美欧同时警告卫星通信网攻威胁:俄乌军事冲突致卫星网络攻击风险飙升
2022-03-21
来源:互联网安全内参
CISA当地时间17日发布警告称,该机构意识到美国和国际卫星通信 (SATCOM) 网络可能面临的威胁。成功入侵 SATCOM 网络可能会给 SATCOM 网络提供商的客户环境带来风险。CISA建议卫星运营商开始在入口和出口点监控异常流量,包括使用各种远程访问工具(Telnet、FTP、SSH等);连接到“意外”的网段;未经授权使用本地或备份帐户;终端或封闭卫星通信网络的意外流量;蛮力登录尝试,等等异常状况。CISA警告说,与此同时,卫星客户应在其帐户上实施多因素身份验证 (MFA),并应为卫星链路服务的任何敏感区域支持最小特权方法。同一天,欧盟航空安全局 (EASA) 在俄罗斯军事打击乌克兰的当前背景下发布了一份安全信息公告,警示当前飞机使用的卫星导航系统面临的安全风险。
该公告发布的同一天,欧盟航空安全局 (EASA) 在俄罗斯入侵乌克兰的当前背景下发布了一份安全信息公告。该公告涵盖了全球导航卫星系统 (GNSS) 干扰和/或可能的欺骗问题在冲突区和其他地区周围的地理区域有所加剧。
网络安全和基础设施安全局 (CISA) 和联邦调查局 (FBI) 的联合警报强烈鼓励“关键基础设施组织和其他作为SATCOM 网络提供商或客户的组织审查和实施本CSA中概述的缓解措施,以加强SATCOM网络网络安全。
已要求卫星通信网络提供商和客户使用安全方法进行身份验证,通过授权策略强制执行最小特权原则,并审查信任关系,因为众所周知,黑客利用提供商与其客户之间的信任关系来访问客户网络和数据。
该公告还建议在从卫星通信提供商租用或提供的所有通信链路上实施独立加密。它还试图加强操作系统、软件和固件的安全性,以便建立健全的漏洞管理和修补实践,并实施严格的配置管理程序。
卫星通信运营商还被要求监控网络日志中的可疑活动和未经授权或异常的登录尝试,并将流量整合到现有的网络安全监控工具中。该公告还建议审查终端背后的系统日志以查找可疑活动,将系统和网络生成的日志提取到企业安全信息和事件管理 (SIEM) 工具中,并扩大和加强对使用此类网络的网段和资产的监控。它还建议制定事件响应、弹性和连续性运营计划。
Tripwire战略副总裁Tim Erlin在电子邮件声明中写道,组织应该认真对待CISA 的这些建议。它们为特定行业的威胁加剧提供了有用的指示,受影响的组织应根据共享的信息采取行动” 。很高兴在CISA的建议中看到检测和预防的平衡。包含配置和漏洞管理说明除了在攻击发生时检测攻击外,还需要加固系统。事件检测和响应是全面网络安全计划的重要组成部分,但它们必须与识别您的资产并应用有意义的保护的能力相结合。
Rapid7的首席安全研究员Andreas Galauner指出,在美国,关键基础设施很可能是此类攻击的目标。几乎没有私人使用卫星通信,因为它成本高昂,而且延迟又高又慢。这属于工业和关键基础设施,这使得SATCOM成为一个有吸引力的目标。
KnowBe4的安全意识倡导者James McQuiggan做出了类似的评估。他指出,无论是家庭之间还是政府之间,通信都是当今生活中需要的一个关键要素。“如果失去通信能力,制定战略、协调或计划就会变得具有挑战性。当网络犯罪分子瞄准关键基础设施的这一要素时,网络弹性对于保持联系至关重要。使用SATCOM 品或服务的组织需要确保通过多因素身份验证保护对设备的访问。确保所有系统都是最新的软件和固件更新,加强对流量和日志的监控,并审查事件响应计划以准备中断。所有类型的ISP都应该保持警惕。尽管这种特殊的风险与卫星通信网络有关,但以前在‘正常' ISP中也发生过这种情况。McQuiggan举例说,被'pwned’的是CPE:调制解调器和路由器没有被ISP正确配置。这可能发生在 DSL和电缆线路上,就像这里发生的一样。然而,一个可能跨越巨大地理区域的卫星网络可能允许攻击者执行更广泛的攻击,而不必在物理附近。
鉴于当前的地缘政治形势,CISA的”Shields Up“倡议要求所有组织大幅降低报告和共享恶意网络活动迹象的门槛。此外,安全机构将在新信息可用时更新公告,以便卫星通信提供商及其客户可以采取与其环境相关的额外缓解措施。
EASA公告警告国家航空当局 (NAA)、空中导航服务提供商 (ANSP) 和航空运营商可能会导致导航/监视性能下降的GNSS中断。
该公告显示,Eurocontrol、分析师网络和 EASA 分析的开源数据报告表明,自2月24日以来,GNSS欺骗和/或干扰加剧的四个关键地理区域。其中包括波罗的海周边的加里宁格勒地区和邻国;芬兰东部;黑海;以及靠近塞浦路斯、土耳其、黎巴嫩、叙利亚、以色列和伊拉克北部的东地中海地区。
EASA公告强调,飞机在飞行的各个阶段都观察到了全球导航卫星系统干扰和/或可能的欺骗的影响,在某些情况下,由于无法执行安全着陆程序,导致重新航线甚至改变目的地,”公告说。“在目前的情况下,无法预测GNSS中断及其影响。此类中断所产生问题的严重程度将取决于相关区域的范围、受影响飞机的持续时间和飞行阶段。
确定GNSS信号衰减可能产生的一些潜在问题后,EASA列出了使用GNSS进行航路点导航的能力丧失和区域导航 (RNAV) 进近能力的丧失。此外,它还检测到无法执行或维持所需导航性能(RNP)操作,包括RNP和RNP进近,以及触发地形警告,可能使用上拉命令。
该机构还认识到导航显示器上的飞机位置不一致、自动相关监视广播 (ADS-B) 丢失、风切变、地形和地面功能、ATM/ANS/CNS 和使用 GNSS 作为飞机系统的故障或退化时间参考,以及由于 GNSS 退化导致的潜在空域侵犯和/或路线偏差。
为了解决已发现的问题,EASA向NAA、ANSP和航空运营商提供了一份建议的缓解措施清单,并建议他们采取适当的行动。
此前美国国家安全局的一份声明指出,俄乌战事开始前发生的Viasat黑客事件现在也被美国政府调查为潜在的俄罗斯国家支持的网络攻击,并指出跨机构和联盟的努力(包括法国 ANSSI 和乌克兰情报部门)以”评估网络攻击的范围和严重性“。事件。”
正如美国有线电视新闻网首次报道的那样,美国国家安全局证实,它“知道有关潜在网络攻击的报道,该攻击导致数千个从卫星网络接收数据的非常小孔径终端断开连接”。
乌克兰国家特殊通信和信息保护局 (SSSCIP) 的 CDTO(首席数字化转型官)维克多·佐拉(Victor Zhora)多次表示 ,卫星被黑在战争一开始就造成了巨大的通信损失。