CISA當地時間17日發布警告稱,該機構意識到美國和國際衛星通信 (SATCOM) 網絡可能面臨的威脅。成功入侵 SATCOM 網絡可能會給 SATCOM 網絡提供商的客戶環境帶來風險。CISA建議衛星運營商開始在入口和出口點監控異常流量,包括使用各種遠程訪問工具(Telnet、FTP、SSH等);連接到“意外”的網段;未經授權使用本地或備份帳戶;終端或封閉衛星通信網絡的意外流量;蠻力登錄嘗試,等等異常狀況。CISA警告說,與此同時,衛星客戶應在其帳戶上實施多因素身份驗證 (MFA),并應為衛星鏈路服務的任何敏感區域支持最小特權方法。同一天,歐盟航空安全局 (EASA) 在俄羅斯軍事打擊烏克蘭的當前背景下發布了一份安全信息公告,警示當前飛機使用的衛星導航系統面臨的安全風險。
該公告發布的同一天,歐盟航空安全局 (EASA) 在俄羅斯入侵烏克蘭的當前背景下發布了一份安全信息公告。該公告涵蓋了全球導航衛星系統 (GNSS) 干擾和/或可能的欺騙問題在沖突區和其他地區周圍的地理區域有所加劇。
網絡安全和基礎設施安全局 (CISA) 和聯邦調查局 (FBI) 的聯合警報強烈鼓勵“關鍵基礎設施組織和其他作為SATCOM 網絡提供商或客戶的組織審查和實施本CSA中概述的緩解措施,以加強SATCOM網絡網絡安全。
已要求衛星通信網絡提供商和客戶使用安全方法進行身份驗證,通過授權策略強制執行最小特權原則,并審查信任關系,因為眾所周知,黑客利用提供商與其客戶之間的信任關系來訪問客戶網絡和數據。
該公告還建議在從衛星通信提供商租用或提供的所有通信鏈路上實施獨立加密。它還試圖加強操作系統、軟件和固件的安全性,以便建立健全的漏洞管理和修補實踐,并實施嚴格的配置管理程序。
衛星通信運營商還被要求監控網絡日志中的可疑活動和未經授權或異常的登錄嘗試,并將流量整合到現有的網絡安全監控工具中。該公告還建議審查終端背后的系統日志以查找可疑活動,將系統和網絡生成的日志提取到企業安全信息和事件管理 (SIEM) 工具中,并擴大和加強對使用此類網絡的網段和資產的監控。它還建議制定事件響應、彈性和連續性運營計劃。
Tripwire戰略副總裁Tim Erlin在電子郵件聲明中寫道,組織應該認真對待CISA 的這些建議。它們為特定行業的威脅加劇提供了有用的指示,受影響的組織應根據共享的信息采取行動” 。很高興在CISA的建議中看到檢測和預防的平衡。包含配置和漏洞管理說明除了在攻擊發生時檢測攻擊外,還需要加固系統。事件檢測和響應是全面網絡安全計劃的重要組成部分,但它們必須與識別您的資產并應用有意義的保護的能力相結合。
Rapid7的首席安全研究員Andreas Galauner指出,在美國,關鍵基礎設施很可能是此類攻擊的目標。幾乎沒有私人使用衛星通信,因為它成本高昂,而且延遲又高又慢。這屬于工業和關鍵基礎設施,這使得SATCOM成為一個有吸引力的目標。
KnowBe4的安全意識倡導者James McQuiggan做出了類似的評估。他指出,無論是家庭之間還是政府之間,通信都是當今生活中需要的一個關鍵要素。“如果失去通信能力,制定戰略、協調或計劃就會變得具有挑戰性。當網絡犯罪分子瞄準關鍵基礎設施的這一要素時,網絡彈性對于保持聯系至關重要。使用SATCOM 品或服務的組織需要確保通過多因素身份驗證保護對設備的訪問。確保所有系統都是最新的軟件和固件更新,加強對流量和日志的監控,并審查事件響應計劃以準備中斷。所有類型的ISP都應該保持警惕。盡管這種特殊的風險與衛星通信網絡有關,但以前在‘正常' ISP中也發生過這種情況。McQuiggan舉例說,被'pwned’的是CPE:調制解調器和路由器沒有被ISP正確配置。這可能發生在 DSL和電纜線路上,就像這里發生的一樣。然而,一個可能跨越巨大地理區域的衛星網絡可能允許攻擊者執行更廣泛的攻擊,而不必在物理附近。
鑒于當前的地緣政治形勢,CISA的”Shields Up“倡議要求所有組織大幅降低報告和共享惡意網絡活動跡象的門檻。此外,安全機構將在新信息可用時更新公告,以便衛星通信提供商及其客戶可以采取與其環境相關的額外緩解措施。
EASA公告警告國家航空當局 (NAA)、空中導航服務提供商 (ANSP) 和航空運營商可能會導致導航/監視性能下降的GNSS中斷。
該公告顯示,Eurocontrol、分析師網絡和 EASA 分析的開源數據報告表明,自2月24日以來,GNSS欺騙和/或干擾加劇的四個關鍵地理區域。其中包括波羅的海周邊的加里寧格勒地區和鄰國;芬蘭東部;黑海;以及靠近塞浦路斯、土耳其、黎巴嫩、敘利亞、以色列和伊拉克北部的東地中海地區。
EASA公告強調,飛機在飛行的各個階段都觀察到了全球導航衛星系統干擾和/或可能的欺騙的影響,在某些情況下,由于無法執行安全著陸程序,導致重新航線甚至改變目的地,”公告說。“在目前的情況下,無法預測GNSS中斷及其影響。此類中斷所產生問題的嚴重程度將取決于相關區域的范圍、受影響飛機的持續時間和飛行階段。
確定GNSS信號衰減可能產生的一些潛在問題后,EASA列出了使用GNSS進行航路點導航的能力喪失和區域導航 (RNAV) 進近能力的喪失。此外,它還檢測到無法執行或維持所需導航性能(RNP)操作,包括RNP和RNP進近,以及觸發地形警告,可能使用上拉命令。
該機構還認識到導航顯示器上的飛機位置不一致、自動相關監視廣播 (ADS-B) 丟失、風切變、地形和地面功能、ATM/ANS/CNS 和使用 GNSS 作為飛機系統的故障或退化時間參考,以及由于 GNSS 退化導致的潛在空域侵犯和/或路線偏差。
為了解決已發現的問題,EASA向NAA、ANSP和航空運營商提供了一份建議的緩解措施清單,并建議他們采取適當的行動。
此前美國國家安全局的一份聲明指出,俄烏戰事開始前發生的Viasat黑客事件現在也被美國政府調查為潛在的俄羅斯國家支持的網絡攻擊,并指出跨機構和聯盟的努力(包括法國 ANSSI 和烏克蘭情報部門)以”評估網絡攻擊的范圍和嚴重性“。事件。”
正如美國有線電視新聞網首次報道的那樣,美國國家安全局證實,它“知道有關潛在網絡攻擊的報道,該攻擊導致數千個從衛星網絡接收數據的非常小孔徑終端斷開連接”。
烏克蘭國家特殊通信和信息保護局 (SSSCIP) 的 CDTO(首席數字化轉型官)維克多·佐拉(Victor Zhora)多次表示 ,衛星被黑在戰爭一開始就造成了巨大的通信損失。
