研究人员使用了一种新的,解决当今能源系统网络脆弱性的整体方法

EURC

几乎每天,新闻头条宣布了另一个安全漏洞和盗窃信用卡号码和其他个人信息。当一个人的信用卡被偷的时候,会很烦人和不安,更重要的是,但不太被认可,关注的是物理基础设施的安全,包括能源系统。

“信用卡被盗,你可能要付50美元换一张新的信用卡,”Stuart Madnick说,约翰·诺里斯·马奎尔信息技术教授斯隆管理学院,工程系统教授工程学院,以及麻省理工学院斯隆分校的网络安全联合体。

“但在基础设施攻击中,会造成真正的身体伤害,恢复可能需要数周或数月。”

几个例子说明了这种威胁。2008年,一次网络攻击炸毁了土耳其的一条输油管道,关闭三周;2009年,恶意的stuxnet计算机蠕虫摧毁了数百台伊朗离心机,破坏该国的核燃料浓缩计划;2015年,一次袭击摧毁了乌克兰电网的一部分,只持续了六个小时,但电网上的变电站必须人工操作数月。

根据Madnick的说法,为了让对手成功发动进攻,他们必须有能力,机会,以及动机。在最近的事件中,所有三个因素都一致,攻击者已经破坏了主要的物理系统。

“好消息是,至少在美国,我们还没有真正体验过这一点,”Madnick说。但他认为“这是唯一缺少的动力”。

有足够的动力,世界上任何地方的攻击者都可以,例如,关闭全国部分或全部互联电网,或阻止天然气通过该国240万英里长的管道。

尽管应急设施和燃料供应可能会让事情持续几天,修复攻击者损坏或炸毁的系统可能需要更长的时间。

“这些都是会影响我们日常生活的巨大影响,”Madnick说。“大多数人都不知道。但仅仅希望它不会发生并不完全是一种安全的生活方式,”他坚信,“最糟糕的事情还没有到来。”

工业的挑战


确保能源系统的网络安全是一个日益严峻的挑战。为什么?今天的工业设施广泛依赖软件进行工厂控制,而不是传统的机电设备。

在某些情况下,甚至对于确保安全至关重要的功能也几乎全部在软件中实现。在典型的工业设施中,分布在整个工厂的数十个可编程计算系统提供过程的本地控制-例如,将锅炉内的水位维持在一定的设定值。

这些设备都与更高级别的“监控”系统交互,使操作员能够控制本地系统和整个电厂的运行,现场或远程。

在大多数设施中,这些可编程计算系统不需要任何身份验证来更改设置。在这种情况下,在本地或监控系统中访问软件的网络攻击者可能会导致服务损坏或中断。

保护关键控制系统的传统方法是“气隙”,也就是说,将它们与公共互联网分开,这样入侵者就无法接触到它们。

但在当今高连通性的世界里,空气间隙不再保证安全。例如,公司通常雇佣独立的承包商或供应商来维护和监控其设施中的专业设备。

要执行这些任务,承包商或供应商需要访问实时操作数据——通常通过互联网传输的信息。

此外,合法的业务需求,如文件传输、软件更新等。需要使用U盘,可能会无意中危及气隙的完整性,使植物容易受到网络攻击。

寻找漏洞


公司积极努力加强自身的安全——但通常只有在发生一些事件之后。“所以我们倾向于透过后视镜看,”Madnick说。他强调需要在出现问题之前识别和减轻系统的脆弱性。

识别网络漏洞的传统方法是创建所有组件的清单,检查每一个以识别任何漏洞,缓解这些脆弱性,然后汇总结果以确保整个系统的安全。

但这种方法依赖于两个关键的简化假设,沙哈里尔汗说,一个麻省理工学院系统设计与管理方案。

它假设事件总是在单个事件中运行,线性方向,所以一个事件导致另一个事件,导致另一个事件,等等,没有反馈循环或交互使序列复杂化。

它假设,了解每个独立组件的行为足以预测整个系统的行为。

非常复杂,软件密集型


但这些假设并不适用于复杂的系统——能源设施中的现代控制系统极其复杂,软件密集型,并由以多种方式相互作用的高度耦合的组件组成。

因此,可汗说,“整体系统表现出各个组成部分所不具备的行为”——在系统理论中被称为“出现”的属性。“我们认为安全和安全是系统的紧急属性,”汗说。

因此,挑战在于通过定义新的约束来控制系统的紧急行为,这项任务需要了解工作中所有相互作用的因素——从人员到设备,再到外部法规,以及更多——如何最终影响系统安全。

为了开发一种分析工具来应对这一挑战,马德尼克,可汗还有詹姆斯L。小科特利,电气工程教授,首先转向一种称为系统理论事故模型和过程的方法,它是由麻省理工学院航空航天教授南希·利文森于15年前开发的。

以这项工作为基础,他们开发了“网络安全”,一种专门针对复杂工业控制系统的网络安全分析的分析方法。

关键问题


将网络安全程序应用于设施,分析师首先回答以下问题:
•分析系统的主要目的是什么;也就是说,你需要保护什么?回答这个问题听起来很简单,但Madnick指出,“令人惊讶的是,当我们问公司他们的“王冠珠宝”是什么时,他们常常很难辨认出他们的身份”;
•考虑到这一主要目的,系统可能发生的最坏情况是什么?确定主要目的和最坏可能损失是理解分析目标和缓解资源最佳分配的关键;
•可能导致损失的主要危险是什么?作为一个简单的例子,设施内有湿楼梯是一种危险;有人从楼梯上摔下来摔断脚踝是一种损失;
•谁或什么控制了这种危险?在上面的例子中,第一步是确定谁或什么控制楼梯的状态。下一步是问,谁或是什么控制着那个控制器?然后,谁或是什么控制着那个控制器?递归地回答这个问题,并映射各个控制器之间的反馈循环,生成一个层次控制结构,负责将楼梯的状态保持在可接受的状态。

考虑到完全控制结构,下一步是问:在给定系统状态的情况下,控制器可能会采取哪些不安全的控制操作?

例如,如果攻击者破坏了来自关键传感器的反馈,控制器将不知道系统的实际状态,因此可能采取错误的操作,或者可以采取正确的行动,但在错误的时间或顺序-任何一个都会导致损害。

基于对系统的深入了解,分析人员接下来假设了一系列由不安全的控制操作引起的损失场景,并研究了不同的控制器如何相互作用来发出不安全的命令。

“在分析的各个层次,我们试图找出对被控制过程的限制,如果违反,会导致系统进入不安全状态,”可汗说。

例如,一个限制条件可以规定,锅炉内的蒸汽压力不得超过某个上限,以防止锅炉因超压而爆裂。

“通过在分析过程中不断改进这些限制,我们能够定义新的需求,以确保整个系统的安全,”他说。

“然后我们可以确定通过系统设计强制遵守这些约束的实际步骤,过程和程序,或社会控制,如公司文化,监管要求,或者保险激励。”

案例研究


为了证明网络安全分析的能力,汗选了20兆瓦,燃气轮机发电厂-一个小型设施,在电网上有一个全面发电厂的所有要素。

在一个分析中,他检查了燃气轮机的控制系统,特别关注如何修改控制燃油控制阀的软件以导致系统液位损失。

进行网络安全分析得出了几个与涡轮相关的损失场景,涉及火灾或爆炸,灾难性设备故障,最终还是无法发电。

例如,在一个场景中,攻击者禁用涡轮机的数字保护系统,并更改控制燃油控制阀的软件中的逻辑,以在应关闭时保持阀打开。阻止燃油流入涡轮。

如果涡轮机突然与电网断开,它将开始以比设计极限更快的速度旋转,并将断裂,损坏附近的设备并伤害该区域的工人。

网络安全分析揭示了这一弱点的根源:更新版本的控制系统消除了备用机械螺栓组件,确保了涡轮机的“超速”保护。相反,超速保护完全由软件实现。

从商业的角度来看,这种变化是有意义的。机械装置需要定期维护和测试,这些测试使涡轮承受着极端的压力,有时会失效。

作为独立安全装置的机械螺栓


然而,鉴于网络安全的重要性,把机械螺栓作为一个独立的安全装置带回来也许是明智的——或者至少把独立的电子超速保护方案作为最后一道防线。188betsport

另一个案例研究集中在用于向所服务建筑输送冷冻水和空调的系统上。再一次,网络安全分析揭示了多种损失情景;在这种情况下,大多数都有一个共同的原因:使用变频驱动器(VFD)来调整驱动水泵和压缩机的电机的速度。

像所有的发动机一样,驱动制冷机压缩机的电机具有一定的临界转速,在该转速下会发生机械共振,导致过度振动。

VFD通常编程为在电机启动期间跳过这些临界转速。但是有些VFD可以通过网络进行编程。因此,攻击者可以向VFD查询所连接电机的临界转速,然后命令其以该危险转速驱动电机,永久性损坏。

“这是一种简单的攻击;它不需要太复杂,”可汗说。“但它可能被发射,并可能造成灾难性的破坏。”他引用了马修·安格尔2007年的早期工作。孟11,16岁博士,与Madnick和Kirtley合作。

作为2017年工业控制系统网络攻击研究的一部分,安格尔建立了一个实验室规模的电机测试套件,配备了一个完整的VFD,并配有研究人员熟悉的计算机代码。

只需修改几行关键代码,它们导致VFD中的电容器爆炸,他们的麻省理工实验室后面的院子里冒出滚滚浓烟。在全尺寸VFD的工业环境中,类似的网络攻击可能造成重大的结构损坏,并可能对人员造成伤害。

考虑到这种可能性,研究团队建议公司仔细考虑系统中设备的“功能”。

很多次,工厂人员甚至不知道他们的设备提供的能力。例如,他们可能没有意识到,在他们的工厂里,驱动电机的VFD可以通过控制它的计算机代码的一个小的改变来实现反向运行——这是一个明显的网络漏洞。

要消除该漏洞,需要使用功能较少的VFD。“消除此类漏洞的良好工程有时会被错误地描述为向后移动,但可能有必要改善核电站的安全状况,”可汗说。

对一个系统进行全面的网络安全分析不仅会突出这类问题,同时指导模拟传感器和其他冗余反馈回路的战略布局,这些回路将提高系统运行的弹性。

应对挑战


在他们的网络安全研究中,可汗马德尼克,他们的同事发现,弱点往往可以追溯到人类的行为,以及管理决策。

在一种情况下,一家公司在操作手册中包含了其设备的默认密码,在互联网上公开。其他案件涉及运营商将USB驱动器和个人笔记本电脑直接连接到工厂网络,从而突破了气隙,甚至将恶意软件引入工厂控制系统。

在一种情况下,一个通宵的工人用U盘把电影下载到一台工厂电脑上。但这些行动往往是为了让目前关闭的核电站恢复运行而不顾一切地尝试的一部分。

“在优先权的大计划中,188betsport我明白,把重点放在让工厂重新运转上是文化的一部分,”Madnick说。“不幸的是,人们为了保持工厂运转而做的事情有时会使工厂面临更大的风险。”

实现一种新的文化和心态需要认真致力于管理链上的网络安全。缓解策略可能需要重新设计控制系统,购买新设备,或对可能产生额外成本的流程和程序进行更改。

考虑到有什么危险,管理层不仅必须批准此类投资,但也会给他们的组织灌输一种紧迫感,以识别漏洞并消除或减轻它们。

根据他们的研究,研究人员得出结论,不可能保证工业控制系统的网络防御永远不会被破坏。

“因此,该系统的设计必须使其能够抵御攻击的影响,”可汗说。“网络安全分析是一种强有力的方法,因为它产生了一整套要求——不仅是技术性的,而且是组织性的,后勤,以及程序性——可以提高任何复杂能源系统抵御网络攻击的弹性。”

这项研究得到了美国能源部的支持,麻省理工学院能源计划种子基金项目,以及麻省理工学院斯隆分校的网络安全联合体。有关更多信息和最新出版物,请访问cams.mit.edu大学.

这篇文章出现在2019年春季发行“能源期货”,麻省理工学院能源倡议杂志。

//www.bjgzb.com/wp-content/uploads/2019/06/a1.jpeg//www.bjgzb.com/wp-content/uploads/2019/06/a1-300x300.jpeg大卫·奥里奥丹EURC能源,麻省理工,软件
几乎每天,新闻头条宣布了另一个安全漏洞和盗窃信用卡号码和其他个人信息。当一个人的信用卡被偷的时候,会很烦人和不安,更重要的是,但不太被认可,关注的是物理基础设施的安全,包括能源系统。