Cyber Security
May 28, 2020

Защита слабых мест электросети GOOSE

МЭК 61850 соответствует МЭК 62351

МЭК 61850 - международный стандарт для архитектуры цифровых подстанций, стандартизации инструментов и протоколов на электрических подстанциях, является большой победой для стандартизации и безопасности ICS. Он был принят во всем мире, что позволяет коммунальным предприятиям и операторам эффективно вводить в эксплуатацию, взаимодействовать и обслуживать новое оборудование.

Тем не менее, один из своих протоколов связи GOOSE, хотя и эффективный, обнаружил несколько проблем безопасности. В то время как многие исследователи во всем мире выдвинули предложения по решению проблемы, МЭК уже определила стандартный способ устранения таких дефектов. Давайте посмотрим, как подход IEC можно использовать для повышения безопасности электросетей и подстанций по всему миру.

МЭК 61850-8-1: спецификация протокола GOOSE

Этот протокол используется для того, чтобы устройство IED на подстанции могло обмениваться данными о состоянии и событиях через шину процесса. Конструкция, лежащая в основе GOOSE, основана на шаблоне publish/subscribe, где публикация происходит посредством многоадресных событий через Ethernet, которые подписчики могут получать и обрабатывать по желанию.

В протоколе МЭК 61850 GOOSE используется шаблон связи «publish/subscribe». Публикация сообщений осуществляется многоадресной передачей через Ethernet, и подписчики могут получать и обрабатывать их по своему желанию. К сожалению, это делает протокол уязвимым для атак внедрения и воспроизведения.

События передаются в концептуальных «блоках управления» с аналогичной семантикой прикладного уровня. Для каждого блока управления GOOSE протокол принимает два разных порядковых номера, чтобы убедиться, что используется «более новый» статус - stNum и stVal. Порядковый номер stNum обновляется при изменении состояния, тогда как stVal обновляется, когда состояние, определенное и зафиксированное значением stNum, все еще действует. Система stNum будет продолжать расти и развиваться, в то время как система stVal будет постепенно увеличиваться, если тот же статус остается действительным со временем.

При этом, поскольку исходный протокол не защищен от атак внедрения и повторного воспроизведения, злоумышленник может угрожать безопасности подстанции, генерируя фрейм GOOSE, аналогичный наблюдаемым в сети, но с манипулируемыми значениями. Например, субъект угрозы может внедрить блок управления GOOSE со значением stNum, намного превышающим текущее значение, чтобы перезаписать реальное значение статуса, отправляемого законным издателем. Существует много разновидностей атаки из-за неаутентифицированной природы протокола.

Сегодня процесс выбора пути связи (т. е. тот факт, что GOOSE должен быть ограничен логической подстанцией VLAN) используется для ограничения периметра устройств, которые отправляют и принимают эти сообщения. Однако существует стандартизированное решение для устранения этих недостатков на уровне протокола.

Решение проблемы уязвимости протокола GOOSE

Несмотря на то, что было предпринято несколько различных исследовательских работ и предложений, очень важно внедрить единый стандарт, чтобы гарантировать совместимость между поставщиками.

Это единственное решение основано на предпосылке, что теперь сообщение GOOSE может быть подписано для обеспечения целостности (а в некоторых случаях зашифровано). Управление ключами, используемое для таких процессов, также стандартизировано, чтобы упростить операции и обслуживание.

МЭК 62351-6 описывает способ защиты протоколов МЭК 61850 и сообщений GOOSE путем добавления секции расширения безопасности к фреймам.

Защита связи GOOSE включает использование зарезервированных полей (как определено в МЭК 61850-8-1), чтобы определить, имеется ли расширение безопасности или нет. Если имеется, расширение безопасности содержит HMAC полезной нагрузки GOOSE и необходимую информацию для ее интерпретации.

Ответ на устранение слабых мест на уровне протокола GOOSE заключается в понимании того, что зарезервированные поля (определенные в МЭК 61850-8-1) могут использоваться для определения наличия расширения безопасности. Если это так, расширение безопасности содержит HMAC полезной нагрузки GOOSE и необходимую информацию для ее интерпретации.

Конечно, создание HMAC требует наличия цифрового сертификата и управления ключами. Здесь вступает в силу стандарт МЭК 62351-9 (управление ключами). Настройка устройства IED для правильного использования расширений безопасности выполняется с использованием расширений SCL (язык конфигурации подстанции), определенных в МЭК 62351-6. Этот аспект важен для обеспечения полного охвата жизненного цикла разработки через протоколы и инструменты.

МЭК 62351-9 описывает ключевые аспекты управления, требуемые всеми протоколами и системами, определенными в семействе стандартов МЭК 62351. Важную роль играет принятие группового домена интерпретации (GDOI), определенного в RFC 6407. Это гарантирует, что издатели и подписчики GOOSE могут создавать и использовать действующие сеансовые ключи эффективным и безопасным способом.

Несмотря на то, что в настоящее время МЭК 61850-90-2 (выборочные значения) менее популярен, он был также расширен, чтобы включить аналогичное расширение безопасности. Такой подход обеспечивает измерения в реальном времени внутри подстанции. Те же технические соображения и усовершенствования, реализованные для GOOSE, применимы к выборочным значениям.

Что дальше: больше улучшений в МЭК 62351

Протокол GOOSE страдает от уязвимостей, которые, наконец, были устранены стандартизированным способом и реализованы поставщиками. Все это говорит о том, что в семействе стандартов МЭК 62351 появилось больше усовершенствований, которые позволят создать действительно надежную систему электросетей. По мере принятия зашифрованных сообщений основное внимание будет уделяться мониторингу безопасности, от подхода «проверка на наличие плохих парней» до обеспечения работоспособности и безопасности сквозной системы. Например, убедитесь, что PKI (инфраструктура открытых ключей) не скомпрометирована, что сертификаты предоставляются и отозваны должным образом, что слабые наборы шифров отключены и т. Д.

Для операторов будет по-прежнему важно иметь на месте технологию наблюдения и контроля безопасности. В связи с этим решение Nozomi Networks полностью поддерживает МЭК 61850 и МЭК 62351 и осуществляет мониторинг систем шифрованной связи на предмет безопасности и достоверности.