数字化机场基础设施网络安全-专家如是说!
2023-11-6 15:27:41 Author: mp.weixin.qq.com(查看原文) 阅读量:5 收藏

技术进步和数字化为机场基础设施部门带来了许多优势,同时也为管理这一复杂环境中的网络漏洞带来了挑战。空中交通管制和行李处理等关键系统面临网络威胁和攻击的风险,可能导致航班延误、取消和乘客安全受损。此外,物联网设备和过时的遗留系统的激增加剧了安全漏洞。内部威胁、人为错误和员工培训不足进一步构成重大风险。随着机场数字化和扩大运营,解决这些挑战对于确保安全和高效的旅行变得至关重要。鉴于机场构成重要的国家基础设施,网络漏洞可能会导致超出财务损失和声誉损害的深远后果。典型的攻击方式主有包括:
一是拒绝服务;黑客发起了分布式拒绝服务(DDoS)攻击,例如2022年10月的网络攻击导致美国多个机场网站暂时瘫痪。今年4月,类似的攻击技术也被用于针对印度航空部门。 
二是勒索软件;针对机场基础设施部门的其他一些攻击技术包括勒索软件、内部安全威胁、社会工程机制和对支付系统的攻击。众所周知,网络犯罪分子会发起勒索软件攻击,他们会加密并夺取对数字资产(包括文件和计算机系统)的控制权,向受害者索要赎金以换取恢复访问权限。2020 年 1 月,黑客渗透到与奥尔巴尼机场合作的第三方承包商的网络。随后,他们用恶意软件感染了机场的管理服务器,迫使机场支付赎金才能恢复正常运营。
三是内部破坏;机场基础设施也容易受到内部安全威胁。例如,在希思罗机场,一名员工未能以安全格式存储数据并丢失了包含敏感信息的USB记忆棒,从而带来了安全风险。该U盘后来被一名公众发现。 
四是网络钓鱼;机场员工和客户都面临成为网络钓鱼电子邮件受害者的风险,这些电子邮件通常包含受感染的链接。2020年7月,美国联邦调查局 (FBI)对模仿美国机场网站的欺诈域名发出警告。欺诈者利用这些域名冒充机场当局或附属实体进行欺诈活动,欺骗毫无戒心的客户和供应商。
随着机场基础设施对黑客的吸引力越来越大,专家认为应当从网络隔离、入侵防范、教育培训和网络弹性四个方面进行强化,以从整体上改进机场基础设施的网络安全。实施网络分段可以通过最大限度地减少潜在漏洞的影响来增强机场网络的弹性。此外,运营者应考虑利用入侵检测系统(IDS)和安全信息和事件管理(SIEM)系统,因为它们在及早检测威胁和启用主动防御措施方面发挥着至关重要的作用。 还必须优先考虑全面的员工培训和意识计划,以加强针对社会工程攻击的人为因素。此外,调查健全的事件响应计划的必要性对于确保在发生网络事件时迅速有效地缓解事件至关重要,从而建立一个有弹性的机场网络安全框架。
隔离手段应对复杂网络风险必不可少
航空ISAC总裁兼首席执行官Jeffrey Troy认为,机场在管理和治理结构的多样性方面是独一无二的。“根据您所在的位置,机场可能是私有的、设有董事会的非营利组织、准政府机构、由一个国家的联邦政府所有,或者由一个或多个市政府所有”。
“机场网络项目的成熟度存在很大差异,”Troy评估道。“网络安全成熟度与数字系统所有者有意识或无意识决定接受的风险水平直接相关。这种风险接受包括机场或其供应商拥有和运营的系统,或其某种组合。”
Troy指出,例如,机场可能控制机场的所有网络,但通常会分配一些IT和OT功能。“有时基础设施会租给租户,有时租户会自带基础设施并进行管理。与其他关键基础设施不同,机场可以拥有各种IT、OT和ICS系统。” 
他还指出,机场可以拥有企业系统(电子邮件、数据库、ERP等)、租户零售系统、建筑和设施控制、政府系统以及用于加油站、智能坡道或跑道等的OT系统灯光。“每个系统都支持一项功能,必须对其完成能力进行分析,以了解网络攻击的风险。如果该系统不属于机场,机场必须了解供应商系统中的风险。”
Troy表示,网络分段至关重要,特别是当连接网络中的系统执行许多不同的功能时。“对一个应用程序的破坏可能会使同一网络上运行的所有其他应用程序面临风险。在机场,某些系统会影响乘客和机组人员的安全。例如,将滥用率很高的销售点系统与飞行信息系统或跑道控制等系统分开,对于机场的安全和运营完整性至关重要。”
实施有效网络分段时的一些关键原则和实践,包括理解网络内容对于成功分段至关重要。比如特别注意任何以生命安全为导向的系统,并限制对这些系统的访问和连接;任何高风险的入侵,如零售租户、公共信息亭和/或终端侧互联网访问,在分段时也应受到特别关注。
航空网络安全专业公司Cyviation的首席执行官Aviel Tenenbaum表示,除了在某些方面与关键基础设施相似之外,机场和航空业总体上不断依赖多个参与点——不同的沟通渠道和所需的流程尚未围绕网络安全进行定义。“飞机是确保安全的关键部件,载有‘人员’,是在空中飞行的,不用于处理网络安全。网络事件多次被归类为“技术故障”,因为甚至没有人对飞行员进行网络事件培训。Tenenbaum补充说,要增强这个行业的弹性,还需要做出巨大的努力——实际上,为商业航班提供服务的机场已经做好了稍微更好的准备。
IDS和SIEM系统对机场威胁检测不可忽视
入侵检测系统(IDS)以及安全信息和事件管理(SIEM)系统在检测和响应机场威胁方面发挥着显著的作用。Troy发现,IDS和事件管理系统允许机场的IT人员对其计算环境的威胁子集进行定制查看。这使他们能够快速响应记录的安全事件。如果安全工具配置正确,网络防御者可以在重大中断发生之前响应并缓解事件。
“需要添加到IDS或事件管理系统中的系统数量庞大且种类繁多,这是主要挑战之一。这些监控系统需要规则集和检测,”Troy说。“由于系统的多样性,有时这些规则必须手动编写。监控电子邮件系统与监控楼宇控制系统的潜在入侵有很大不同,并且需要截然不同的集成。第二个挑战是如何在租户租赁基础设施的情况下进行监控,因为这带来了更多的集成挑战以及有关谁监控和响应事件的合同问题。”
Tenenbaum表示“良好的IDS和SIEM–允许检测可能的攻击并根据SIEM定义的预先计划流程减轻攻击。这样,攻击的负面影响可能不会被消除,但肯定会缩短和最小化。”
员工培训对于加强机场网络安全至关重要 
专家们还研究了员工培训和意识在预防机场网络事件方面的重要性,以及培训不足的潜在后果。他们还探讨了机场用于向员工进行网络安全风险和最佳实践教育的策略。
Troy表示,员工培训和意识是预防事故的关键。“每个计算机用户都应被视为任何机场网络安全战略的一部分。用户可能会注意到异常情况、发现网络钓鱼,甚至接到有人试图破坏机场网络的电话。每个安全程序都应该让所有用户都能轻松报告可疑行为。”他补充说,对于机场来说,当涉及互联生命安全系统时,网络安全意识就更加重要。
“机场使用多种方法来教育员工。大多数组织与其他组织培训员工的方式非常相似。桌面演习是一种好方法,它允许机场工作人员完成他们的响应程序,并包括机场的多个利益相关者,”Troy详细说道。“机场还使用传统方法,例如信息电子邮件和帖子、提醒以及有关安全程序的更新。有些人会对其内部员工使用网络钓鱼测试。” 
根据机场的设置方式确定的一项挑战是确保租户进行相同的教育和意识,特别是在有网络和基础设施搭配的情况下。有时机场会让租户参加培训课程,有时会在机场租户合同中概述。
Tenenbaum认为,培训是缓解措施的重要组成部分。如果您知道如何识别攻击和/或识别攻击后该怎么做 –通常您可以极大地限制风险。培训和特定意识是完整缓解周期的一部分。特别是在航空领域和“接触和操作”飞机的人员中,培训应该围绕飞机上可能发生的特定事件,而不是一般的网络培训,这很重要。
通过机场网络安全事件响应计划提升网络弹性
专家们检查了应纳入专门为机场基础设施网络安全设计的全面事件响应计划中的组成部分。他们还评估机场如何保证其响应计划不断更新和测试,以保持应对不断变化的威胁的有效性。
Troy表示,机场基础设施应对计划中应包含多个要素。所有不同的IT系统都需要考虑并持续监控。这包括IT、OT和ICS。由于机场是许多团体备受瞩目的攻击点,因此事件响应计划中还应考虑混合物理网络事件。即使基础设施被分割,机场供应商和租户也应纳入事件响应计划。如果航空公司发生网络事件,由此产生的运营问题可能会对机场产生连锁影响。
他还指出,沟通在任何网络安全事件中都很重要。机场应该成为像航空ISAC这样的信息共享组织的一部分,以协助获取情报信息以协助事件响应,并帮助其他航空利益相关者预防或发现类似的攻击。机场很可能被要求向受监管的政府实体报告此次袭击事件。这应该按照所有要求的时间表和内容来完成。许多私营部门和政府实体都提供了模型事件响应计划。
Troy评估,“机场应每年执行其事件响应计划。这应该在内部完成,或者通过专门从事IR练习的供应商来完成”。“随着利益相关者或基础设施的变化,书面计划也会定期进行审查和更改。此外,还应审查补救计划并执行实际的补救任务,以确保工作人员能够熟练地使系统恢复在线或使辅助系统在线。”
Tenenbaum列出了“活动管理的联络点和所有权”,强调了预先定义的流程——与谁接触,通知谁——与来自监管当局、航空公司、机场、制造商(如果相关)等的所有相关方,并与即将降落或即将起飞的飞机沟通。”
机场的成功网络攻击可能会造成严重后果。它可能导致航班延误或取消、声誉受损、客户信任丧失和财务损失。黑客还可能获取乘客详细信息或航班计划等敏感信息,使个人面临身份盗窃或其他威胁公共安全的恶意活动的风险。因此,网络安全是机场运营的重要组成部分。实施全面的网络安全策略和最佳实践,包括合规控制、风险评估、访问控制、网络安全、端点安全、供应链安全和事件响应计划等等。
参考资源:
1.https://industrialcyber.co/features/establishing-appropriate-mechanisms-to-safeguard-airport-infrastructure-systems-from-cyber-threats/
2.https://www.eucip.eu/2023/04/27/critical-infrastructure-security-good-practices-for-airports/
3.https://cyviation.aero/solutions/#solutionid-2
原文来源:网空闲话plus
“投稿联系方式:孙中豪 010-82992251   [email protected]


文章来源: https://mp.weixin.qq.com/s?__biz=MzkyMzAwMDEyNg==&mid=2247540511&idx=4&sn=d52d02f2cdb2c653958a51170a1a295f&chksm=c1e9d34ef69e5a58c9000b9218eb6fdaba0917c7f89a38f046585ffce972e6f32131d60c039a&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh