新能源行業面臨安全危機
對可再生新能源企業的網絡攻擊正變得越來越普遍。由國家資助的黑客組織,例如Hexane或DragonFly,經常將新能源企業作為目標,展開破壞行動并竊取知識產權,而犯罪組織則試圖通過勒索軟件攻擊勒索金錢,例如最近襲擊葡萄牙Energias de Portugal(EDP)的勒索軟件。
太陽能等可再生能源僅占能源行業的一小部分,但面臨和遺留的網絡安全問題卻非常“龐大”。“過去,我不認為建造太陽能發電廠的開發商確實沒有意識到安全問題,”可再生資產管理公司WiseEnergy的CIO/CISO Rafael Narezzi說,該公司管理的太陽能資產總計約為1.2計劃在兩年內達到4吉瓦。“但他們的重點是開發和建設資產,而不是經營資產需要管理的風險。他們對(將資產連接到互聯網)方面的安全網絡衛生問題缺乏足夠的關注。”
Narezzi說,他看到的新能源企業網絡安全滲透測試結果暴露了一系列廣泛的問題,其中包括“被加密惡意軟件劫持的閉路監控系統,通信室中遺留的密碼,路由器的弱密碼以及被利用作為代理的路由器,甚至正在分發惡意軟件的資產。”
Fortinet東部地區運營技術總監Christopher Blauvelt表示,資產的分布性質以及缺乏垂直整合的制造商,是可再生能源領域面臨的網絡安全挑戰背后的原因。他說:“新能源企業需要整合大量第三方供應商的產品,例如面板供應商、支撐結構供應商、太陽能跟蹤系統供應商以及逆變器供應商等。所有這些第三方供應商并不總是對網絡安全最佳實踐有著相同的知識或了解。”
Blauvelt補充說:“為緩解新能源行業缺乏垂直集成制造商產生的網絡安全風險,新能源企業需要重點關注控制協議。”“產品的選型通常是基于實現和集成成本最低的原則,這導致企業往往會采購幾乎沒有安全性可言的較舊的控制協議。”
Rapid7的物聯網研究負責人Deral Heiland指出,不正確的部署也是一個常見問題。他說:“像大多數物聯網(IoT)技術一樣,太陽能解決方案必須能夠與互聯網通信,但不能直接連接到互聯網,因為這樣做可能會使它們遭受潛在的攻擊。”“不幸的是,情況并非總是如此。”
Heiland說,使這個問題更加復雜的是,用于遠程管理的默認密碼,弱密碼或重用密碼沒有改變。補丁管理不佳是另一個問題所在。他建議新能源行業使用NISTIR 8259和8259A中記錄的NIST最近發布的安全基準。
比日食更難預測的網絡攻擊
新能源企業對網絡安全問題放任自流的態度,原因之一是:它們認為即使攻擊導致與太陽能發電廠的網絡通信中斷,也不會中斷運營。但是最近的概念驗證和現實世界攻擊表明,網絡攻擊對可再生能源構成了真正的威脅。
2017年,塔爾薩大學(University of Tulsa)的研究人員發現,風力渦輪機之間缺乏分隔可能會導致整個風電農場被劫持。研究人員指出,太陽能發電廠網絡中也存在同樣的漏洞。“分布式網絡的安全問題可以通過更好地進行網絡分段隔離并防止逆變器相互通信來解決。”
Blauvelt認為,這些問題的影響可能是嚴重的。可再生能源企業通常選擇在配電網薄弱的農村地區建造太陽能發電廠,這可能會使逆變器更容易受到攻擊。他說:“逆變器中的參數變化會導致電壓波動,從而損壞企業和家庭中的設備。”“攻擊者還可以設法使電網進入保護狀態,從而導致電力損失和意外的電力孤島。因此,確保對配電網絡進行更好的分段,并在站點和面板之間進行可靠的監視,可以幫助太陽能發電廠更好地應對網絡攻擊。”
SHA2017大會的一個主題演講(https://www.youtube.com/watch?v=bvfnYWeMUts)演示了如何通過攻擊太陽能電池板對更大范圍的供電網絡造成影響。荷蘭研究員Willem Westerhof在逆變器中發現了17個漏洞,并證明了對脆弱的太陽能發電站點的廣泛攻擊將產生日食的影響。日食是可以預測的,而網絡攻擊卻防不勝防,對于大量依賴太陽能的電網來說,攻擊導致的發電量銳減可能會導致大規模的停電事故。
Narezzi指出:“安全研究人員已經給出了一個概念驗證攻擊,可以劫持逆變器并使其自爆。”“這是一個危險信號,我認為是時候開始重視太陽能發電農場的網絡安全問題了。”
業界普遍認為,首次針對太陽能企業的網絡攻擊發生在2019年。總部位于猶他州的可再生能源提供商sPower成了DDoS攻擊的受害者,該攻擊利用了sPower使用的思科防火墻的一個已知漏洞。盡管這次攻擊并沒有導致停電,但確實導致了信號中斷,與發電機的連接也被中斷。
過去,對于可再生能源領域的眾多公司而言,網絡安全問題尚未引起重視的另一個原因是缺乏法規來迫使他們采取行動,尤其是在歐洲。“例如,在美國,對網絡安全有非常嚴格的規定,您可能會因此失去許可證,”Narezzi說道。
雖然WiseEnery規模太小,無法納入歐盟NIS指令的安全范圍內,但Narezzi表示,美國對必須遵守的公用事業有更嚴格的監管環境.NIS指令允許監管機構處以最高1700萬英鎊的罰款。在英國,但尚未發布此類處罰。
可再生能源業務在安全方面已經取得了進步。今年,大型太陽能公司SolarEdge宣布將嵌入安全技術,進行連續的運行時完整性檢查,以保護其逆變器。而勞倫斯伯克利國家實驗室和阿肯色大學的安全專家們也正在研究提高太陽能逆變器安全性的方案。
提高太陽能站點安全性
Narezzi表示,WiseEnergy正在采取措施保護其資產遠離安全風險,該計劃的一部分是定期的滲透測試。他說:“我喜歡經常更換或替換安全服務供應商,例如滲透測試,更多的供應商能給你更好的安全可視性。”
根據Fortinet的Blauvel的說法,使用不安全的無線網絡是另一個潛在的風險,并且只有新能源企業、運營商使用可以監控和保護的通信介質,才能從根本上解決此問題。WiseEnergy也意識到了這個風險,正在用站點4G通信代替衛星通信,從開放的互聯網中刪除站點,并降低管理開銷和復雜性。
Narezzi說:“衛星通信曾經很不錯,但是今天,例如在英國,我們的4G覆蓋范圍非常好。我們以前的傳統方法是在衛星線路的另一端使用公共IP和路由器。而在4G網絡,攻擊暴露面更小,而且我們擁有可控制一切并具有操作可見性的VPN。”
Narezzi說,他正在使用M2M(一種專用于物聯網設備的托管4G服務)來搭建物聯網設備專用網絡。該網絡的承包商為數百個VPN連接的SIM卡提供了基礎架構,從而減少了配置和管理方面的工作量,同時也減少了攻擊面。
雖然4G足以滿足公司當前需求,但Narezzi認為5G網絡能消除帶寬限制并支持部署更多物聯網設備,會對未來產生巨大影響。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
