随着能源成本的飙升和电网稳定性的担忧,越来越多企业转向太阳能分布式能源(DER),然而,这些智能连接的太阳能系统正成为黑客的新猎物,威胁着电网安全。如何守护你的绿色能源安全?
高昂的能源成本以及对电网稳定性和容量的担忧,促使企业评估和实施自己的现场能源发电系统。这些现场系统被称为分布式能源(DER),最常见的是太阳能电池板阵列,通常与电池配对,以储存能量供日后使用。
DER通常连接到电网,以便企业可以将未使用的电力出售给公用事业。它们也可能与企业的内部系统以及监控和管理DER的第三方相连接。
这种连接性产生了新的脆弱点,企业在评估风险时必须将这些脆弱点纳入考虑。潜在风险范围从破坏单个DER到危及整个电网本身。
太阳能DER的关键组件是智能逆变器,它连接到电网但不由公用事业拥有。逆变器管理DER与电网之间的能量流动。它们感知电网状况并与电力公司通信,因此在电力可用性、安全性和电网稳定性方面发挥着关键作用。
智能逆变器是物联网设备,通常访问基于云的监控和管理服务。这种连接性使智能逆变器面临网络威胁,并增加了对有效设备网络安全的需求,以确保持续安全可靠的运行。
虽然存在自愿性的DER安全最佳实践和框架,但行业尚未接受统一标准。“与传统公用事业规模的发电不同,DER安全仍在不断发展,各行业合规程度不一,”斯坦利咨询公司的高级网络安全顾问希思·杰普森表示。
“保障我们的太阳能系统安全是一个世代难遇的机遇,可以让我们未来的能源基础设施走上正轨。如果我们失败了,那就会像当年的互联网一样,部署速度超越了安全考量,导致互联网充斥着安全漏洞,至今仍困扰着我们,”开发智能逆变器的SolarEdge公司网络安全项目总监乌里·萨多特说道。
智能逆变器为何存在漏洞
智能逆变器的漏洞问题与许多物联网设备如出一辙。成本和上市速度优先于安全性。“在过去五年里,价格竞争愈演愈烈。曾有一段时间,逆变器在产量和转换效率上展开竞争,但它们正逐渐成为大宗商品,”萨多特表示。这种成本削减的一个结果就是网络安全标准低下,例如,整个产品类别的默认密码可能是12345678或psw1111。“安装人员从不更改密码,所以[攻击者]可以直接通过互联网连接。”
大量的太阳能和电池安装,每个安装都有多个逆变器,使它们成为攻击者的诱人目标。“仅在美国,就有超过500万个[太阳能系统]在运行,这极大地扩大了攻击面,”DER安全公司首席执行官兼SunSpec联盟主席托马斯·坦西表示。SunSpec联盟为DER网络安全定义标准。DER安全公司的一份白皮书列出了自2012年以来所有已知的太阳能DER漏洞和攻击,包括2024年的一起攻击,该攻击劫持了数百个逆变器作为僵尸网络的一部分,这说明了网络对手可能利用它们的规模。
对于一些公司,尤其是中小型企业而言,DER安全的责任可能未被分配或未分配给合适的人员。“当你与《财富》百强公司交谈时,他们知道自己的游戏规则,”萨多特表示。“他们有非常熟练的网络安全人员;他们有非常熟练的能源人员。”
对DER项目采取系统性方法并制定多年计划的中小型企业更有可能将安全任务分配给安全团队或有能力的IT团队。对于一次性的太阳能项目,尤其是较小规模的项目,安全可能不是重点考虑因素。太阳能项目的规模并不重要,因为漏洞和风险依然存在,这取决于太阳能阵列连接的对象。
智能逆变器通过控制面板进行管理,大多数商业太阳能装置还连接到在线管理软件。企业可能会将太阳能系统的管理外包给第三方。控制面板、管理软件和第三方网络都是攻击者潜在的入侵点。
例如,WBSec的研究人员维特斯·布恩斯特拉和希德·斯米特以及荷兰漏洞披露研究所(DIVD)的志愿者在2024年发现了Enphase IQ网关中的一个漏洞。Enphase是住宅和商业太阳能装置智能逆变器的最大供应商之一,而IQ网关是其监控和管理软件。
布恩斯特拉此前曾发现并报告了Enphase Envoy软件中的一个漏洞,该软件支持他家的太阳能阵列。该公司已经解决了这个问题,但他后来发现了美国网络安全和基础设施安全局(CISA)针对另一个Enphase Envoy漏洞的咨询,这激发了他深入研究的兴趣。这导致他发现了Enphase IQ网关及其逆变器中的六个零日漏洞,该公司迅速解决了这些问题并向客户推出了更新。
“我发现了三个漏洞,并将它们联系起来,我可以实现远程代码执行。这是在Enphase逆变器上,”布恩斯特拉表示。然后,他将注意力转向Enphase IQ网关,在那里他发现了一个漏洞,使他能够接管所有连接到互联网的Enphase逆变器。“这比花所有时间寻找远程代码执行要快得多。”
“这就像整个Kaseya事件重演。这就像是一场供应链攻击,”布恩斯特拉说道,他此前曾发现Kaseya VSA远程软件管理工具中的零日漏洞。“如果我可以将新固件或我的软件上传到你的设备,并且它连接到你的公司网络,那么那就是我进入你网络的入口或后门。”
该漏洞可能使攻击者访问150个国家的400多万台设备。如此大量的太阳能容量离线可能会在许多地区的电网中造成重大干扰。去年,Bitdefender研究人员在中国供应商Solarman和Deye的管理平台中发现了类似的漏洞。
太阳能阵列通常连接到电池系统,储存能量以供日照不足时使用。电池也可能配备自己的控制系统和软件。萨多特指出,较小的电池单元将隶属于太阳能逆变器并与互联网隔离。然而,较大、集装箱大小的电池拥有自己的独立互联网连接。
值得庆幸的是,太阳能逆变器制造商开始加强其安全措施。“我认为这并不太令人惊讶,在[美国],Enphase和SolarEdge这两家在屋顶太阳能市场占据主导地位的公司,在其整体价值主张中非常突出地强调了网络安全,”坦西表示。坦西担任主席的SunSpec联盟正在与太阳能DER行业合作,建立安全基线。
智能逆变器漏洞威胁电网
最大的风险发生在高需求时段。如果在关键时期,足够多的太阳能DER突然离线,可能没有足够的替代能源可以立即投入使用,或者可用的替代能源运营成本要高得多。攻击者仅仅通过改变DER发送给公用事业的数据,就能产生类似的结果。坦西举了一个例子,即让一个10千瓦的阵列在公用事业看来像一个1兆瓦(mW)的系统。如果公用事业在需要时试图从一个或多个太阳能DER中抽取超过其可用容量的电力,服务质量将受到影响,并可能发生电压下降。
“太阳能阵列的操作相当简单,但其管理却很复杂,”Dragos的首席工业威胁猎手格雷戈里·波尔曼表示。“你必须管理电池资产。你必须管理太阳能阵列本身。而这两者通常都集成到企业内部的建筑自动化管理系统中。”
DER连接到电网以将过剩发电出售给公用事业。“通常,公用事业会从公共设施进行观察连接,而拥有资产的企业也会进行管理连接,”波尔曼表示。“理论上,如果这些被攻破,攻击者可能会访问企业拥有的发电资产,或者可能逆流而上访问公共设施资产。”
“当你谈到设备的激增时,风险就此放大,”波尔曼补充道。“如果一个公共设施提供商在某个地区有10万名客户,其中5%安装了DER,那就是5000个连接,也就是5000台设备。突然间,安装DER的企业和可能的公共设施的攻击面以惊人的速度扩大。”
尽管如此,波尔曼认为,攻击者很难通过利用DER制造大规模停电。“在DER方面,这些连接中的每一个都处于个体层面,”他表示。“在公共设施方面,这可能发生,因为公共设施代表了与所有这些DER资产的从多到少的关系。我认为,一个有手段、有意图的攻击者会直接攻击公共设施,而不会浪费时间逐个攻破DER资产。”
波尔曼表示,公共设施在将网络和实体资产投入使用前会进行台架测试,以确保它们符合一定的网络安全和实体安全目标。对于DER,它们依赖产品符合严格的制造标准。“公共设施方面有些担忧,因为他们无法从自己的立场验证这些。”
坦西(Tansy)表示,民族国家对手与网络犯罪分子一样,都有可能利用太阳能分布式能源(DER)来破坏电网。实际上,去年就发生了这样的事件,当时由俄罗斯支持的“Just Evil”企业通过太阳能监测系统攻击了立陶宛国家能源控股公司Ignitis集团。“(太阳能DER)是资金雄厚的敌对国家进入整个电网的一条捷径,”他说。
“我们正处于超级大国之间全球竞争加剧的时期,特别是像中国、俄罗斯及其在美国的代理人这样的参与者,”坦西说。“而我们的电网主要由直接来自中国大陆的产品供电。这些产品包括太阳能逆变器和电池逆变器,它们都是软件驱动的。当软件需要更新时,往往是在北京的控制系统中进行更改和更新的。我说的已经尽可能简单明了了。”
保障太阳能DER安全的最佳实践
坦西表示,公司在规划太阳能DER项目时,往往“根本不考虑网络安全问题”。“(能源行业)完全是法规驱动的。如果没有规定要求你必须制定安全计划,你就不会去做。”
多个企业已经制定了DER安全的最佳实践和框架,包括:
- 美国国家标准与技术研究院(NIST)发布的《智能逆变器网络安全指南》(NIST IR 8498)
- 国家监管公用事业委员协会(NARUC)发布的《电力配电系统和DER的网络安全基线》
- 美国国家可再生能源实验室(NREL)发布的《分布式能源网络安全框架》
这些文件和行业专家提出的一些关键点包括审查产品和服务提供商的安全性。萨多特(Sadot)说,这包括消防安全、网络安全等方面,比如是否受到远程访问的保护,或者数据存储在哪里。他建议向安装人员询问谁还可以访问你的数据和控制你的设备、数据存储在哪里以及他们如何保护数据。美国网络安全和基础设施安全局(CISA)的一份文件列出了应向提供商询问的关于其安全状况的问题。
将安全职责分配给有能力的工作人员。他们可能是IT人员、运营技术人员或专门的安全团队。企业也可以寻找服务提供商。
使用严格的访问控制和身份验证实践。更改设备上预配置的所有默认密码和凭据。对这些设备及相关帐户的访问应使用多因素身份验证(MFA)。根据需要创建、修改或删除角色、凭据和权限。实施基于角色的访问控制(RBAC),以便只有被分配执行必要任务的工作人员才有权限这样做。逆变器可能为安装人员、电力公司、第三方运营商和负责维护DER的工作人员设置角色。
配置事件日志以捕获发生安全事件时所需的数据。逆变器事件日志将提供关键信息,帮助安全团队分析意外事件。这包括:
- 所有用户身份验证尝试及其相关身份
- 智能逆变器配置设置的更改,包括更改者的身份
- 用户帐户的创建或删除
- 软件和固件更新记录以及更新是手动还是自动进行的
- 所有通信,如连接丢失或连接到网络
- 直接从逆变器控制面板执行的操作
监控事件日志和关键网络活动,以发现异常,并确保日志收集、存储正确,以及通信连接保持安全。“许多企业缺乏对其运营技术(OT)网络流量的实时了解,这使得检测和响应变得困难,”杰普森(Jeppson)说。
保护所有通信连接。智能逆变器可能会与设备制造商、第三方运营商、电力公司或现场的其他设备进行连接。保护通信的常见做法包括:
- 使用专用的蜂窝连接进行逆变器与电力公司的连接。
- 将与系统所有者的通信限制在逆变器的控制面板上。
- 使用便携式存储设备(如USB驱动器)执行更新。
- 将逆变器与其他网络活动隔离。“太多系统仍然保持扁平化,增加了攻击面,”杰普森说。
保持软件和固件更新。布恩斯特拉(Boonstra)建议遵循良好的资产和补丁管理实践,了解正在运行的软件版本,并对照漏洞数据库进行检查。
定期备份系统并测试其完整性。“做好准备。做好备份。测试你的备份。测试你的应急计划,”布恩斯特拉说。他还建议不要在本地安装备份,并对DER进行渗透测试。
禁用不再使用的功能。这可能包括远程访问协议、访客或匿名用户访问或无线通信。
当不再需要时,将智能逆变器从系统中移除。攻击者喜欢连接但已被遗忘的物联网设备,因为这降低了他们被发现的风险。
