5月2日訊 近日，負(fù)責(zé)美國(guó)最重要關(guān)鍵基礎(chǔ)設(shè)施的公司聘請(qǐng)了網(wǎng)絡(luò)安全公司 WhiteScope“入侵”其系統(tǒng)，并要求解釋入侵突破口和方式，以防范網(wǎng)絡(luò)攻擊威脅。

WhiteScope 創(chuàng)始人比利·里奧斯及研究團(tuán)隊(duì)已發(fā)現(xiàn)飛機(jī)和汽車使用的通信系統(tǒng)存在漏洞。里奧斯曾是參加伊拉克戰(zhàn)爭(zhēng)的一名老兵，曾在谷歌擔(dān)任事件響應(yīng)負(fù)責(zé)人。2014年，里奧斯在拉斯維加斯舉辦的黑帽大會(huì)上表示，他在爆炸物和毒品檢測(cè)設(shè)備 Morpho Itemiser 3 上發(fā)現(xiàn)硬編密碼。而網(wǎng)絡(luò)安全 WhiteScope 提供的所有核心服務(wù)，都是以探索供應(yīng)鏈威脅為出發(fā)點(diǎn)進(jìn)行。

為什么說供應(yīng)鏈攻擊是核電站安全的“盲區(qū)”？

一般的網(wǎng)絡(luò)攻擊難以打破核電站的關(guān)鍵系統(tǒng)防御機(jī)制，資源雄厚的攻擊者不得不將目標(biāo)轉(zhuǎn)移到它的供應(yīng)鏈和生產(chǎn)基地，試圖尋找立足點(diǎn)和突破口。監(jiān)管機(jī)構(gòu)、經(jīng)驗(yàn)豐富的核電站員工或滲透測(cè)試人員也正在努力確保供應(yīng)鏈的網(wǎng)絡(luò)安全。

測(cè)試供應(yīng)鏈攻擊相當(dāng)困難

里奧斯表示，供應(yīng)鏈如今是一個(gè)巨大的盲區(qū)。測(cè)試某個(gè)環(huán)境和設(shè)備的安全性不難，但要測(cè)試供應(yīng)鏈攻擊相當(dāng)困難，因?yàn)樗婕暗酱罅坎煌瑓⑴c者之間的協(xié)調(diào)性。

美國(guó)核能監(jiān)管委員會(huì)（NRC）的網(wǎng)絡(luò)安全官員吉姆·比爾茲利表示，一家標(biāo)準(zhǔn)的美國(guó)核電站具有約1000~2000項(xiàng)影響安全或應(yīng)急準(zhǔn)備的關(guān)鍵數(shù)字資產(chǎn)或數(shù)字組件和支持系統(tǒng)。許多模擬組件經(jīng)常缺貨，核運(yùn)營(yíng)商、供應(yīng)商有必須要進(jìn)行嚴(yán)格的測(cè)試，以確保核電站安裝的設(shè)備無缺陷。

美國(guó)國(guó)土安全部（簡(jiǎn)稱DHS）2018年3月發(fā)出警報(bào)稱，俄羅斯政府黑客一直瞄準(zhǔn)美國(guó)核行業(yè)等領(lǐng)域，企圖利用第三方供應(yīng)商安全性欠佳的網(wǎng)絡(luò)發(fā)起攻擊。

公開報(bào)道的核設(shè)施網(wǎng)絡(luò)攻擊事件不多，最臭名昭著的要數(shù) Stuxnet 蠕蟲病毒，據(jù)傳這款蠕蟲病毒由美國(guó)和以色列聯(lián)合開發(fā)來攻擊伊朗的鈾濃縮設(shè)施。核運(yùn)營(yíng)商將關(guān)鍵系統(tǒng)與公共網(wǎng)絡(luò)隔離開來，許多這些系統(tǒng)只允許數(shù)據(jù)流向一個(gè)方向，從而屏蔽外部黑客。

越來越多嵌入式軟件的應(yīng)用安全風(fēng)險(xiǎn)增加

大部分核電站是幾十年前修建的，且長(zhǎng)期使用不包含數(shù)字組件的模擬設(shè)備，因而不會(huì)遭遇黑客攻擊。雖然此類設(shè)備將繼續(xù)應(yīng)用在核電站以確保網(wǎng)絡(luò)安全和人身安全，但網(wǎng)絡(luò)安全運(yùn)營(yíng)商必須保證越來越多具有數(shù)字功能的設(shè)備安全。

國(guó)際原子能機(jī)構(gòu)（IAEA）警告指出，壓力傳感器和流量計(jì)等在核電站的更新組件越來越多地使用嵌入式軟件。IAEA 發(fā)布的指南指出，在某些情況下，采購(gòu)儀器的核電站員工可能并未意識(shí)到供應(yīng)商的產(chǎn)品包含嵌入式軟件，供應(yīng)商也并未在產(chǎn)品手冊(cè)中明確說明。

Stuxnet 攻擊事件說明，攻擊者可將惡意軟件偽裝成供應(yīng)鏈中受信任的計(jì)算機(jī)程序。同時(shí)表明，識(shí)別供應(yīng)鏈的入侵行為相當(dāng)困難。

曾分析 Stuxnet 蠕蟲的安全專家利亞姆·奧莫楚曾指出，黑客正在尋找新途徑入侵網(wǎng)絡(luò)，例如現(xiàn)在已經(jīng)出現(xiàn)的供應(yīng)鏈攻擊。

盡管核設(shè)施經(jīng)過了嚴(yán)格的設(shè)備測(cè)試，但軟件漏洞難以捉摸的本質(zhì)意味著存在被利用的空間。核行業(yè)和外部研究人員的合作程度將會(huì)是供應(yīng)鏈網(wǎng)絡(luò)安全的關(guān)鍵。