Viasat衛星網絡攻擊案例警示：衛星通信系統網絡安全防御能力如何建？

從歷史上看，空間系統的基本問題是，它們在設計時假設在邊界有保護就足夠了。如果突破了邊界，內部保護幾乎不存在。當前和未來的空間系統設計必須克服對手突破邊界的風險，并使用深度防御(DID)原則在系統內部不受阻礙地操作。無論是大型的傳統既有系統，還是更現代的快速發展的空間系統(即新空間)，都應該確保它們具有網絡加固設計，并實現這些原則。

對于一個空間系統來說，DID戰略依賴于多層安全來保護任務關鍵資產。該方法包括采購、安全供應鏈、空間系統加固和監控、安全軟件開發、入侵檢測和預防、文化、人員等，以創建多層的安全控制。再次回顧圖1并應用DID策略，需要在用戶段、地面段、鏈路段和空間段應用安全控制，以確保整個系統具有健壯的安全架構。如何構建衛星通信網絡的安全防御能力？至少有幾個方面的努力是可以嘗試的。比如在空間部分應用防御機制，專注于加密和認證、星載入侵檢測和預防、網絡彈性測試、供應鏈風險管理和星載日志。

1、 加密與認證

對航天器發送和接收的數據進行加密，可能被視為空間系統內部的第一道防線，允許只有使用加密密鑰的其他人才能看到的私人通信。當數據被攔截、拒絕服務式攻擊和未授權訪問空間系統時，加密可以有效防止機密性的損失。對上行命令的星載認證可以幫助識別惡意干擾，避免衛星失去控制。具體來說，對C2鏈路進行加密對于確保衛星的指揮和控制以及避免成功攻擊的潛在后果至關重要。

盡管所有軍用衛星都使用某種形式的加密，但目前尚不清楚有多少公共和私人衛星使用這種安全技術。空間資產社區經常應用開發人員確定的“相關”安全技術，這產生了各種加密實踐。一些衛星正在使用NIST(美國國家標準與技術研究所)最新的高級加密標準(AES)，而另一些衛星則推出了自己的加密標準。一個使用非AES的衛星的例子是中國的一顆衛星，它使用量子密鑰分配(QKD)進行加密通信。QKD是一種利用亞原子粒子的特殊量子行為(稱為“糾纏”)發送加密密鑰的方法，至少在理論上是完全不可破解的。包括英國公司ArQit在內的幾家西方公司也在研究下一代加密技術。它的發展被認為是必要的，以解決當前加密技術的弱點，面對快速增長的計算能力。雖然這種復雜的加密技術對許多太空資產來說是不必要的，但很明顯，這種先進的安全技術確實可以用于衛星。

2、星載入侵檢測與防御

航天器的支柱應該是一個健壯的入侵檢測系統(IDS)。IDS應該包括對遙測、命令序列、命令接收狀態、共享總線流量、飛行軟件配置和運行狀態的連續監控。從遙測監測的角度來看，存在的幾個參數具有指示對航天器的網絡攻擊的最高可能性，應該在地面和航天器上使用IDS進行積極監測。

對檢測到的事件的響應可能因威脅的性質而異。違反不嚴格的規則或越過較低的評分閾值將觸發遙測系統向地面操作員發出警報，警告內容包括違規行為、造成違規的原始數據和建議的行動方案。如果發生嚴重違反規則或越過更高閾值，航天器的入侵防御系統(IPS)將采取自動行動，可能包括切換到冗余側，隔離命令序列，重新加載飛行軟件，和/或停止可疑單元。

IPS系統應該集成到現有的機載航天器故障檢測隔離和恢復系統(FDIR)中，因為FDIR內置了自己的故障檢測和響應系統。集成這兩個系統可以確保它們不會采取沖突的行動。

最后，航天器IPS和地面應該保留將航天器上的關鍵系統恢復到已知的網絡安全模式的能力。這是一種操作模式，在此模式下，所有非必要系統都將關閉，航天器將使用經過驗證的軟件和配置設置置于已知良好狀態。默認的網絡安全模式軟件應該存儲在基于硬件控制的航天器內存中，并且不能被修改。

3、網絡攻擊彈性測試

航天器(尤其是它們的軟件)需要從一開始就為適當的安全級別設計，并在發射前對系統進行網絡彈性檢查——而不是一旦進入軌道，就沒有合理的恢復選擇。

網絡攻擊彈性測試是實現這一目標的一種新方法，通過它，開發人員可以在現實環境中精確復制他們的航天器、地面站和通信網絡，從而使他們能夠經受惡意的網絡攻擊，并由網絡專家評估其脆弱性。ManTech公司在2020年推出了一項名為Space Range的服務。它的測試人員能夠找到隱藏的漏洞、錯誤配置和軟件bug;讓開發者有機會在系統啟動和投入運行前加強系統，以抵御網絡攻擊。2019年，歐洲航天局(ESA)在比利時ESEC建立了一個網絡訓練場，計劃成為歐洲網絡安全服務參考中心。該系列為其員工和合作伙伴提供培訓和測試，旨在開發意識、檢測、調查、響應和取證方面的知識，以反擊特定于空間系統的網絡攻擊。

雖然并非所有航天器開發人員都可以使用專門的網絡安全范圍，但如果在設計階段考慮到空間系統對常見形式的網絡攻擊的彈性，這可以作為一種有效的預防措施，導致系統一旦運行，就會更加加強網絡安全。

4、供應鏈風險管理

航天器開發人員實施供應鏈風險管理計劃至關重要。他們必須確保他們的每個供應商適當地處理硬件和軟件，并有一個商定的托管鏈。關鍵單元和子系統應該用不同于非關鍵單元和子系統的嚴格程度和要求來標識和處理。零件應該從有信譽的供應商采購，并檢查假冒的跡象。

航天器上的所有軟件都應該通過配置管理和安全軟件開發流程進行徹底的審查和適當的處理。這可以包括使用安全編碼標準或原則，以幫助減少非預期的弱點。軟件經常利用第三方代碼，這可能會給系統帶來漏洞。主要的集成商必須對通過使用第三方代碼而引入的所有安全缺陷負責。至少，這意味著通過可信的方法獲取代碼，并更新到修復安全漏洞的新版本，理想情況下包括掃描和測試第三方軟件的安全漏洞。

5、星載日志系統

日志記錄是在一段時間內收集和存儲數據的過程，以便分析系統的事件/動作。例如，命令接收器的輸入參數可能用于異常調查。該技術能夠跟蹤數據、文件或軟件存儲、訪問或修改的所有交互。因此，任何入侵企圖或其他網絡攻擊的跡象都將被記錄下來，以供進一步調查。

航天器和地面都應獨立執行命令記錄和命令序列異常檢測以進行交叉驗證。接收到的命令可以通過遙測技術存儲并發送到地面，并自動檢查發送和接收的命令是否一致。

專家稱俄烏軍事沖突正在給商用空間系統一個“互聯網時刻”。即衛星讓世界前所未有地瞥見了這場殘酷的戰爭，地理空間情報現在正迎來互聯網時代，俄烏沖突后很長一段時間內商業太空行業預計迎來高速發展。戰爭爆發時，政府從Maxar、BlackSky和Planet等公司購買的烏克蘭商業近地軌道圖像增加了一倍多，這些圖像很快與美國歐洲司令部、北約和烏克蘭的官員分享。隨著能力的提高和成本的下降，對商業情報和監視的需求將繼續飆升。國防和商業部門對數據有著持續不斷的剛性需求。也有專家將將商業衛星在烏克蘭上空的使用比作二戰工業革命期間大規模生產的興起，或第一次海灣戰爭期間GPS技術的首次主要軍事用途。同樣，Viasat網絡事件也暴露出衛星通信系統的諸多隱患，該行業的網絡安全也應列入優先重大發展事項。

文章來源：網空閑話