CISA當?shù)貢r間17日發(fā)布警告稱,該機構(gòu)意識到美國和國際衛(wèi)星通信 (SATCOM) 網(wǎng)絡可能面臨的威脅。成功入侵 SATCOM 網(wǎng)絡可能會給 SATCOM 網(wǎng)絡提供商的客戶環(huán)境帶來風險,。CISA建議衛(wèi)星運營商開始在入口和出口點監(jiān)控異常流量,,包括使用各種遠程訪問工具(Telnet、FTP,、SSH等);連接到“意外”的網(wǎng)段;未經(jīng)授權(quán)使用本地或備份帳戶,;終端或封閉衛(wèi)星通信網(wǎng)絡的意外流量;蠻力登錄嘗試,,等等異常狀況,。CISA警告說,與此同時,,衛(wèi)星客戶應在其帳戶上實施多因素身份驗證 (MFA),,并應為衛(wèi)星鏈路服務的任何敏感區(qū)域支持最小特權(quán)方法。同一天,,歐盟航空安全局 (EASA) 在俄羅斯軍事打擊烏克蘭的當前背景下發(fā)布了一份安全信息公告,,警示當前飛機使用的衛(wèi)星導航系統(tǒng)面臨的安全風險。
該公告發(fā)布的同一天,,歐盟航空安全局 (EASA) 在俄羅斯入侵烏克蘭的當前背景下發(fā)布了一份安全信息公告,。該公告涵蓋了全球?qū)Ш叫l(wèi)星系統(tǒng) (GNSS) 干擾和/或可能的欺騙問題在沖突區(qū)和其他地區(qū)周圍的地理區(qū)域有所加劇。
網(wǎng)絡安全和基礎(chǔ)設施安全局 (CISA) 和聯(lián)邦調(diào)查局 (FBI) 的聯(lián)合警報強烈鼓勵“關(guān)鍵基礎(chǔ)設施組織和其他作為SATCOM 網(wǎng)絡提供商或客戶的組織審查和實施本CSA中概述的緩解措施,,以加強SATCOM網(wǎng)絡網(wǎng)絡安全,。
已要求衛(wèi)星通信網(wǎng)絡提供商和客戶使用安全方法進行身份驗證,通過授權(quán)策略強制執(zhí)行最小特權(quán)原則,,并審查信任關(guān)系,,因為眾所周知,,黑客利用提供商與其客戶之間的信任關(guān)系來訪問客戶網(wǎng)絡和數(shù)據(jù)。
該公告還建議在從衛(wèi)星通信提供商租用或提供的所有通信鏈路上實施獨立加密,。它還試圖加強操作系統(tǒng),、軟件和固件的安全性,以便建立健全的漏洞管理和修補實踐,,并實施嚴格的配置管理程序,。
衛(wèi)星通信運營商還被要求監(jiān)控網(wǎng)絡日志中的可疑活動和未經(jīng)授權(quán)或異常的登錄嘗試,并將流量整合到現(xiàn)有的網(wǎng)絡安全監(jiān)控工具中,。該公告還建議審查終端背后的系統(tǒng)日志以查找可疑活動,,將系統(tǒng)和網(wǎng)絡生成的日志提取到企業(yè)安全信息和事件管理 (SIEM) 工具中,并擴大和加強對使用此類網(wǎng)絡的網(wǎng)段和資產(chǎn)的監(jiān)控,。它還建議制定事件響應,、彈性和連續(xù)性運營計劃。
Tripwire戰(zhàn)略副總裁Tim Erlin在電子郵件聲明中寫道,,組織應該認真對待CISA 的這些建議,。它們?yōu)樘囟ㄐ袠I(yè)的威脅加劇提供了有用的指示,受影響的組織應根據(jù)共享的信息采取行動” ,。很高興在CISA的建議中看到檢測和預防的平衡,。包含配置和漏洞管理說明除了在攻擊發(fā)生時檢測攻擊外,還需要加固系統(tǒng),。事件檢測和響應是全面網(wǎng)絡安全計劃的重要組成部分,,但它們必須與識別您的資產(chǎn)并應用有意義的保護的能力相結(jié)合。
Rapid7的首席安全研究員Andreas Galauner指出,,在美國,,關(guān)鍵基礎(chǔ)設施很可能是此類攻擊的目標。幾乎沒有私人使用衛(wèi)星通信,,因為它成本高昂,,而且延遲又高又慢。這屬于工業(yè)和關(guān)鍵基礎(chǔ)設施,,這使得SATCOM成為一個有吸引力的目標,。
KnowBe4的安全意識倡導者James McQuiggan做出了類似的評估。他指出,,無論是家庭之間還是政府之間,,通信都是當今生活中需要的一個關(guān)鍵要素?!叭绻ネㄐ拍芰Γ贫☉?zhàn)略,、協(xié)調(diào)或計劃就會變得具有挑戰(zhàn)性,。當網(wǎng)絡犯罪分子瞄準關(guān)鍵基礎(chǔ)設施的這一要素時,,網(wǎng)絡彈性對于保持聯(lián)系至關(guān)重要。使用SATCOM 品或服務的組織需要確保通過多因素身份驗證保護對設備的訪問,。確保所有系統(tǒng)都是最新的軟件和固件更新,,加強對流量和日志的監(jiān)控,并審查事件響應計劃以準備中斷,。所有類型的ISP都應該保持警惕,。盡管這種特殊的風險與衛(wèi)星通信網(wǎng)絡有關(guān),但以前在‘正常' ISP中也發(fā)生過這種情況,。McQuiggan舉例說,,被'pwned’的是CPE:調(diào)制解調(diào)器和路由器沒有被ISP正確配置。這可能發(fā)生在 DSL和電纜線路上,,就像這里發(fā)生的一樣,。然而,一個可能跨越巨大地理區(qū)域的衛(wèi)星網(wǎng)絡可能允許攻擊者執(zhí)行更廣泛的攻擊,,而不必在物理附近,。
鑒于當前的地緣政治形勢,CISA的”Shields Up“倡議要求所有組織大幅降低報告和共享惡意網(wǎng)絡活動跡象的門檻,。此外,,安全機構(gòu)將在新信息可用時更新公告,以便衛(wèi)星通信提供商及其客戶可以采取與其環(huán)境相關(guān)的額外緩解措施,。
EASA公告警告國家航空當局 (NAA),、空中導航服務提供商 (ANSP) 和航空運營商可能會導致導航/監(jiān)視性能下降的GNSS中斷。
該公告顯示,,Eurocontrol,、分析師網(wǎng)絡和 EASA 分析的開源數(shù)據(jù)報告表明,自2月24日以來,,GNSS欺騙和/或干擾加劇的四個關(guān)鍵地理區(qū)域,。其中包括波羅的海周邊的加里寧格勒地區(qū)和鄰國;芬蘭東部,;黑海,;以及靠近塞浦路斯、土耳其,、黎巴嫩,、敘利亞、以色列和伊拉克北部的東地中海地區(qū),。
EASA公告強調(diào),,飛機在飛行的各個階段都觀察到了全球?qū)Ш叫l(wèi)星系統(tǒng)干擾和/或可能的欺騙的影響,在某些情況下,由于無法執(zhí)行安全著陸程序,,導致重新航線甚至改變目的地,,”公告說?!霸谀壳暗那闆r下,,無法預測GNSS中斷及其影響。此類中斷所產(chǎn)生問題的嚴重程度將取決于相關(guān)區(qū)域的范圍,、受影響飛機的持續(xù)時間和飛行階段,。
確定GNSS信號衰減可能產(chǎn)生的一些潛在問題后,EASA列出了使用GNSS進行航路點導航的能力喪失和區(qū)域?qū)Ш?(RNAV) 進近能力的喪失,。此外,,它還檢測到無法執(zhí)行或維持所需導航性能(RNP)操作,包括RNP和RNP進近,,以及觸發(fā)地形警告,,可能使用上拉命令。
該機構(gòu)還認識到導航顯示器上的飛機位置不一致,、自動相關(guān)監(jiān)視廣播 (ADS-B) 丟失,、風切變、地形和地面功能,、ATM/ANS/CNS 和使用 GNSS 作為飛機系統(tǒng)的故障或退化時間參考,,以及由于 GNSS 退化導致的潛在空域侵犯和/或路線偏差。
為了解決已發(fā)現(xiàn)的問題,,EASA向NAA,、ANSP和航空運營商提供了一份建議的緩解措施清單,并建議他們采取適當?shù)男袆印?/p>
此前美國國家安全局的一份聲明指出,,俄烏戰(zhàn)事開始前發(fā)生的Viasat黑客事件現(xiàn)在也被美國政府調(diào)查為潛在的俄羅斯國家支持的網(wǎng)絡攻擊,,并指出跨機構(gòu)和聯(lián)盟的努力(包括法國 ANSSI 和烏克蘭情報部門)以”評估網(wǎng)絡攻擊的范圍和嚴重性“。事件,?!?/p>
正如美國有線電視新聞網(wǎng)首次報道的那樣,美國國家安全局證實,,它“知道有關(guān)潛在網(wǎng)絡攻擊的報道,,該攻擊導致數(shù)千個從衛(wèi)星網(wǎng)絡接收數(shù)據(jù)的非常小孔徑終端斷開連接”。
烏克蘭國家特殊通信和信息保護局 (SSSCIP) 的 CDTO(首席數(shù)字化轉(zhuǎn)型官)維克多·佐拉(Victor Zhora)多次表示 ,,衛(wèi)星被黑在戰(zhàn)爭一開始就造成了巨大的通信損失,。
