美国能源部(DOE)本周启动了一项为期100天的计划,目的是改善电力公用事业的网络安全,特别是其工业控制系统(ICS),并确保能源部门供应链的安全。美国能源部、网络安全和基础设施安全局(CISA)和电力行业正在就该倡议进行合作,重点是鼓励实施增强网络安全能力。

能源部还发布了一份信息请求(RFI),征求学术界、私人和公共利益相关者的意见,以改善供应链安全。4月20日,能源部宣布了一项新的信息请求(RFI),“确保美国关键电力基础设施的持续安全”。RFI可以在联邦纪事上查看。RFI专注于防止外国威胁对美国供应链的利用和攻击。意见必须在2021年6月7日之前收到。

能源部特别提到了该计划的这些特点:

  • 鼓励业主和运营者采取措施或采用技术,提高他们的探测、缓解和取证能力;

  • 在未来100天内为业主和运营商确定和部署技术和系统,使关键工业控制系统(ICS)和运营技术(OT)网络具有近实时态势感知和响应能力的具体里程碑;

  • 加强和提高关键基础设施信息技术(IT)网络的网络安全态势;

  • 一个行业自愿技术措施部署计划,以增加ICS和OT系统的威胁可见性。

网络安全行业对这个百日安全计划有几点共同认识。

1、百日安全行动倡议总体是积极的,说明政府高层意识到了电力行业网络安全问题的严重性,尽管它是面向过去的。

2、建立网络安全可见性的需求和努力,不应仅仅局限于电力行业,一些涉及国计民生的如供水、海上运输、石油和天然气管道,以及关键的制造部门(食品、药品和医疗设备),更加需要网络安全。

3、百日冲刺倡议并不是解决根本问题的有效方法。工业控制系统的网络安全问题积聚太久,需要形成一项长期战略,并持续推动成为保护国家基础设施的重要组成部分。只有长期的投资战略才能使传统系统升级。

4、面对日益复杂的安全形势,不断出现的漏洞,需要推动以美国为基础的安全技术,从本质上保护和防止漏洞被利用,而不是在漏洞出现后进行修补。

以下采编自一些网络安全行业专业人士的见解,听听他们对这个新倡议的看法。

Nozomi Networks的首席执行官Edgard Capdevielle

Edgard将所谓的“冲刺”视为应该以适当的期望接受的事物:“不管计划中包含哪些具体元素,都应该关注它的利弊。首先,旨在解决过去的事件。它既不具有前瞻性,也不面向未来,也不涉及尚未被发现或尚未发生的事件。从好的方面看,我们有一个计划的事实意味着最高层领导正在认真对待这个问题。无论计划最终被证明是对是错,它都可以在我们执行的过程中进行调整和改进。我们应该像其他人一样,把这次冲刺看作是构建模块,而不是银弹。”

SCYTHE首席执行官Bryson Bort

他指出,sprint与其他已宣布的政策是一致的。“100天的电网安全sprint呼应了Anne Neuberger所说的增加可见性,能够看到并回应恶意行为,透明度,在关键基础设施中与公众建立信任,我们是安全的。我相信100天冲刺将更多的是建立具体的建议,并回答一个关键问题,即我们如何帮助较小的供应商?我们面临的资源挑战是资金、技术和专业知识。

“EO 13920的恢复澄清了能源部将不把敌对国家纳入关键基础设施技术和安全的考虑。

“100天冲刺意味着要完成两件事:1)建立公众对我们电网的信任;2)为一个更稳健的计划创建一个路线图。第一个是政府意识到挑战并在做一些事情。更长期的利益将是增加检测能力,这将在更长期内加强信任。”

Verve工业安全公司网络安全洞察总监Ron Brash

“在百日冲刺中,如此巨大的提升真正能实现什么?”拜登政府提高网络安全可见性的意思是什么?增加更多的传感器?获得更准确、更全面的资产目录及其包含的逻辑资产?抑或这是对德州停电、中国变压器被指植入恶意软件以及地缘政治紧张局势(从相反的角度看可能类似)的下意识反应?

现在,如果我们讨论的是未来100天可以做些什么——我们在谈论的是谁?我们谈论的是美国的财富500强能源公司,还是那些可能需要真正帮助的小型机构?或者我们是在讨论与加拿大合作,向东西海岸提供大量过剩的水力发电?不管我们谈论的是谁,也不管那些悬而未决的问题——把重点放在能源上是好的,但还有其他一些关键领域需要我们的关注。人们只能希望政府是在说,我们将为不知道有多少网站提供现代化的、经过验证的无处不在的设备,并修复它们不安全的网络或远程访问——但我知道这是一个白日梦;特别是在冠状病毒供应链出现延误的今天。

相反,他们主要是在谈论安装传感器和获得“可见性”——这对埋在BPS基础设施内的中国制造组件没有真正的帮助;每个人都有这个问题。虽然烟雾探测器可能有助于发现隐蔽的网络连接,但它无助于大多数组织在试图扑灭火灾时面临的补救、行动和资源问题。告诉资产所有者使用新技术很好,但他们需要拥有它,运行它,并维护它……但也许这个解决方案将简化NERC CIP合规审计和开销,或给他们提供过多的以前未知的漏洞,让他们担心?”

CyberSaint的CPO和联合创始人Patraic O"Reilly

许多公私合作伙伴关系在网络领域卓有成效(请注意网络安全框架(Cybersecurity Framework)的发展,该框架目前基本上已被能源公司采用),100天计划的做法表明了一种需要重复的紧迫性。

能源是APT的目标,而工业控制系统是脆弱的。我们都知道。系统被攻破了,我们也知道。然而,与我们交谈的公司显然希望以一种具有成本效益的方式加强他们的系统,这当然会有所帮助。

有这么多的基础设施私有化和现代化的需要,很难让每个人都朝着同一个方向,能源部和CISA真的可以帮助,因为围绕网络加固他们有长时间、很多很好、新鲜的分析。

(如果确定了技术解决方案,能源公司实际实施它们的可能性有多大?)]

我认为机会非常大。任何来自CISA的技术改进都必须经过一些非常老练的网络专家的审查。政府漏洞利用方法的扩散,我们已经看到这些迅速蔓延到黑客社区。这一倡议在积极方向上是类似的。能源部和CISA提供的工具和战术更有可能强化工业控制系统的遗留系统和保护,由于它们的问题是出了名的棘手。在这方面的任何技术帮助都可能被接受。关于这些问题的大多数最好的研究都来自这种公共/私人伙伴关系。”

Unisys(LF能源合作伙伴)应用创新全球总监Chris Blask

“能源部的这一举措与过去20年来的一系列相关行动非常一致。综合考虑所有这些因素,并考虑到该部和工业网络安全界未来可能采取的行动,我们有充分的理由相信,有关的风险可以纳入一个更易于管理的框架,供有关各方使用。

(为了保障电力运营,美国和其他国家政府还应该做些什么?)]

要求关键和最终所有电网网络资产的软件材料清单(SBOM)是能源部及其监管合作伙伴可以在短期内采取的一个步骤。在本部门建立采购资源中心(ARC),以协调采购流程和合规,是本部门可以基于其他联邦机构已证实的流程采取的步骤。一个基于开源数字材料清单(DBOM)的认证生态系统,以适当的透明度存储和共享SBOM和其他关键的认证,是部门和社区可以在近期内实施的。

(如果确定了技术解决方案,能源公司实际实施它们的可能性有多大?)]

如果能源部根据现有资源采取审慎的监管、信息兼容和认证生态系统措施,能源公司很有可能会实施这些措施。国防部和私营部门的任务是加快采用的速度,以保持最好的实施现状,因为系统的未来状态将在这十年的大部分时间里落实到位。”

红气球(Red Balloon )安全公司高级策略师大卫·道格特

“对嵌入式系统的安全性给予更多关注总是好的,特别是当它涉及到关键的基础设施时。然而,只关注用于美国基础设施的中国制造或供应的设备,并没有考虑到美国和欧洲制造的设备也存在重大漏洞。仅在今年,我们就看到西门子、通用电气和施耐德电气等公司被CISA披露了的漏洞。有明确的证据表明,全球制造商——不仅仅是中国——的弱点需要得到缓解,否则威胁行为者就会利用这些弱点造成毁灭性的后果。

当制造商发现问题后就给设备打补丁,并通过实施安全程序来提高设备的安全性时,制造商却没有生产足够安全的设备。

在电网设备投入使用之前,各国政府需要发挥积极作用,协助公用事业和其他关键基础设施推动制造商在电网设备安全方面做出有意义的改进。

我们还需要更广泛地推动以美国为基础的安全技术,从本质上保护和防止漏洞被利用,而不是在漏洞出现后进行修补。这类设备的补丁审核和批准周期为12个月,这使得公用事业在一整年的时间里都很容易被利用——这是不够的。”

Verve工业安全公司首席执行官约翰·利文斯顿

“我的观点是,短跑更多地应该被视为接力赛的第一棒,也许是一场需要很多接力赛的长距离比赛。在任何接力赛中,真正的问题不是第一名选手的表现,而是其他选手的腿部表现如何。那么,下一个,下一个,下一个冲刺会把我们带到哪里。如果从这个角度来看,它可能会非常有效。他们没有创建一个超大的委员会,在未来2年研究这个问题,并提出一份报告,而是采取了一种更具互动性的方法。第一个冲刺列出了他们能够完成的主要主题和假设。它有60-70%的正确率。然后第二个冲刺将这些假设进一步推进到与行业的某种对话中,并进一步细化。然后,第三个冲刺转向了一些实验室或行业组件的试点。第四个冲刺可能会改变原计划的方向30度或更多,然后继续进一步完善。你懂的…

“冲刺”可能产生的结果很少。“一系列”冲刺可能是在棘手问题上取得进展的一种真正有效的方式……”

aeCyberSolutions副总裁John Cusimano

“虽然很高兴看到ICS网络安全获得了很多国家的关注,但我觉得令人失望的是,美国政府继续把注意力几乎完全集中在电力部门以确保ICS安全。他们似乎没有意识到ICS在几乎所有关键的基础设施领域都得到了应用。

我们必须确保从能源来源到发电设施、炼油厂以及绝对依赖这些原材料的下游化工设施的整个能源供应链的安全。根据我在许多能源部门的直接工作和我们广泛的数据,国家最大的ICS网络安全风险是在水、海上运输、石油和天然气管道,以及关键的制造部门,如食品、药品和医疗设备。这些行业的共同点是,ICS网络安全的危害可能导致公共健康、安全和环境灾难。

我希望ICS网络安全的行政命令将扩展到能源部门,特别是电力部门,该部门自2010年以来一直由联邦能源管理委员会(FERC)或核管理委员会(NRC)监管ICS网络安全。讨论的关键基础设施部门容易受到ICS攻击,并且在实施适当的对策以确保其基础设施安全方面远远落后。是时候让美国政府的ICS网络安全努力超越电力行业了。”

Claroty首席产品官Grant Geyer

“老化的电网关键基础设施对美国国家安全构成了一种现实的网络风险。拜登政府通过《美国就业计划》(American Jobs Plan)解决工业部门陈旧基础设施问题的努力,以及能源部(Department of Energy)的百日冲刺,都是确保国家网络防御的重要举措。这种双管齐下的方法是必要的,以确保过时的系统,不能再修补或没有保护的设计可以更新,并确保有效的控制到位。

我发现有趣的是,100天冲刺还得到了能源部的RFI的补充,以寻求电力设施、学术界、研究人员、政府机构和其他利益相关者的意见。我清楚的是,政府正在寻求采取一种非政治的、平衡的、经过深思熟虑的方法来改善美国电网的网络安全。需要深入研究的两个领域是防止潜在危险设备进入电网的短期停止措施,以及制定长期战略来应对不断演变的威胁景观。”

Coalfire解决方案和调查主管Andrew Barratt

“这样的倡议可能会产生显著的影响,尤其是因为提出的任何举措都将支持对这些行动的网络安全进行投资。”我们在其他行业也看到了这种情况。当某种形式的标准或法规出台后,就必须进行投资,否则运营风险、许可证被撤销,或其他谴责将导致发电和配电基础设施被迫亏损。

(如果确定了技术解决方案,能源公司实际实施它们的可能性有多大?)]

有技术解决方案-和一些高技能的OT工程师安全专业人员。由于大量遗留技术与负责发电的底层运营基础设施紧密结合,它们常常受到阻碍。还需要找到解决方案,将底层的电力生产基础设施与其对应的IT设施脱钩,以便升级用于管理它们的软件,不会对工厂的运营产生重大影响。

如果我们看看大规模技术攻击的未来——攻击者几乎没有动力进行破坏整个互联网运营的全球性攻击。然而,针对某个州或特定城市电网的区域性部署攻击,既可能是有组织犯罪集团的战术(作为重大抢劫的一部分),也可能是一个国家为了获得政治利益而在具有战略意义的地区制造一些破坏。想想华盛顿特区/军事基地等。”

Sotero首席执行官兼联合创始人Purandar Das

“令人鼓舞的是,奥巴马政府优先考虑保护该国重要的基础设施。这是一项迟来的行动,需要公用事业和行政当局在资金、优先次序和技术方面作出长期承诺。人们可能会认为,“百日倡议”将形成一项长期战略,并持续推动保护该国基础设施的重要组成部分。只有长期的投资战略才能使传统系统升级。”

Veridium首席技术官John Callahan

能源是基础设施领域的关键。“随着美国能源部启动其100天计划,以解决美国电力系统的网络安全风险,我们注意到,能源是16个关键基础设施行业之一,但由于其他行业(信息、医疗保健、通信)对能源的依赖,它是一个基础行业。所有这些领域的主要问题之一是工业控制系统(ICS)、操作技术(OT)和物联网设备(和网络)之间缺乏互操作性。今天,FIDO联盟宣布了一种更好的方法,可以突破ICS/OT/IoT平台的所有烟囱,允许对设备系统、此类系统的访问控制和将可信设备装载到此类系统中。FIDO设备装载(FDO)标准为设备提供了一个自动装载协议,并允许设备凭证的后期绑定,以便一个制造商的设备可以跨不同平台装载。FIDO联盟是由包括谷歌、微软、Veridium和英特尔在内的250多家公司组成的联盟,致力于关键控制解决方案的互操作性。”

声明:本文来自网空闲话,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。