美能源部弹性工业控制系统的网络测试（CyTRICS）项目进展

收录于话题

网空闲话 Author 网空闲话

网络空间安全信息分享，安全意识教育普及，安全文化建设培育。

CyTRICS项目简介

CyTRICS项目启动于2018年，当年即完成了概念验证测试。利用测试的结果，项目在2019年开发了测试操作方法草案、结果报告格式和结果存储库。2020年秋完成了项目流程的完整试点测试。在2021年，CyTRICS初步具备了运营能力，并正在扩大规模。能源部网络安全、能源安全和应急响应办公室(CESER)已经邀请了行业参与者对关键的CyTRICS过程进行反馈，包括测试操作、报告格式、高级分析和风险计算，以及协调的漏洞披露过程。CESER不断完善CyTRICS项目流程，以反映行业最佳实践和不断发展的政策。

CyTRICS网络漏洞测试支持跨多个能源部倡议的供应链安全需求。CESER从许多项目、子部门和机构收集数字组件测试的需求，并将其包含在CyTRICS测试优先化方法论中。CyTRICS利用CESER的能源部门参与论坛，确保与行业伙伴的透明度和协调。根据2020财年国防授权法案第5726条的规定，保护能源基础设施执行任务组是能源行业制造商、资产所有者和CyTRICS设计和运营利益相关者的战略和技术参与的主要机构。

CyTRICS计划主要包括四个方面的创新:

一是确定优先级的方法。一种对被测试OT组件进行优先排序的方法，包含了操作影响、普及率和国家安全利益等关键因素。这种方法为测试优化安全性影响的组件提供了一个战略性的、透明的原则。

二是标准化的测试过程。DOE已经开发和改进了一个标准化的方法来枚举和测试漏洞固件和软件子组件。标准化确保了结果的一致性、可重复性和可比性，从而有助于在实验室和合作伙伴之间扩大测试和自动化的规模。

三是标准化的报告和存储库。CyTRICS以标准的材料清单格式捕获测试结果，该格式捕获粒状的“数字成分”到子组件级别，以快速识别嵌入的高风险组件和子组件。该计划的特点是一个测试结果的中央存储库，用于全面的、全行业范围的系统风险和漏洞分析。

四是与供应商深度合作。CyTRICS与该领域的顶级制造商和公用事业公司合作，签署参与协议，在进行测试之前建立相互合作框架。该标准协议确定了需要执行的软件和固件测试类型，及时披露测试期间发现的漏洞，并与受影响的资产所有者、联邦机构和能源部门利益相关者协调披露漏洞信息。

CyTRICS项目的最新进展

全球技术供应链日益多样化和复杂，导致支持国防、重要紧急服务和关键基础设施的能源系统的总体风险发生变化。通过CyTRICS, CESER将自愿提交设备进行测试的设备制造商、供应商和公用事业公司连接起来，这些设备具有来自国家实验室的最先进的智能分析能力，以确认软件和固件的安全性。在CyTRICS的指导下，CESER负责网络漏洞测试和组件枚举，与制造商共享研究结果，以制定缓解措施，并向使用受影响组件的行业利益相关者发出警报，使他们能够解决部署系统中的问题组件，并优先对具有高影响、流行率和国家安全利益的组件进行测试和分析。最近CyTRICS项目又有了新的变化，合作厂商发展、重点项目推进、漏洞测试成果均有新的进展。

一是吸引更多设备供应商加盟CyTRICS；

政府3月18宣布，美国电气设备的一个主要供应商施韦策加入了能源部资助的一个保护工业基础设施免受黑客攻击的研究项目。作为该计划的一部分，施韦策工程实验室(Schweitzer Engineering Laboratories)将把产品提交给爱达荷州国家实验室(INL)进行测试。施韦策工程实验室生产帮助为电网供电的设备。美国能源部支持的INL拥有一些美国政府最有才华的工业设备渗透测试员。

越来越多的外国黑客组织在探查工业控制系统(支撑能源系统的硬件和软件)，CyTRICS网络测试计划，变得更加重要。同时，美国国土安全部(Department of Homeland Security)官员承诺将加大对ICS安全的投入。此前，一名身份不明的攻击者试图将佛罗里达州一处水处理设施的化学物质设置改变到潜在危险水平，引起各方高度关注。

施韦策首席执行官戴维·怀特黑德(David Whitehead)在一次采访中说，该计划“现在特别(重要)，因为民族国家对电力部门给予了特别的利益”。施韦策将首先提交该公司的保护继电器进行测试，保护继电器是一种监测电压的设备。但怀特黑德说，他希望将测试项目扩大到包括可编程自动化控制器等设备，工程师们用这些设备来跟踪发电厂的性能。

怀特黑德将该项目描述为一个机会，以加强对许多供应商产品的安全测试，并更快地提醒其他供应商这些缺陷，以便他们可以修复它们。“政府真的很擅长收集信息，”怀特黑德说。他说，“但他们没有能力或能力理解这将如何影响”工业控制系统领域的所有产品。

2020年9月份，施耐德电气宣布加盟CyTRICS项目，它是第一个签署正式协议的设备制造商，并根据CyTRICS提供硬件和软件组件。作为全球领先的能源设备制造商和软件开发商之一，施耐德电气在这一国内外网络安全努力中的参与和合作树立了一个强有力的行业榜样。全面测试计划于2021财年第二季度启动。

二是CESER发布新项目，防范技术漏洞是重点之一；

美国能源部网络安全、能源安全和应急响应办公室(CESER)3月18日宣布了三个新的研究项目，以保护美国能源系统免受日益增长的网络和物理危害。CESER的新项目组合将通过解决潜在的全球供应链安全漏洞，保护关键基础设施免受电磁和地磁干扰，并为下一代网络安全建设研究和人才管道，从而加强保护。

列在首位的就是防范全球技术漏洞项目，正如现代消费电子产品是来自世界各地的工程师、供应商和工厂的产品一样，能源部门部署的许多硬件和软件也是如此。但美国在生产这种技术时所依赖的复杂全球供应链为安全漏洞创造了机会。CESER正与Schweitzer工程实验室合作开展弹性工业控制系统(CyTRICS™)网络测试项目，利用最先进的分析技术来测试能源部门合作伙伴用于安全问题的各种数字工具。这种测试将使识别和解决工业控制系统中的潜在漏洞变得更容易，在恶意行为者利用前预先解决它们。

另外两个项目分别是开发电磁和地磁干扰的解决方案和培养对网络安全解决方案的研究和应用型人才。能源部门的参与者认识到，他们必须预测电磁脉冲(EMP)攻击所带来的风险，以及不太可能发生但同样具有破坏性的地磁干扰(GMD)事件——这两种事件都可能使能源系统过载并造成破坏。通过CESER的网络安全能源输送系统(CEDS)部门，能源部正在利用美国大学的创新能力，开发新的网络安全技术，并培训能源部门聘用的下一代网络安全专家。

CyTRICS项目经理Virginia Wright表示，该项目的下一阶段是“进一步证明，我们越来越认识到，需要保护我国关键能源基础设施免受网络和供应链威胁。”怀特说，其他能源部支持的研究中心，如新墨西哥州的桑迪亚国家实验室，也参与了这项测试计划。

三是CyTRICS项目在漏洞报告方面已初见成效；

2021年3月16日——国土安全部下属CISA发布了ICS安全咨询公告ICSA-21-075-02，描述了通用电气(GE)刚刚在其通用断电器(UR)系列产品的一系列漏洞。公告包含CyTRICS程序报告给GE的漏洞，包括一个高影响漏洞(CVSS 9.8)。

但随着能源部宣布CyTRICS项目的下一阶段，美国政府监督机构GAO在3月19日的一份新报告中建议能源部更多地关注配电系统的网络安全风险。GAO的最新报告称:“除非能源部在其更新的计划中更全面地解决电网配电系统面临的风险，否则联邦政府旨在帮助各州和行业改善配电系统网络安全的支持可能不会得到有效的优先考虑。”

关于能源部网络安全、能源安全和应急响应办公室（CESER）

在DOE的CESER行动计划中，是这样介绍CESER的：2018年，美国能源部(DOE)成立了网络安全、能源安全和应急响应办公室(CESER)，以提升能源部的能源安全职责，并防范对美国关键能源基础设施日益增长和演变的网络和物理威胁。CESER专注于应对这些威胁，并参与行业、政府和学术界，以确保能源基础设施免受所有危害;降低发生破坏性事件的风险;并应对可能对国家安全、公共健康和安全或美国经济造成毁灭性影响的能源中断。