网络安全|失控:一张3.5寸软盘暴露民航业网络安全危机( 二 )


航空网络安全态势:失控的数字化攻击面
不仅仅是波音公司及其客机产品 , 更大的威胁来自网络和新兴技术 。 民用航空主要依靠网络技术来提高航空运输的安全性和效率 。 随着航空业数字化的日益发展 , 系统的互联性和对技术的依赖导致了新风险的出现 。 航空业所依赖的计算机网络系统包括空中导航系统、机载飞机控制和通信系统、机场地面系统、飞行信息系统、安全检查以及许多其他日常使用的技术 , 涵盖几乎所有航空领域 。
随着机器学习和5G等新兴技术的广泛采用 , 包括垂直电动起降(eVTOL)和自动驾驶飞机 , 使得航空网络安全风险管理变得越来越复杂 , 以至于既难以管理风险 , 甚至无法深入了解风险 。 这种态势将意味着攻击者和被攻击者(航空业企业)数量将快速增长 。
攻击面的增加会威胁到航空部门的所有组成部分:机场、航空公司、空中交通管制(ATC)中心、供应商甚至乘客 。
当下的航空安全状况有多么糟糕?ImmuniWeb年初曾发布过一个针对全球大型机场的网络安全、合规性和隐私的研究 。 结果显示:
“ 全球100个最大的机场中有97个存在与易受攻击的Web和移动应用程序、公共云配置错误、暗网暴露或代码库泄漏有关的安全风险。 ”
仅有三家机场顺利通过所有安全测试 , 没有重大网络安全问题:
·阿姆斯特丹史基浦机场(欧盟)
·芬兰赫尔辛基-万塔机场(欧盟)
·爱尔兰都柏林机场(欧盟)
绝大多数机场的官方网站存在以下问题:
主网站安全:
·97%的网站包含过时的Web软件
·24%的网站包含已知和可利用的漏洞
·76%和73%的网站分别不符合GDPR和PCI DSS
·24%的网站没有SSL加密或使用过时的SSLv3
·55%的网站不受WAF保护
移动应用程序安全性:
·100%的移动应用包含至少5个外部软件框架
·100%的移动应用至少包含2个漏洞
·每个应用平均检测到15个安全或隐私问题
·33.7%的移动应用传出流量没有加密
暗网曝光、代码存储库和云:
·66%的机场暴露在黑暗网络上
·325次风险敞口中 , 有72起存在严重或高风险 , 表明存在严重违规
·87%的机场在公共代码存储库中数据泄漏
·3184次泄漏中 , 有503次存在严重或高风险 , 可能导致违规
·3%的机场具有未受保护的公共云和敏感数据
此外 , 对36个机场官方手机APP的测试发现 , 100%的机场APP都包含漏洞 , 每个APP平均检测到15个安全或隐私问题 。
糟糕的网络安全现状必然会招致惩罚 , 近年来全球机场网络安全事件层出不穷 , 例如布里斯托尔机场遭受勒索软件攻击 , 黑客窃取了建筑计划和敏感的安全协议 , 波兰华沙机场遭遇DDoS攻击 , 上千名旅客滞留;欧洲一些机场甚至在登机口显示器上公开泄露预订系统中的乘客隐私数据(此漏洞被赛门铁克安全人员发现并已修复) 。
根据EUROCONTROL于2019年发布的航空业网络安全调查 , 对许多空中交通管理系统进行的渗透测试结果显示 , 大多数系统都非常脆弱 。 EUROCONTROL在调查报告中指出: 航空业的高级管理人员 , 技术人员和系统设计师需要摆脱这样的幻想 , 即他们的系统可以在网络攻击中幸存下来 , 因为过去“什么都没有发生” 。
EUROCONTROL文件总结说:“现在的挑战在于使航空系统/服务逐渐变得越来越具有网络韧性 , 同时保持安全性和成本效益 。 ”
提高网络韧性的五大挑战
航空业的一个关键特征是各个部门(机场、空中航行服务、航空公司等)之间的高度相互依赖性 , 以及与相关系统(维护服务、网络连接服务、燃料分配系统等)的互连性 。 在此价值链中任何一点的安全事件都可能在其他领域造成严重后果 。