航空網路安全:提升與減負
航空業面臨著需要權衡成本與不斷變化的業務需求、客戶需求和安全標準這一複雜而嚴峻的挑戰。在自動化進程中,新技術的採用越來越多,這提高了效率並增強了客戶體驗,也在無意中製造了漏洞。航空業作為商業、貿易和交通基礎設施的重要組成部分,是全球經濟不可或缺的一部分。事故的發生將可能直接影響公共和國家安全。皮特·庫珀的《航空網路安全——提升與減負》表明,與其他接受了「數字革命」的行業一樣,航空業很可能也會遇到網路安全挑戰。隨著行業的發展,它能否通過準確地感知風險和機會,理解攻擊威脅來維持利益相關者的信任?
航空業現狀
從整體上看,航空業從9 / 11 恐怖襲擊中恢復以來就一直處於強勁增長的時期。市場的強勁增長也伴隨著旅客服務的多樣性和複雜性的增加,以及技術使用的增加。
航空業本身就需要在非常危險的環境下運行;從統計上來說,它是最安全的交通方式之一,這對所有業內人士來說都是一種榮譽。但是航空業正在走向完全數字化,將聯網技術接入關鍵服務。在這一轉變過程中,它有義務去至少維持或儘可能改善這一來之不易的安全記錄。在商業競爭的環境中,平衡新的風險和潛在的機會是很有挑戰性的。它將需要行業、政策制定者和其他利益相關者的合作,在已知有效實踐的基礎上做出必要的創新。了解航空業的價值觀和動機可能會幫助我們發現提高網路安全的驅動因素。
價值和動機
過去十年,儘管有9/11 和金融危機,航空業仍然增長了60%,過去三年,全球航空業凈利潤達到了史上最高,2017 年預期利潤為300 億美元。儘管該行業利潤可觀,但對錯誤的容忍度卻很低,一旦事件發生,對財務或投資者信心的影響都是巨大的。由於不間斷電源的誤操作,英國航空公司(British Airways)IT 系統發生故障,導致726 次航班取消,七萬五千名旅客滯留,經濟損失約8000 萬英鎊 。
2017 年8 月16 日, 達美航空公司(Delta Airlines)運行中心停電,造成5 小時運行中斷,約2000 次航班取消,經濟損失達1.5 億美元。儘管這些都是偶然的中斷,不是惡意活動造成的,但它們卻證明了即使是小失誤也會被迅速放大,影響運行穩定,造成相當大的損失。攻擊者越是發現到單一系統失敗的影響會在行業中擴大,他們的動機就越強,並會開始探索「可能性」。由於這一風險,航空業應提高網路安全,在整個系統之間進行合作。
增加航空業提升網路安全的動機,使其更加明確、簡單,這是降低未來風險的關鍵。航空和網路安全部門的一些個體已經在制定網路安全方法和提升網路安全能力方面取得了良好的進展,但這並沒有擴大到整個行業。
鼓勵和激勵整個航空業看到提升網路安全的價值是很有挑戰性的,也是非常重要的。法規合規可能會有所幫助,但正如在其他行業中發生的那樣,即使是監管最嚴格的行業也會有違規,而以合規為中心(而不是以攻擊者為中心)也有其局限性。在各保險政策中納入網路安全要求可能也會有所幫助,但這並不是唯一的潛在激勵因素。
到目前為止,金融投資者在這個問題上並未多言,這一利益相關者群體可能會給航空業帶來相當大的動機。隨著國際民用航空組織(ICAO)和其他機構越來越重視網路安全的改善,投資者可能也會更加關注所投資行業的網路安全。這不僅要理解航空網路安全風險,還需要理解逐漸增長的旨在管理網路安全風險的監管和政策努力。
研究表明,儘管越來越多的企業意識到了提高網路安全的必要性,但企業可能不願推出、購買或升級網路安全能力。猶豫不決的原因在於,儘管標準在制定中,但國家和國際機構尚未頒布航空網路安全法規和互操作性標準。與其現在就選擇一種可能很快就會變得不兼容,或者不能與頒布的「行業標準」互操作的方法或技術,不如先等待。
但這樣的等待遊戲不僅阻礙了航空業的發展,還阻礙了可以支持航空業的,強大且多樣化的網路安全產業的誕生。為了向前推進,國際和國家機構必須頒布明確的互操作性標準政策指南。
航空網路安全政策
在航空生態系統的許多領域,創新、技術進步和攻擊者能力的增長速度可能會超過政策和監管的發展。國家和國際政策的凝聚和迅速成熟將是其領先於技術和風險的關鍵。
在航空業中有大量的全球和國家機構,許多機構正在開始認識到網路安全挑戰。由於航空是一個全球性的產業,ICAO 在聯合國的支持下,有責任制定國際航空標準,並作為各國進行各個方面的貿易討論的渠道。這種領導對話和標準化,為對話建立結構框架的作用,對於促進全球行業發展,保障行業安全至關重要。這一模式多年來運轉良好,但由於這一如此龐大的國際機構的性質,談判和協定發展可能會很慢。
但這種轉變正在發生。2016 年,ICAO 第39 屆會議通過了一項有關民用航空網路安全問題的決議。這凸顯了迅速變化的惡意威脅行為者所構成的危險,以及通過行業合作應對威脅的迫切需要。民航組織呼籲各成員國在制定ICAO 網路安全框架方面進行合作,希望能夠為應對挑戰制定結構。2017 年在迪拜舉行的ICAO網路安全會議發表了宣言,強化了該決議,宣言呼籲各國減輕網路風險,並制定立法框架,對「網路攻擊者」採取行動。宣言加入了額外的威懾因素,即宣布「對民用航空的網路攻擊必須被列為犯罪」。這就不僅僅將重點放在了網路安全上,而是建立國際行為準則,這是一項可喜的進展,為國家和國際間對話增加了深度。
全球有很多旨在改善國內航空網路安全政策的國家倡議,在美國,參議員愛德華·馬爾科(Edward Markey)提出了《2016 提升飛機網路安全和韌性標準》(Cybersecurity Standards for Aircraft to Improve Resilience Act of 2016)。這一法案創造了反饋渠道,增加了信息透明度,這有利於對「飛機系統、飛機維護和地面支持系統」的相關標準和規定進行更新,法案還包括了確定飛機「電子入口(electronic entry points)」的規定,這樣就可能對入口施行保護措施,如將關鍵系統與非關鍵系統隔離。關注飛機是理解挑戰關鍵要素的良好開端;如果這項工作順利進行,它將與更廣泛的行業努力良好切合。
美國和歐洲都強調了要將航空作為關鍵國家基礎設施。例如,歐洲的網路和信息系統(NIS)指令就覆蓋了航空業。在美國,航空已經越來越融入《2017 美國國土安全部(DHS)授權法案》(Authorization Act)中。法案承認理解危險的價值,要求將網路組件納入今後的威脅評估中,並進行年度威脅評估,重點關注航空運輸系統風險。第561 節中有一小段特別介紹了航空網路安全問題。法案最初提出了國土安全部部長應在「法案頒布後120 天內,制定並實施航空安全網路安全風險評估模型,模型需符合國家標準和技術研究所的《改進關鍵基礎設施網路安全框架》(Framework for Improvement Critical Infrastructure Cybersecurity)。」如果該法案通過,由於國際航空網路安全的現狀及其與公共和私人利益相關者之間的交集,在120 天內製定並實施這樣一個風險評估模型將是一個挑戰。
作為航空行業的合作夥伴,網路安全行業必須首先支持現有的有效措施,增加其效力,而不是削弱它。例如,該法案的大部分內容都在強調網路安全信息共享的重要性,但並未考慮如何將這一做法融入現有的航空安全信息共享系統中。同時實行航空安全和網路安全系統有可能可行,但也有可能極大增加管理負擔和治理的複雜性。
《2017 國土安全部授權法案》還認為,「《芝加哥公約》規定的機場最低安全標準…在目前的威脅環境下並不足夠,我們已經多次看到恐怖組織策劃針對航空業的襲擊…」並指導美國駐ICAO 代表「追求改善機場安全」。本報告將探討的是,航空業不僅面臨物理安全威脅,而且還面臨涉及安全和非安全關鍵操作各個方面的網路安全威脅。因此,隨著國際民航組織中的美國代表開始「在ICAO 中發揮領導作用…提高這些標準,」ICAO 很可能會考慮到日益增長的網路威脅。
在國家和國際舞台上,現代航空業的保護受到了越來越多的關注。各種倡議很有可能將會趨同並發展,使該行業能夠更容易的取得進展。然而,如果不徹底了解這一行業的現狀、利益相關者以及挑戰,這一進展將是緩慢的。越理解這些組件並對其進行管理,就越有能力實現準確和效率。
航空業互聯所帶來的挑戰
航空業的全球互聯使得某一地域的失敗得以迅速蔓延到整個系統,適用於孤立(甚至是企業IT)環境的響應方法是不足以應對的。這一風險是全球性、系統性的,需有著相應的連鎖事故模式。
對於一個長久以來都在展示安全和保障的行業來說,互聯繫統和抵禦方法的複雜性就構成了挑戰。在網路安全事件或漏洞暴露時,航空業必須迅速向公眾展示保障,重建信任。由於許多網路安全措施都是技術性的,因此很難向非技術受眾展示有效性;在事件發生後宣布改善可能不夠。重建信任的脆弱和重建的困難意味著,航空業不僅要尋求建立系統韌性,還必須與主要利益相關者建立信任韌性。
了解威脅,知曉風險
歷史表明,網路攻擊者及其能力的進步和適應速度驚人地快。這在航空業中尤其具有挑戰性,因為許多行業核心系統都有很長的開發周期,政策和設計標準很早就被確定下來,更新也需要相當長的時間。為了使航空業準確地評估和預測風險,必須了解當前的威脅及其潛在的影響。
在評估風險時,包括航空業在內的許多行業會將威脅者依照成熟度分為:高級持續性威脅(APT)、有組織的犯罪團伙、黑客主義者等。然而,因為自身作為目標的性質,許多企業在風險評估中並不將APT 認定為威脅。但正如許多高關注度的泄密事件所顯示的那樣,在早期聲稱事件中有APT 攻擊者的參與,比起想宣布事實,其實是更希望得到公眾的原諒,因為APT 不可能被「預見」或反擊。
有一種觀點認為,過度依賴風險評估中的威脅者分類會有損準確性。畢竟,最近的事件逐漸表明,威脅者的技術能力、規模或性質不再是構成其主要評估因素。資源充足的威脅者會使用不成熟的工具來節省金錢、誤導歸因,擁有關鍵技能但並沒有很多資源的個人也可以開發複雜的工具。
一些人認為,航空業的威脅模型往往低估了攻擊者的能力或攻擊者能力的成熟度。正確制定威脅模型是理解真實風險水平的必要條件。對於那些可能造成生命損失的關鍵系統,應該有相應的網路安全要求。例如,飛行關鍵系統發生災難性故障的風險評級必須為極其不可能(1x10-9),並用測試和分析進行驗證。如果網路威脅模型被低估,它可能會給人一種錯誤的印象,即系統風險已經達到了可接受的水平。儘管如此,航空和網路安全行業都經歷過內部惡意人士的威脅。航空業已經在減輕內部威脅上投入了很多,主要是圍繞物理安全。在網路安全方面,發現和阻止內部人士濫用信任的許多高級流程都是一樣的。員工篩選、分層安全措施以及尋找異常行為等方法將是這兩個行業尋找威脅時的共同基礎方法。
擴大的攻擊面
航空業長期以來一直是惡意攻擊者的目標。隨著航空業的聯網服務和系統越來越多,攻擊者可以干擾的潛在系統攻擊面明顯增多,也越來越複雜。
不斷增長的技術和互聯性給惡意攻擊者帶來了攻擊航空業的新機會。在地面上,攻擊行為從擾亂機場運作的初級行動,到國家支持的攻擊,如將機場展示屏和廣播用作宣傳工具。在空中,多個研究人員聲稱對ATM(空中交通管理)系統和飛機的攻擊是可能的。「突尼西亞黑客隊(The Tunisian Hackers Team)」這樣的恐怖組織已經威脅要對航空部門發動網路攻擊:「…下一次,你們的空域會受到攻擊。我們將試圖控制機場的計算機以及電子行業,你們知道我們能做到這一點。」
隨著攻擊面的快速擴展並包含多方利益相關者,漏洞將在所有的系統中存在——只是發現時間和被誰發現的問題。攻擊者總是在尋求「可能性」和從中獲得的好處。到目前為止,對航空業的攻擊影響很小,這可能會導致一種錯誤的安全感。但是,正如其他行業證明的那樣,這種感覺很少會持續。
對威脅的看法
如何看待網路威脅對理解風險和管理風險至關重要。通過為這份報告進行的研究,很明顯,看法不一可能是航空業面臨的最大挑戰之一。有些人表示,很多對航空業漏洞的擔心都被忽視了,因為在過去是不可能有類似漏洞的。雖然航空業中有很多對網路安全挑戰複雜性的看法和理解,統一行業中的每個人看法和理解水平是有必要的。這是防止潛在風險被忽視,促進多方合作對話的關鍵。
航空業已經承認了風險的存在並對故障風險進行了管理:大多數航空系統,在構建時會允許可預見的、不會威脅安全的故障。隨著行業攻擊面增加,航空業成為網路攻擊者的誘人目標,這就可能產生相當大的不可預測性。處理這種不可預測性需要不同利益相關者的共同努力。縮小各種看法之間的差距將使這些挑戰更清晰,讓行業更好的看到風險和機遇。
飛機互聯
技術從根本上改變了飛機的設計、生產、運行和維護,安全與保障模型也必須隨之改變,以保持一致,並向公眾展示其效力。
由於空氣動力學的規律沒有改變,飛機設計的演變一直都是穩定可見的。然而,在飛機技術方面,說有時代差異都過於輕描淡寫了。飛機旅行的概念在不斷被重新定義。隨著航空業不斷回應客戶需求,整個飛行服務的無縫連接是必不可少的。這種轉變不僅限於乘客服務。為了追求效率,聯網技術越來越多地改變著飛機的服務和操作方式。飛機不僅與航空公司或空中交通服務相連,而且還與更廣泛的互聯網相連,由衛星和地面站提供協助。用隔離來維護飛機「安全」的日子已經過去了。現在有明確的要求來確保聯網飛機的安全。正如我們已經討論過的,說一架飛機安全可靠是不夠的;為了維護利益相關者和乘客的信任,必須用證據來證明這一點。
在航空業發展的早期,展示安全性和可靠性是很簡單的。一架飛機的設計、測試和建造全部都在一個地點。現在,全球各層級的供應商聚集在一起生產一架飛機。飛機的結構和部件曾經是用木頭和鋁手工製成的,現在,複合材料和三維(3D)列印越來越成為標準。電傳操縱(fly-by-wire)的字面意思是連接飛行員的手和控制版的鋼琴線,電腦則會根據數千個參數和機組人員的輸入做出決定。在計算機故障時,會有備用計算機代替其運行,「安全故障」的發生不會影響飛機的著陸。
飛機現在已經被數字化並包含了數百萬行代碼;編寫、驗證和保護越來越成為一項困難且複雜的任務。這項任務的挑戰不僅僅在於代碼生產的速度,還在於要在飛機的整個生命周期中維護並保障其安全。許多行業都認識到了快速識別和修補軟體漏洞的關鍵性,但據一位受訪者說,目前修改飛機上安全關鍵軟體的一條代碼大概需要一年的時間,成本約為100 萬美元。快速部署安全更新的需求雖然關鍵,但是當前漏洞發現和修復之間的時間間隔是一個大問題。監管機構應準備好停飛該型號的飛機直到關鍵漏洞解決,同時要做到飛機設計、製造和更新安全。
製造
全球供應鏈的多樣性、複雜性和響應性,與解決設計和製造過程的網路安全風險所需的敏捷性是不一致的。
空客和波音已經積壓了超過13000 架飛機的訂單,按照目前的生產率計算,相當於快10 年的時間,製造商自然要加快飛機製造的速度。它們正尋求通過全球轉包和外包生產來擴大其供應基礎,降低成本並加快飛機交付速度,確保地區財政激勵。這有時意味著每架飛機都會有位於不同地區的一群供應商,但它們遵循的交付標準是相同的。供應鏈擴展的風險在於,「製造商永遠會被最差的供應商所限制」——這一觀點既適用於零件交付,也適用於網路安全。供應鏈上的知識產權和專有數據量相當可觀。此外,根據供應鏈的性質,一些數據可能會受到《美國國際武器流動條例》(US International Traffic in Arms Regulations)的限制。對風險所有者來說,對這些數據進行適當的保護是一個相當大的挑戰,它必須與所有的供應商一起平衡信任、保障和風險。
附加風險,也可以說是更危險的風險是,因為事件或設計,交付的零件或系統中可能出現漏洞。面對這樣的風險,唯一有效的措施可能只有系統韌性和監督。
飛機系統
在非常短的時間內,飛機系統的連通性從近乎於無到現在的無處不在。雖然這種連通性有利於節省燃料、飛機健康監測(AHM)和乘客體驗,但它也可能增加機載系統的風險敞口。公司IT 安全流程可能無法滿足航空安全所需的可靠性和響應時間。
這種系統設計的改變不僅是由操作技術的演進所驅動的,人們計劃將駕駛艙轉換為一個數據豐富的環境,為飛行人員提供以前無法獲取的信息。乘客們現在可以在機艙內享受與家庭或辦公環境近乎相同的連通性。
現代聯網飛機產出的數據量迅速增長。據估計,到2026 年,全球飛機數據可能增長到9800 萬兆兆位元組。這些數據中有很多攻擊者活動或意圖的證據。能夠看到這些數據,保護它,並迅速分析它,以尋找攻擊的微弱跡象將是至關重要的。監管機構正試圖為飛機系統及其產生的數據制定長期、實際、有效的標準。
圖1 飛機通訊示意圖
網路設計
現在,飛機設計師們不僅要設計出最符合空氣動力的外觀、最高效的引擎和最佳的乘客體驗,還需要將強大的計算能力整合和利用到整個平台上。這使得飛機網路從簡單、低帶寬、信息點到點傳輸,變為高帶寬傳輸控制協議/ 互聯網協議(TCP / IP)網路,數據傳輸比以前更加自由。與其他大多數網路一樣,飛機現在也由Wi-Fi 路由器、防火牆和多核處理器組成。根據所需信任和保證的多少,這些網路被分成若干個飛機數據域:
·飛機控制域由系統和網路組成,其主要功能是支持飛機的安全運行。
·航空公司信息服務域包含非關鍵飛機服務系統和網路,並支持域間連通性。
·乘客信息和娛樂系統域(PIESD)提供並支持所有乘客服務,如娛樂、互聯網連接等。
這些域已經成為行業標準術語,儘管看起來很簡單,但卻有著潛在的複雜性。當波音公司在其787 客機中使用這些域時,美國聯邦航空管理局(FAA)認為這是一種「…新穎或不尋常的設計…」,且當時並沒有相應的適航性規定。聯邦航空局要求,在波音公司證明相應的安全保障措施之前,不允許該客機飛行。
隨著網路和飛機系統變得越來越複雜,管理它們的計算需求也在不斷增加。與此同時,技術過時使擴展或維護服務變得困難。這是可以理解的,因此,該行業目前正在探索使用多核處理器的潛在機會和風險;隨著晶元變得越來越複雜,保護它們也越來越難[5] 。隱藏服務或後門,如斯科洛巴蓋托夫和伍茲在Actel ProASIC3 晶元中發現的,這些後門很難找到,一旦安裝就很難處理掉。
這種系統複雜性的挑戰就發生在了波音787上。它不僅使用了Actel ProASIC3 晶元,其發電機控制組件(GCU)還存在軟體過載現象,使其在供電248 天之後自動進入防故障模式 。如果4 個GCU 同時啟動,它們將在248 天后停止,「不管在哪種飛行階段」。後來,波音公司對美國聯邦航空管理局的擔憂進行了證明,但這足以說明航空業和監管機構很難發現複雜系統中的問題。隨著行業的發展,複雜性必然會增加。克服、保障和監管將越來越難。複雜性導致的監管和潛在的系統缺陷將會被攻擊者找出並加以利用。
整個航空業都需要聯合起來在整個行業內尋找、修復這些缺陷。
航空業的很多努力都集中在建立安全可靠的域上。但是,要確保對複雜系統的信任,需要認識到信任會在何時被削弱,組件和系統在何時能夠保護整體系統。在飛機系統上,目前很難或幾乎不可能知道何時信任會被削弱,從而採取適當的行動。
乘客服務
在過去的兩年里,提供空中Wi-Fi 的航空公司數量增加了38%,而乘客搭載有Wi-Fi 飛機可能性則增加了39%。這個市場正在從提供基本連接向在飛機上正常使用個人設備發展。
機內服務
電子飛行包
飛機和空域的複雜性,使飛行人員在飛行中需要獲取更多的信息。飛行圖、地圖、飛機工程文件等等。隨著技術的發展,駕駛艙無紙化開始了。現在,最先進的電子飛行包(EFB)與飛機、外部數據源和視頻監控顯示(比如駕駛艙門上的安全攝像頭)之間有雙向介面,被用來計算性能(起飛)數據,在不同的數據飛地中運行受監管和不受監管的軟體。
歐洲航空安全局(European Aviation Safety Agency,EASA)要求申請應用EFB 的公司證明「有充足的安全程序在保護著系統」,並保證「在每次飛行之前,EFB 操作軟體只能按照指定的方式運行」 。飛機和攜帶型EFB 之間的連接是符合安全標準的關鍵,EFB 與關鍵系統越接近,連接就越重要。因此,數據傳輸只有在系統符合以下條件時才可進行:
·對飛機沒有安全影響或只有輕微的安全影響;
·與EFB 的連接經過認證;
·與飛機系統完全隔離
以上條件以及一些附加建議,如使用防火牆、病毒掃描並及時更新軟體以保護EFB,都是很好的基礎建議,但並不足以保護整個攻擊面。隨著攜帶型EFB 越來越普及,其硬體和軟體的種類也會增加。多樣性和平台複雜性將使安全性的展示和可靠性的實現變得更加困難。起飛準備的關鍵階段是計算起飛所需的性能。為了節省燃料、減少發動機磨損和噪音,只有在必要時才會啟用發動機的全部動力。對起飛性能的正確判斷至關重要。
2004 年,MK 航空公司的一架波音747 飛機在起飛過程中墜機,該飛機使用了類似於EFB的系統。調查人員懷疑機組人員誤算或誤讀了機器提供的數據,導致了事故。雖然在該例子中不涉及惡意攻擊,但它提醒了我們保護航空業操作者和決策者所讀信息的重要性。
飛機通信定址和報告系統
飛機通信定址和報告系統(ACARS)是一種空對地數字通信能力,雖然它主要被用于飛機與航空公司之間的通信,但隨著它逐漸開始使用甚高頻(VHF)數字鏈路,其帶寬和速度都增加了,而且越來越多地被用來進行空中交通管制(ATC)通信。
作為一個未加密的、公開傳輸的消息傳遞系統,ACARS 是不安全的。雖然已經有ACARS的加密標準,但ACARS 的消息安全性會根據採用的標準而不同。其他一些ACARS 的專有加密「附加組件」也已經被開發出來,但許多都被認為是極不安全的。
因此,對許多狂熱者和研究人員來說,觀察和解碼ACARS 已經成為一種消遣方式。通過互聯網上的一些硬體和軟體,他們可以在ACARS頻道上進行接收和傳輸。從表面上看,作為一個開放的數據鏈接,ACARS 的主要問題是隱私保護,但隨著駕駛艙的互聯性增加,潛在的威脅令人擔憂。
許多飛機的駕駛艙現在都有ACARS 並與飛機系統連接,主要是飛行管理系統(FMS)。FMS 管理導航路線、資料庫、機場細節等,它是現代客機操作的重要組成部分。由於ACARS可以用來傳輸飛行計劃,將ACARS 連接到FMS是很常見的。當用ACARS 傳輸飛行計劃後,飛行員會進行審查,如果需要的話,可以直接將其上傳到FMS。
因此,ACARS 和FMS 之間的連接是進入飛機系統的潛在入口。網路研究人員、商業飛行員雨果·特索(Hugo Teso)聲稱,ACARS 能夠被用作攻擊飛機系統的通道,對「飛機導航」有關的一切造成威脅。FAA 和EASA 對此進行了反駁,稱實際攻擊是無法實現的。
飛機健康監測——飛機支持
隨著航空公司越來越要求提高效率,飛機原始設備製造商(OEM)正在努力利用聯網技術提供更精確的飛機健康監測(AHM)和預見性維護。在此之前,飛機部件將會被定期檢查維修,這需要花費大量時間和金錢來拆卸飛機系統,以檢查磨損率,否則零件一旦發生故障就需要在短時間內進行維修。現在,隨著成千上萬的飛機部件的連接性越來越強,並能夠向AHM 系統提供數據,大型數據集分析使維護團隊在飛機飛行或在地面時都可以進行複雜的分析。
從飛機到地面作戰小組的實時數據傳輸加速了工程和維修決策,甚至於飛機飛行期間仍可以制定計劃。這減少了診斷、修復和重新飛行的時間,減少了停機時間,提高了效率。這一系統在未來將收集整個航空艦隊的數據並存儲進數據倉庫,航空公司和飛機製造商從而可以對其加以分析,因此,類似空客公司與Palantir的合作關係就產生了,兩家公司都認識到了這種合作關係的好處,這一好處將從飛機數據和延伸到乘客數據。
AHM 系統連接的例子包括引擎監測系統,它將通過全球移動通信系統(GSM)、Wi-Fi 或衛星電話傳輸飛機和發動機數據到網路介面。使用GSM 的裝置必須將GSM sim 卡裝進飛機系統中,然後才能與互聯網連接以傳輸數據。它包括直接向EFB 傳輸數據的能力,這就使機組人員能夠立即獲得數據。它還包括使飛機自動連接機場登機口的Wi-Fi 熱點,下載AHM 數據和上傳飛行娛樂(IFE)內容的能力。儘管空間限制使人們不需要對個別系統、觀點和潛在問題進行深入分析,但總體來看,潛在的攻擊面相當可觀。
飛機維修
保障飛機和其維護系統的正常運行非常重要。飛機維修正變得越來越以技術為中心,飛機數據與維護團隊的手持或增強現實設備相連。管理和保護這種無紙化過程,以及飛機與地面系統之間的數據傳輸將成為一個更大的挑戰。
儘管這些風險在本質上並不直接關乎安全,但它們絕對有助於維持飛行安全,正如2008 年的墜機所證明的那樣。這次墜機的直接原因是試圖在錯誤的配置下起飛。這架飛機在經歷了三次這樣的故障後應該被停飛,但系統對這種錯誤的警告失靈了。據稱,追蹤此類故障的工程計算機感染了惡意軟體,未能及時發現該問題。這款惡意軟體並沒有直接導致飛機墜毀,但它卻使一項關鍵的安全保障失靈,這一保障很有可能阻止飛機起飛。
在攻擊者可能會尋求破壞的環境中,對安全保障的破壞必須被認為是潛在的風險。在之前討論過的墜機案例中,儘管惡意軟體是沒有目標的,類似的有目標的干擾、混亂和混淆活動,就是我們需要理解和防範的關鍵問題。
挑戰
本報告得出的重要結論之一是,隨著技術的發展和機上連接的增加,各種挑戰也會隨之出現。不僅僅是攻擊者,懷著好奇、淘氣、惡意意圖的乘客也將嘗試通過Wi-Fi、任何射頻信號或飛機上的接入點攻擊飛機。
了解和保護不斷擴張的攻擊面
本報告認為,航空業對硬體、軟體技術的快速應用和其複雜的供應鏈大大增加了系統攻擊面和潛在的攻擊方式。攻擊者甚至可能把不同的漏洞連在一起,直到製造出攻擊面。例如,當攻擊者從美國國防承包商竊取了飛機設計後,再從另一家公司竊取雙重驗證數據,攻擊面則得以形成。
與飛機相連的龐大航空系統就是很大一部分的攻擊面,它可以作為接入飛機的單一入口。飛機和航空公司之間的系統越無縫,該系統就越需要被重視。積極尋找潛在的攻擊面,並探索攻擊可能是航空業的關鍵任務。只有同時考慮到防禦和攻擊者才能得出長期解決方案,而不是輕視或試圖掩蓋潛在的攻擊面。
隱藏式安全
由於獲取知識較難,航空業攻擊者會經歷一個相對陡峭的學習曲線。然而,隨著互操作性、企業IT 實踐和技術的增加以及網路的融合,「隱藏式安全(security through obscurity)」可能很快就會失效。
本報告的被採訪者認為,飛機系統的連通性和及其保護方式往往是機密信息。我們可以認為,安全系統的設計確實有一定程度的隱藏,可以為攻擊者製造障礙,延遲干擾,但它只能被認為是多層系統中的(很薄的)一層。此外,隱藏在系統保護中的作用越大,當這種隱藏被破壞時,其影響就越大。一旦它們的系統或網路設計公開,基礎架構則必須有足夠的韌性,以繼續保護系統。
安全方法越公開,各方就越能對其韌性進行評估和建議。這中間有一個平衡,隱藏手段會使航空業無法迅速改進飛機系統的安全性,它可能會減緩更廣泛、有價值的合作。
獨立評估和漏洞管理
長期以來,航空業一直都很重視獨立評估的價值和保障安全關鍵系統。不獨立或不嚴謹曾經導致了一些重大的航空事故。獨立保障和網路安全評估對於聯網飛機來說同等重要。一些製造商和供應商現在已經開始採用某種形式的獨立漏洞評估計劃,在漏洞公開之前發現並修復漏洞。我們希望隨著行業的發展,這些項目的規模、雄心和成熟度都會增加。獨立的網路安全研究人員與航空業之間的關係一直很差。建立信任和關係雖然需要時間,但它對提高航空業安全與保障有百利而無一害,必須優先考慮。
未來的網路
基於對ACARS 和其他航空業專有的此類支持系統的擔心,航空業發起了一個使系統現代化的項目。其目標是根據現有的網路技術(例如,TCP、用戶數據報協議、互聯網協議第6 版[IPv6])開發航空互聯網協議套件(IP 條件)。希望通過增加標準化,使行業更多地使用商業現成組件。
隨著IP 套件的開發加速,從當前出現的數據鏈漏洞中可以借鑒很多東西。隨著飛機數據的增加,如何安全地獲取飛機上的數據將是一個挑戰。可以想見,要安全可靠的區分各個域的不同數據集,那麼每個域都應有各自的承載網路和硬體。此外,承載網路的選擇應根據飛行階段、相對成本和可用速度而不同,保障承載網路的安全則更加困難。
如何平衡威脅、設計與保障
製造商設計必須符合相關保障和安全標準,但飛機的設計、生產和運行時間很長,如何恰當地平衡長期風險是一個挑戰。許多國家和組織正在研究這個問題。在美國,美國聯邦航空局於2015 年設立了飛機系統信息安全/ 保護(ASISP)工作組,旨在提供關於「ASISP 相關的規則制定、政策和指導,包括初始認證和持續適航性評估」的意見和建議。
組件和軟體複雜性增加使諸如《2017 增進物聯網(IoT)安全法案》(Internet of Things(IoT)Security Improvement Act of 2017)等立法成為關鍵。通過強制安全補丁、消除固定編碼密碼和已知的漏洞,由供應商來負責更好地保護客戶。有些人可能認為這樣的立法過於繁重,但當大部分航空安全都處於組件層面時,這可能是為數不多的快速糾正供應商錯誤、整體移除該類漏洞的方法之一。
空中交通管理
提高能力和效力
ICAO 於2005 年制定並發布了《全球空中交通管理概念》(Global ATM Operational Concept),它是現行很多倡議的基礎,在美國,FAA 就在《概念》的基礎上制定了《下一代航空運輸系統》(Next Generation Air Transportation System,NextGen)。
挑戰
下面幾節將重點介紹幾個潛在的挑戰和擔心。雖然對下列某一因素的攻擊令人擔憂,隨著航空業面臨的威脅逐漸增多,攻擊者能力的增長,我們更擔心潛在攻擊者通過攻擊多個因素,引起多重關鍵安全故障。
太空元素
基於太空的能力是在全世界範圍內推行ATM 更新的關鍵。NextGen ATM 和與其類似的系統都依賴於全球導航衛星系統(GNSS)來進行定位導航和定時(PNT)。GNSS 覆蓋廣泛且可靠,用戶通常不需擔心這一服務會不可用或不好用。然而,作為低功耗信號,它很容易受到來自地面的干擾和欺騙。此外,用於乘客和飛機服務的飛機衛星通信的增加,使需要保護的數據鏈接隨之增多。
廣播式自動相關監視
廣播式自動相關監視( Automatic Dependent Surveillance – Broadcast, ADS-B)改變了空中管制員管理飛機的架構。之前,飛機的位置要通過程序或雷達獲得。通過ADS-B,飛機會廣播自己的GPS 位置和其他數據。有些人認為,ADS-B 有潛在安全問題。ICAO 對ADS-B 漏洞進行了評估,評估結果只公開給成員國,似乎ICAO 對一些ADS-B 的安全問題研究不屑一顧。
圖2 ADS-B 運行示意圖
作為一個沒有加密、認證或完整性檢查的開放系統,研究人員主要擔心的是ADS-B 信號可能被攻擊者竊聽、屏蔽或傳輸。要防止對於ADS-B 的攻擊,可以通過保護鏈接、驗證位置、或改進傳統雷達來實現,但3 種方法都各有其利弊和挑戰。
ADS-B 硬體日益與其他飛機系統融合和連接,使其成為攻擊者的潛在進入點。空中防撞系統(TCAS)會主動防止飛機相撞,任何旨在進一步將ADS-B 與TCAS 整合的努力都需要審慎考慮。攻擊者可能會通過發送假ADS-B 信號,使防撞系統做出躲避動作,研究者已經警告了這一點。
管制員和駕駛員數據鏈通信
與ADS-B 一樣,管制員和駕駛員數據鏈通信(CPDLC)也是一種沒有加密或認證的數據鏈,因此可能容易受到信息操縱、信息注入和對地面站或飛機的欺騙。這可能會在操作者試圖發現異常或保持態勢感知時帶來挑戰。如果攻擊行動成功,侵入者可能會向空中交通管制(ATC)或飛機發出指令或請求。機組人員和控制員在懷疑時,可以通過回到語音通信減輕攻擊。
全系統信息管理
ATC 服務已經成為網路攻擊的目標。例如,2006 年,一個計算機病毒擴散到ATC 系統,迫使FAA 關閉其在阿拉斯加的一部分系統。監察長辦公室(OIG)隨後的一份報告認為,網路攻擊損害ATC 操作只是時間問題。
GAO 強調,通過全系統信息管理(SWIM)向基於IP 的服務轉型會增加風險,這是由於新舊技術混合和網路中的潛在漏洞而導致的。
國際民航組織(ICAO)在2005 年左右開始了SWIM 工作,並將其描述為「鬆散的連接環境…由各實體提供並消費服務。」這實際上使SWIM變成了一個航空業內網,在內網中,信息可以在同一地區甚至世界各地的實體之間輕鬆共享。從2018 年第一個區塊的推出開始,每過5 年,新的區塊都將增加這一網路的連通性。作為一個開發中的項目,如何將機艙安全的接入類似SWIM 的全球內網等細節,仍然需要進一步的研究。這一系統的開發相當複雜,將需要各利益相關方的參與。ICAO 秘書處聲稱,SWIM 最主要的網路安全要求將主要借鑒:
· 附錄17,ICAO 航空安全手冊(ICAO8973 號文件)
·ATM 安全手冊,A 部分:保護ATM 系統基礎設施(ICAO 9985 號文件)
此外,(SWIM)網路和應用層面中的網路安全措施「應作為通用基礎,允許各國施行自己的國家措施」,每個國家都應建立「本國的國家安全項目」。SWIM 治理的成熟和對網路安全的集中需要一些時間,究其原因,正如航天工業協會國際協調委員會(ICCAIA)所指出的,「SWIM 沒有一個國際公認的定義,也沒有清晰的實施指南。」
能力——對後備系統的挑戰
對前幾節中所提到系統造成的任何破壞,都可能造成不便和服務中斷。由於系統升級的本質,上文討論的NextGen 和類似全球系統的許多後備系統的能力都會相應降低。事件影響越大或受影響的系統數量越多,系統能力削減就會越多。當NextGen 類型系統滿負荷運行時,啟用後備系統會帶來大量挑戰。因為有後備遺留系統就忽視NextGen 的漏洞是不可取的,ATM是一個複雜的系統,能力和吞吐量的細微變化都會對其產生影響。
機場
現狀
機場管理和安全的主要目標是安全的接送飛機、乘客、行李和貨物。因此,機場是大部分航空運行的焦點,也是防禦攻擊者的前線。
因此,提高機場網路安全的重要性應該是顯而易見的。然而,本報告的貢獻者之一評論說,機場是管理服務的聯合,它代表了不同風險所有者和治理結構下的許多公司和組織,它們都致力於安全和服務。因此,機場網路安全必須從保護多個系統的角度來考慮,這些系統由多個提供者運作,這些提供者既可以為安全意識和韌性做出貢獻,也可以成為致命的弱點。
機場——聯網目標
迄今為止,針對機場的網路攻擊並沒有對機場的運行和乘客造成很大的影響。機場的聯網物理安全設備還未被攻擊過。
總監察長辦公室(OIG)發表了一份修訂的報告,審查了美國運輸安全管理局(TSA)的安全技術集成項目(STIP)面臨的挑戰。STIP使遠程管理旅客和行李檢查設備成為可能。報告稱其有多個安全控制漏洞,並指出很多安全設備並未被歸為IT 設備,因此在安全方面並沒有達到IT 設備的標準。這份報告的一個主要觀點是,隨著網路技術和物聯網越來越成為維護安全的關鍵基礎層,確保技術安全的努力也必須同時進行。隨著機場試圖全面應用物聯網,就應該更注意這一點。
未來發展
一些機場已經意識到了網路威脅,並投入了更多人員、流程和技術來更好地保護自己。隨著這一措施的成熟,擁有由高級管理領導的、覆蓋整個機場的網路安全戰略的機場將變得越來越普遍。此類結構還必須與其他可能擁有類似結構的機場利益相關者合作。機場的網路安全力量不是由單一結構的質量決定的,而是取決於所有結構的協作程度。
目前已經出現了有關建立機場網路共享和分析中心(ISAC)的討論,這一中心可以使所有機場運行者形成統一戰線,促進協作和網路安全信息的共享。雖然是否需要ISAC 這種正式的組織結構還有待觀察,但共享和協作在整個機場生態系統中將是必不可少的。
在機場利益相關者試圖在組織方面完善機場網路安全的過程中,也可以進行網路領域的安全演習。探索所有機場的利益相關者在網路攻擊中應如何協同工作,可以加強預備程度,強調合作的價值。隨著時間的推移,演習場景將逐漸成熟,但物理安全和網路安全演習最好一起進行。
已經出版的一系列機場網路安全指南包括美國聯邦航空管理局(FAA)贊助的《機場安全最佳實踐指南》(Guidebook on Best Practices for Airport Security), 歐盟網路和信息安全機構(European Union Agency for Network and Information Security)的《保護智能機場》(Securing Smart Airports)和國際航空運輸協會(IATA)的《航空網路安全工具包》(Aviation Security Toolkit),它們都對機場網路安全提出了各方位的建議。這些指南內容有多處重合,表明機場最佳實踐在一定程度上呈現一致性。
航空業和網路安全業
隨著航空業和網路安全行業日益交織,很重要的是了解行業各自的優勢和劣勢。這兩個行業都需要培養對彼此的文化理解,在發展中共同學習、支持和加強行業關係。網路安全行業必須知道自己正在支撐的是一個在維護關鍵服務安全方面已經非常成熟的行業。在發展航空業技術和連通性時,同時發揮這兩個行業的優勢是很重要的。
風險管理、治理和問責
航空業在挑戰環境中管理複雜風險方面的經驗十分豐富。它有著非常明確的治理和問責結構,並已經形成了安全文化,使每個人都覺得自己與管理風險和維護操作安全息息相關。當涉及到信息安全風險時,這種文化顯然不那麼明確,因此有很多有關責任和問責的討論。飛機和整個行業都有著多且複雜的供應商和服務關係,責任劃分困難。只有不透明的多方利益相關者委員會是不夠的。
從根本上講,即使在一個聯網的,擁有先進技術的航空業中,安全管理系統(SMS)仍然是管理安全的主要手段。不管信息安全如何治理,如果它與安全關鍵系統相交,它就屬於SMS。安全團隊專註於防止事故,網路安全團隊則負責防範惡意攻擊;為了實現目標,兩隊各有不同,但必須都朝著一個目標努力。隨著聯網技術的發展,信息安全需要與關鍵航空服務和平台進一步結合,信息安全與物理安全之間的關係必須更加緊密,兩者的定義也要比以往任何時候都更加明確。
事故預防
作為一個高度監管、注重安全的行業,航空業有著相當高的事故預測、減輕、處理和恢復能力。這種能力在人員、流程和技術的所有方面都有體現。在成功預防了某個事件後,航空業會鼓勵相關人員公開且誠實地敘述當時的情況,並將這些信息廣泛傳播,互相學習。這一積極的飛行安全文化成功地將航空從業人員變為人類感測器,他們會不斷地尋找安全問題、報告問題、修復問題並向其他人學習。航空業在分享事故、事件或近似差錯數據細節上高度合作,整個行業都有著相同的目標,即絕對不能讓同一事故發生第二次。
可以說,網路安全行業正在努力達到同樣的共享和學習水平。隨著網路安全逐漸融入航空業,它必須適應航空業現存的共享文化。儘管常常有人呼籲要共享網路安全數據, 但在這兩個行業中,只有展示了分享的價值後,分享實踐才會提升。在航空業中,這一價值非常明顯,降低風險的責任感貫穿整個行業。只有公正的文化,即在發生人為錯誤或失誤時,重視並保護誠實和公開,才能確保快速和廣泛的飛行安全學習。同樣的原則也必須適用於網路安全和保障方面。
在交付安全和保障系統時,交付組織必須對其產品或服務的安全性或保障性進行多次評估。總的來說,航空業根深蒂固的獨立審查和評估原則是非常有效的,但在未進行審查或審查獨立性受到損害的情況下,也發生過幾次事故。隨著航空生態系統逐漸開始網路安全的標準化工作,航空業也已經了解了獨立審查的價值,這可能是一個很好的起點。
飛機經過認證後,我們就可以知道其弱點和限制。然而,對於網路技術來說,其弱點會隨著時間的推移而變化。因此,很可能需要定期進行獨立安全審查。在網路安全行業,獨立評估的價值正在通過諸如「漏洞獎勵計劃」、「滲透測試」、「紅色團隊」等項目逐漸凸顯出來。一些航空公司已經在推廣這些項目,這一努力應該得到讚揚和支持。不過,航空網路安全不僅僅在於技術。必須通過覆蓋整個組織層次結構的措施來增強對技術的審查。這將幫助高級管理人員審視自己的假設,並更好地定義物理安全與信息安全之間的界限。
事故應對
儘管各方都在努力使航空業儘可能安全,但事故仍時有發生。同樣的,儘管人們努力使網路行業儘可能安全,重大事件仍然存在。隨著航空和技術的逐漸融合,在某個階段,網路安全事件就會影響到關鍵航空服務,即使人們努力確保了這些系統的安全。航空生態系統應做好準備,調查航空事故或事件的網路安全方面。在事情發生後再開始考慮調查方法將為時已晚。時間將是學習、適應和保護全球航空業的關鍵。在航空業中,美國國家運輸安全委員會(NTSB)、英國空難調查分支(AAIB)以及全球其他類似組織都可以對航空事故或事件進行獨立調查。儘管在網路安全行業中有過建立類似機構的討論和呼籲,但此類機構目前還不存在。隨著飛機、ATM 和機場之間的相互聯繫日益緊密,調查事故或事件的網路安全方面將成為調查工作的重頭戲。
在事故發生後,對事故發生的地理區域有管轄權的國家組織將負責進行調查。這可能意味著,要調查一場事故,某個國家能夠請求獲取與調查相關的軟體、數據、網路日誌以及其他信息。很少有網路安全事件會被第三方的、潛在的國際組織所調查。如今,相關政策尚未通過,不僅在事故調查的物理安全與信息安全方面(單獨的調查可能會引起分歧)存在分歧,在國際上也同樣存在分歧。
面對著這一新興挑戰,我們目前尚不清楚NTSB / AAIB 或類似的調查小組擁有或需要具備哪些網路調查能力。如果網路方面的調查遭受到延遲、混亂或阻礙,這隻會廣泛降低利益相關者對航空業以及調查結果的信任。要保持人們對調查的信任,網路安全調查的速度、廣度和深度需要與物理安全調查相對應。
政策和規範
航空業制定了一種自上而下的方法來推行全球運行安全相關的標準和公約,使不同的運營商商和國家合作起來;這意味著各方可以充分理解要求,全球和國家的治理也很明確。儘管已經開始制定,在航空網路安全領域,許多國際標準和公約還沒有正式頒布。這可能會推遲國家戰略的制定和調整,例如,英國民用航空管理局(UK Civil Aviation Authority)的航空網路監管戰略,就旨在確定其在「現有歐盟/ 英國/ 國際法規下的網路安全責任」。在歐洲,即將發布的關於網路和信息系統安全的《NIS 指令》(NIS Directive)可能會幫助航空組織了解它們的需要,但這需要一些時間。在《NIS 指令》中,航空運輸部分看起來相當全面,包含了對航空公司、機場管理機構和(航空)交通管理控制運營商的要求 。哪些運營商應在《NIS 指令》『範圍內』 需要仔細考慮,因為有些機場每年的乘客少於1000 萬,它們可能不需要遵守指令。
這可能會導致規模相對較小的經營者和供應商被排除在外,但其潛在的影響仍不可忽視。此外, 在2017 年11 月16 日, 歐洲航空安全局(EASA)發表了關於民用航空網路安全的高層努力的《布加勒斯特宣言(Bucharest Declaration)》。《宣言》以「保護歐洲航空系統免受網路威脅」為重點提出了若干目標,例如歐洲內部協調、國際合作、信息共享、風險評估、提高認識和研究。此外,人們也渴望國際上各法規能夠協調一致,強調儘管作為一個超國家機構,面對這些挑戰,我們需要施行更廣泛、更全面的方法。
美國推動航空網路安全的努力包括之前討論過的《網路空氣法案》(Cyber Air Act)以及更清晰的《國土安全》(DHS)指南,它們共同確保著關鍵交通基礎設施的安全,並已經顯示出強大的主動性和行動力。雖然上述法案和指南在GAO 關於GPS、ATM 和ATC 漏洞等話題的搜索報告背後,但上述努力顯示了美國對網路安全挑戰的認識,更重要的是,它顯示出高層越來越重視找到解決方案。
此類改善航空網路安全的國家和地區努力將促進對話的多樣性。但隨著各州和地區努力了解挑戰,找出方法,繼續保持在航空業中如此成功的國際標準統一至關重要。
國際民航組織(ICAO)旨在「制定國際空中航行的原則,開發技術,促進國際航空運輸的規劃和發展」,以「確保世界各地國際民用航空的安全和有序發展」。有了這些目標,民航組織無疑需要承擔制定全球航空安全標準的責任;然而,如何推動標準向前發展,卻稍微複雜一些。要做到這一點,民航組織必須找到一個與挑戰相對應的政策工具。前文提到的ICAO 與夥伴國家一同制定的航空網路安全框架,就將對標準制定有很大的幫助,但其他工具也可能幫助制定全球標準。
於1947 年簽署的《芝加哥公約》「旨在以安全有序的方式發展國際民用航空」。其更新反映了行業和技術的發展(例如,第8 條強調了無人駕駛飛機需要特別授權),《公約》著重於如何在全球範圍內保持行業秩序和一致性,以促進合作和發展。這在第37 條中體現為,各國承諾「最大限度的在規定、標準、程序和組織方面進行合作」。如果《芝加哥公約》為航空安全制定了全球安全標準,其中的附件17 則很大程度上與網路安全相關。
《公約》的附件17 集中於安全以及通過防止「非法干擾」飛機來保證飛行安全。附件目前關注的是物理干預,但正如本報告所探討的那樣,通過網路手段進行非法干涉已成為現實。在附件17 中加入網路角度可以通過類比現有的物理干預內容來完成,尤其是要認同網路手段非法干擾的同等重要性。
因此,如果有哪份文件能夠促進並制定全球航空網路安全標準,那就是《芝加哥公約》的附件17 了。通過修訂附件17 反映航空業越發相互連接的現實,不僅會促進國家間制定全球航空網路安全標準的一致性,還將促進不同利益相關者群體之間的對話與合作——這將決定未來的成功與否。
航空網路安全與保障的基礎
連貫且系統的思考、治理和問責
航空業是一場複雜的國際芭蕾,由成千上萬的人使用不同成熟度的不同系統來運作。這一系統的系統本身的設計並不是為了防範潛在的攻擊者,出於對安全、效率、利潤和多種系統管理的關注它才逐漸成熟起來。前文提到的IT 故障事件已經表明,這一系統容易受到中斷的影響。
正如報告所探討過的,飛機、ATM 和機場在組織、國家和全球各級的複雜性和相互依賴程度是相當大的。我們可以很容易地看到鏈中的薄弱環節應如何發展。
在一個相互關聯、相互依賴的系統中,薄弱環節可能會被忽視,造成不成比例的影響。網路安全中的一切都表明,攻擊者將瞄準薄弱環節實現攻擊目標。在提高航空網路安全的努力中,發現並保護系統中的薄弱環節,無論這一環節是在運行過程還是在供應鏈中,這不僅是一項基本要求,也是對治理和問責的關鍵考驗。
在全球航空生態系統中,無論薄弱環節在哪裡,都需要自上而下的領導來改善治理和問責。這會強化ICAO 與國家監管機構共同的努力,即決定航空業應如何應對網路風險並向所有利益相關者傳播最佳實踐和流程。這項活動不僅會加強對網路安全風險的管理,還可能大大明確和簡化航空業利益相關者的法規負擔。
系統韌性
飛機系統的設計旨在安全化解故障。面對強大的攻擊者,「即使正確實施了所有必要的安全防禦措施,持續監視並確保補丁的應用和漏洞的修復,有能力的攻擊者仍然可以破壞IT基礎設施。」對於未來破壞和潛在故障的假設,使人們更加關注如何持續保證操作和業務流程安全,不管攻擊者企圖實現什麼或者已經破壞了什麼。
社區應急響應小組(CERT)風險管理模型將運行韌性定義為「組織的緊急屬性,在運行的壓力和干擾下仍可以繼續執行任務,且不超過其運轉極限。」從這個定義中,我們可以區分網路安全(攻擊防範)和網路韌性(安全承受攻擊造成的壓力和干擾)的區別。兩者都同樣重要且值得推廣。
第39 屆ICAO 大會的一份工作報告強調了網路韌性的重要性。報告承認網路事件的可能性近幾年在逐步增加,並呼籲國際民航組織「為航空系統制定全球統一的網路韌性方法」。
這樣一種全球性的方法將大大有助於平衡保障的要求與韌性的現實需要。
信任韌性
利益相關者信任在航空網路安全挑戰中非常重要。在飛行作為一種旅行方式被廣泛接受之前,商業航空的起步並不容易。航空業走過了從「非常不信任」到在全球建立信任基礎的歷程。但信任很難掙得並容易丟失。到目前為止,對安全的絕對關注已經成功地培養並保持了人們對該行業的信任,儘管「線上」社會頭條新聞的影響力使壞消息的傳播速度如此之快,以至於信任可以被很快侵蝕。
航空生態系統必須同時考慮網路安全和建立信任的挑戰。如果有索賠針對航空系統或飛機時,獲得所有利益相關者的信任可能會很困難。在未來,迅速調查潛在問題,更重要的是,展示潛在的影響和措施將是航空業的一項基本技能。這將需要航空業擺脫隱藏式安全,能夠向利益相關者和乘客證明為什麼應該且可以信任他們。
不管關鍵軟體的安全性有多好,如果攻擊者能夠動搖信任,他們就有能力控制乘客體驗、觀點和信心。如果乘客或監管機構有足夠的理由以任何一種原因質疑飛機、系統或機場,運營商必須反駁這種看法,重建信任。重建的時間越長,經營者在利益相關者眼中的可信度就越低。
人為決策保障
人類操作人員是安全鏈上的最後一個環節,他們作出並執行及時、明智和安全的決策的能力是航空安全的基石。保護這種能力免受數據完整性攻擊和攻擊者顛覆的風險是必要的。整個航空業中都貫穿著幫助人類在正確的時間做出安全的決定的技術。只要能夠得到正確、及時的信息,人們就可以根據訓練採取相應的行動。然而,如果信息不正確、太快或太遲,就會使決策變得困難,發生錯誤的可能性也隨之升高。系統能力的降低、工作量的增加以及額外的干擾都可能導致嚴重的錯誤。
人為錯誤或技術故障都是不可避免的,但所有的航空系統都是為了幫助人類操作員在影響安全之前發現並處理事故或事件。因此,對技術進行保護的同時,也必須保護提供給操作人員的數據的完整性,以便他們做出安全的決策。
現在,操作人員可能不得不在潛在攻擊者的干擾或顛覆過程中做出決策,航空業必須考慮到,操作人員,如機組人員或空中交通管制員,應該在何種程度上參與到網路安全中,或是繼續集中於自己的主要角色。我們必須考慮如何在良好的系統設計和依賴終端用戶之間找到正確的網路韌性平衡。儘管如此,航空操作人員在應對失敗、機械或其他方面都很精通。
學習如何應對各種各樣的網路攻擊將是一個不同的挑戰,需要相應的訓練。國際航空飛行員協會聯合會(International Federation of Air Line Pilots "Associations)已經強調了這一倡議的重要性,呼籲進行對飛行員培訓,幫助他們識別網路攻擊 。
共同觀點和文化
合作的重要性不可低估。即使不共享知識和觀點,航空和網路安全產業之間也有巨大的文化交流潛力。
我們已經談到,航空業是一個系統的系統,漏洞很可能反映在多個地區、國家或服務提供商之間。全面且及時的信息共享將會減少系統風險,因為一旦漏洞被發現,修補所有漏洞就變成了與時間的賽跑。
共享有關漏洞和威脅的敏感信息不是一件容易的事情。美國和歐洲都在建立與航空業相關的ISAC。參與組織可以通過中心獲取有關漏洞的信息和威脅情報,幫助它們更好地管理網路安全風險。
對於這些組織來說,關鍵的驅動因素是尋找並開發有價值的建議,並將其傳播到受信任的集體中,因為信任程度各不相同,就會存在一定程度的威脅和漏洞共享分層。有研究正在分析如何加速建立信任,但從根本上說,建立信任需要投入時間、精力和加強合作。例如,航空信息共享和分析中心(A-ISAC)正在探究國家航空和空間管理局(National Aeronautics and Space Administration) 和俄羅斯之間的合作,將其作為各國應如何在有著嚴格的安全要求的複雜技術項目中合作的例子。A-ISAC 已經參與了一些事件,其快速分享知識的能力已經成功地幫助多個國際利益相關者減輕了風險。A-ISAC 也是最佳實踐的中心聯絡點和網路安全力量的放大器。新設立的歐洲航空網路安全中心(European Center for Cybersecurity in Aviation)與A-ISAC 有類似的目標,它與歐盟CERT 相連 。這些組織的目標是提高協作水平,使分享更有價值,不管利益相關者的文化觀點如何都可以相互學習。
在航空業的所有活動中都貫穿著一種強大的安全文化。當它與IT 行業交織在一起時,一個關鍵的需求將是理解和克服團隊之間的文化差異。建立共享文化,使兩個團隊之間能夠協同合作,共同審視挑戰並尋找潛在的解決方案,這需要跨領域學習和文化方法分享。共同的觀點和願景將會提高人們對風險的認識並增強韌性。
未來建議
所有利益相關者的下一步行動:
加強領導和標準化(全球、全國、區域等)
挑戰——攻擊者的能力只會隨著航空業對連接技術的採用和發展迅速增強。這使個人、組織和國家在面對挑戰時都需要努力管理和規範風險。
行動——作為應對航空網路安全挑戰最資深的航空機構,ICAO 應提供應對挑戰的建議,並制定明確的要求,用於全球航空領域的網路安全和網路風險的治理和問責。這些考慮應被正常化,像ICAO 其他防止非法干擾的公約,如《芝加哥公約》的附件17 一樣。
建議航空網路安全與保障共識
挑戰——維護系統安全的治理和問責主要被視為安全職責。在複雜的關鍵系統(與多個供應商)之間,如何實施風險所有權和問責就形成了挑戰。物理安全責任與信息安全責任之間的任何混淆,都有可能掩蓋真正的安全風險。
行動——航空業必須確保網路安全和保障的治理和問責能夠被充分的理解、定義、健全並納入現有的SMS 服務。這必須加強而不能削弱現有的有效SMS 服務。這種方法在全球範圍內的標準化程度越高,整個航空業對相對真實風險的認識就越深刻。
重新評估、開發並使用健全的威脅模型
挑戰——航空業硬體壽命和軟體補丁周期都很長,威脅形勢變化快。在評估威脅,制定風險模型時,無法確定潛在攻擊者的能力或動機。
行動——航空網路威脅模型必須在產品或系統的整個生命周期中更好地囊括並預測攻擊者的能力、動機和變化。這一活動需要政府、航空業或獨立研究人員等利益相關者的共同合作。
向利益相關者傳播有關網路安全風險的信息
挑戰——在網路安全風險上,航空業沒有一個一致的立場。一些利益相關者仍然宣稱系統不可能受到攻擊。在攻擊事件發生後,可能很難轉變利益相關者的觀點,恢複信任。
行動——對於網路安全風險和措施,航空業必須傳遞明確、實際且一致的信息。這將需要團結利益相關者,建立解決問題的共同責任感,而不是捍衛沒有事實依據的立場。
建立非技術受眾信任
挑戰——多年來在安全上的改進意味著,在很大程度上,利益相關者目前是信任航空業的。圍繞網路韌性的信任挑戰在於,大部分受眾都是沒有技術知識的。物理安全和保障措施通常是可見且有形的,這使得利益相關者更容易理解和建立對它們的信任。網路安全技術的複雜性意味著建立、溝通和保護信任將會更加困難。
行動——航空業必須建立非技術乘客和利益相關者對其網路安全的信任。這種信任必須建立在網路韌性的基礎上,輔以可證明的措施。這種信任越強,網路事件或索賠的影響就越小。
提高安全更新的速度
挑戰——在航空關鍵系統中安裝硬體和軟體安全更新是一個漫長的過程。隨著航空業連通性的不斷增加,漏洞的發現只是時間問題,任何試圖掩蓋漏洞的嘗試都將失敗。對比其他採用了聯網技術的行業經驗表明,一旦發現漏洞,就應迅速有效地修補漏洞以降低風險,這對服務和安全影響的降低至關重要。
行動——對於硬體和軟體的安全更新,應提高制定和實施航空業最佳實踐的速度。應想辦法在縮短補丁周期(包括安全更新)的同時彌補漏洞。也應額外考慮如何更改現有認證政策和系統設計,協助提升更新速度。
通過系統和過程設計捕獲網路安全相關數據
挑戰——對於眾多相互連接的航空系統,目前卻很少有相關公開信息、指標或記錄,很難認定和評估損害指標(Indicators of Compromise,IoC),更不用說補救或保障了。正如許多聯網行業所發現的,預防是理想的,但檢測是必須的。關鍵數據的公開度不高或在調查結果上缺乏合作,將使我們很難了解航空業所面臨的網路安全挑戰的規模。
行動——無論系統有多複雜,航空業都需要建立數據捕獲能力,以檢測硬體和系統中的攻擊者活動(IoC),無論是這些活動是在操作中還是在供應鏈上。還必須考慮到事故後管理調查的獨立性和嚴謹性,並對任何事故或事件的潛在網路安全問題進行調查。
跨多個學科的安全訓練
挑戰——在安全方面受過充分訓練的航空人員,也有可能必須在網路攻擊行動的干擾下工作。他們目前還沒有接受過如何發現、評估這種情況或作出適當反應的訓練,這大大增加了任何攻擊行動的潛在影響。同樣,網路安全人員也還未經受過航空操作細節的訓練。
行動——航空業必須制定合適的訓練和方法,使所有人員具備識別攻擊活動和維持操作安全的技能。相應的,網路事件響應人員也必須接受培訓,在時間緊迫的情況下支持航空操作安全。如果能將課程迅速反饋到更廣泛的航空生態系統中,這種訓練可能會特別有價值。
事故和事件調查中納入網路視角
挑戰——航空事故和事件通常會由國家機構進行徹底且客觀的調查。這些調查的集中在事件重演上,找出根本原因,這樣行業的其他成員就可以避免同樣事件的發生。如何將網路安全納入到這些調查中——或甚至必要的數據是否可用——是未知的。
行動——應調查並提出最佳實踐,以便對航空事故和事件中的網路安全問題進行適當的調查。此外,調查不僅應該關注組織結構、機構和技術,還應致力於改進航空系統設計,使調查及時,取證可行。
為便於排版,已省去原文注釋
作者 >>>
皮特·庫珀,英國獨立網路安全顧問,大西洋理事會(Atlantic Council)網路國家戰略計劃非常駐高級研究員,研究方向網路戰略行動。
編譯>>>
韓曉涵,上海社會科學院互聯網研究中心研究助理,研究方向為網路安全與治理。
(本文選自《信息安全與通信保密》2018年第二期)
原創聲明 >>>
本微信公眾號刊載的原創文章,歡迎個人轉發。未經授權,其他媒體、微信公眾號和網站不得轉載。
