CSO在线4月20日刊文的称,越来越多的商业用途和很少的内置防御,使无人机成为恶意行为者的有吸引力的目标。
关键基础设施运营商、执法部门和各级政府都忙于将无人机纳入其日常运营。无人机正被用于支持传统基础设施以及农业、公用事业、制造业、石油和天然气、采矿和重工业的一系列应用。无人机制造商和行业最终用户刚刚开始认识到,其互联企业的所有要素都具备毕马威 (KPMG) 战略和创新负责人Jono Anderson所称的“强大的能力,包括单架无人机、互联无人机机队、云/企业能力,以及它们之间的所有通信。”
无人机是“飞行的计算机”和新的攻击向量
尽管存在潜在漏洞,但许多无人机系统并未使用更高级别的安全架构。根据Jono Anderson的说法,“在无人机的互联系统中,无人机内部和周围不断增长的通信‘迷雾’会产生多个攻击向量,可能会暴露单个无人机或整个机队的关键系统,甚至可能暴露整个云和企业。”
尽管无人机为运营商提供了已经证实的众多好处,但它们也带来了严重的网络安全风险。无人机本质上是一台飞行的计算机,就像普通计算机一样,它们充满了潜在的网络威胁。安永技术咨询高级经理Joshua Theimer说:“组织所做的大部分工作都集中在确保无人机的运行符合外部州级和联邦法规。” 由于目前采购的许多无人机都是制造商专有的,因此Theimer认为,制定“基础的组织安全策略”以在使用无人机的生态系统周围提供适当的安全性至关重要。
网络安全历来不是无人机制造商和无人机用户的主要优先事项。Theimer的评估是,无人机的漏洞仍然“对于那些熟悉该领域的人来说是众所周知的”。例如,参与无人机逆向工程的人员普遍意识到各种无人机和制造商的漏洞。
当担心恶意软件传播到企业环境中时,Theimer注意到“组织在无人机和与支持这些无人机和企业网络的其他部分相关的设备之间实施了气隙隔离”,以确保设备永远不会连接到企业网络。
美国网络安全和基础设施安全局(CISA)的基础设施安全项目专家塞缪尔·罗斯特罗 (Samuel Rostrow) 说:“无人机会给组织带来网络安全威胁,并带来数据泄露的风险。”CISA于2019年向关键基础设施行业发布了相关警报,警告外国制造的无人机可能对组织的敏感信息构成威胁。2021年7月,国防部关于DJI系统的声明再次确认了警报中的信息和指导。
攻击者如何攻陷并操控无人机?
Orange嵌入式系统安全专家David Armand担心,除了军用无人机外,无人机安全投资“与产品成本相比仍然很低。无人机是非常吸引人的目标,因为攻击成本远低于娱乐或专业无人机的价值。威胁分为两类:对无人机的攻击和使用无人机进行的攻击。”
从无人机本身提取信息是一个脆弱点。在无人机操作员和无人机本身之间的通信过程中,系统很容易受到攻击。Theimer指出“允许观察、中断或接管命令到控制链接的漏洞”。
Armand的研究表明,破坏无人机的软件或硬件,甚至是控制器(例如手机)都可以通过供应链攻击来实现。他举了两个例子:
操作3D打印机的螺旋桨设计文件可以让无人机在打印的螺旋桨分解之前在高空飞行。
通过收集手机上收集的信息(用户和无人机的蜂窝网络ID和GPS位置),攻击者可以执行“强制更新”并在没有用户控制的情况下执行代码。
Theimer担心“今天许多制造商继承和使用社区开发的软件包,这些软件包并不总是为安全而设计或审查的。” 随着无人机变得更加强大和复杂,漏洞扩散的机会只会增加。
与围绕使用新兴技术的大多数安全考虑一样,与使用无人机相关的威胁模型和风险分析与组织风险态势一致通常是最佳方法。Theimer对该行业的目标是“确保与使用无人机和网络准备相关的风险与组织的安全态势保持一致。”
无人机供应商需要关注安全性
专注于无人机的网络解决方案的商业市场仍处于初期阶段,因为报告的攻击数量仍然相对较少。因此,优先考虑无人机安全的需求很低。“很少有组织在网络安全方面进行重大投资。虽然一些主要的无人机制造商已经进行了重大和有意的投资,这可能是由于美国政府公开审查的结果,但许多无人机仍然不安全。
“公司需要专注于提高产品安全性,特别是与无人机上的平台软件相关,以及与无人机之间的通信,以减少无人机被接管或失去指挥权的可能性,毕马威的”网络安全负责人Rik Parker表示。“例如,潜在的漏洞可能会延伸到供应链中,那里通常有不同的监管点,并且可以依赖开源代码。这可能导致依赖第三方开发流程来开发关键硬件的安全代码,如果被利用,可能会导致敏感数据和情报丢失或潜在的生命损失。” 鉴于无人机部署的敏感性,他建议供应商为访问监控和行为分析增加一层覆盖范围,以识别潜在的风险或威胁。
Orange对Parrot Corp的产品进行了安全评估。Armand透露,他们“通过 Orange安全专家社区与他们进行了有趣的技术交流”。Parrot解决专业无人机不同级别的网络安全问题:
通过使用多个卫星星座防止GPS欺骗
通过使用里程计技术,通过漂移测量计算位置来防止干扰
使用蜂窝连接而不是Wi-Fi,为无人机管理提供更安全的无线协议
使用安全存储在安全元件中的设备唯一证书进行无人机身份验证。
Armand列举了Regulus、InfiniDome和Septentrio等公司,这些公司拥有可用于检测、缓解和报告GNSS欺骗攻击的商业产品。他指出,包括泰雷兹和英特尔在内的大公司也积极参与无人机安全的探讨。
无人驾驶车辆系统国际协会执行副总裁迈克尔·罗宾斯(Michael Robbins)认为,商业和国防都专注于“确保数据存储和传输、数据保留和处置、保护无人机操作的数据链路以及监控违规或恶意软件”。他指出,商业和国防之间的区别在于“他们防御的网络攻击类型、他们保护的数据和信息,以及有关安全、运营和报告的法律要求。”
无人机安全的法规和控制框架尚属空白
越来越多的专家认为,需要更好的法规来应对无人机网络安全挑战。例如,Parker认为无人机产品“应该受到网络安全的严格控制,以保护无人机产品提供的预期服务的软件平台以及通信和控制机制。” 他认为需要新的案例控制框架。
在法规和框架方面目前取得了一些进展。美国白宫于2021年发布了第 13981号行政命令 ,该命令指示联邦实体评估和限制联邦政府对“受保护”无人机(如EO中的定义)的使用。CISA 一直在推荐网络安全最佳实践 以降低风险,并推动行业专注于符合Blue UAS标准的无人机,这些无人机已获得国防部认证,符合联邦网络安全标准。
为本文咨询的大多数专家都看到对无人机网络安全的兴趣有所上升。谈到更广泛的网络安全世界,毕马威的安德森认为,“它不能再仅仅被视为一项企业挑战。这是一个更广泛、更复杂的工程、生产和运营挑战。它需要新的方法来解决潜在的漏洞,包括软件和电子设备的渗透,修改与无人机之间的通信,以及它在云或企业中的计算平台。”