管理航空领域的关键IT运营

机场的网络威胁

2013年7月26日,土耳其伊斯坦布尔(Istanbul)Atatürk国际机场国际航站楼停运。护照和出入境管制停止运作 ,所有离境航班都停飞。根据土耳其当地Dogan通讯社和Hürriyet日报报道,这起混乱事件是由伊斯坦布尔省是安全控制中心的数据系统(PolNet)故障引起的,据称是由网络攻击造成的。尽管PolNet系统最终得以恢复 ,但它确实瘫痪了几个小时,影响了数十个航班和数千名乘客。机场官员没有证实所谓的网络攻击,但当地媒体声称 ,PolNet系统因网络攻击而受损。

在最近的一个案例中,路透社(Reuters)报道称 ,2015年6月21日,波兰国家航空公司LOT遭到网络攻击,导致华沙肖邦机场(Warsaw Chopin Airport)10个航班停飞 。这次攻击使LOT包含安全信息的的计算机系统瘫痪了5个小时 。根据LOT的说法,这很可能使一次DDoS攻击,使LOT系统超载。结果 ,大约1400名乘客在Warsaw机场滞留数小时。

尽管机场的网络攻击不像其他部门那样常见,但令人担忧的是,机场并没有完全武装起来 ,准备好应对这些攻击。机场设备齐全 ,训练有素,能够硬对物理威胁,但似乎没有完全做好硬对网络威胁的准备。机场的安检和筛查都着眼于捕捉人身威胁上(这当然也非常重要)。虽然机场的IT系统和网络确实具有基本保护,例如防火墙和IDS/IPS ,但它们无法检测和阻止最新的黑客和网络攻击方法 ,如鱼叉式网络钓鱼(Spear phishing)和零日攻击(zero-day attacks)。

机场的IT环境

机场的网络安全和保护机制集中在其数据中心。这是按照标准网络设计的,完全适用于主要企业。然而,有两个关键因素使机场与常规组织截然不同 :

1、覆盖的区域

机场,特别是大城市的国际机场,都建在很大的空间上,面积至少有一百万平方米。将IT基础设施覆盖到如此巨大的区域,本身就是一项艰巨的任务。监控和保护此IT基础设施是另一个挑战。其他商业企业 ,不管企业总部有多大,覆盖的面积都要小得多 。

2 、公共访问

根据定义 ,机场是公共空间。当然,虽然有一些特定的地方是禁止公众进入的,但仍有很大一部分区域供公共使用。其中一些区域以Wi-Fi热点的形式为乘客和游客提供公共互联网接入。大多数现代国际机场自己管理这些Wi-Fi热点,并免费提供公共接入。相比之下,商业企业是主要为员工提供的私人空间,只有一小部分访客被限制在特定的接待区 。

在物理安全方面 ,机场有多层检查 。然而,他们的IT基础设施却并非如此。机场的IT传统上是闭路的 ,在旧的系统上运行的适当协议。如今,机场的IT环境已经发生了变化 。现代机场严重依赖信息和通信技术来登机、行李托运和边境管制,以及处理飞机所涉及的复杂操作。互联网的整合 ,以及公共休息室可用互联网接入的涌入,使机场暴露在网络威胁之下。即使是相对较小规模的网络攻击也可能扰乱机场运营。机场当局逐渐意识到,他们的IT 网络在设计、管理和保护方面需要不同的方法。

1、外部

通过机场的Wi-Fi热点接入公共互联网是外部威胁载体,它可以找到进入机场网络任何外围或主要部分的途径。黑客可以利用这一途径侵入机场内部网络,发动网络蠕虫,甚至发动DDoS式攻击 ,破坏机场的任何系统 。更危险的是,黑客可以利用这种免费的公共互联网接入方式,使用机场的IP地址向世界上任何其他地方发起网络攻击。

2 、内部

可以上网的员工工作站可能成为社会工程技术的受害者,比如鱼叉式网络钓鱼(spear-phishing)。这些技术的主要目的是通过让用户单击或访问一个看似合法的欺诈性链接或站点 ,将恶意软件投放到系统上。一旦系统被感染,恶意软件就会进行一系列恶意活动,包括让黑客从外部访问用户的系统。由于该活动是由用户自己发起的 ,并且恶意软件日益复杂,即使是防火墙或IDS/IPS也无法检测到此类攻击。必须认真对待这种威胁载体 。在针对一个国家基础设施的网络战中 ,机场是首要目标。网络安全公司Cylance Inc.在2014年12月一份名为《Operation Cleaver》的报告中,揭露了令人震惊的事实 :据称由伊朗策划并执行的针对全球关键基础设施组织的网络秘密行动 。根据这份报告 ,多达6个机场和7家航空公司-在韩国 、沙特阿拉伯、巴基斯坦和美国-遭到黑客入侵到这些实体的内部网络的攻击。用于这些攻击的主要方法之一是鱼叉式网络钓鱼。这类攻击的影响并不限于网络世界。他们也可以延续到物质世界。例如 ,根据Operation Cleaver的报告,黑客窃取了大量的机密数据,包括员工信息、时间表细节、身份照片、机场和航空公司的安全信息,以及网络、住房、电信和电力图的PDF 。利用这样的敏感信息来协调物理世界中的攻击,后果不堪设想 。

虽然有多种工具可以检测和防止与网络攻击相关的恶意活动,但有些时候 ,威胁被执行,导致了数据泄露,而这些工具却没有捕捉到任何信息。例如在机场部分区域与主网络隔离的情况下。黑客可以通过协调物理世界中的另一个恶意活动,使机场区域与主数据中心断开连接。在这种情况下,不可避免地需要进行实时或事后取证分析,以确定攻击源、检测攻击的下一步行动或衡量迄今为止造成的损害。

利用网络取证技术在机场进行网络侦测

物理世界的取证在网络空间也找到了其数字对应物,它涉及两个领域 :静态数据和动态数据。第一个领域主要是关于计算机取证,涉及到对受感染的计算机及其内存或存储的事后分析。第二个领域涉及检查在运动中发生的数据,即通过网络传播的数据,被称为 “网络取证”。虽然数字取证的两个领域都同样重要,但是 ,网络调查被认为在犯罪现场更加有用和关键 。例如,如果攻击者删除了被入侵主机的所有数据,或者在事件发生后硬盘受损,那么基于网络的数据痕迹可能是唯一可用于取证分析的证据 。网络取证也比较棘手 ,因为它处理的是动态发生的不稳定信息。一旦网络轨迹被传输 ,它就被认为是 “消失了”,因此,网络取证是一种主动的、同时进行的调查。

网络取证又称数据包取证,通过捕捉网络流量(即数据包)来分析数据,重新组合数字传输的文件,拦截和解析数字通信 。可以恢复和重建电子邮件 、聊天对话、网上冲浪活动和文件传输的全部内容 ,以揭示原始交易。

因此,网络安全团队需要具备实时拦截网络流量和捕获数据包的能力 。各个组织通常会根据其网络的规模和架构来设置其流量捕获机制,例如,企业组织会将数据包分析设备集中托管在其数据中心。然而,根据上一节所述的两个关键的差异因素,机场需要有不同的策略。由于机场的网络非常庞大 ,分布在多个区域,可能会出现一个区域被隔离的情况,因此建议具备在受影响区域进行网络取证分析的能力,即使该区域与主数据中心断开连接。

只有拥有一个便携式网络取证工具包,按需进行现场分析 ,才有可能具备这种能力。在数据中心的主要数据包分析仪设备发生故障或与网络其他部分发生内部连接问题的情况下 ,这种便携式工具包也会有所帮助。便携式工具的优点在于可以灵活地将其携带到任何现场位置 ,并能够立即将其插入任何网段,而不需要电源。也就是说,工具包应该是随时可以投入使用的。

为了按需进行取证分析 ,可以使用以下3种东西建立一个便携式工具包 :