力是由化石燃料、核能或可再生能源等能源资源在通常被称为发电厂的发电设施中产生的。然后，输电系统将电力从发电厂长距离输送到配电变电站。从那里它被分配给客户。输电和配电系统包括转换电压等级的变电站，作为交换站，并向用户提供电力。

发电环节威胁视图：

此时，Dragos评估了至少三个活动组织，证明他们有意图或能力渗透或破坏发电运营网络。

XENOTIME已经演示了在工业环境中访问、操作和实施攻击的能力。Dragos估计，由于该集团已经影响了安全仪表系统，它有能力将其破坏性努力重新集中在电力设施上。

Triconex主要是针对发电行业。

DYMALLOY瞄准了发电设施，并演示了获取敏感ICS数据的屏幕截图的能力，包括人机界面(HMIs)的屏幕截图。

ALLANITE对生成造成威胁，因为它在目标和能力方面与DYMALLOY有一些相似之处，同时也具有经过验证的侦察和从操作环境中提取敏感数据的能力。这两个组织都没有表现出破坏或破坏ics的能力，因为他们专注于作战环境侦察。

到今天为止，以互联网为目标的敌人并没有成功地干扰北美的发电业务，然而，我们确实注意并在今年早些时候向NERC报告了通信中断。观察到的针对这部分的威胁活动，包括获取关于敏感操作网络的文件，可用于间谍目的或促进破坏性攻击。

输电环节网络威胁视图：

ELECTRUM是一个资源丰富的活跃组织，具有中断电力传输的能力。

Dragos已经确认了ELECTRUM 和SANDWORM 的联系，但注意还是有区别的。

2016年12月17日，在乌克兰基辅的CRASHOVERRIDE malware24攻击中，SANDWORM作为可能的初始访问载体，使另一个专注与工控的组织ELECTRUM能够进行有序的、工控攻击，目的是破坏物理进程。它影响了一个变电站200MW的负荷。该恶意软件是高度定制的，通过打开和关闭断路器和开关装置，负责整个电力系统的电力平衡，并确保操作人员、电力线和设备的安全，切断传输级变电站的电源。这次攻击展示了对传输环境和正在使用的工业协议的深刻理解，使敌人能够针对特定的目标定制恶意软件。

Dragos最近在8月份发布的一份报告中描述了ELECTRUM试图破坏保护继电器，在物理恢复的时刻为重新连接的输电线路创造一个不安全、不稳定的条件。这表明这次攻击可能会造成更严重的后果，包括设备损坏、长时间的停机和操作人员受伤。虽然以保护为重点的攻击失败了，但它可以作为未来以电力为目标的敌人破坏行动并造成最大可能的破坏的蓝本。

评估

虽然这种攻击发生在欧洲，但为了攻击北美电力基础设施，CRASHOVERRIDE框架的修改将是微不足道的。到目前为止，还没有观察到修改框架的意图。此外，Dragos的研究表明了对ELECTRUM的野心:在修复过程中造成物理上的破坏，这在以前的攻击中是没有发生过的。北美电力公司应该考虑到ELECTRUM是一个严重的威胁，并准备识别类似的行为，包括在ICS设备之间滥用本机功能。

配电环节网络威胁视图：

在当前的威胁形势下，一个敌对集团扰乱了电力配送业务。2015年12月23日，乌克兰发生了由网络攻击引起的首次停电。攻击者利用恶意软件远程访问了三家配电公司，控制了配电管理系统，并破坏了约23万人的电力供应。几次之后，电力完全恢复了

Dragos的首席执行官Robert M. Lee是2015年针对乌克兰配电系统的网络攻击调查的主要负责人之一，他把这次攻击归咎于SANDWORM ，后来iSight证实了这一点。

评估：

虽然在北美的敌人没有破坏配电作业，但SANDWORM和ELECTRUM等活动团体所表现出的行为和工具使用可以部署在北美的配电设施中。在2015年乌克兰电力部门的攻击中，攻击者并没有使用特定于ics的恶意软件，而是通过操作环境中的现有工具远程控制操作。

通过网络手段在整个发电、输电和配电过程中的任何时候干扰电力，要求对手对企业和操作环境、使用的设备以及如何操作专用设备有基本的了解。由于对手必须在目标环境中花费很长时间来学习成功中断电力所需的技能，防御者在潜在攻击链上有多个机会点来检测和消除对手的访问。

区域威胁情况：

北美

在11个追踪的活动组中，有7个以北美电力实体为目标:PARISITE、XENOTIME、DYMALLOY、ALLANITE、MAGNALLIUM、RASPITE和COVELLITE。

Dragos指出，最近针对北美电力实体的活动有所增加，其中最主要的是针对已知VPN漏洞的PARISITE，以及针对石油和天然气的MAGNALLIUM密码喷射活动，这些活动已经扩大到包括电力部门。MAGNALLIUM的活动增多，与美国与其盟国和伊朗等国家的地缘政治互动密切相关。

此外，XENOTIME的活动使潜在的供应链妥协可能影响北美的实体。由于全球化生产和分销，ICS硬件和软件供应商对所有ICS实体构成威胁，无论其在哪个地区。

2019年6月，公开报道称，美国的网络努力和能力集中在俄罗斯的电力系统上。根据《纽约时报》的一篇报道，俄罗斯官员表示，美国干预俄罗斯的电力系统可能会导致“网络战争”。鉴于围绕针对电力系统的网络能力的紧张局势和分裂言论日益加剧，北美的资产所有者和运营商应该意识到，电力运营的潜在风险正在增加。

目前尚不清楚2020年美国联邦选举是否会对北美电力系统的网络威胁产生影响。但是，重大选举继续在网络行动中发挥重要作用，这一即将到来的事件不能被任何关键基础设施部门忽视。

Dragos继续追踪针对北美电力公司的网络钓鱼活动，所有活动通常都集中在初始访问操作上。自2019年4月以来，超过12家美国电力公司收到了鱼叉式钓鱼电子邮件，这些电子邮件欺骗许可和认证机构，目的是发送回溯恶意软件。安全公司Proofpoint首先公开报道了这次活动。资产所有者和运营商应确保员工接受过识别网络钓鱼企图的培训，并在发现网络钓鱼企图时向安全人员报告。

6 Concerning and Possible Attack Scenarios for North American Electric

六大可能的北美电力攻击场景：

1. 导致停电的破坏性事件

乌克兰电网攻击就是明证，对手有可能渗透到作战环境中，利用对目标网络的深入了解来促成潜在的破坏性或破坏性攻击。Dragos估计对ICS感兴趣的黑客组织可能会投入时间和资源来开发特定于ICS的能力。

ELECTRUM针对输电业务的活动表明，该组织试图通过禁用保护继电器来破坏电力恢复过程中的物理环境。如果执行正确，这样的事件将导致长时间的断电，严重阻碍恢复，并可能对操作人员和设备造成物理伤害。

在北美还没有观察到破坏性的电力部门网络事件，但Dragos追踪的是有能力在运营环境中建立立足点的组织，这些环境可以为后续的破坏性运营奠定基础。

2. 第三方和原始设备制造商(OEM)漏洞

供应商和第三方承包商对企业和工控的运作至关重要。发电、输电和配电系统内的众多供应商或承包商可以通过受损或不安全的网络连接进入电力设施环境。黑客组织越来越多地利用第三方的漏洞作为进入目标的方法。

这种攻击向量使对手能够利用公司、供应商或支持实体之间的隐式信任。包括XENOTIME、DYMALLOY和ALLANITE，他们利用可信的关系渗透到目标网络中。这包括对供应商网络的漏洞，以及web漏洞。VPN设备用于到操作网络的远程连接，这其中， PARISITE正式专门利用这些连接。

另一个被对手利用的攻击途径是通过托管服务提供者(MSP)。MSPs通常嵌入到客户机IT和OT网络中，并维护对客户机IT和OT网络的广泛远程访问。因此，一个MSP的破坏可以导致直接访问多个受害网络。最广泛操作公开披露的一系列侵入苏格兰议会由国家资助的敌人,与其他资源APT10, cert宣布于2018年在北美资产所有者和经营者需要解决这些供应链风险的强制实现cip - 013。将威胁信息用于CIP-013实现可能有利于资产所有者和运营商解决影响部门特定的问题。

3.对发电的系统攻击

由于电力部门对各种能源的依赖，意图破坏电力运营的攻击者可能会瞄准生产电力所需的供应链上的实体。例如，天然气管道的中断会影响发电和下游天然气的分配，这对响应计划有放大效应——特别是考虑到特定的时间或地区对天然气的依赖。

这些可以被称为对电力供应链能源生产所需投入的“系统性”攻击。此时，Dragos并没有观察到与系统攻击或相关风险有关的敌方活动。

4. OT通信网关

最近一起破坏电力公司OT通讯的网络事件证明，攻击者可以利用将IT系统与OT分隔开的防火墙中的漏洞来影响操作。

美国一家太阳能发电公司在2019年3月经历了通信中断，当时一名攻击者利用已知的防火墙漏洞导致设备意外重启。根据NERC的报告，该事件导致现场设备之间、现场与控制中心之间的通信中断时间不到5分钟，Dragos情报显示，攻击者的目标是思科防火墙的一个已知漏洞。

虽然影响很小，但活动确实影响了该实用程序的生成网络连接。如果敌人获得立足点或完全切断通信，更持久的破坏或更成功的利用可能会带来更严重的后果。

5. 对手通过移动网络或卫星连接的入侵

HEXANE 的活动表明，电信网络是攻击者攻击的重要目标。进入移动或卫星网络可以让对手与利用蜂窝设备或卫星连接(包括GPS)与发电设施进行交互，监视、时间同步和管理。地理上分散和遥远的业务- -例如遥远的变电站- -往往依赖于蜂窝或卫星通信网络。蜂窝和卫星网络与OT环境之间的桥梁需要密切监测。

6. 计划停电或维修窗口期间的攻击

计划中的停电和维护窗口可以让对手了解公用事业的运作和恢复程序;大规模停机的时间;了解到异常行为在此类事件中更有可能不被发现。

在最初的设备安装或维护窗口期间，公用事业允许额外的外部实体进入操作环境，包括USB密钥、配置文件、工程师和供应商的笔记本电脑等，这是正常的。这是一个很好的机会，利用和感染一个OT网络有意或无意。2018年，施耐德电气(Schneider Electric)提醒客户，与Conext两款产品一起发货的u盘可能有问题

在制造过程中被供应商感染了不明恶意软件。虽然在这个案例中没有客户公开报告感染事件，但这表明攻击者有可能利用第三方的漏洞，暗中植入针对电子实体的USB恶意软件。此前曾发生过这样的事件:2012年，一家电力公司的控制系统网络在计划升级期间遭遇恶意软件感染，该病毒通过USB意外传播。这导致了意外停机，并将工厂重新启动延迟了三周。这种类型的攻击还会绕过公司的安全防御，直接进入操作网络中。

随着极端天气事件越来越多地导致电力公司计划大规模停电，在计划停电期间，对手有更多的机会渗透到网络中。在计划中断期间，在允许对手与其他异常网络流量融合的操作网络上，可能会自然地发生异常活动。对手也可以利用计划中的停电作为机会，对公用事业公司的电话系统发起DDOS攻击，比如在2015年的乌克兰袭击中观察到的情况，阻止运营商对客户问题做出反应并破坏公众对公用事业的信心。

此外，众所周知，自然灾害会对油田的物理设备造成破坏。公用事业公司知道风暴的物理影响，但未能在任何影响分析、业务连续性或灾难恢复方法中加入网络入侵。在飓风中取下现场设备不太可能引起警报，也不太可能超出通常的物理原因进行调查。这个领域对于攻击者来说已经成熟了，他们可以不被注意到，并在不引起怀疑的情况下导致长时间的停机。

关键基础设施（电力）网络防御建议

电力部门的资产所有者和运营商可以实施以下基于主机和网络的建议，以提高其OT环境的可防御性。

1. 结果驱动识别和优先处理关键资产及其连接，以及处理网络攻击的后果。进行威胁评估，以确定破坏性或破坏性攻击的最大影响风险，并使用这些数据来确定威胁捕获和防御姿态。尽管CIP-002对北美1500多家公用事业单位造成了影响，并迫使人们对网络安全和可靠性进行基于影响的讨论，但这仅仅是从电力系统的角度进行的。建议公用事业单位执行它们自己的结果驱动分析，以改进可能影响其运行的资产和系统的安全性，并在NERC CIP程序之外利用基于风险的安全性方法。较小的公用事业可能没有范围内的设施，但可能会对其当地社区产生影响(包括没有NERC CIP要求的配送资产)。

电力部门的资产所有者和经营者可以实施以下基于主机和网络的计划

改善其OT环境防御性的建议。

1. 结果驱动识别和优先处理关键资产及其连接，以及处理网络攻击的后果。

进行威胁评估，以确定破坏性或破坏性攻击的最大影响风险，并使用这些数据来确定威胁捕获和防御姿态。尽管CIP-002对北美1500多家公用事业单位造成了影响，并迫使人们对网络安全和可靠性进行基于影响的讨论，但这仅仅是从电力系统的角度进行的。建议公用事业单位执行它们自己的结果驱动分析，以改进可能影响其运行的资产和系统的安全性，并在NERC CIP程序之外利用基于风险的安全性方法。较小的公用事业可能没有范围内的设施，但可能会对其当地社区产生影响(包括没有NERC CIP要求的配送资产)。电力部门的资产所有者和经营者可以实施以下基于主机和网络的计划改善其OT环境防御性的建议

2. 确保监视和记录了第三方连接和ICS交互。

“信任，但要验证”的原则。在可能的情况下，隔离或创建用于此类访问的DMZ 以确保 第三方访问不会导致对整个ICS的完全，不受限制或不受监视的访问网络。实现功能，例如跳转主机，堡垒主机和安全的远程身份验证模式。即将实施的CIP-013的范围内系统应酌情利用企业范围的供应链风险管理计划。建议使用威胁信息和后果驱动分析来解决供应链网络

3. 响应计划制定，审查和实践网络攻击响应计划并整合网络

调查所有事件的根本原因分析。尤其要考虑那些聪明的对手在补救和响应期间可能还会攻击计划，以增加破坏规模和停机时间。如有需要，考虑利用CIP-008 和CIP-009 的练习来审查的控制和跨图，为公用事业运营提供额外的弹性。

4. 帐户管理扩展CIP-007的要求

该要求适用于系统安全性范围内BES Cyber Systems的管理控制，确保不使用所有设备和服务默认凭据。如果可能的话，千万不能使用硬编码的凭据。监控对于任何硬编码的方法无法删除或禁用。仅允许必要的人员访问设备。实行原理的最小特权跨所有应用程序，服务和设备，以确保个人的只能访问执行任务所需的资源。这包括确保应用程序- 层服务（包括文件共享和云存储服务）已正确分段。连接应先终止，然后再继续进行不同级别的操作。

5. 访问限制

限制行政域内的访问，限制数量的域管理员，并将网络，服务器，工作站和数据库管理员分开单位（OU）。身份是防御的关键。

6. 分割如果可能的话，段和分离网络，以限制横向运动。

这可以是使用防火墙或访问控制列表（ACL）最轻松地完成操作，使公司可以对网络进行虚拟分段 并减少攻击面，同时限制对手的机动性。虽然CIP-005提供了需求上

为范围内的BES网络系统创建电子安全范围，类似的方法可能是对于较小的公用事业和其他设施有用。NERC 关于利用防火墙的其他指导对于NERC CIP要求，都可以轻松使用。

7. 可视化

应该采用全面的方法来了解ICS / OT环境，以确保 监控方面没有差距。

资产所有者，运营商和安全人员应开展工作一起从最关键的基础架构收集网络和基于主机的日志，被称为“皇冠上的珠宝”的能力来识别和关联可疑的网络，主机和过程

事件可以极大地帮助您识别入侵发生时的情况，或促进根本原因分析在破坏性事件之后。确保网络监控的的运营网络，通过ICS-重点

8. 可访问性识别进入和出口路由并将其分类到控制系统网络中。

包括工程师和管理员远程访问门户，但还涵盖诸如业务需要访问IT资源或更广泛的Internet的智能和许可服务器链接。限制这些 通过防火墙规则或其他方法的连接类型，以确保最小化攻击面。该方法符合CIP-005的要求，Dragos建议考虑在哪里控制NERC CIP合规性计划之外。

9. 公开数据评估资产所有者托管，公开发布的信息和数据可以允许

对手要利用的敏感信息。与供应商，承包商，工作和其他来

尽量减少或防止识别特定位点的能力，或设备在市场营销和相关

材料。某些数据（例如监管文件）可能需要与法律顾问合作进行管理，或者在

10. 设置识别和存储

“正确”的配置信息用于在ICS设备非网络可访问位置，以提供比较基准以及事件中的还原点破坏。经常更新这些项目，以确保此类存储镜像生产环境。当IT恶意软件传播到ICS网络时，此操作不仅有助于恢复，而且还可以通过提供基准来比较可能操纵的配置，从而有助于分析。。

11. 威胁情报使用和操作

ICS特定的威胁情报。威胁情报可以能够识别已知的威胁行为。电力实体应了解行为

和功能活性的基团靶向其它工业垂直，例如油和天然气，作为这些黑客组织积极转移并扩大目标范围，以包括其他能源部门。Dragos平台集成了智能驱动的威胁行为分析，自动识别的已知的攻击者行为。Dragos WorldView威胁情报可提供最新情报

提要，报告，分析和针对石油和天然气的新威胁和持续威胁的防御性建议。

该NERC CIP可靠性标准不应对威胁管理，而是一个成熟的安全程序。

12. 深度防御设计并实施深度防御的ICS网络

控件和增强的可见性适用于能够处理此类任务的主机。例子包括需要远程访问才能通过具有增强的Windows和网络日志记录功能的跳转主机 确保对远程访问控制系统网络进行适当的监视。OT 网络安全需要针对垂直行业的策略，不能简单地扩展到企业

13. 网络基础架构

ALLANITE和DYMALLOY 定期扫描路由器和交换机漏洞，更改配置以允许持久访问或传送其他恶意软件。实施路由器，交换机和防火墙配置基准以及配置管理

程序以确保对手不会篡改配置并利用安全漏洞。

本文由网安知讯独家编译自 Dragos，原文链接：

https://dragos.com/blog/industry-news/the-state-of-threats-to-electric-entities-in-north-america/

声明：本文来自网安知讯，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。