北美電力可靠性公司NERC的電網安全演習GridEx VI已經結束了其演習的分布式演練部分。在11月16-17兩天時間里,700多名規劃人員領導他們的組織努力實施他們的響應和恢復計劃,以應對針對北美大容量電力系統和其他關鍵基礎設施的模擬、協調的網絡和物理攻擊。GridEx是北美最大的電網安全演習,由NERC的電力信息共享和分析中心(E-ISAC)每兩年舉辦一次。今年GridEx VI的總體目標是為各組織提供了加強危機溝通關系的機會,并就演習中吸取的教訓提供反饋。NERC稱GridEx VI的具體目標是:啟動事件、操作和危機管理響應計劃;加強與政府的協調,以促進恢復工作;確定與天然氣和電信部門的相互依存關系;對基于供應鏈的關鍵部件的攻擊做出反應;識別跨域互連的通用模式和網絡操作問題。E-ISAC將根據所有參與者的意見編寫一份公開報告,預計將于2022年3月發布。
GridEx VI電網演習的主要特點
GridEx VI由兩部分組成。首先是16和17日為期兩天的分布式演習,包括電力公司、聯邦和州政府、制造商和支持行業在內的 700 多個組織參加了此次演習。第二部分是18日的桌面會議,來自電力、天然氣、金融和電信行業的高管,電力分部門協調委員會(ESCC),以及美國和加拿大政府官員。最后階段的這個僅限受邀的高管會議,匯集了美國和加拿大的高級政府官員和行業首席執行官,討論在北美電力系統受到嚴重的網絡和物理攻擊的情況下,恢復電網可靠性所需的政策決定和特別操作措施。
受新冠疫情全球蔓延的影響,網絡空間威脅格局乃至世界格局均發生了巨大變化,供應鏈攻擊、勒索軟件攻擊 、APT攻擊此起彼伏,安全態勢異常復雜嚴峻,因此今年GridEX VI電網安全演習呈現了不同以往的明顯特點。
一是供應鏈攻擊和勒索攻擊的場景想定均被納入;雖然NERC沒有透露有關分布式演習或桌面推演場景的詳細信息,但 Manny Cancel表示“供應鏈攻擊……對遠程訪問平臺的攻擊以及勒索軟件[都]被納入。”由于 SolarWinds Orion和Microsoft Exchange 平臺的黑客攻擊以及針對Colonial Pipeline的勒索軟件攻擊等事件,這些攻擊媒介中的每一種都成為今年關鍵基礎設施提供商之間的主要話題。
二是人力供給不足、居家辦公安全風險也納入演習要素;GridEx VI 是自COVID-19 大流行爆發以來的第一次,雖然參與者稱贊該行業盡管存在供應困難,但仍能敏銳地感受到病毒的影響。南方公司首席執行官湯姆范寧表示,該行業非常清楚大多數員工需要在家工作所帶來的網絡安全風險,而這些威脅是演習的必要元素。“疫情流行開辟了一個不同的工作環境,我認為這種環境將從現在開始持續存在。通過演習能夠測試我們以分散的方式工作的能力,以應對可能發生的非常真實的場景。”舊的工作環境,即 80% 的員工必須親自在辦公室,可能已經不復存在了,而且我確信我們都在采用混合方法……這需要將遠程位置與工作聯系起來,“范寧說。”因此,每一個交流的交叉點都為壞人提供了進入的機會。“范寧補充說,由大流行引起的勞動力變化是”戰術性的“,與”戰略性變化“的擔憂程度不同,例如人工智能和計算能力的增長使更復雜的網絡攻擊成為可能。
三是關聯的通信、金融等準備程度不高的部門對電網至關重要,一并需要檢驗;NERC首席執行官Jim Robb表示,他對電力行業創建的”防御措施非常滿意“,并引用了通過NERC的關鍵基礎設施保護標準實施的網絡安全保護和”高度敬業的執行文化“。然而,電力公司對其他準備程度不高的部門的依賴使得他們必須與這些利益相關者建立牢固的關系,他說。”我們都必須認識到,我們無法圍繞這個行業畫一個盒子。跨部門影響以及供應鏈在確保可靠性和安全性方面的作用是關鍵,這就是像 GridEx這樣的事件如此重要的原因,“Robb 說。 ”它將生態系統中的所有參與者聚集在一起……練習和演練,相互了解,并潤滑那些在實際緊急情況下所需的關鍵通信設備。這讓我們所有人都變得更強大。“
GridEx電網安全演習的規模和影響力日益提升
NERC的電力信息共享和分析中心(E-ISAC)自2011年以來一直主辦GridEx電網安全演習,每兩年一次,旨在幫助電力行業做好準備,應對威脅和安全問題。從那時起,GridEx為電力公司和政府利益相關者提供了提高行業安全性和彈性的機會,在影響北美電網可靠運行的模擬網絡和物理攻擊中,通過實施他們的響應和恢復計劃和協作努力,提高行業安全性和彈性。
像GridEx這樣的演習是NERC任務的一個重要方面,以確保大容量電力系統的可靠性和彈性,這與電網安全密不可分。自2019年GridEx V以來,在地緣政治事件、新的漏洞、技術變化以及越來越大膽的網絡犯罪和黑客的引導下,網絡安全態勢發生了重大演進和變化。
Grid Ex 電網安全演習的影響力日趨擴大,目前已發展成為北美同類演習中最大的分布式演習。參與人數穩步增長,從2011年最初的75個組織增加到2019年GridEx v的500多個組織和7000名來自美國、加拿大和墨西哥的參與者。參與人數的增長,加上參與組織的多樣性,是一個積極的信號,表明該行業認識到面臨的集體威脅和防范的關鍵重要性。
GridEx電網安全演習的場景更加豐富
為了確保參與者獲得最大的收益,E-ISAC及其合作伙伴致力于創建真實的場景,反映當時的威脅狀況。觀察到Stuxnet蠕蟲病毒——一種最初針對伊朗核設施的計算機蠕蟲病毒,已經變異并傳播到其他工業和能源生產設施——以及其他可能影響大容量電力系統運行和可靠性的網絡事件,NERC設計了第一個GridEx場景,以驗證電力行業應對網絡事件的準備情況,加強公用事業的危機響應功能,并為內部安全計劃的改進提供輸入。
從那時起,GridEx發展到包括網絡和物理安全威脅。比如2013年的梅特卡夫變電站步槍襲擊事件——一個團體或個人襲擊了一個變電站,造成了超過1500萬美元的損失——強調了物理安全事件帶來的潛在破壞,以及在融合威脅環境中對網絡和物理安全事件進行響應的機會的價值。
由NERC和E-ISAC與行業主題問題專家合作開發的GridEx方案旨在挑戰組織的響應能力。這些場景是可定制的,允許組織滿足特定的內部培訓和練習需求,以及滿足區域目標。這最大限度地提高了組織與鄰近公用事業和可靠性協調者的協調能力,從而有效地執行和解決電網可靠性問題。
電信、金融、油氣關聯基礎設施部門的參與意義重大
過去十年的情景要素包括各種當前和緊急威脅,包括針對工業控制系統的惡意軟件、勒索軟件、分布式拒絕服務攻擊、供應鏈受損、高壓輸電變電站的步槍射擊和關鍵天然氣管道的定向爆炸。
多年來從GridEx中學到的經驗不僅包括對實體的切實建議,還包括對整個行業的深刻見解。演習和隨后的行業行動的結果導致了整個行業的危機溝通程序的加強。在GridEx V期間,網絡互助計劃成功啟動并實施,共享信息和資源,并納入地區和國家行動。GridEx還通過模擬退化或中斷的通信路徑,為業界提供了鍛煉和增強通信彈性的機會。這促使相關利益方尋找替代方案并使用備用通信工具。GridEx還強調,該行業需要繼續加強與情報合作伙伴、執法機構、應急反應機構和國家安全機構的關系。
根據這些發現,GridEx多年來已經成熟,包括電力行業以外的其他組織。今天,GridEx的參與者包括一系列在應對、響應和恢復中發揮重要作用的利益攸關方,包括執法部門、地方、州和聯邦各級的政府機構,以及金融、電信和天然氣等其他關鍵基礎設施部門。
協同防御集體防御必不可少
E-ISAC的首席執行官Manny Cancel說:”我不能過分強調我們與行業和政府領導人的合作在減輕這些威脅方面所發揮的作用。“”演習期間進行的應急響應計劃和協調加強了我們的集體能力,以防御未來的網絡和物理安全威脅。“
今年,GridEx的參與者擴大到包括更多來自公共電力、合作和市政實體、加拿大合作伙伴和其他關鍵基礎設施部門的代表,如天然氣、原始設備制造商、金融服務和電信。Cancel指出:”這些跨界、跨行業的關系為緩解當前威脅提供了必要的深度合作。“
多年來,從GridEx中學到的經驗包括對實體的切實建議,以及對加強整個行業危機溝通程序的全行業洞察力,如網絡互助計劃的發展,這已被證明是一種關鍵資源。
