压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

近日在DEF CON28黑客大會的一次視頻采訪中，Pen Test Partners的研究人員透露波音747-400飛機居然仍在使用3.5英寸軟盤來更新重要的導(dǎo)航數(shù)據(jù)庫（更新周期為28天）。事實上，很多飛機都在使用古董級的3.5英寸軟盤，例如波音737飛機多年來也使用軟盤加載航空電子設(shè)備軟件。根據(jù)《今日航空》2015年的一份報告，這些軟盤上的數(shù)據(jù)庫越來越大。

波音747的軟盤驅(qū)動器

作為全球化、信息化和現(xiàn)代化的標(biāo)志性行業(yè)，航空業(yè)的大型商用飛行器依然使用3.5英寸軟盤更新關(guān)鍵數(shù)據(jù)這件事不但讓安全人士無語，甚至廣大民眾也為之肝顫。要知道連“食古不化”的美國國防部都已經(jīng)在去年退役了存儲發(fā)射核彈指令的軟盤，即便這些軟盤從未在“生產(chǎn)環(huán)境”中使用過。

近年來，隨著航空業(yè)數(shù)字化的深入，航空軟件和網(wǎng)絡(luò)安全已不僅是安全極客的炫技場，甚至也不僅是一個行業(yè)的“技術(shù)債”問題，而是關(guān)系到每個人生命安全的“生死簿”。

我們先簡要回顧下近來拉響航空業(yè)安全警報的事件：

· 2019年7月，DHS/CISA發(fā)布了關(guān)于CAN總線網(wǎng)絡(luò)實施不安全的警告，該協(xié)議允許飛機，汽車和其他機器內(nèi)的各種設(shè)備相互通信。該漏洞可能允許不良行為者向飛機注入虛假數(shù)據(jù)。據(jù)CISA稱，通過物理上接入CAN總線系統(tǒng)，對手可以改變許多飛機的測量數(shù)據(jù)，包括發(fā)動機遙測讀數(shù)、指南針和姿態(tài)數(shù)據(jù)、高度和空速。

· 2019年波音公司剛剛復(fù)產(chǎn)的737 Max飛機因軟件故障導(dǎo)致兩次致命的墜毀，共造成346名乘客和機組人員死亡。一年后的今天，在因兩起空難而在全球范圍內(nèi)停飛一年多后，737 MAX重新認(rèn)證的進程仍懸而未決。據(jù)路透社報道，2020年8月11日公布的月度數(shù)據(jù)顯示，波音公司的客戶今年取消了超400架737 MAX飛機訂單，而該公司的飛機總交付量在7月份下降到只有4架。

· 2020年7月，航空業(yè)的供應(yīng)商之一，Garmin公司因勒索軟件導(dǎo)致消費類產(chǎn)品和商用航空產(chǎn)品——Garmin Pilot、Connext和FlyGarmin業(yè)務(wù)癱瘓，其中Garmin Pilot應(yīng)用負(fù)責(zé)向飛行員提供飛行計劃存檔、賬戶同步和數(shù)據(jù)庫功能，而Connext則提供駕駛艙服務(wù)與天氣、未知報告以及飛機上的中央維護計算機（CMC）的數(shù)據(jù)。

· 2019年，一位網(wǎng)絡(luò)安全教授在英國航空公司的航班IFE機載娛樂系統(tǒng)中發(fā)現(xiàn)了緩沖溢出漏洞（CVE-2019-9109）。該教授用USB鼠標(biāo)將長字符串文本輸入到機上聊天應(yīng)用程序，導(dǎo)致整個機上娛樂系統(tǒng)崩潰。這種在飛行航班上的滲透測試引起極大爭議，同時也證明了航班網(wǎng)絡(luò)安全問題的真實性和危險性。

· 2020年8月，DEF CON28上網(wǎng)絡(luò)安全人士透露，由于受疫情影響英國航空公司準(zhǔn)備退役一支機隊，網(wǎng)絡(luò)安全人士首次獲準(zhǔn)進入波音747客機內(nèi)部進行信息安全檢查和測試。PTP也首次向網(wǎng)絡(luò)安全界公布波音747內(nèi)部乘客甲板下方的全部航空電子設(shè)備艙，以及數(shù)據(jù)中心式的，模塊化的飛行控制模塊。此次調(diào)查發(fā)現(xiàn)波音747仍然在使用3.5英寸軟盤更新重要的導(dǎo)航數(shù)據(jù)庫。

事實上，航空網(wǎng)絡(luò)安全問題的嚴(yán)重性遠(yuǎn)遠(yuǎn)超出人們的預(yù)期。在安全牛年初的報道《航空業(yè)的安全噩夢：走進波音公司的濕暗后廚》一文中，安全研究員克里斯·庫貝克 (Chris Kubecka) 在2019年底倫敦舉行的航空網(wǎng)絡(luò)安全會議上，披露了波音公司網(wǎng)絡(luò)安全的“臟亂差”：

測試開發(fā)網(wǎng)絡(luò)公然裸奔、郵件服務(wù)器塞滿忙碌的惡意軟件、官網(wǎng)門戶大開（沒有啟用 HTTPS）、發(fā)現(xiàn)漏洞的白帽子遭到恐嚇威脅…任何一位航空公司信息主管百忙中抽空瞥一眼波音公司的安全后廚，一定會惡心得好幾天吃不下飯。

航空網(wǎng)絡(luò)安全態(tài)勢：失控的數(shù)字化攻擊面

不僅僅是波音公司及其客機產(chǎn)品，更大的威脅來自網(wǎng)絡(luò)和新興技術(shù)。民用航空主要依靠網(wǎng)絡(luò)技術(shù)來提高航空運輸?shù)陌踩院托省ｋS著航空業(yè)數(shù)字化的日益發(fā)展，系統(tǒng)的互聯(lián)性和對技術(shù)的依賴導(dǎo)致了新風(fēng)險的出現(xiàn)。航空業(yè)所依賴的計算機網(wǎng)絡(luò)系統(tǒng)包括空中導(dǎo)航系統(tǒng)、機載飛機控制和通信系統(tǒng)、機場地面系統(tǒng)、飛行信息系統(tǒng)、安全檢查以及許多其他日常使用的技術(shù)，涵蓋幾乎所有航空領(lǐng)域。

隨著機器學(xué)習(xí)和5G等新興技術(shù)的廣泛采用，包括垂直電動起降（eVTOL）和自動駕駛飛機，使得航空網(wǎng)絡(luò)安全風(fēng)險管理變得越來越復(fù)雜，以至于既難以管理風(fēng)險，甚至無法深入了解風(fēng)險。這種態(tài)勢將意味著攻擊者和被攻擊者（航空業(yè)企業(yè)）數(shù)量將快速增長。

攻擊面的增加會威脅到航空部門的所有組成部分：機場、航空公司、空中交通管制（ATC）中心、供應(yīng)商甚至乘客。

當(dāng)下的航空安全狀況有多么糟糕？ImmuniWeb年初曾發(fā)布過一個針對全球大型機場的網(wǎng)絡(luò)安全、合規(guī)性和隱私的研究。結(jié)果顯示：

全球100個最大的機場中有97個存在與易受攻擊的Web和移動應(yīng)用程序、公共云配置錯誤、暗網(wǎng)暴露或代碼庫泄漏有關(guān)的安全風(fēng)險。

僅有三家機場順利通過所有安全測試，沒有重大網(wǎng)絡(luò)安全問題：

· 阿姆斯特丹史基浦機場（歐盟）

· 芬蘭赫爾辛基-萬塔機場（歐盟）

· 愛爾蘭都柏林機場（歐盟）

絕大多數(shù)機場的官方網(wǎng)站存在以下問題：

主網(wǎng)站安全：

· 97%的網(wǎng)站包含過時的Web軟件

· 24%的網(wǎng)站包含已知和可利用的漏洞

· 76%和73%的網(wǎng)站分別不符合GDPR和PCI DSS

· 24%的網(wǎng)站沒有SSL加密或使用過時的SSLv3

· 55%的網(wǎng)站不受WAF保護

移動應(yīng)用程序安全性：

· 100%的移動應(yīng)用包含至少5個外部軟件框架

· 100%的移動應(yīng)用至少包含2個漏洞

· 每個應(yīng)用平均檢測到15個安全或隱私問題

· 33.7%的移動應(yīng)用傳出流量沒有加密

暗網(wǎng)曝光、代碼存儲庫和云：

· 66%的機場暴露在黑暗網(wǎng)絡(luò)上

· 325次風(fēng)險敞口中，有72起存在嚴(yán)重或高風(fēng)險，表明存在嚴(yán)重違規(guī)

· 87%的機場在公共代碼存儲庫中數(shù)據(jù)泄漏

· 3184次泄漏中，有503次存在嚴(yán)重或高風(fēng)險，可能導(dǎo)致違規(guī)

· 3%的機場具有未受保護的公共云和敏感數(shù)據(jù)

此外，對36個機場官方手機APP的測試發(fā)現(xiàn)，100％的機場APP都包含漏洞，每個APP平均檢測到15個安全或隱私問題。

糟糕的網(wǎng)絡(luò)安全現(xiàn)狀必然會招致懲罰，近年來全球機場網(wǎng)絡(luò)安全事件層出不窮，例如布里斯托爾機場遭受勒索軟件攻擊，黑客竊取了建筑計劃和敏感的安全協(xié)議，波蘭華沙機場遭遇DDoS攻擊，上千名旅客滯留；歐洲一些機場甚至在登機口顯示器上公開泄露預(yù)訂系統(tǒng)中的乘客隱私數(shù)據(jù)（此漏洞被賽門鐵克安全人員發(fā)現(xiàn)并已修復(fù)）。

根據(jù)EUROCONTROL于2019年發(fā)布的航空業(yè)網(wǎng)絡(luò)安全調(diào)查，對許多空中交通管理系統(tǒng)進行的滲透測試結(jié)果顯示，大多數(shù)系統(tǒng)都非常脆弱。EUROCONTROL在調(diào)查報告中指出：航空業(yè)的高級管理人員，技術(shù)人員和系統(tǒng)設(shè)計師需要擺脫這樣的幻想，即他們的系統(tǒng)可以在網(wǎng)絡(luò)攻擊中幸存下來，因為過去“什么都沒有發(fā)生”。

EUROCONTROL文件總結(jié)說：“現(xiàn)在的挑戰(zhàn)在于使航空系統(tǒng)/服務(wù)逐漸變得越來越具有網(wǎng)絡(luò)韌性，同時保持安全性和成本效益?！?/p>

提高網(wǎng)絡(luò)韌性的五大挑戰(zhàn)

航空業(yè)的一個關(guān)鍵特征是各個部門（機場、空中航行服務(wù)、航空公司等）之間的高度相互依賴性，以及與相關(guān)系統(tǒng)（維護服務(wù)、網(wǎng)絡(luò)連接服務(wù)、燃料分配系統(tǒng)等）的互連性。在此價值鏈中任何一點的安全事件都可能在其他領(lǐng)域造成嚴(yán)重后果。

在2020年年會期間，世界經(jīng)濟論壇（WEF）敦促航空業(yè)重視新興網(wǎng)絡(luò)安全挑戰(zhàn)，正如其在“提高航空業(yè)的網(wǎng)絡(luò)彈性：行業(yè)分析”報告中所述：航空業(yè)可能會遇到與其他行業(yè)一樣的網(wǎng)絡(luò)風(fēng)險，這些風(fēng)險是與新的數(shù)字化和連通性息息相關(guān)的。

國際航空運輸協(xié)會（IATA）指出：

技術(shù)和數(shù)字化不僅帶來許多優(yōu)勢，而且還帶來了在復(fù)雜的國際運營中（從機場、飛機運營商、空中交通管理和供應(yīng)鏈）發(fā)現(xiàn)和管理網(wǎng)絡(luò)漏洞的挑戰(zhàn)所帶來的風(fēng)險。

這種復(fù)雜性使航空業(yè)容易受到不斷增長的網(wǎng)絡(luò)風(fēng)險和威脅影響。根據(jù)大西洋理事會的最新報告，對于許多網(wǎng)絡(luò)威脅行為者來說，航空業(yè)是一個有吸引力的目標(biāo)，其動機多種多樣，從經(jīng)濟利益到破壞，傷害以及與人為錯誤有關(guān)的無意動機。

由于其復(fù)雜性，對航空部門的網(wǎng)絡(luò)攻擊可能更難以檢測和控制，并可能產(chǎn)生級聯(lián)效應(yīng)，從而導(dǎo)致經(jīng)濟損失，工業(yè)中斷，并在某些情況下造成人員傷亡。如果沒有足夠的網(wǎng)絡(luò)安全性和應(yīng)變措施以及能力，此類網(wǎng)絡(luò)攻擊的影響可能會很嚴(yán)重。

大西洋理事會去年底發(fā)布的航空網(wǎng)絡(luò)安全報告指出，航空網(wǎng)絡(luò)安全風(fēng)險管理面臨以下極大迫切需要解決的五大挑戰(zhàn)：

首先，航空網(wǎng)絡(luò)安全的“內(nèi)生化”。如何將航空網(wǎng)絡(luò)安全集成到飛行安全、安全（Safty）和企業(yè)IT中，同時所有這些都受到完善的治理和問責(zé)框架的約束。

航空供應(yīng)商和客戶的第三方網(wǎng)絡(luò)安全問題。根據(jù)大西洋理事會的說法，許多供應(yīng)商發(fā)現(xiàn)很難將最佳實踐融入采購中。在就適當(dāng)?shù)木W(wǎng)絡(luò)安全風(fēng)險管理和透明度達成共識方面也存在困難。

信息共享不暢。管理航空網(wǎng)絡(luò)安全的前提是對風(fēng)險的清晰明確的了解。信息共享需要航空利益相關(guān)者之間達成協(xié)議來確定航空網(wǎng)絡(luò)安全風(fēng)險，同時第三方威脅信息提供服務(wù)也有待發(fā)展。

安全培訓(xùn)缺失。盡管多年來航空業(yè)通過其設(shè)計和培訓(xùn)實踐來嚴(yán)格地預(yù)測，減輕或客觀地調(diào)查故障和事故，但是將網(wǎng)絡(luò)安全納入航空業(yè)的文化仍然是一個挑戰(zhàn)。識別或管理航空網(wǎng)絡(luò)安全事件的培訓(xùn)非常少（針對飛行員、空中交通管制員等）。

無法抵御大規(guī)模破壞性攻擊。盡管航空運營具有內(nèi)在的安全韌性，但大規(guī)模破壞性攻擊將難以管理。對數(shù)據(jù)完整性的攻擊將破壞航空公司的安全運營。

航空業(yè)的網(wǎng)絡(luò)安全策略與標(biāo)準(zhǔn)密集出臺

航空網(wǎng)絡(luò)安全建設(shè)應(yīng)在全球范圍內(nèi)協(xié)調(diào)開展。但是隨著國家，地區(qū)和組織機構(gòu)為改善航空網(wǎng)絡(luò)安全性而進行的努力不同法規(guī)和最佳實踐范圍導(dǎo)致復(fù)雜性增加的風(fēng)險越來越大。因此，任何新的標(biāo)準(zhǔn)體系都必須在復(fù)雜的全球供應(yīng)和運營鏈中得到統(tǒng)一。

國際民航組織（ICAO）從能力建設(shè)的角度提出一個口號“一個（國家）都不能掉隊”。國際民航組織大會第四十屆會議于2019年10月首次通過了一項與航空有關(guān)的網(wǎng)絡(luò)安全戰(zhàn)略，闡明了以下愿景：

國際民航組織對全球航空網(wǎng)絡(luò)安全的愿景是，民航部門能夠抵御網(wǎng)絡(luò)攻擊，并在全球范圍內(nèi)保持安全和值得信賴，同時繼續(xù)進行創(chuàng)新和發(fā)展。

國際民航組織的遠(yuǎn)景點出了民航業(yè)面臨的主要安全挑戰(zhàn)：網(wǎng)絡(luò)安全能力與飛行安全、業(yè)務(wù)增長和創(chuàng)新同等重要。

國際民航組織發(fā)布的《航空網(wǎng)絡(luò)安全戰(zhàn)略》是建立全球一致性的航空業(yè)安全體系的第一步。此外，英國航空網(wǎng)絡(luò)安全戰(zhàn)略以及《歐洲航空網(wǎng)絡(luò)安全戰(zhàn)略協(xié)調(diào)平臺戰(zhàn)略》的發(fā)布也標(biāo)志著區(qū)域航空市場在加強網(wǎng)絡(luò)安全建設(shè)方面也邁出了重要的第一步。

從航空網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的角度來看，歐洲航空安全局（EASA）和美國FAA近年來都在積極推進。自2019年底以來，飛機、航空系統(tǒng)、發(fā)動機等能夠獲得適航性認(rèn)證的唯一方法是遵守最近更新的DO-326和ED-202。這些新法規(guī)在管理網(wǎng)絡(luò)安全風(fēng)險的方法上要更加詳細(xì)和全面。

此外，美國國土安全部（DHS）與美國空軍（USAF）合作的一項新計劃將加強對飛機網(wǎng)絡(luò)安全性的審查。在《美國國家航空安全戰(zhàn)略》發(fā)布后，由CISA、國防部和美國運輸部共同主持的航空網(wǎng)絡(luò)安全倡議（ACI）旨在“降低網(wǎng)絡(luò)安全風(fēng)險并提高網(wǎng)絡(luò)韌性，支持對飛機進行脆弱性評估，以更好地了解和減輕風(fēng)險，從而實現(xiàn)“國家航空生態(tài)系統(tǒng)的網(wǎng)絡(luò)安全，物理安全和高效運行”。

未來之路

隨著國際民航組織《網(wǎng)絡(luò)安全戰(zhàn)略》的發(fā)布，人們現(xiàn)在對航空網(wǎng)絡(luò)安全如何在全球范圍內(nèi)發(fā)展有了戰(zhàn)略性的認(rèn)識和框架指引。全球的航空業(yè)都應(yīng)該意識到，只有對航空網(wǎng)絡(luò)安全的認(rèn)知、理解和管理達成共識和統(tǒng)一，才能為航空網(wǎng)絡(luò)安全風(fēng)險管理帶來迅速的，全球一致的，有效的變革。這有賴于所有航空利益相關(guān)者（包括國家、國際機構(gòu)、監(jiān)管機構(gòu)、制造商和服務(wù)提供商）齊心協(xié)力，支持新的國際民航組織網(wǎng)絡(luò)安全戰(zhàn)略。該戰(zhàn)略的目標(biāo)包含七個支柱性框架：

1.國際合作

2.管治

3.有效的法律法規(guī)

4.網(wǎng)絡(luò)安全政策

5.信息共享

6.事件管理和應(yīng)急計劃

7.安全能力建設(shè)，培訓(xùn)和網(wǎng)絡(luò)安全文化

航空對網(wǎng)絡(luò)安全風(fēng)險的洞察以及全球管理仍然面臨重大挑戰(zhàn)。應(yīng)對這些網(wǎng)絡(luò)安全挑戰(zhàn)所需的文化變革需要強大的領(lǐng)導(dǎo)力和時間。航空業(yè)必須采取措施以加速這一改進過程，增加透明度和信任度，并提高網(wǎng)絡(luò)安全的協(xié)作性。

總之，作為一個高度全球化的產(chǎn)業(yè)，航空業(yè)的網(wǎng)絡(luò)安全沒有單點解決方案，降低全球性系統(tǒng)性風(fēng)險需要所有利益相關(guān)者之間積極合作才能達成。