就像在世界各地进行的战斗一样,网络战争、网络恐怖主义和网络犯罪都是真实的,具有极大的破坏性。它们以各种各样的行动为目标,在造成破坏之前,它们是无法被探测到的。
虽然没有人能幸免于这种攻击,特别是目标丰富的环境,包括政府机构和关键的电力行业,如大规模电力供应(BES)。黑客和防御者就在组织的电子安全边界(ESP)之外或内部发生冲突。
为了应对威胁,2008年1月,在联邦能源监管委员会(FERC)的监督下,一项大规模电力解决方案——北美电力可靠性公司(NERC)关于BES网络安全的关键基础设施保护(CIP)标准——推出。NERC的CIP版本3套件包括当前有效的可靠性标准。已经提出了版本4,还有版本5。但是,由于NERC计划在Version 4预定的生效日期之前接受它的后续版本,因此前者在没有得到正式批准的情况下就被丢弃了。
NERC-CIP版本5罗克韦尔自动化总部位于克利夫兰的全球网络和安全服务经理尼娜•瓦吉达表示,这与之前的版本有很大不同。差异包括围绕加密、基于角色的资产、遵从性级别和新术语的遵从性需求。V.5还具有新的网络安全控制,并将可靠性标准扩展到更多的系统或资产。
尽管它不被称为资产管理工具,但NERC-CIP也有令人揪心的缺陷:不确定性和模糊性。FERC担心这会引发可执行性问题。工业界及其观察人士对此表示赞同。
主观的,模棱两可的疯狂
版本5,而朝向正确的方向的巨大步骤,可能还不够。“他们需要采取巨大的飞跃,”Vajda争辩。她说,行业现在为一个规定的控制集,她说,具有非常具体的要求,不允许主观和模棱两可的解释。
阿尔伯塔省卡尔加里瀑布安全解决方案公司工业安全副总裁Andrew Ginter补充说:“这还不够具体。”
Eric Byres分享了他们的挫折感。“我从未见过这样一个不断变化的目标,没有人知道他们应该遵守什么版本或标准,”在任何标准或规则下,询问具体的期望是什么以及最新版本是什么都是公平的问题——尤其是考虑到CIP每天的罚款可能高达100万美元。
CIP的不确定性也是被认为是NERC-CIP专家的Tom Alrich最关心的问题。9月下旬,他在自己的博客中写道:“我已经意识到NERC-CIP领域目前最大的问题是,对于下一个CIP版本,这么长时间以来一直存在如此多的不确定性。”
但谁知道这种不确定性何时或是否会消失。对Alrich来说,似乎即使FERC批准了版本5,委员会仍然会命令NERC带着一份合规文件回来,以解决在V.5中发现的问题。该文件将是新的CIP版本6。就像V.5很快就会取代它的前身一样,V.6的实现将终结V.5。
合规或安全吗?
无论这些监管机制如何,NERC都表示提议V.5是由于10个新的或修改的可靠性标准的重大改善。人们需要识别必须受到保护的BES网络系统的资产。另一个要求所有者/运营商将所有影响BES的网络系统分类为低,中等或高冲击。这是V.4的亮度方法的偏离,旨在识别关键资产。另一个是建议可靠性标准CIP-005-5,要求R1。它侧重于离散的电子接入点而不是逻辑周边,这是当前有效CIP-005-3的焦点。
在提出版本5中,NERC还包括CIP-010-1,一个新的标准整合配置更改管理和漏洞评估相关的要求。“这是第一次,”Vajda说,强调遵守任何法规的遵守方式,只解决了安全方程的一部分。“只是因为你检查了[在nerc forms上]的框并不意味着您已实现安全的环境。”她强调,组织必须询问,“我的环境中还有什么,不涉及我需要担心的合规框架?”例如,是否是CIP无法覆盖的移动媒体闪存驱动器?
版本1-4是符合复选框的,而V.5是网络安全的。金特认为,即使这样也不足以确保一个大型网站的安全。“电网中最关键的控制系统是控制中心——在广阔的地理区域内对事物发出指令的平衡当局。”他补充称,这些影响力巨大的资产被描绘成了“靶心”。
迈克尔托克斯(Michael Toecker)的资产损失没有足够的思维造成的思考不够。也许是太多关注的遵守和结果。他说,这是非常审计密集的,有一些组织有“让我通过审计,我很酷”的态度。但网络安全要求警惕 - 不是三年的审计周期。
托克的观点与金特的一致:并非所有业内人士都认为存在安全问题。因此,他们认为NERC-CIP是最低要求。金特说,“安全”指的是为了保护某物而做你必须做的事,而“合规”指的是做别人命令你做的事,不管是否有用。“说‘我是符合cip标准的’没有什么值得夸耀的。”
最低限度的公用事业往往让律师负责CIP项目。“那麻烦。它也与Alrich对现有版本的不确定性及其对标准实现的影响的类似担忧相重叠。Alrich认为,当FERC批准了版本5,并且要求使用版本6时,将有足够的信息继续使用版本6。这是因为FERC将指定NERC必须返回Version 6的日期。但他相信,律师将反对并限制该组织只遵守V.5或任何最后批准的版本。
入侵、连接安全
尽管NERC-CIP可能无法提供必要级别的保护仍存在不确定性,但至少有一种设备可以稳定这种不确定性:从工业网络到企业网络的数据连接单向网关。
设备有多重要?在2012年NERC会议上的组织,NERD Roxey,NERC Tim Cyberecurity官员说:“当您考虑控制网络的安全时,您需要继续记住创新的安全技术,如单向网关。”在会议后来,他鼓励那些组织接受该技术。
2004年,总部位于以色列Rosh Ha'ayin的瀑布安全,在2004年开发了核心单向技术。它现在使用它来保护安全系统以及核反应堆和传统的电力发电机。Ginter解释,NERC-CIP奖励使用单向网关使用单向网关使用单向网关的组织,Ginter解释了。“你在中等冲击网站的三分之一的三分之一的钩子中,这通常是发电。”
加密是另一个方向性问题。金特说,因为大多数设备不支持加密,有人可以走进一个网站,向所有东西发送命令,就像恶意软件做的那样。“IT界的网络安全专家和一些工业领域的专家会问:‘你疯了吗?为什么不加密?’”
V.5需要它。这让托克感到高兴,他说:“不使用加密应该受到严格的审查,而不是反过来。”
考虑网络安全如何与安全系统相融合也值得仔细研究。虽然CIP规则没有涵盖这些系统,但这些系统存在其他潜在的不需要的访问。金特说,该行业对天然功能进行风险评估,但不明白纤维问题不是随机的。
对ESP的入侵也不是随机的。这些可以通过网络入侵检测(NID)来阻止,NID通常位于防火墙的直接下游,靠近控制系统,Ginter说。NID有一个关于攻击的规则:如果它看到的内容与该规则匹配,它就停止消息。但它只适用于高影响力的网络系统。金特说:“这些都太重要了,不能只依靠一层保护。”FERC要求NERC指定第二层。这种保护可能是至关重要的,因为正如他指出的那样,CIP只允许通过防火墙直接连接到Internet。“这是因为CIP不往外围看。”
串行通信也不容忽视。托克说,理想情况下,NERC会得出结论,这些人需要某些保护。他说,NERC也不应该忽视这些联系,而是要求它们列出构成风险的清单,然后描述如何减轻它们。“实际上,我不认为这个问题现在会得到解决。”
不确定的不确定性
根据NERC-CIP的历史和过程,Toecker的问题可以通过一个新版本来解决。但是如果人们依赖于总是有下一个版本,那么可靠性标准和他们的过程会有限制吗?是的。例如,金特问业内人士,在这个过程中,什么地方需要有防范中国情报机构发起的这类网络攻击的条款。他听到,“你不能黑进电网。这是多余的。这是复杂的。”他说,事实并非如此,而且他没有发现任何防范此类攻击的标准。
这种评估应该促使监管机构及其目标采取更具体、更紧急的行动。然而,Toecker说,像NERC-CIP这样的规定只是建立了一个操作楼层。他补充说,尽管有很多信任,但没有太多的验证。这给受监管的行业灌输了一种追逐文件的心态——合规心态取代了降低风险。他担心的结果是,没有充分考虑到关键资产(包括不受监管影响的资产)的损失会对运营产生怎样的影响。
至少网络威胁和安全吸引了所有人的注意。最近,在九月下旬在丹佛举行的CIP委员会(CIPC)会议和EnergySec的第九届年度安全峰会上,网络仍然是热门话题。太平洋安全委员会会议表明NERC-CIP是保护BES实体和网络资产的更大努力的一部分。EnergySec的这次会议都是关于电力行业的。
但是,监管-工业思维是否超越了电力供应?看来还没有。然而,金特说,一些水务公司正在使用NERC-CIP,因为他们没有类似的标准。Byres指出,非实用程序将NERC-CIP视为如何不编写标准的示例。他说,这些标准可能会让石油和天然气这样的行业不那么安全。“他们将不得不采取合规措施,而不是提高安全性。”
然而,下一个版本的过程继续进行。Toecker和Byres预见了新的V.6。Alrich预测它将在2014年中后期出现。他说:“你永远不必遵守版本5,就像你不必遵守版本4一样。”“您的下一个CIP合规版本将是6。”当然,他的预测也有不确定性。没有它就没有CIP的可靠性标准。
