对航运业来说,2020是魔幻、难忘且不可预料的一年,上半年大规模停航,下半年全球供应链断裂,缺箱、运价暴涨、码头拥堵成了货代和班轮公司争论的话题,一个个属于航运业的新纪录接连产生。集装箱市场的火爆,所有业内人士都有目共睹,也可以说是见证了行业历史。但需求激增对于行业的影响可不限于运价上涨,还体现在租船费率大幅上升和拆船量的大幅下降。
航运企业在这一年有些“因祸得福”,运价的持续高涨,带来了丰厚的利润。更为重要的是,疫情让数字化浪潮在航运业加速推进,一些尖端信息新技术,比如区块链应用也在不同程度上的落地,而随着信息新技术的引入,配套的信息安全保护是否也跟着一起增强了呢?
我们先来回顾一下最近几年针对航运业的网络安全攻击事件:
2017年,航运巨头马士基遭到NotPetya勒索软件攻击,估计给该公司造成了高达3亿美元的收入损失。
2018年,中远集团北美分公司遭受勒索病毒攻击。
2020年初,物流巨头Toll集团在三个月内连续遭遇两次勒索病毒攻击。
2020年年中,地中海航运公司遭遇恶意软件攻击,导致其主站瘫痪。
2020年9月,航运巨头达飞遭受勒索软件攻击,攻击期间,主站基本瘫痪。
2020年10月,海事中心遭受恶意攻击。
在某种程度上,受黑客攻击的可能性大小与目标的价值成正比,在这一点上,航运业体现的更为明显。因为一方面,航运业在国际经济贸易中占据着举足轻重的位置;另一方面和航运业的特点密切相关,船舶使用寿命通常能达到数十年之久,而在网络信息技术日新月异的今天,船岸信息交互难以满足新时代网络安全要求。
由哥本哈根贸易协会全球海事论坛、大联盟经纪公司Marsh以及国际海事保险联盟联合发布的调查研究报告显示,“网络攻击和数据窃取”正在成为航运业的致命弱点,网络安全问题在航运业面临的17个全球问题中位居榜首,网络攻击被认为是最可能发生的问题,仅次于“全球经济危机”和“能源价格波动”。
伴随着航运业向自动化和数字化的转型,网络安全威胁对于航运企业正常业务的开展,影响也越来越大,轻则数据泄露,重则业务瘫痪。如何更有效地应对这些网络威胁,是一个值得业界不断思考和探索的问题。
航运还有个专有名词:VESSEL IT,航运业跟普通企业面临的最大不同之处在于除了岸基的IT架构安全还需要考虑离岸后航船的IT信息安全以及物理航线安全,比如众所周知的几内亚湾海盗,索马里海盗等。
去年1月,一艘前往尼日利亚哈科特港(Port Harcourt)的船舶,在几内亚湾海域距邦尼港(Bonny)西南方向75海里处,遭到海盗袭击。目前尚未确认船舶的准确信息,但根据时间和位置判断,符合条件的船舶只有地中海航运旗下“MSC GRACE”号集装箱船。
据报道,一艘挂着白旗的黑色快艇和船上的15名武装海盗向该船艘船开火,然后开走了。尼日利亚当局已经得到通知。最新消息:经证实,遇袭集装箱货船上确实有一支安全团队,他们进行了还击,导致海盗放弃了袭击。在UTC时间2020年1月21日1630时,该船在邦尼海域航行,驶向哈科特港。
你也许会说,这些都是物理安全,跟我信息安全有什么关系?威瑞森公司(Verizon)的一份报告显示,海盗活动已变得越来越复杂,已经发现有黑客利用网络攻击海上船只上的贵重货物。这家总部位于美国的宽带和电信公司的网络安全部门Risk Team指出,在某全球航运集团的船只遭到海盗袭击时,海盗似乎知道哪些集装箱里装有高价值物品。
而海盗们也不再采用惯用手法,搜查贵重货物时将船员扣押几天,而是直接登上船只,将船员扣留在一个区域,清空特定集装箱,然后迅速离开。船员调查后发现,海盗们似乎对这些集装箱里面的内容了如指掌,他们通过集装箱的电子条形码定位,打开偷走贵重物品,然后迅速逃离。
威瑞森的网络安全专家发现,这家航运公司使用自家开发的订单系统来处理航运库存,特别是与每艘货船相关的提货单。而海盗黑客攻击者上传了一个恶意的Webshell,侵入了该航运公司的服务器和订单管理系统,从而获得密码,下载货物的提货单和含有高价值内容的集装箱号,并识别出计划运输这些货物的船只从而可以针对性的进行航运袭击行动。
具体事件报告可参考:https://www.maritime-executive.com/article/case-study-pirates-hack-cargo-management-system
而在谈航运业面临的信息安全问题之前,不得不提到一个关键的要素和一个关键的组织,卫星和Inmarsat(国际海事卫星组织)。自1976年以来,国际海事卫星组织(Inmarsat)一直是卫星通信的行业领导者,已成为关键通信的支柱,提供的卫星设备已被设计用于野外条件和高质量的几乎全球覆盖。
对于基本语音连接和低带宽(窄带)数据,来自国际海事卫星组织的IsatPhone提供除极地地区以外的全球通信覆盖。国际海事卫星组织网络使用三颗地球同步卫星为地球上几乎所有地方提供语音和数据通信。每颗卫星都配备了单点波束,覆盖了地球表面的三分之一。
由于Inmarsat覆盖范围从-82°延伸到82°,而不考虑经度,所以纬度越高,性能越低。航船离岸后,所有基于信息的通讯都不得不依赖于卫星进行通讯,在由低速向高速发展,由定时发送信息的过去到全天候接发信息的今天,VSAT起到了至为关键的影响。
甚小口径终端(Very Smal Aperture Terminal, VSAT)是一个小型地球站,用于通过卫星通信网络发送/接收数据、语音和视频信号,不包括广播电视。甚小口径终端由两部分组成:一个放置在室外与卫星直视的收发器,以及一个放置在室内将收发器与终端用户的通信设备(如PC)连接起来的设备。收发器接收或发送信号给天空中的卫星转发器。卫星从作为系统枢纽的地面站计算机发送和接收信号。
每个终端用户通过卫星与中枢站互连,形成一个星形拓扑结构。中心站控制着整个网络的运行。一个终端用户要与另一个终端用户通信,每次传输都必须先到集线站,然后通过卫星转发到另一个终端用户的VSAT。多年来,VSAT的数据吞吐速度显著提高,现在可以提供下行和上行的多兆位服务。天线/碟子的尺寸通常从1. 2米到大约3米的直径不等。
一般来说,这些系统在Ku波段和C波段频率下运行,但随着北美和亚太地区一些运营商发射Ka波段卫星,以及计划在欧洲发射更新的Ka波段卫星,企业、政府和其他用户的高带宽、双向VSAT服务将越来越多地迁移到这些卫星上。
以上的行业研究和安全事件表明,航运业正面临着新兴的安全风险,恰恰随着越来越多的船载系统联网,黑客有更多机会通过安装恶意软件或病毒侵入导航系统、船舶操作和货物处理系统。而与办公电脑系统相比,商船和主要港口的网络安全落后10至20年,这使得船舶面临的威胁范围越来越大。
而随着网络风险的不断升级,基于病毒定义签名的威胁检测已然不够,像0day,病毒变种等等的未知攻击正在兴起,尤其是航运业的特殊性,更多的需要依赖于自动阻拦的手段来进行防护,因此我们需要使用基于行为的安全分析手段来检测未知的威胁。
由以往的安全事件为例,我们发现,终端用户始终都是安全防护上的薄弱环节,面对各种奇奇怪怪地攻击行为,对于用户的安全意识和教育变得比以往更为重要。而安全威胁无处不在,网络攻击无所不能,因此建立科学、系统的安全防护体系成为必然。
在慢慢地与网络安全对抗中, 我们发现施行网络安全管理框架有一条基本的安全防护原则非常有效,即整体性,统一集中化安全管理是对网络中的安全产品及安全事件进行标准化的有效手段。
通过对网络中的边界隔离,网络监测,主机防护,病毒对抗等安全产品进行集中管理,实现对全网中各安全设备、系统及主机的统一配置、全面监控、实时告警、流量分析等,可以有效的降低运维成本、提高事件响应效率。
为了更好地做好安全防护工作,不管是航船信息安全还是陆基信息安全,其本质上应该做到统一架构,统一管理,可以着重考虑以下几点:
从实战来看,网络层的访问控制被证明是最有效的(攻击者很难绕过去),我们不完全相信应用层控制,比如漏洞代码执行,弱密码登录等。而网络层访问控制属于基础架构安全,这是最有效最重要的,也是整个安全防护的基础。
在今天主要以高隐蔽性复杂攻击为新安全挑战的网络环境中来看,边界防御势必从外部边界防御慢慢转变为终端边界防御,大家都知道最坚固的堡垒往往都是从内部攻破的。 边界和内部安全正演变成为可在内部、云端或二者之上运营的多层防御。而终端边界防御弱点我们则寄希望于EDR产品,期望它能在基于病毒库之外的规则检测和溯源方面有所帮助。
重点保护终端和网络的边界安全方法并不能防护基于身份和凭证的威胁。除非我们开始采取以身份为中心的安全方法,否则账户失窃即密码泄露将继续为网络攻击提供完美掩护,“信任但要验证”的传统方法可能转向零信任安全模型,我们假定网络中的用户并不比外部用户可信,因此必要的多因素认证虽然会给用户带来不便但也能进一步地保护用户身份。
业务在发展,网络在变化,技术在变化,人员在变化,攻击手段也在不断变化,网络安全没有“一招鲜”的方式,需要在日常工作中,不断积累不断创新,不断适应变化。
所谓道高一尺魔高一丈,网络安全防御也随着攻击手段的变化而不停升级,像某些公司采用的“区域各自为战”策略,全球各地到处都有服务器和各种不同的品牌设备,那么在运维应急的时候就会发现异常之困难,毕竟不是每艘船都配置有IT工程师的。
一旦遇到紧急问题,而恰恰航船又行驶在太平洋中,Inmarsat卫星通讯分配的资源又不够的情况下,那真的是叫天天不灵,叫地地不应。为了解决这些问题,加速实行标准化和集中化,统一基线标准是必然的动作,朝着全局统一管理调整,并希望最终实现主动预防预测手段,从而由之前的被动响应进化为主动响应。
之前我有提到过网络安全意识培训的重要性,因为攻击者除了使用Web入侵攻击手段外,通常还会使用网络电子邮件钓鱼和社会工程学等方式进行攻击,这部分其实是网络中威胁最大的一块,因为它不管你外部边界的防御有多么强大,不管你的设备是如何堆叠,终端感染已经绕过了所有的外部边界防御,进入了系统内部,非常易于内部横向传播,所以,培养用户的网络安全意识也是重中之重。
如何提升电子邮件的钓鱼防范方法,可参见本人另一篇文章《给钓鱼邮件打免疫针》,通过简单的方法实现有效的防控。
作为企业反入侵检测的一部分,蜜罐监控系统的部署也是非常重要的一环,尽量做到所有网段均部署蜜罐探针,可用于对抗机器扫描,嗅探,及早发现网络中潜伏的可疑威胁设备。因为不管是哪类网络攻击,它均需要一定程度上的了解公司网络架构,那么势必需要进行网络扫描动作,而一旦扫描网段就有很大可能会触发蜜罐报警,从而可以非常快速的进行定位和隔离。
而有的时候,蜜罐节点可能依然不能发现有效攻击的情况下,可以考虑扩展蜜罐为蜜网,从而可以更大幅度的增加检测范围,可参见本人另一篇文章《哨兵:如何0成本搭建企业蜜网》,如此,傻瓜化的一键全域蜜网一旦被我们搭建起来,所有的Windows主机即刻化为蜜罐系统,有效地弥补了搭建蜜罐繁琐的弊端,从而让哨兵树立于所有的主机上,甚至可以结合蜜账户,蜜SPN等实现多维多角度全方位无死角的蜜网360。
此外作为目前威胁最大的勒索病毒,如果是对抗自动化勒索病毒,那么某种意义上采用《给钓鱼邮件打免疫针》中的方法即可做到大部分防御,而对于手动投毒的防御将是另外一个全方面的网络安全防御的话题,需要结合EDR等手段进行综合性的防控,可参见《手工打造基于ATT&CK矩阵的EDR系统》。
网络安全没有界限,没有任何产品和架构能做到100%防护,为了做到更快更及时的响应和处理,人和数据是不可或缺的。大数据分析平台,搜集相关日志数据,包括异常行为,机器数据以及威胁情报,通过专业SOC工程师对大数据平台的数据分析,辅助检测出已知和未知的威胁并快速进行阻断。
最后,我们认为如下几点在作为网络安全防护方面是非常重要的:
第一,网络,服务器,应用程序,电子邮件网关和桌面的多层保护和纵深防御必不可少
第二,网络安全最佳实践的用户意识培训需要长期强调
第三,持续的脆弱性评估和漏洞补丁管理必须越快越好
第四,全球统一标准化安全配置和策略不可或缺
第五,7×24安全监控和响应中心需要人物齐全
第六,关键业务应用的网络攻击恢复计划必须到位
提升航运业网络信息安全需多管齐下,不仅仅是陆基信息安全,同样需要实现航船信息安全,最终实现“外人进不来,进来看不到、看到拿不走、拿走用不了、操作可追溯”的效果。
来源:freebuf.com 2021-05-20 15:04:14 by: langyajiekou
请登录后发表评论
注册