联邦能源管理委员会2022 年 1 月发布的拟议规则制定

nurnobi56

通知称，北美电力可靠性公司 (NERC) 制定的现有关键基础设施保护 (CIP) 可靠性标准不足。该委员会表示，他们只专注于保卫“网络安全边界”。 规则制定者表示：“被认为值得信赖的具有授权访问权限的供应商或个人仍可能会带来网络安全风险。” 联邦监管机构补充说， RM22-3-000程序 将为如何更新 CIP 标准以更好地保护公用事业提供指导。 尽管公用事业公司和系统运营商拒绝透露有关漏洞或实际攻击的信息，但拜登政府和 FERC 的最新举措重点关注电力行业。 根据网络安全提供商 Skybox Security 2022 年的评估，网络安全分析师在 2021 年发现美国网络中新增 20,175 个 OT 漏洞，创下“历史新高” 。报告补充说，2021 年新漏洞的利用速度更快、更频繁，这表明“网络犯罪分子现在正在利用新的漏洞。

阅读输电与配电的更多内容 据《华尔街日报》当时报道， 2021 年 12 月的CISA 紧急指令 承认对 Apache Log4j 工具中的一个漏洞的利用，该工具记录和扫描在线系统之间的几乎所有通信。网络安全专家 Wei Chieh Lim 于 2022 年 5 月在博客中表示，它被下载了数百万次，可能允许攻击者发送和执行恶意代码，并且不太可能“在数年内完全‘修复’” 。 网络 电话号码清单 安全提供商Opswright的首席执行官托尼·特纳 (Tony Turner) 表示，Log4j 漏洞“非常微不足道，最先被 Minecraft 游戏玩家利用”，这表明公用事业公司可能不知道“数百甚至数千个漏洞” 。 网络分析师表示，软件物料清单（SBOM）——所有系统组件的清单——可能是解决 Log4j 等漏洞的方法。 SBOM 是由 2021 年 5 月的拜登行政命令授权的。2021 年 7 月的国家电信和信息管理局报告中添加了 SBOM 最佳实践和最低要求。但顾问兼提供商易卜拉欣表示，SBOM“只是所需的网络安全反思中的一个要素。




易卜拉欣和其他网络安全分析师表示，互联网技术始于防火墙和向外的防御，但新的分布式电源系统几乎不可避免地渗透到网络外层。许多人认为，只有贯穿公用事业运营的多方面网络安全架构才能保护 OT 的新分布式攻击面及其重要的运营核心。 计划保护 国土安全。（2016）。“纵深防御策略”[jpeg]。从国土安全部取回。 概念解决方案 Opswright 的 Turner 表示，最常见的公用事业网络安全方法是遵守 NERC CIP 标准，也可能遵守范围更窄的国际自动化协会 (ISA) 62443 标准。但 NERC CIP 标准正在改革，而 ISA 标准“主要关注自动化和控制系统中的漏洞”，特纳说。 特纳说，能源部的一项新的“网络信息工程”计划可能会为关键基础设施提供更好的网络安全。美国能源部的文件称，它建议从OT系统网络防御的“最早可能的设计阶段”“消除”风险，这是“引入低成本和有效网络安全的最佳时机”。