海事網絡安全請注意,由OSINT所引發的新思考
- 分類:行業洞察
- 作者:
- 來源:
- 發布時間:2020-08-26 10:00
- 訪問量:
【概要描述】海事安全是國家安全戰略的重要組成部分。在地緣政治的驅動下,海事網絡安全正面臨新挑戰!
海事網絡安全請注意,由OSINT所引發的新思考
【概要描述】海事安全是國家安全戰略的重要組成部分。在地緣政治的驅動下,海事網絡安全正面臨新挑戰!
- 分類:行業洞察
- 作者:
- 來源:
- 發布時間:2020-08-26 10:00
- 訪問量:
【編者按】海事安全是國家安全戰略的重要組成部分??茖W技術的不斷發展,為海事安全提供了新機遇,在地緣政治的驅動下,海事網絡安全面臨新的挑戰。盡管IT世界包括辦公網絡,港口和石油鉆井平臺中的系統,但是OT用于諸多例如控制引擎和相關系統,貨物管理、導航系統、管理等。隨著數字和通信技術的發展,IT和OT逐步融合帶來更多的風險。根據美國海軍穹頂(Naval Dome)的數據,自2017年以來,海運業的網絡攻擊事件增長了900%。OSINT在海事情報中起到了積極的作用。無論你在何處,開源網絡情報都可以為數據收集、分析、自動化集成和報告等,建立通用的流程和框架,可以提升其對開放網絡、深網與暗網的監控與研究能力。為客戶提供他們所需要的情境情報,以推動他們的整個組織采取每項安全舉措和戰略決策,可降低在整個組織中融合內部和外部威脅,安全性和業務洞察力的風險。本文首先概述海事行業的網絡安全風險,涉及海事OT網絡中的導航、通信、裝載、避險、網絡等系列問題;其次描述開源情報OSINT手段在對海事網絡安全相關信息搜集過程中的重要性;最后給出海事網絡安全風險管理的最佳實踐。
一、海事行業的網絡風險
航運巨頭馬士基(Maersk)在2017年6月成為NotPetya惡意軟件的受害者,造成高達3億美元的經濟損失。此次惡意軟件攻擊事件在全球范圍內影響了76個港口碼頭,導致海上集裝箱船的停航。中遠航運公司(COSCO shipping lines)和Austal(一家總部位于澳大利亞的渡輪和國防造船公司)也在2018年遭到了網絡攻擊。
當談論海運行業的網絡風險時,不僅需要考慮影響數據機密性、完整性和可用性的信息安全風險,還需要考慮操作技術(ICS/SCADA)系統的風險??赡苁艿接绊懙牟糠窒到y如下所示:
l 導航系統(ECDIS、雷達、GPS等)可以使用干擾和欺騙技術進行操縱;
l 通信系統(sat鏈路、AIS、GSM等)可以通過無線鏈路來攻擊;
l 船舶的裝載和穩定性可以通過操縱EDIFACT消息來改變船舶的穩定性,造成港口延誤,改變價格細節等;
l 全球海上遇險與安全系統(GMDSS)發送或接收來自船對岸、岸對船和船對船的遇險警報。據IOActive稱,運行在不安全ThraneLink協議上的終端容易受到攻擊;
l 船舶和船員網絡通常沒有適當的隔離,可能會通過電子郵件、社會工程攻擊、惡意軟件下載等方式受到破壞;
l 連接到船上局域網的傳感器(溫度、壓力、液位、電流、風速計等)如果受到損害,可能會導致船舶電子海圖顯示和信息系統(ECDIS)上的數據失真;
l 第三方更新和對海岸邊服務提供商的遠程訪問也可能是攻擊的媒介之一。
用于防撞和交通監控的AIS從GPS(或任何位置感應技術)接收位置數據,然后將這些信息廣播給附近的船舶和陸上接收器。GPS操作和欺騙的AIS數據可能會讓船舶出現或消失,并創造出“幽靈”船舶,最終可能導致碰撞或意外改變船舶的航線。它們還可能導致對大宗商品流動、港口供求狀況的扭曲看法,因虛假數據而影響貿易模式等。
圖1: AIS的工作原理;圖片來源:https://aulanautica.org/wp-content/uploads/2015/03/TEMARIO-PY-140.jpg
眾所周知,航運業容易受到GPS干擾和欺騙攻擊。據韓國報告稱,2016年有280艘船舶因導航系統問題返回港口。
即使沒有操縱信號、發送釣魚電子郵件或使用各種渠道侵入這些系統,攻擊者也可以僅通過搜索Internet來收集有關目標的大量信息??梢栽诠舻暮笃陔A段充分利用此信息。
二、利用OSINT收集船舶數據
開源情報(Open source intelligence ),簡稱OSINT,指的是依賴公開披露的資源,來收集有關感興趣實體的信息的開源情報。信息收集過程是被動進行的,不與目標有任何直接接觸。通常使用諸如博客帖子、社交媒體站點、討論板等公共資源,但也可以部署諸如Shodan、Maltego等更專業的工具。
Shodan是一個強大的物聯網設備搜索引擎。它不僅可以找到VSAT、通信框等,還可以根據其技術堆棧列出這些設備上的開放端口和漏洞。下面的屏幕截圖來自一個非常小的孔徑終端(VSAT)設備,該設備會披露諸如船只的確切位置、船只名稱等信息。在谷歌地圖上輸入經緯度信息,就會調出該船在海上、附近港口等的圖像。
圖2:船舶的VSAT儀表板
還可以訪問用戶登錄和管理屏幕??梢允褂煤唵蔚腉oogle搜索來查找默認憑證(在本例中是admin/1234)??紤]到這些設備中的大多數不使用SSL證書、不更新其軟件版本或運行在過時的硬件組件上,因此許多設備很有可能不會更改默認登錄憑據。
圖3:登錄屏幕
圖4:通過將鼠標懸停在VSAT選項卡上可以顯示帶有網絡配置信息的CommBox。
圖5: Shodan上的VSAT的漏洞列表和開放端口
使用MarineTraffic、VesselFinder等網站也可以找到其他詳細信息,如船舶航行時的旗幟、呼號、IMO編號、靠近它的其他船只等。這些網站還提供實時跟蹤地圖,顯示所有出海的船只,通過單擊箭頭就可以獲得其詳細信息。
圖6:船舶詳細信息
任何惡意參與者都可以通過向當前在這些船上工作的船員發送網絡釣魚消息或電子郵件來發起攻擊。他們中的大多數人都可以訪問電子郵件、即時通訊應用程序,或者可以通過社交媒體找到他們。船員網絡并不總是與船舶網絡完全隔離,通過這個渠道有可能獲得網絡內的立足點。至少,有很大的機會來仿冒目標船員使用的憑據,尤其是在完成附加OSINT的情況下。MyShip是一個供海員在不安全的HTTP連接上運行的網絡平臺。
圖7:船員名單
圖8: MyShip門戶
三、海事網絡安全風險管理的建議
根據Futurenautics在2018年所做的一項研究,不到一半的現役水手受訪者聲稱曾乘坐過一艘受到網絡攻擊的船只,只有15%的海員接受過任何形式的網絡安全培訓。這些數字表明,人們普遍缺乏對安全保障實踐的認識,可以通過培訓和講習班加以改善。鑒于船舶的操作技術可能會因意外或惡意修改而產生嚴重的物理影響,因此,要證明具有挑戰性的是停止使用過時的組件并升級系統以修補漏洞。
為了減輕網絡事件的潛在安全、環境和商業后果,國際航運組織一直在忙于制定有效的方法來管理船上的網絡風險。2017年,國際海事組織(IMO)通過了關于安全管理系統(SMS)中海事網絡風險管理的MSC.428(98)號決議。并于同年制定了指導方針,就海上網絡風險管理提供高級別建議,以保護航運免受當前和新出現的網絡威脅和漏洞。
波羅的海國際航運公會(BIMCO)制定了符合《NIST網絡安全框架》的《船上網絡安全指南》,這些準則的總體目標是建立強大的應對網絡攻擊的能力。
2020年5月,國際船級社協會(IACS)發表了其關于網絡彈性的建議,該建議適用于使用計算機系統,該系統提供符合船級社要求的控制、警報、監測、安全或內部通信功能。這項新推出的建議適用于一個系統上的所有網絡,該系統利用數字通信來互連船舶內的系統和船舶系統,這些系統可以由船上的設備或網絡訪問。
2018年6月推出的ABS FCI網絡風險模型,是由ABS與美國國土安全部卓越中心研究合作后共同開發的。量化了網絡安全風險,并為船東和運營商提供了一個切實可行的策略,以降低船舶上的網絡風險。
實現以上目標的一個公認方法是全面評估和比較組織當前和預期的網絡風險管理態勢。這種比較可能揭示出通過優先網絡風險管理計劃實現風險管理目標可以解決的差距。這種基于風險的方法將使一個組織能夠以最有效的方式最好地利用其資源。
以下建議提供了支持有效網絡安全風險管理的功能要素。所有的功能要素在實踐中都應是并行和連續的,并應適當地納入風險管理框架中:
識別:定義網絡風險管理的人員角色和職責,并確定系統、資產、數據和能力在中斷時,給船舶作業帶來風險;
保護:實施風險控制流程和措施,以及應急計劃,以防范網絡事件并確保航運運營的連續性;
檢測:制定并實施及時檢測網絡事件所需的活動;
響應:制定和實施活動和計劃,以提供恢復能力,并恢復因網絡事件受損的航運運營或服務所需的系統;
恢復:確定備份和恢復受網絡事件影響的航運運營所需的網絡系統的措施。
這些功能要素包括影響海上作業和信息交換的關鍵系統的有效網絡風險管理活動和預期結果,并構成一個具有有效反饋機制的持續過程。有效的網絡風險管理應確保組織的各級對網絡風險有適當的認識。意識和準備水平應與網絡風險管理系統中的角色和職責相適應。
任何行業都不會完全免受網絡攻擊的威脅,航運和海事也不例外。盡管有諸多優化的方案值得借鑒,但在面向航運業更加信息化的未來,機遇和挑戰將會始終共存。
參考資料
[1] https://hackernoon.com/using-osint-for-maritime-intelligence-3lm3uht
[2] https://www.tripwire.com/state-of-security/security-data-protection/biggest-challenges-best-practices-mitigate-risks-maritime-cybersecurity/
[3] MSC-FAL.1-Circ.3 - Guidelines On Maritime Cyber Risk Management

公司總部:北京市海淀區中關村軟件園8號華夏科技大廈三層
服務熱線:400-810-8981 / 010-82896289
版權所有:北京天地和興科技有限公司 京ICP備17065546號-1

掃一掃關注
天地和興微信公眾號