电力信息系统是我国关键信息基础设施,电力信息安全是国家网络安全的重要组成部分。近年来, 国内外网络与信息安全形势日趋严峻,面向电力系统的各种高级攻击手段层出不穷,安全事件频发;此外,在新型电力系统、源网荷储业务、企业中台的建设趋势下,各类数字化资产数量成倍增长,攻击面管理压力随之增加,电力系统网络安全形势严峻。
对于电力系统网络安全治理,从网络安全合规的角度来看,《GB T 39204-2022 信息安全技术 关键信息基础设施安全保护要求》要求强化资产管理、风险识别、收敛暴露面等;从电力行业的网络安全建设现状来看,电力行业网络安全具备了分区、分域、分级、分层 、安全态势等安全措施,基于网络安全滑动标尺理念,电力网络安全防御思维向情报、进攻反制等阶段演进。
从华云安视角,攻击面管理(ASM)技术将帮助电力企业从内部管理和外部攻击者的角度解决攻击面管理难题,并对攻击面进行优先级识别,以修复或缓解最有可能受攻击的问题。在Gartner发布的《Hype Cycle for Security Operations, 2022》中,攻击面管理(ASM)被视为推动网络安全运营技术创新的关键技术,某电力企业使用攻击面管理技术作为安全运营提升方向。
电力系统可控对象从以源为主扩展到源网荷储各环节,控制规模呈指数级增长,调控技术手段和网络安全防护亟待升级。电网控制功能由调控中心向配电、负荷控制以及第三方平台前移,电网的攻击暴露面大幅增加,电力系统已成为网络攻击的重要目标,网络安全防护形势更加复杂严峻,电力系统重点环节网络安全防护能力亟需提升。
由于组织、人员、流程上的问题,导致资产脆弱性管理差强人意。究其原因,主要是组织上安全与业务统筹协调有待提升;资产漏洞指数级增加,人员数量未增加,导致人手不足;流程复杂,脆弱性全生命周期需要协调多个部门、流转多级人员、多次反复沟通,效率待提升。
数字资产管理难度指数级增加。随着新型电力系统、源网荷储等新业务的建设,移动应用、API、小程序、微服务、云资产、物联网等数字资产大量增加,使得内部数字资产结构和复杂性迅速增加,数字资产管理难度指数级增加。存在数字资产分散,难以集中分析评估;未从安全视角对数字资产进行分析;资产变化快,难以动态展现对安全的影响等数字资产管理痛点问题。
精细化漏洞管控难度大。漏洞管理是网络安全风险管理的一大难题,安全和业务横跨不同的部门,协调难度大,安全部门承担隐患发现和督导治理的职责,业务部门需保证业务顺畅运行。精细化的漏洞管控难度大,管控过严会影响业务,过松会影响安全。存在漏洞预警排查难、漏洞评价不准、漏洞跟踪验证难等痛点问题。
单点资产弱点数据难以关联、无法评价对全局产生影响。内部看:资产多、漏洞多、部分漏洞不能修,哪些资产和漏洞的关系会形成内部攻击链路无法感知;外部看:物联网终端、外部场站接入、作业终端等均会接入内网,哪些端侧设备可能形成外部攻击链路无法知晓。
基于痛点问题,按照网络资产攻击面管理体系建设思路,分为工具能力、运营支撑两个体系。工具核心能力包括资产管理、漏洞管控、攻击推演、验证加固四个维度。对应的运营支撑体系包括资产收集与运营管理、情报预警与漏洞闭环、关键攻击路径梳理、安全验证与策略梳理四个维度。
方案基于142架构打造攻击面管理平台,建设一个平台(攻击面智能检测分析平台)实现资产管理、弱点管理、攻击面分析、攻击面响应;集成调度四类工具(资产管理工具、漏洞管理工具、配置检查工具、攻击验证工具);持续更新两类情报(漏洞情报、战法情报)。经过数据的融合分析和处理后,实现完整的攻击面管理能力。方案基于“全准快易”特性赋能电力行业攻击面管理:
全:
全面的资产清点,识别最完整的资产暴露面。聚焦新型电力系统资产管理难的问题,建设多维度资产集成,资产去重、清洗,业务属性富化,资产管理等技术能力。实现四全资产管理能力——数据集成种类全、业务属性富化全、资产管理方式全、暴露面梳理全,灵活进行数字资产管理。
准:
基于风险的弱点管理,将精力聚焦在有价值的攻击面。解决弱点汇聚评价难的问题,建设汇聚弱点数据,弱点验证&置信评价,优先级评价等技术能力。实现两准的弱点管理能力——弱点数据准、风险评价准,以最高的效率聚焦修复最大风险的漏洞。
快:
新一代扩展威胁情报,先于攻击者发现弱点和漏洞。解决漏洞爆发、监管通报的问题。方案针对电力行业HW/运营期间出现的电力行业1day漏洞、最新重大漏洞爆发、行业监管通报等,提供漏洞情报更新、漏洞预警、漏洞验证功能。实现三快弱点管理能力——情报更新快、漏洞预警快、验证反馈快。实现实战化重大漏洞情报的实时共享、自动验证、应修尽修。
易:
持续运营与响应,极大缩短风险暴露的时间。解决发现漏洞无人管、处置状态不明的问题。建设漏洞闭环管理流程,通过与S6000或其他外部系统对接,实现从漏洞收录、预警、发现、验证、处置、复测、关闭等流程闭环管控。实现三易弱点管理能力——流程适配易、闭环管控易、处置结果易。
本方案助力电力行业用户在日常运营与攻防演练中提升攻击面管理的水平。从经济效益看,可提升效率、降低成本;从管理效益看,安全可视、可管可控。符合电力企业降本增效、监管运营、科技创新的总体要求。从技术来看,本方案具备全网资产API集成统一管理、实战型风险优先级评估算法、多维度情报获取与验证、云原生架构等技术,具备“全准快易”四大核心特性。
在电力某企业基于情报的攻击面管理实践案例中,华云安基于攻击面管理(ASM)技术,以资产为核心,进行脆弱性识别、已有安全措施识别,对攻击面风险进行评估,并使用入侵与攻击模拟(BAS)技术进行持续风险验证,实现攻击面风险持续管理,帮助用户解决日常运营中资产纳管难、攻击面评价难、攻击面管控难等难题。
(1)资产安全管理效率提升50%。以前,资产数据分散存储在I6000、S6000、网管系统、终端安全、主机安全等系统,存在数据分散、字段不统一、数据不一致等问题。现在,通过攻击面管理平台的资产治理模块,对现有各类资产平台的数据开展资产采集、资产处理、资产存储归档、资产可视化管理全流程自动化接入处理,通过在线API接口、定期扫描等方式实现资产变化的监控。提升资产管理效率50%以上。
(2)漏洞情报预警排查整改效率60%。极大提升漏洞情报预警排查整改效率,将漏洞预排预警排查的七个流程缩减为五个,全部由线下人工方式转化为线上自动方式,基于资产信息实现漏洞一键到人,提升S6000漏洞预警通报、蓝队日常获取的漏洞情报、监管通报的漏洞情况的排查、处置、反馈的效率60%以上。
(3)提升日常漏洞扫描效率50%。极大提升蓝队日常漏洞扫描效率,实现漏洞自动化排查。减少了一个流程,提升了四个流程效率,整体效率提升50%。
(4)优化安全防御策略 50%以上,安全设备防御能力有效性提升90%以上。将电力行业常用的漏洞和攻击方式,转化为具备行业特性的攻击测试方法,为企业提供攻防实战演练及重大保障活动的防御有效性检验,将演习成果固定化、深度防御常态化。