網絡攻擊工具和方法的不斷改進,讓特定行業淪為了網絡安全重災區,安全事件的數量和嚴重程度都飛速上升。比如說,最近幾年醫療行業遭受的勒索軟件攻擊就一波接一波連綿不斷,技術行業則是大規模客戶數據洩露層出不窮。於是,我們不禁會想,下一個迎來安全事件高發期的行業會是哪個呢?哪個行業會倒黴地進入網絡攻擊者的視野中心呢?很不幸,很多因素都指向了公共交通,而且潛在的破壞可能會很嚴重。
一、公共交通為什麼容易被攻擊?
1. SCADA系統
監控與數據採集系統(SCADA)控制著調度公共交通的實體自動化設備。其中一些系統從上世紀70年代就投入運行了,無需贅言,這些系統設計的時候肯定沒考慮過現代網絡安全問題。SCADA系統本應與連接互聯網的主機隔離,但對便利的需求戰勝了安全,為了節省時間和資源而將SCADA系統聯網的事時有發生。而在黑客社區中,SCADA系統好攻擊已是眾所周知的秘密,攻擊方法也在網上廣泛共享。
2017 IOActive 白皮書《物聯網時代的SCADA與移動安全》中提出了SCADA系統的另一個問題:與之連接的移動App。參考 OWASP 十大移動風險,研究人員在所分析的34款App中發現了147個漏洞。攻擊者可用這些App操縱交通運營者採取危險動作,甚至直接干擾鐵路控制數字開關之類的SCADA系統。
2. 其他遺留系統
美國國土安全部(DHS)一份報告顯示,交通運輸行業的老舊基礎設施面臨風險上升的問題。而且遺留系統不僅僅侷限於SCADA。整個交通運輸行業都在朝著聯網“智能公共交通(IPT)”的方向發展,但卻在淘汰老舊系統上行動遲緩。另外,公共交通系統嚴重依賴聯網設備進行定位、路線規劃、車輛跟蹤、訪問控制、導航等等。這些設備能讓交通系統更快更自動化,但也引入了更多需要監管和保護的系統接入點。
二、恐怖襲擊和犯罪攻擊可能性
與大多數行業不同,交通運輸行業網絡安全保護不力的潛在結果不僅僅是經濟上或隱私上遭受損失,還有可能致命。恐怖分子或網絡罪犯可以劫持有漏洞的SCADA系統引發列出脫軌或碰撞。雖然這一場景尚未實際發生,但已有涉公共交通和其他SCADA相關產業的很多事件為這一潛在場景描繪了一幅清晰的畫面:
- 2016年末,舊金山市交通局遭遇勒索軟件攻擊,舊金山市政交通系統整個週末都可以免費乘坐。表面上看,這就是一起相對無害的事件,但如果一名想賺點小錢的黑客都能滲透大城市交通管理局的系統,那國家支持的黑客組織或者網絡恐怖主義分子攻擊能造成多大的傷害就可想而知了。
- 2016年,密歇根州某公共設施的SCADA系統遭受攻擊;2013年則是紐約一座大壩的SCADA系統遭受攻擊。
- 2016年,韓國地鐵和火車控制系統遭多次攻擊,懷疑是朝鮮黑客所為。
- 2015年12月,馬薩諸塞灣交通局一列火車在沒有任何操作員控制的情況下駛過了5個車站。從未有人證實過該事件是黑客所為,但很多人都猜測列車控制系統被黑是事發原因。
- 2015年12月,攻擊者切斷了烏克蘭23萬人的電力供應。他們進入系統後重寫了控制程序,讓控制措施完全不可用。該事件證明了黑客有能力把系統連同其恢復措施一起黑了。
三、如何應對
公共交通系統遭受重大網絡攻擊的後果可不是罰款和公共形象受損那麼簡單。美國公共交通協會(APTA)警告道,即便只是盜取數據這種程度的攻擊,都違反了HIPAA、 PCI DSS、《愛國者法案》等等諸多法律法規。為防止公共交通系統被黑事件,DHS和APTA的建議中強調了“深度防禦”,也就是設置多層安全防護以應對未來的攻擊。另外,強化的合規和審計項目絕不是此類健壯多層防禦的替代,而應作為補充。
公共交通安全事關重大,而攻擊事件數量又在上升,交通部門能做哪些動作來最小化網絡攻擊的傷害呢?
1. 識別關鍵資產
為保護運營,交通部門需瞭解哪些資產一旦被入侵就會導致重大傷害。很明顯,有些交通部門就是不清楚自己哪裡是弱點。舊金山交通局被黑事件就是個明證,一個簡單的數據洩露都能劫持它整個計費系統。
2. 管理好漏洞和補丁
聯網設備,比如用於公共交通的那些,歷來以操作系統老舊過時好入侵聞名。交通部門應確保其轄下所有系統都有可靠的補丁及更新集中管理機制可用。
3. 未雨綢繆
設置健壯的事件響應計劃非常重要。可以用於安排事件響應計劃的資源很多,其中就包括DHS、APTA和歐盟網絡和信息安全機構的那些文檔。另外還有行業無關的一些指南,比如 NIST 800-61 事件處理指南。自動化和編配工具也可以幫助組織機構平滑檢測及調查過程,更快更精準地響應事件。
整理/夏立城 上海藍盟創始人兼CEO,復旦校友創新創業俱樂部副會長,致力於用IT外包網絡維護服務賦能企業客戶發展,助力其創新、迭代和進化。
閱讀更多 夏掰創業 的文章
