【公益译文】航空网络安全指导手册(五)

飞行器网络风险管理

1.威胁格局

为了解飞行器及其互联系统的威胁状况,应在运营各阶段(包括维护、配置和静态)根据功能、接口和数据流确定最重要的资产及相应的攻击面。资产包括物理和虚拟资产,如硬件、软件、通信、信息、数据、空中(空中OTA)和地面部署的系统和设备以及互联和通信资产。

威胁可定义为利用漏洞、暴露或入侵对机密性、完整性和可用性(称为CIA)产生不同程度影响的潜在有害行为或事件,其中:

• 机密性确保信息获取和披露仅限于授权用户;

• 完整性确保信息、资产和处理方法的准确性、完整性、抗抵赖性和真实性;

• 可用性确保授权用户在必要时可及时可靠地访问资产相关信息;

这些威胁或资产安全性缺失可能对安全产生直接或间接影响。ED-203A/DO-326A定义了机密性、完整性或可用性缺失导致的资产安全和威胁状况,为威胁场景识别提供支持。

根据ED-204A/DO-355A确定符合CIA和缓解战略的持续适航要求,从而更清晰地了解现状与目标之间的差距,以及部署的安全控制措施和其他措施,打造弹性系统。

对于需要重点关注的系统(及其他资产),我们从飞行器的三个主要域进行介绍(请参见本文的第1部分第3章):

• 飞行器控制域(ACD):飞机通信寻址和报告系统(ACARS),飞行管理系统(FMS)和导航系统,惯性、卫星、飞行器综合数据处理系统(AIDS),地形感知和告警系统(TAWS),加密系统、仪表着陆系统(ILS),空中防撞系统(TCAS),管制员–飞行员数据链通信(CPDLC)以及其他遥测相关传感器等;

• 飞行器/航空公司信息服务域(AISD):飞行管理设备(EFB/移动设备)、机场陆基通信、GateLink网络和维护系统、无线飞机传感器和传感器网络(故障监测系统);

• 乘客信息娱乐系统域(PIESD):公共网络、蜂窝网络、机上娱乐(IFE)等。

成功击中脆弱资产、不当配置、不安全通信、多余和/或未知功能,从而导致零日攻击、连接或交互等。攻击方式五花八门,分为单阶段和多阶段攻击或持久性攻击和闪电攻击。下文详细介绍了针对飞行器及其互联系统和信息资产的威胁和攻击:

• 违反安全分区,如跨域进入飞行器控制域(ACD)或将未经认证或授权的设备连接至ACD或AISD域;

• 欺骗认证机制,导致恶意或不安全的空中更新,篡改飞行数据或导航系统,导致不安全飞行状况,欺骗遥测、录音或记录;

• 边信道攻击、缓冲区溢出攻击、资产逆向工程导致零日漏洞攻击;

• 拒绝服务攻击,可能导致基本信息、数据、功能或服务暂时或完全不可用;

• 与飞行器连接的维护或其他设备若被入侵,会导致未经授权的泄露、恶意软件注入、拒绝服务攻击或注入/启用恶意后门。

基于MITRE-ATT&CK(攻击战术、技术和通用知识库)框架及其他工业控制系统和物联网/运营网络的威胁和攻击框架,对攻击战术进行研究或评估。开放式Web应用程序安全项目(OWASP)及其相关框架也可以使用,只不过将场景从地面系统转移到了联网飞行器上。

随着新技术进入飞行器领域,可能会产生新攻击面,这并非刻意而为,有时甚至不容易判断。新出现的人工智能和机器学习模型经常被用于预测性维护能力以及自动化或自动化系统,因此应提起特别注意,重点监测。当行动可能产生安全影响时,应先进行手动验证,然后再作判断。

1 )防御措施

现在,入侵检测系统可用于新型飞行器以及终端威胁检测和响应(EDR),为防御过程提供支持。要减少攻击向量和降低攻击面,首先要对各类硬件、软件和网络配置和系统进行加固。安全加固指通过禁用/关闭和/或删除不必要的连接和应用程序、限制配置以及采取基于角色的数据访问保护系统。考虑到任何更新都可能会对安全措施的状态或效率产生影响,在每次重大或关键更新时均需对所有防御机制进行重新验证。

网络威胁捕获是一门科学,旨在通过流量监控从大量威胁情报来源中发现潜在攻击(详见威胁章节)。威胁捕获技术多种多样,其中最有效的是基于机器学习的技术,该技术可根据利用的数据源数量实现扩展,并可自动检测常见的攻击模式。技术越有效,处理和响应就越及时。机器学习算法常用于行为分析、建立系统基线和异常检测建模。

作为威胁捕获的一个分支学科,网络威胁情报是一门汇总各来源和数据点进行关联和分析的科学,包括日志事件、其他组织编写的感染指标(IoC),以及有关部门和航空信息共享与分析中心(A-ISAC)等私有组织和其他安全厂商提供的指标。获得威胁情报需付出一定的成本。威胁情报通常还包括开源情报和社交媒体情报。应根据信息或数据的质量、准确性和价值,对每个来源进行评估,为其分配不同的信任级别。

2.制定飞行器风险管理计划

风险管理计划涵盖各类风险,如安全和安保、财务和经济,而且最高管理层有时也会讨论网络安全。该计划旨在确保组织定义其风险偏好并就接受或转移风险作出决策。

风险管理计划、框架对于监管安全和安全航空环境不可或缺,许多运营者通常参考ISO/IEC 27005:2018、ARINC 811和其他标准制定了该计划或框架。由于许多IP技术广泛用于联网飞行器及相互关联的系统,风险管理计划须纳入潜在网络威胁和风险,进行清晰描述,这也是制定该计划的目的。因此,首先要明确计划范围,按照对飞行器系统及其互联系统(包括地面系统)的安全影响,对网络安全功能进行优先级排序。

下图列明IT风险管理框架(RMF)的一般步骤,为制定该框架提供参考。

风险管理框架
Source:数据源:IATA(参考ISO/IEC 27005)

众所周知,NIST CSF就是这样一种框架。NIST CSF中最值得关注的一个实现源自《联邦信息安全现代化法案》(FISMA,详情请参见本文第1部分第2章)。该实现提出了多个步骤,首先是“准备”,然后是“分类”等步骤,并涉及相关NIST特刊、《联邦信息处理标准》和为该实现提供支持的其他指南。这些步骤通常是风险管理框架的一部分,该框架与ICAO标准4.9.1(附录17)以及IATA ISM Ed. 14中的相关标准(SEC 4.1.1)和建议措施(ORG 3.1.6)保持一致。

飞行器风险管理框架应利用并涵盖飞行器及其互联系统相关的运营技术(OT)。这意味着组织的运营方将参与风险管理的创建、实施或整合、评估,对框架的缓解要素提供支持。此外,由于飞行器事故可能导致人员伤亡,因此须严格遵守该行业的监管和安全要求,仅仅采用基于风险的方法是不够的。对安全影响的考虑应纳入风险管理框架,并设置权重。这种基于影响的因素通常称为网络安全。

飞行器由三个域组成,其中一个对飞行器控制至关重要。该域的任何连接和通信都应经过严格评估和验证,可能涉及地面系统、维护和任何新技术的集成,其中基础功能可能需要或要求跨域实现。该框架应将飞行器生命周期内的所有操作纳入风险管理流程。需要对每个区域进行同样的分析和验证。

在分析飞行器系统整个生命周期的操作和相关要素后,应在法规和合规性要求以及相关AMC中阐明飞行器风险管理框架在OT方面的政策、控制措施和其他保护措施,然后应对这些措施进行监测和评估,通过定期识别和缓解风险。

3. 网络风险评估 

运营者安全威胁检查流程一般应包含飞行器网络风险评估框架(ACRAF),该框架可集成在公司的RMF中实现。在建立该子流程(属于风险管理流程)时,应考虑以下方面:

为明确风险评估范围,应参考ICAO的第一个网络安全标准,即“确保国家民用航空安全方案或其他相关国家文件中指定的运营者或实体界定其用于民航目的的关键信息和通信技术系统和数据,并根据风险评估结果,酌情制定和实施相应防护措施,以免受到非法干扰。”

下文详细介绍国际民航组织标准4.9.1(附录17),明确飞行器相关的关键系统、信息、资产和数据(CSIAD),分析这些资产相关的网络威胁并缓解、接受或转移风险。其中,分享OEM/供应商和/或DAH的新发现但未缓解的风险至关重要。

ED-204A/DO-355A指南和AMC支持识别持续适航信息。本文介绍飞行器部件、网络接入点、GSE和GSIS、数字证书,并详细说明DAH和运营者的责任。

确定的CSIAD即为飞行器网络风险评估(ACRA)的评估范围,评估应涵盖飞行器生命周期内的操作和维护。飞行器的CSIAD分类应参考最新版本的FIPS 199和NIST特刊(SP)800-30、SP 800-59和SP 800-60。

如前所述,对于每项确定的CSIAD,根据相应保护级别(视风险和影响而定)和后果选择安全控制措施,并按要求评估其有效性。NIST SP-800-171、SP-800-53和NIST SP-800-70的最新版本可为该步骤提供支持。

ED-203A/DO-356A可作为风险评估流程的指南和AMC参考文件。以下参考文件的最新版本也可为ACRA提供支持:NIST SP 800-37、基于ITIL(信息技术基础设施库)的ISO/IEC 27001:2013或ISO/IEC 31000。

行业标准ED-203A、ED-204A,以及相关的DO-356A和DO-355A为了解飞行器各生命周期(包括操作和维护活动)面临的信息安全威胁提供了重要参考。

如前所述,值得注意的是,飞行器网络风险评估还应考虑OEM/系统供应商和/或DAH提供的网络安全要求,这些要求应精心集成在该流程中。同样,内部AISP/ANSP也应纳入该流程为您提供关键组件。而且,还可联手OEM/系统供应商和/或DAH对风险评估进行验证,以确保执行风险评估测试时未违约或破坏飞行器域。某些活动可能导致适航证书无效,原因是某些测试可能需要深入内部,致使飞机处于未知状态。此外,一些OEM/系统供应商和/或DAH可能会提供网络范围或网络镜像系统,方便产品测试,有助于了解边界、数据流和其他特性开展进一步测试。

1)漏洞评估

漏洞评估是风险评估的子步骤,旨在规划和执行技术的安全测试,收集可能影响CSIAD的已知漏洞,对已得数据进行分析、归类并确定优先级,最后制定补救策略和部署缓解措施。具体流程,见ED-203A/DO-356A。

该流程可涵盖渗透/入侵和验证测试活动,这取决于待评估系统的要求或敏感性。同样,运营者在评估活动前可能会参阅OEM/系统供应商和DAH的安全手册并直接与他们进行讨论,因为某些测试活动可能有入侵行为致使飞机处于未知状态,造成适航证书无效。

以下参考文件可为此步骤提供支持:NIST SP 800-115、SP 800-40、开放式Web应用程序安全项目(OWASP)、开源安全测试方法手册(OSSTMM)、渗透测试执行标准(PTES)和信息系统安全评估框架(ISSAF)。

4.定期风险评估

如前所述,对于投入使用的联网飞机,适航证书应涵盖可能影响安全的网络安全因素。一些飞行器OEM发布了未来持续适航(ICA)指令通知,保护传统飞行器系统部件免遭网络威胁。

ED-202A/DO-326A和ED-203A/DO-356A的最新版本涵盖了OEM/供应商和DAH的这些要求。ED-204A/DO-355A最新版本中的持续适航方面对运营者影响较大。其他ED/DO目前正在编写,即将推出。

随着新技术不断渗透航空领域并最终用于联网飞行器,在飞行器的运行生命周期内需进行修复、修改和新配置,必须对所有机队类型、传统或联网飞行器的改动进行监控和检查。因此,须根据引入的新技术、修改或配置变更定期或事件发生后执行风险评估流程,以便向决策者提供最新风险状况。该风险状况或报告应为部署正确的缓解措施以及网络安全政策和战略的调整持续提供参考。

其中一个特定例子是在驾驶舱中引入较新的EFB或移动设备。越来越多的EFB应用程序在iPad上运行,原因是这些设备功能更强大且具备较大容量和更好的用户体验。虽然这些新技术为飞行员带来了更多方便,但同时也可能扩大攻击面,引入新的漏洞和/或暴露,甚至可用于规避适航义务或DAH的常规责任。值得一提的是,这个新供应链的责任(如对驾驶舱中现成技术的维护)可能很难界定,而且也难以确定合规性要求。

5. 应急管理和事件响应

应急管理和事件响应流程是风险管理计划中最重要的一个流程,因为该流程可检测和应对飞行器保护相关政策、安全控制、措施和缓解措施中的缺陷。ED-204A/DO-355A介绍了飞行器信息安全事件管理指南和AMC。由于目前本文正在修订,其他ED-ISEM/DO-ISEM(信息安全事件管理指南)正在编制之中。

NIST SP 800-61最新版本——修订版2提供事件处理指南,SP 800-161提供供应链风险管理指南,为运营者提供支持。以下是信息安全事件管理和响应的一般流程,可作为制定该流程的依据。

信息安全事件管理和响应
来源:IATA(基于NIST)

各类日志(如系统日志和安全日志)的关联和监控是该流程的主要支持性活动之一。两类日志都是必要的,相应的OEM/系统供应商和/或设备和服务的DAH应提供日志访问和保护机制。而且,这些日志需与运营者的关键系统的日志相关联,方便用户分析和识别潜在攻击。应按照当地部门规定,在一段时间内对这些日志妥善保护和保存,作为攻击判断依据。ED-203A/DO-355A在持续适航概念范围内提供了日志方面的建议并规定了DAH和运营者的责任。

与CSIAD相关的日志都非常重要,需要进行收集和关联。关键日志应包括设备/记录系统、航空电子系统、认证服务、通信系统和全球导航卫星系统(GNSS)以及维护和操作方面的记录。同时,还需对防火墙和服务器、入侵检测系统(IDS)以及终端检测和响应(EDR)自动化系统的日志进行关联和分析。另外,需通过时间同步确定事件的准确时间范围。飞行器日志时间应与地面系统保持一致。并且,还应关注以下系统的日志:IFE、PAX、地面系统、EFB/移动设备和其他IT系统。

说明:系统和配置的修改或新技术或连接元件的引入应触发自动风险分析和日志整合。

EUROCAE和RTCA在即将发布的ED/DO中描述了事件响应、信息共享和报告的各项要素,特别是目前正在编写的ED-ISEM/DO-ISEM(信息安全事件管理指南)。

译者声明

小蜜蜂翻译组公益译文项目,旨在分享国外先进网络安全理念、规划、框架、技术标准与实践,将网络安全战略性文档翻译为中文,为网络安全从业人员提供参考,促进国内安全组织在相关方面的思考和交流。

Spread the word. Share this post!

Meet The Author

Leave Comment