隨著能源成本的飆升和電網(wǎng)穩(wěn)定性的擔憂，越來越多企業(yè)轉向太陽能分布式能源(DER)，然而，這些智能連接的太陽能系統(tǒng)正成為黑客的新獵物，威脅著電網(wǎng)安全。如何守護你的綠色能源安全?

高昂的能源成本以及對電網(wǎng)穩(wěn)定性和容量的擔憂，促使企業(yè)評估和實施自己的現(xiàn)場能源發(fā)電系統(tǒng)。這些現(xiàn)場系統(tǒng)被稱為分布式能源(DER)，最常見的是太陽能電池板陣列，通常與電池配對，以儲存能量供日后使用。

DER通常連接到電網(wǎng)，以便企業(yè)可以將未使用的電力出售給公用事業(yè)。它們也可能與企業(yè)的內部系統(tǒng)以及監(jiān)控和管理DER的第三方相連接。

這種連接性產(chǎn)生了新的脆弱點，企業(yè)在評估風險時必須將這些脆弱點納入考慮。潛在風險范圍從破壞單個DER到危及整個電網(wǎng)本身。

太陽能DER的關鍵組件是智能逆變器，它連接到電網(wǎng)但不由公用事業(yè)擁有。逆變器管理DER與電網(wǎng)之間的能量流動。它們感知電網(wǎng)狀況并與電力公司通信，因此在電力可用性、安全性和電網(wǎng)穩(wěn)定性方面發(fā)揮著關鍵作用。

智能逆變器是物聯(lián)網(wǎng)設備，通常訪問基于云的監(jiān)控和管理服務。這種連接性使智能逆變器面臨網(wǎng)絡威脅，并增加了對有效設備網(wǎng)絡安全的需求，以確保持續(xù)安全可靠的運行。

雖然存在自愿性的DER安全最佳實踐和框架，但行業(yè)尚未接受統(tǒng)一標準。“與傳統(tǒng)公用事業(yè)規(guī)模的發(fā)電不同，DER安全仍在不斷發(fā)展，各行業(yè)合規(guī)程度不一，”斯坦利咨詢公司的高級網(wǎng)絡安全顧問希思·杰普森表示。

“保障我們的太陽能系統(tǒng)安全是一個世代難遇的機遇，可以讓我們未來的能源基礎設施走上正軌。如果我們失敗了，那就會像當年的互聯(lián)網(wǎng)一樣，部署速度超越了安全考量，導致互聯(lián)網(wǎng)充斥著安全漏洞，至今仍困擾著我們，”開發(fā)智能逆變器的SolarEdge公司網(wǎng)絡安全項目總監(jiān)烏里·薩多特說道。

智能逆變器為何存在漏洞

智能逆變器的漏洞問題與許多物聯(lián)網(wǎng)設備如出一轍。成本和上市速度優(yōu)先于安全性。“在過去五年里，價格競爭愈演愈烈。曾有一段時間，逆變器在產(chǎn)量和轉換效率上展開競爭，但它們正逐漸成為大宗商品，”薩多特表示。這種成本削減的一個結果就是網(wǎng)絡安全標準低下，例如，整個產(chǎn)品類別的默認密碼可能是12345678或psw1111。“安裝人員從不更改密碼，所以[攻擊者]可以直接通過互聯(lián)網(wǎng)連接。”

大量的太陽能和電池安裝，每個安裝都有多個逆變器，使它們成為攻擊者的誘人目標。“僅在美國，就有超過500萬個[太陽能系統(tǒng)]在運行，這極大地擴大了攻擊面，”DER安全公司首席執(zhí)行官兼SunSpec聯(lián)盟主席托馬斯·坦西表示。SunSpec聯(lián)盟為DER網(wǎng)絡安全定義標準。DER安全公司的一份白皮書列出了自2012年以來所有已知的太陽能DER漏洞和攻擊，包括2024年的一起攻擊，該攻擊劫持了數(shù)百個逆變器作為僵尸網(wǎng)絡的一部分，這說明了網(wǎng)絡對手可能利用它們的規(guī)模。

對于一些公司，尤其是中小型企業(yè)而言，DER安全的責任可能未被分配或未分配給合適的人員。“當你與《財富》百強公司交談時，他們知道自己的游戲規(guī)則，”薩多特表示。“他們有非常熟練的網(wǎng)絡安全人員;他們有非常熟練的能源人員。”

對DER項目采取系統(tǒng)性方法并制定多年計劃的中小型企業(yè)更有可能將安全任務分配給安全團隊或有能力的IT團隊。對于一次性的太陽能項目，尤其是較小規(guī)模的項目，安全可能不是重點考慮因素。太陽能項目的規(guī)模并不重要，因為漏洞和風險依然存在，這取決于太陽能陣列連接的對象。

智能逆變器通過控制面板進行管理，大多數(shù)商業(yè)太陽能裝置還連接到在線管理軟件。企業(yè)可能會將太陽能系統(tǒng)的管理外包給第三方。控制面板、管理軟件和第三方網(wǎng)絡都是攻擊者潛在的入侵點。

例如，WBSec的研究人員維特斯·布恩斯特拉和希德·斯米特以及荷蘭漏洞披露研究所(DIVD)的志愿者在2024年發(fā)現(xiàn)了Enphase IQ網(wǎng)關中的一個漏洞。Enphase是住宅和商業(yè)太陽能裝置智能逆變器的最大供應商之一，而IQ網(wǎng)關是其監(jiān)控和管理軟件。

布恩斯特拉此前曾發(fā)現(xiàn)并報告了Enphase Envoy軟件中的一個漏洞，該軟件支持他家的太陽能陣列。該公司已經(jīng)解決了這個問題，但他后來發(fā)現(xiàn)了美國網(wǎng)絡安全和基礎設施安全局(CISA)針對另一個Enphase Envoy漏洞的咨詢，這激發(fā)了他深入研究的興趣。這導致他發(fā)現(xiàn)了Enphase IQ網(wǎng)關及其逆變器中的六個零日漏洞，該公司迅速解決了這些問題并向客戶推出了更新。

“我發(fā)現(xiàn)了三個漏洞，并將它們聯(lián)系起來，我可以實現(xiàn)遠程代碼執(zhí)行。這是在Enphase逆變器上，”布恩斯特拉表示。然后，他將注意力轉向Enphase IQ網(wǎng)關，在那里他發(fā)現(xiàn)了一個漏洞，使他能夠接管所有連接到互聯(lián)網(wǎng)的Enphase逆變器。“這比花所有時間尋找遠程代碼執(zhí)行要快得多。”

“這就像整個Kaseya事件重演。這就像是一場供應鏈攻擊，”布恩斯特拉說道，他此前曾發(fā)現(xiàn)Kaseya VSA遠程軟件管理工具中的零日漏洞。“如果我可以將新固件或我的軟件上傳到你的設備，并且它連接到你的公司網(wǎng)絡，那么那就是我進入你網(wǎng)絡的入口或后門。”

該漏洞可能使攻擊者訪問150個國家的400多萬臺設備。如此大量的太陽能容量離線可能會在許多地區(qū)的電網(wǎng)中造成重大干擾。去年，Bitdefender研究人員在中國供應商Solarman和Deye的管理平臺中發(fā)現(xiàn)了類似的漏洞。

太陽能陣列通常連接到電池系統(tǒng)，儲存能量以供日照不足時使用。電池也可能配備自己的控制系統(tǒng)和軟件。薩多特指出，較小的電池單元將隸屬于太陽能逆變器并與互聯(lián)網(wǎng)隔離。然而，較大、集裝箱大小的電池擁有自己的獨立互聯(lián)網(wǎng)連接。

值得慶幸的是，太陽能逆變器制造商開始加強其安全措施。“我認為這并不太令人驚訝，在[美國]，Enphase和SolarEdge這兩家在屋頂太陽能市場占據(jù)主導地位的公司，在其整體價值主張中非常突出地強調了網(wǎng)絡安全，”坦西表示。坦西擔任主席的SunSpec聯(lián)盟正在與太陽能DER行業(yè)合作，建立安全基線。

智能逆變器漏洞威脅電網(wǎng)

最大的風險發(fā)生在高需求時段。如果在關鍵時期，足夠多的太陽能DER突然離線，可能沒有足夠的替代能源可以立即投入使用，或者可用的替代能源運營成本要高得多。攻擊者僅僅通過改變DER發(fā)送給公用事業(yè)的數(shù)據(jù)，就能產(chǎn)生類似的結果。坦西舉了一個例子，即讓一個10千瓦的陣列在公用事業(yè)看來像一個1兆瓦(mW)的系統(tǒng)。如果公用事業(yè)在需要時試圖從一個或多個太陽能DER中抽取超過其可用容量的電力，服務質量將受到影響，并可能發(fā)生電壓下降。

“太陽能陣列的操作相當簡單，但其管理卻很復雜，”Dragos的首席工業(yè)威脅獵手格雷戈里·波爾曼表示。“你必須管理電池資產(chǎn)。你必須管理太陽能陣列本身。而這兩者通常都集成到企業(yè)內部的建筑自動化管理系統(tǒng)中。”

DER連接到電網(wǎng)以將過剩發(fā)電出售給公用事業(yè)。“通常，公用事業(yè)會從公共設施進行觀察連接，而擁有資產(chǎn)的企業(yè)也會進行管理連接，”波爾曼表示。“理論上，如果這些被攻破，攻擊者可能會訪問企業(yè)擁有的發(fā)電資產(chǎn)，或者可能逆流而上訪問公共設施資產(chǎn)。”

“當你談到設備的激增時，風險就此放大，”波爾曼補充道。“如果一個公共設施提供商在某個地區(qū)有10萬名客戶，其中5%安裝了DER，那就是5000個連接，也就是5000臺設備。突然間，安裝DER的企業(yè)和可能的公共設施的攻擊面以驚人的速度擴大。”

盡管如此，波爾曼認為，攻擊者很難通過利用DER制造大規(guī)模停電。“在DER方面，這些連接中的每一個都處于個體層面，”他表示。“在公共設施方面，這可能發(fā)生，因為公共設施代表了與所有這些DER資產(chǎn)的從多到少的關系。我認為，一個有手段、有意圖的攻擊者會直接攻擊公共設施，而不會浪費時間逐個攻破DER資產(chǎn)。”

波爾曼表示，公共設施在將網(wǎng)絡和實體資產(chǎn)投入使用前會進行臺架測試，以確保它們符合一定的網(wǎng)絡安全和實體安全目標。對于DER，它們依賴產(chǎn)品符合嚴格的制造標準。“公共設施方面有些擔憂，因為他們無法從自己的立場驗證這些。”

坦西(Tansy)表示，民族國家對手與網(wǎng)絡犯罪分子一樣，都有可能利用太陽能分布式能源(DER)來破壞電網(wǎng)。實際上，去年就發(fā)生了這樣的事件，當時由俄羅斯支持的“Just Evil”企業(yè)通過太陽能監(jiān)測系統(tǒng)攻擊了立陶宛國家能源控股公司Ignitis集團。“(太陽能DER)是資金雄厚的敵對國家進入整個電網(wǎng)的一條捷徑，”他說。

“我們正處于超級大國之間全球競爭加劇的時期，特別是像中國、俄羅斯及其在美國的代理人這樣的參與者，”坦西說。“而我們的電網(wǎng)主要由直接來自中國大陸的產(chǎn)品供電。這些產(chǎn)品包括太陽能逆變器和電池逆變器，它們都是軟件驅動的。當軟件需要更新時，往往是在北京的控制系統(tǒng)中進行更改和更新的。我說的已經(jīng)盡可能簡單明了了。”

保障太陽能DER安全的最佳實踐

坦西表示，公司在規(guī)劃太陽能DER項目時，往往“根本不考慮網(wǎng)絡安全問題”。“(能源行業(yè))完全是法規(guī)驅動的。如果沒有規(guī)定要求你必須制定安全計劃，你就不會去做。”

多個企業(yè)已經(jīng)制定了DER安全的最佳實踐和框架，包括：

• 美國國家標準與技術研究院(NIST)發(fā)布的《智能逆變器網(wǎng)絡安全指南》(NIST IR 8498)
• 國家監(jiān)管公用事業(yè)委員協(xié)會(NARUC)發(fā)布的《電力配電系統(tǒng)和DER的網(wǎng)絡安全基線》
• 美國國家可再生能源實驗室(NREL)發(fā)布的《分布式能源網(wǎng)絡安全框架》

這些文件和行業(yè)專家提出的一些關鍵點包括審查產(chǎn)品和服務提供商的安全性。薩多特(Sadot)說，這包括消防安全、網(wǎng)絡安全等方面，比如是否受到遠程訪問的保護，或者數(shù)據(jù)存儲在哪里。他建議向安裝人員詢問誰還可以訪問你的數(shù)據(jù)和控制你的設備、數(shù)據(jù)存儲在哪里以及他們如何保護數(shù)據(jù)。美國網(wǎng)絡安全和基礎設施安全局(CISA)的一份文件列出了應向提供商詢問的關于其安全狀況的問題。

將安全職責分配給有能力的工作人員。他們可能是IT人員、運營技術人員或專門的安全團隊。企業(yè)也可以尋找服務提供商。

使用嚴格的訪問控制和身份驗證實踐。更改設備上預配置的所有默認密碼和憑據(jù)。對這些設備及相關帳戶的訪問應使用多因素身份驗證(MFA)。根據(jù)需要創(chuàng)建、修改或刪除角色、憑據(jù)和權限。實施基于角色的訪問控制(RBAC)，以便只有被分配執(zhí)行必要任務的工作人員才有權限這樣做。逆變器可能為安裝人員、電力公司、第三方運營商和負責維護DER的工作人員設置角色。

配置事件日志以捕獲發(fā)生安全事件時所需的數(shù)據(jù)。逆變器事件日志將提供關鍵信息，幫助安全團隊分析意外事件。這包括：

• 所有用戶身份驗證嘗試及其相關身份
• 智能逆變器配置設置的更改，包括更改者的身份
• 用戶帳戶的創(chuàng)建或刪除
• 軟件和固件更新記錄以及更新是手動還是自動進行的
• 所有通信，如連接丟失或連接到網(wǎng)絡
• 直接從逆變器控制面板執(zhí)行的操作

監(jiān)控事件日志和關鍵網(wǎng)絡活動，以發(fā)現(xiàn)異常，并確保日志收集、存儲正確，以及通信連接保持安全。“許多企業(yè)缺乏對其運營技術(OT)網(wǎng)絡流量的實時了解，這使得檢測和響應變得困難，”杰普森(Jeppson)說。

保護所有通信連接。智能逆變器可能會與設備制造商、第三方運營商、電力公司或現(xiàn)場的其他設備進行連接。保護通信的常見做法包括：

• 使用專用的蜂窩連接進行逆變器與電力公司的連接。
• 將與系統(tǒng)所有者的通信限制在逆變器的控制面板上。
• 使用便攜式存儲設備(如USB驅動器)執(zhí)行更新。
• 將逆變器與其他網(wǎng)絡活動隔離。“太多系統(tǒng)仍然保持扁平化，增加了攻擊面，”杰普森說。

保持軟件和固件更新。布恩斯特拉(Boonstra)建議遵循良好的資產(chǎn)和補丁管理實踐，了解正在運行的軟件版本，并對照漏洞數(shù)據(jù)庫進行檢查。

定期備份系統(tǒng)并測試其完整性。“做好準備。做好備份。測試你的備份。測試你的應急計劃，”布恩斯特拉說。他還建議不要在本地安裝備份，并對DER進行滲透測試。

禁用不再使用的功能。這可能包括遠程訪問協(xié)議、訪客或匿名用戶訪問或無線通信。

當不再需要時，將智能逆變器從系統(tǒng)中移除。攻擊者喜歡連接但已被遺忘的物聯(lián)網(wǎng)設備，因為這降低了他們被發(fā)現(xiàn)的風險。