5月2日訊 近日，負責美國最重要關(guān)鍵基礎(chǔ)設(shè)施的公司聘請了網(wǎng)絡(luò)安全公司 WhiteScope“入侵”其系統(tǒng)，并要求解釋入侵突破口和方式，以防范網(wǎng)絡(luò)攻擊威脅。

WhiteScope 創(chuàng)始人比利·里奧斯及研究團隊已發(fā)現(xiàn)飛機和汽車使用的通信系統(tǒng)存在漏洞。里奧斯曾是參加伊拉克戰(zhàn)爭的一名老兵，曾在谷歌擔任事件響應負責人。2014年，里奧斯在拉斯維加斯舉辦的黑帽大會上表示，他在爆炸物和毒品檢測設(shè)備 Morpho Itemiser 3 上發(fā)現(xiàn)硬編密碼。而網(wǎng)絡(luò)安全 WhiteScope 提供的所有核心服務，都是以探索供應鏈威脅為出發(fā)點進行。

為什么說供應鏈攻擊是核電站安全的“盲區(qū)”？

一般的網(wǎng)絡(luò)攻擊難以打破核電站的關(guān)鍵系統(tǒng)防御機制，資源雄厚的攻擊者不得不將目標轉(zhuǎn)移到它的供應鏈和生產(chǎn)基地，試圖尋找立足點和突破口。監(jiān)管機構(gòu)、經(jīng)驗豐富的核電站員工或滲透測試人員也正在努力確保供應鏈的網(wǎng)絡(luò)安全。

測試供應鏈攻擊相當困難

里奧斯表示，供應鏈如今是一個巨大的盲區(qū)。測試某個環(huán)境和設(shè)備的安全性不難，但要測試供應鏈攻擊相當困難，因為它涉及到大量不同參與者之間的協(xié)調(diào)性。

美國核能監(jiān)管委員會（NRC）的網(wǎng)絡(luò)安全官員吉姆·比爾茲利表示，一家標準的美國核電站具有約1000~2000項影響安全或應急準備的關(guān)鍵數(shù)字資產(chǎn)或數(shù)字組件和支持系統(tǒng)。許多模擬組件經(jīng)常缺貨，核運營商、供應商有必須要進行嚴格的測試，以確保核電站安裝的設(shè)備無缺陷。

美國國土安全部（簡稱DHS）2018年3月發(fā)出警報稱，俄羅斯政府黑客一直瞄準美國核行業(yè)等領(lǐng)域，企圖利用第三方供應商安全性欠佳的網(wǎng)絡(luò)發(fā)起攻擊。

公開報道的核設(shè)施網(wǎng)絡(luò)攻擊事件不多，最臭名昭著的要數(shù) Stuxnet 蠕蟲病毒，據(jù)傳這款蠕蟲病毒由美國和以色列聯(lián)合開發(fā)來攻擊伊朗的鈾濃縮設(shè)施。核運營商將關(guān)鍵系統(tǒng)與公共網(wǎng)絡(luò)隔離開來，許多這些系統(tǒng)只允許數(shù)據(jù)流向一個方向，從而屏蔽外部黑客。

越來越多嵌入式軟件的應用安全風險增加

大部分核電站是幾十年前修建的，且長期使用不包含數(shù)字組件的模擬設(shè)備，因而不會遭遇黑客攻擊。雖然此類設(shè)備將繼續(xù)應用在核電站以確保網(wǎng)絡(luò)安全和人身安全，但網(wǎng)絡(luò)安全運營商必須保證越來越多具有數(shù)字功能的設(shè)備安全。

國際原子能機構(gòu)（IAEA）警告指出，壓力傳感器和流量計等在核電站的更新組件越來越多地使用嵌入式軟件。IAEA 發(fā)布的指南指出，在某些情況下，采購儀器的核電站員工可能并未意識到供應商的產(chǎn)品包含嵌入式軟件，供應商也并未在產(chǎn)品手冊中明確說明。

Stuxnet 攻擊事件說明，攻擊者可將惡意軟件偽裝成供應鏈中受信任的計算機程序。同時表明，識別供應鏈的入侵行為相當困難。

曾分析 Stuxnet 蠕蟲的安全專家利亞姆·奧莫楚曾指出，黑客正在尋找新途徑入侵網(wǎng)絡(luò)，例如現(xiàn)在已經(jīng)出現(xiàn)的供應鏈攻擊。

盡管核設(shè)施經(jīng)過了嚴格的設(shè)備測試，但軟件漏洞難以捉摸的本質(zhì)意味著存在被利用的空間。核行業(yè)和外部研究人員的合作程度將會是供應鏈網(wǎng)絡(luò)安全的關(guān)鍵。