失控的無人機可能成為新的網絡攻擊殺手
CSO在線4月20日刊文的稱,越來越多的商業用途和很少的內置防御使無人機成為惡意行為者的有吸引力的目標。關鍵基礎設施運營商、執法部門和各級政府都忙于將無人機納入其日常運營。無人機正被用于支持傳統基礎設施以及農業、公用事業、制造業、石油和天然氣、采礦和重工業的一系列應用。無人機制造商和行業最終用戶剛剛開始認識到,其互聯企業的所有要素都具備畢馬威 (KPMG) 戰略和創新負責人Jono Anderson所稱的“強大的能力,包括單架無人機、互聯無人機機隊、云/企業能力,以及它們之間的所有通信。”
無人機是“飛行的計算機”和新的攻擊向量
盡管存在潛在漏洞,但許多無人機系統并未使用更高級別的安全架構。根據Jono Anderson的說法,“在無人機的互聯系統中,無人機內部和周圍不斷增長的通信‘迷霧’會產生多個攻擊向量,可能會暴露單個無人機或整個機隊的關鍵系統,甚至可能暴露整個云和企業。”
盡管無人機為運營商提供了已經證實的眾多好處,但它們也帶來了嚴重的網絡安全風險。無人機本質上是一臺飛行的計算機,就像普通計算機一樣,它們充滿了潛在的網絡威脅。安永技術咨詢高級經理Joshua Theimer說:“組織所做的大部分工作都集中在確保無人機的運行符合外部州級和聯邦法規。” 由于目前采購的許多無人機都是制造商專有的,因此Theimer認為,制定“基礎的組織安全策略”以在使用無人機的生態系統周圍提供適當的安全性至關重要。
網絡安全歷來不是無人機制造商和無人機用戶的主要優先事項。Theimer的評估是,無人機的漏洞仍然“對于那些熟悉該領域的人來說是眾所周知的”。例如,參與無人機逆向工程的人員普遍意識到各種無人機和制造商的漏洞。
當擔心惡意軟件傳播到企業環境中時,Theimer注意到“組織在無人機和與支持這些無人機和企業網絡的其他部分相關的設備之間實施了氣隙隔離”,以確保設備永遠不會連接到企業網絡。
美國網絡安全和基礎設施安全局(CISA)的基礎設施安全項目專家塞繆爾·羅斯特羅 (Samuel Rostrow) 說:“無人機會給組織帶來網絡安全威脅,并帶來數據泄露的風險。”CISA于2019年向關鍵基礎設施行業發布了相關警報,警告外國制造的無人機可能對組織的敏感信息構成威脅。2021年7月,國防部關于DJI系統的聲明再次確認了警報中的信息和指導。
攻擊者如何攻陷并操控無人機?
Orange嵌入式系統安全專家David Armand擔心,除了軍用無人機外,無人機安全投資“與產品成本相比仍然很低。無人機是非常吸引人的目標,因為攻擊成本遠低于娛樂或專業無人機的價值。威脅分為兩類:對無人機的攻擊和使用無人機進行的攻擊。”
從無人機本身提取信息是一個脆弱點。在無人機操作員和無人機本身之間的通信過程中,系統很容易受到攻擊。Theimer指出“允許觀察、中斷或接管命令到控制鏈接的漏洞”。
Armand的研究表明,破壞無人機的軟件或硬件,甚至是控制器(例如手機)都可以通過供應鏈攻擊來實現。他舉了兩個例子:
- 操作3D打印機的螺旋槳設計文件可以讓無人機在打印的螺旋槳分解之前在高空飛行。
- 通過收集手機上收集的信息(用戶和無人機的蜂窩網絡ID和GPS位置),攻擊者可以執行“強制更新”并在沒有用戶控制的情況下執行代碼。
Theimer擔心“今天許多制造商繼承和使用社區開發的軟件包,這些軟件包并不總是為安全而設計或審查的。” 隨著無人機變得更加強大和復雜,漏洞擴散的機會只會增加。
與圍繞使用新興技術的大多數安全考慮一樣,與使用無人機相關的威脅模型和風險分析與組織風險態勢一致通常是最佳方法。Theimer對該行業的目標是“確保與使用無人機和網絡準備相關的風險與組織的安全態勢保持一致。”
無人機供應商需要關注安全性
專注于無人機的網絡解決方案的商業市場仍處于初期階段,因為報告的攻擊數量仍然相對較少。因此,優先考慮無人機安全的需求很低。“很少有組織在網絡安全方面進行重大投資。雖然一些主要的無人機制造商已經進行了重大和有意的投資,這可能是由于美國政府公開審查的結果,但許多無人機仍然不安全。
“公司需要專注于提高產品安全性,特別是與無人機上的平臺軟件相關,以及與無人機之間的通信,以減少無人機被接管或失去指揮權的可能性,畢馬威的”網絡安全負責人Rik Parker表示。“例如,潛在的漏洞可能會延伸到供應鏈中,那里通常有不同的監管點,并且可以依賴開源代碼。這可能導致依賴第三方開發流程來開發關鍵硬件的安全代碼,如果被利用,可能會導致敏感數據和情報丟失或潛在的生命損失。” 鑒于無人機部署的敏感性,他建議供應商為訪問監控和行為分析增加一層覆蓋范圍,以識別潛在的風險或威脅。
Orange對Parrot Corp的產品進行了安全評估。Armand透露,他們“通過 Orange安全專家社區與他們進行了有趣的技術交流”。Parrot解決專業無人機不同級別的網絡安全問題:
- 通過使用多個衛星星座防止GPS欺騙
- 通過使用里程計技術,通過漂移測量計算位置來防止干擾
- 使用蜂窩連接而不是Wi-Fi,為無人機管理提供更安全的無線協議
- 使用安全存儲在安全元件中的設備唯一證書進行無人機身份驗證。
Armand列舉了Regulus、InfiniDome和Septentrio等公司,這些公司擁有可用于檢測、緩解和報告GNSS欺騙攻擊的商業產品。他指出,包括泰雷茲和英特爾在內的大公司也積極參與無人機安全的探討。
無人駕駛車輛系統國際協會執行副總裁邁克爾·羅賓斯(Michael Robbins)認為,商業和國防都專注于“確保數據存儲和傳輸、數據保留和處置、保護無人機操作的數據鏈路以及監控違規或惡意軟件”。他指出,商業和國防之間的區別在于“他們防御的網絡攻擊類型、他們保護的數據和信息,以及有關安全、運營和報告的法律要求。”
無人機安全的法規和控制框架尚屬空白
越來越多的專家認為,需要更好的法規來應對無人機網絡安全挑戰。例如,Parker認為無人機產品“應該受到網絡安全的嚴格控制,以保護無人機產品提供的預期服務的軟件平臺以及通信和控制機制。” 他認為需要新的案例控制框架。
在法規和框架方面目前取得了一些進展。美國白宮于2021年發布了第 13981號行政命令 ,該命令指示聯邦實體評估和限制聯邦政府對“受保護”無人機(如EO中的定義)的使用。CISA 一直在推薦網絡安全最佳實踐 以降低風險,并推動行業專注于符合Blue UAS標準的無人機,這些無人機已獲得國防部認證,符合聯邦網絡安全標準。
為本文咨詢的大多數專家都看到對無人機網絡安全的興趣有所上升。談到更廣泛的網絡安全世界,畢馬威的安德森認為,“它不能再僅僅被視為一項企業挑戰。這是一個更廣泛、更復雜的工程、生產和運營挑戰。它需要新的方法來解決潛在的漏洞,包括軟件和電子設備的滲透,修改與無人機之間的通信,以及它在云或企業中的計算平臺。”
原文鏈接:
https://www.csoonline.com/article/3657608/drones-as-an-attack-vector-vendors-need-to-step-up.html#tk.rss_news
