作者 | 天地和兴工业网络安全研究院

【编者按】航运业无疑是全球经济的推动力。通过庞大的船舶、港口、物流和行政基础设施网络,每年全球约有90%的货物通过船舶运输。与大多数行业一样,海事行业已经变得越来越自动化、互联化和远程监控。海上贸易也成为网络攻击者的主要目标。由于对导航、通信和物流技术的依赖,该行业尤其脆弱。与此同时,舰载和陆基系统都在迅速老化,许多货船的平均寿命约为25-30年,加剧了这一事实。这种脆弱性和经济中心性的结合导致了对海上船只和基础设施的网络攻击速度不断加快。世界经济论坛将对交通基础设施的网络攻击列为2020年全球第五大风险,而对海事部门的网络攻击在过去三年中增长了惊人的900%,报告的事件数量也达到了创纪录的数量。如何更有效地应对这些网络威胁,是一个值得业界不断思考和探索的问题。

一、航运业被黑客“盯上”

2020年,航运业发生了多起严重的网络攻击事件,包括联合国海事局、法国集装箱运输公司CMA CGM、航运巨头MSC等纷纷遭到网络攻击。航运巨头MSC去年4月遭受了恶意软件攻击,致使日内瓦总部关闭长达5天时间。去年5月,伊朗位于阿巴斯班达尔的Shahid Rajaee港口的OT系统遭受了黑客攻击,攻击限制了所有基础设施的移动,从而造成大量积压,导致伊朗港口连续数日处于混乱状态,数十艘货轮和油轮等待卸货,而卡车在港口入口处排起了绵延数英里的长队。这说明了对港口计算机系统的网络攻击可能产生的多米诺效应。

在某种程度上,受黑客攻击的可能性大小与目标的价值成正比,在这一点上,航运业体现的更为明显。因为一方面,航运业在国际经济贸易中占据着举足轻重的位置;另一方面和航运业的特点密切相关,船舶使用寿命通常能达到数十年之久,而在网络信息技术日新月异的今天,船岸信息交互难以满足新时代网络安全要求。

网络攻击者选择港口的动机是多样的。从纯粹的经济动机到国际间谍活动,包括直接的犯罪活动,港口都是国内和国家攻击者寻求的焦点:

• 财务收益。勒索软件攻击在港口等保护不足的环境中蓬勃发展,在这些环境中,勒索赎金往往只是关闭和中断造成的潜在损失的一小部分。

• 犯罪目标。由于港口管制货物进出一个国家,因此能够控制港口计算机系统的黑客可以获得贵重货物或篡改记录,以促进犯罪收益。

• 威胁情报。关于货物和乘客流动的信息对于那些希望更好地了解一个国家的活动和计划的敌对国家来说是很有价值的。一旦发生战争,物资流通中断会阻碍军事计划,有可能使冲突规模扩大。

目前来看,针对航运公司的网络威胁主要有两大类。一是无目标的攻击,内网操作系统及第三方软件漏洞是许多潜在的受攻击目标,攻击者利用零日漏洞进行广撒网式无差别化攻击。二是有针对性的攻击,将某航运公司设置为预定攻击渗透目标,攻击者为躲避网络安全设备的防御机制,利用专门开发的更复杂的绕过技术和工具,实施多步骤攻击,其影响力和破坏力较前者更大。

此外,对于海上网络安全而言,最棘手的挑战之一就是每艘船都不尽相同,系统几乎不存在标准化规定,尤其是很多船舶控制系统在设计之初并未考虑过网络安全因素,并且随着时间的推移,又增加了许多其他联网技术,导致网络安全大门洞开。另外,航运系统的操作环境也比典型的工业设备更具挑战性,业内曾有分析指出,大多数船舶都依赖VSAT/FBB卫星通信进行连接,其具有低宽带和高时延的特点,虽可以传递电子邮件和导航数据等通信信息,但却无法实现漏洞补丁的实时修复和更新,这样显然给了黑客钻空子的机会。

港口网络脆弱性问题因网络和培训的状况而变得更加复杂。港口和海事员工往往缺乏应对常见网络威胁的技能,这让他们容易受到钓鱼电子邮件等社会工程攻击。此外,控制世界上许多港口运营的遗留OT网络经常没有更新,因此没有准备好应对资金雄厚的攻击者的协同网络攻击。通过利用网站、电子邮件登录或VPN网关等暴露的服务,攻击者可以轻松获得远程访问权限。

最后,港口是大型的、地理上分散的设施。对端口设施的未经授权的物理访问可让攻击者直接访问实际的目标计算机和系统。

二、减轻港口风险

伴随着航运业向自动化和数字化的转型,网络安全威胁对于航运企业正常业务的开展,影响也越来越大,轻则数据泄露,重则业务瘫痪。网络攻击对港口基础设施的经济影响和连锁反应,据英国Lloyd"s发布的一份报告显示,如果15个亚洲港口被黑客攻击,经济损失将超过1100亿美元,其中有相当一部分损失无法通过保险单追回,因为OT系统黑客不在保险范围内。保护控制着世界物理港口的工业网络,需要一种不同类型的网络安全方法。

OT系统容易受到威胁的部分,包括连接RTG的网络、船到岸(STS)起重机、交通控制和船舶停泊系统、货物装卸和安全保障系统等。

与IT基础设施不同,OT网络没有允许运营商查看所有连接系统运行状况的"仪表盘"。运营商很少知道是否发生了攻击,总是将任何异常记录为系统错误、系统故障或要求重新启动。

随着航运业朝着更大的数字化方向发展,网络化、自治系统的使用越来越多,越来越多的设备和技术会在线应用,这将产生越来越多的漏洞。

如果系统没有得到适当的保护,将会出现一系列新的网络安全漏洞,人们可以通过这些漏洞进行攻击。如果这个精心管理的操作中只有一部分出现故障,就会造成前所未有的积压,并影响全球贸易,使运营和基础设施中断数周甚至数月,造成数千万美元的收入损失。

三、如何有效防御

在发生一系列攻击事件之后,越来越多的船舶公司开始投入大量资源以管控网络安全风险,这显然是一件好事。而优化的方向就在于提高认知、借助新技术建立防范制度、健全应急预案等。

在提高认知方面,航运企业应该充分确定哪些系统、数据和接口没有受到保护,从而计算一旦受到损害会造成的最大风险,最终提出解决方案。在具体操作中,可以通过系统维护、补丁或软件升级、船员系统(例如娱乐终端或个人电子邮件)与其他系统间保持独立、关闭未使用的数据端等方式来实现。

制定防范制度方面,在国际机构和各个国家进一步完善网络安全指导方针的同时,企业应当建立起适合自身架构及运行机制的网络信息安全管控制度。

除此以外,业内专家还强烈建议所有船舶、船舶所有者及其经营者进行网络安全评估,以便更好地了解其潜在的网络漏洞。

同时,美国海岸警卫队强烈建议船舶和船舶所有人、经营人和其他相关方采取以下基本措施来提高其网络安全:

• 将网络分段,让攻击者不会轻易访问到重要的系统和设备;

• 将访问/权限限制在每个员工工作所需的级别,只有在必要的时候才能谨慎使用管理员账户;

• 任何外部媒体在接入任一船载网络之前,都必须先在独立的系统上扫描恶意软件。永远不要在没有信任证书的情况下运行可执行的文件;

• 安装基本杀毒软件并定期更新非常有必要,同时切记要及时修补漏洞。

参考资料:

1.https://www.otorio.com/blog/maritime-port-cyber-security-the-achilles-heel-of-the-global-economy/

2.https://www.maritime-executive.com/article/naval-dome-cyberattacks-on-ot-systems-on-the-rise

3.https://www.weforum.org/reports/the-global-risks-report-2020

4.https://www.sohu.com/a/409060399_401186

5.https://www.portstrategy.com/news101/port-operations/safety-and-security/data-breach-during-cma-cgm-cyber-attack

6.https://www.zdnet.com/article/un-maritime-agency-says-it-was-hacked/

7.http://www.chinaports.com/portlspnews/dba6a79c-625b-464a-b0c2-95ec985f21bd

8.https://securityaffairs.co/wordpress/101740/cyber-crime/msc-malware-attack.html

声明:本文来自关键基础设施安全应急响应中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。