“快速攻击检测、隔离及表征系统”(RADICS)项目由美国国防部下辖的国防高级研究计划局(DARPA)于2016年启动,旨在减轻网络攻击对电网造成的损害,并实现电网的“黑启动恢复”(即在电气系统组件故障后迅速恢复电网的正常运行)。
图片来自外媒。
一、DARPA的RADICS项目有助于在网络攻击后恢复电网
2021年3月外媒曾称,美国国防高级研究计划局 (DARPA) 宣布,其RADICS项目将开发检测和应对针对美国关键基础设施的网络攻击的技术;随着技术进步,组织将能够特别关注那些对防御任务有效性至关重要的组件。
DARPA在一份新闻声明中表示,借助最初于2016年启动的“快速攻击检测、隔离及表征系统”(RADICS) 计划,工业组织可以在对美国能源部门关键基础设施的网络攻击中允许电网的黑启动恢复。 黑启动是在国家输电系统全部或部分关闭后恢复电力的过程。
RADICS研究人员开发的技术,通过在攻击之前、期间和之后提供有关电网状态的准确和及时的信息,为电网运营商提供增强的态势感知,从而使操作员能够更好的阻止攻击或削弱其影响,以免对任何物理基础设施造成重大损害。为了防止对手在恢复工作期间继续攻击受损网络,研究人员还开发了隔离应急网络的技术。
除了提高态势感知能力外,研究人员还针对旨在破坏配置文件、在控制系统中引入恶意代码或造成其他类型损害的网络攻击,制定了对策。在这些对策中,有一些工具可以自动映射和评估电力网络的状态和配置,这有助于运营商检测和表征电网恶意软件。
也就是说,为了实现其目标,RADICS开发了一个工具集来提供三个核心功能:
*可见性或“态势感知”,使运营商能够根据实时的信息了解网络攻击之前、期间和之后的电网状态;
*在攻击期间将传输监控和数据采集 (SCADA) 流量的紧急网络与受损网络隔离的能力;
*以及表征电网网络攻击和抵消攻击的特定元素的能力,例如损坏的配置文件或注入控制系统的恶意代码。
这些功能直接解决了2015年和2016年乌克兰电网受到网络攻击期间和之后发现的电网运营和事件响应方面的弱点。例如,RADICS 技术的部分重点是在脱机的变电站启动电力恢复。变电站的底层控制系统是乌克兰电网网络攻击的媒介之一,该攻击在2015年影响了多个配电变电站,在2016年影响了单个输电变电站。两次攻击都包含恶意代码,使变电站完全脱机,然后破坏文件以阻碍恢复.
RADICS项目的部分进展如下:
2017年,DARPA开始建设RADICS项目的测试平台。2020年10月,来自DARPA、国土安全部(DHS)、能源部(DOE)、国民警卫队及12家私营机构的代表在RADICS项目的测试平台上开展了为期5天的现场演练。2021年3月,DARPA表示,该计划的一些技术已经过渡到美国部分电网的运营使用,并计划在未来进行更广泛的部署。
图片来自外媒。
二、关键基础设施面临网络威胁
什么是关键基础设施
外媒称,关键基础设施是指重要的物理和网络系统和资产。它包括那些对社会不可或缺的设施、系统、站点、信息、人员、网络和流程,还包括那些处理高度敏感信息和材料的网站和组织。关键基础设施部门包括农业、通信、国防、紧急服务、能源、金融、食品、政府、医疗保健、空间、制造、运输和水。这种关键的基础设施通常是维持国家运转的基本服务的基础,例如食品生产和分配、电信和安全服务。
欧盟将关键基础设施分为以下几类:
*能源:能源生产来源、储存和分配(石油、天然气、电力)。
*信息、通信技术(ICT):信息系统和网络保护(例如,互联网);提供固定电信;提供移动电信;无线电通信和导航;卫星通信;广播。
*水:供水(如水坝);质量控制;截流和控制水量。
*粮食和农业:粮食供应、安全和保障。
*卫生保健和公共卫生:医疗和医院护理;药物、血清、疫苗和药品;生物实验室和生物制剂。
*金融系统:银行、支付服务和政府财政分配。
*民政管理:政府设施和职能;武装部队;民政服务;紧急服务;邮政和快递服务。
*公共、法律秩序和安全:维护公共和法律秩序、安全和安保;司法和拘留。
*交通系统:公路运输、铁路运输、航空运输;边境监视;内河运输;远洋和近海航运。
*化学工业:危险物质的生产和储存;危险品管道。
*核工业:核物质的生产和储存。
*空间:交流与研究。
*研究设施。
欧盟表示:“电网、交通网络以及信息和通信系统属于所谓的‘关键基础设施’,它们对于维持重要的社会功能至关重要。自然灾害、恐怖主义和犯罪活动对关键基础设施的破坏可能会产生负面后果。关键基础设施对于现代社会的运转至关重要。”
关键基础设施漏洞
对关键基础设施的攻击会对国家安全和国防产生重大影响。这些系统和资产的破坏或丧失能力可能对一个国家的物质和经济安全、公共卫生和安全产生破坏性影响。全球关键基础设施面临越来越大的威胁,容易受到自然灾害和恐怖活动等来源的破坏;然而今天,关键基础设施越来越容易受到新威胁:网络攻击。
过去,控制和监控关键基础设施的系统和网络在物理上和逻辑上都是独立的,这些组件彼此或基础设施的其他部分几乎没有交互或连接。而今天,大部分关键基础设施系统都依赖基于互联网的技术来运行。这包括负责控制和监督工业基础设施服务的工业控制系统、操作技术和SCADA系统。该技术通常涉及由一组工业工程设备组成的自动化系统,这些设备的任务是收集和发送与受控基础设施相关的信息,这使得它们容易受到来自黑客的网络攻击,这些黑客可以控制该技术并利用它来破坏关键基础设施。这种基于互联网的相互依赖和相互关联的基础设施更容易受到网络中断的影响。
国际刑警组织表示:“我们的基础设施通过部门和行业、网络和物理区域之间以及跨越国界相互依存,这意味着攻击的后果是深远的”,“对单点故障的一次攻击可能导致直接受影响国家的多个重要系统的中断或破坏,并在全球范围内产生连锁反应。”
保护关键基础设施面临的挑战
美国政府问责局(GAO)曾称:“蓄意或对抗性威胁可能涉及来自各种来源的有针对性和非针对性攻击,包括犯罪集团、黑客、心怀不满的员工、从事间谍活动和信息战的外国以及恐怖分子。参与者的能力、行动意愿和动机方面各不相同,其中可能包括寻求金钱利益或追求经济、政治或军事优势。”
尽管存在对关键基础设施的威胁网络攻击,但许多国家缺乏统一的国家能力来保护这些系统的相互关联方面。这是因为关键基础设施保护提出了独特的挑战。保护此基础架构取决于对这些系统中不同元素之间相互关联关系的理解。组织的任务是识别漏洞并分析替代方案,以便为事件做好准备。这需要专注于检测即将发生的攻击和系统故障,并且组织必须有能力识别和监控这些系统,以确定何时以及是否有不同的元素受到攻击。
关键基础设施保护需要一种多方面的方法来保护物理和虚拟基础设施系统。强大的关键基础设施风险管理计划始于对关键基础设施系统当前和潜在风险的评估。这些风险应该从最重要到最不重要进行排序,以便组织可以相应地分配资源。风险管理计划应分析威胁,设计防范这些威胁的应对措施,并制定应对计划以在攻击发生时做出响应。
一旦组织评估了其关键基础设施面临的威胁,就必须采取必要的措施来提高网络运营的安全性。这涉及识别和解决系统中的漏洞。组织可以首先检查某人可以访问系统的每一种方式,然后设置保护措施以防止违规。安全改进的另一个方面涉及对所有相关方进行网络安全教育,以便黑客无法通过组织内的薄弱环节获得访问权限。
GAO表示,典型的网络威胁包括:
*恐怖分子和其他非国家行为者试图破坏或利用关键基础设施来威胁国家安全、造成大量人员伤亡、削弱经济并损害公众士气和信心。
*犯罪集团通过攻击系统、使用垃圾邮件、网络钓鱼和间谍软件/恶意软件、身份盗窃、在线欺诈和计算机勒索,以获取金钱利益。
*商业情报运营商,包括犯罪组织,进行自愿和按需的工业间谍活动。
*个人和团体在网络世界寻找受害者,目的是为了刺激、金钱和“培训”。
*僵尸网络运营商使用受感染的远程控制系统的网络或僵尸网络来协调攻击并分发网络钓鱼方案、垃圾邮件和恶意软件攻击。
*心怀不满的内部人员、训练有素的员工、不称职的承包商——所有这些都为外部人员渗透网络创造了机会。
*国家情报和心理作战组织,使用网络工具收集信息、破坏政权并作为推进战略目标的另一种武器。
*垃圾邮件发送者使用上述方法分发带有隐藏或虚假信息的未经请求的电子邮件,以销售产品、实施网络钓鱼计划、分发间谍软件或恶意软件或攻击组织(例如拒绝服务)。
*出于政治和商业目的,专门针对组织或个人部署间谍软件或恶意软件的国家和/或商业组织。
“网络攻击者利用各种技术、策略和实践对组织的计算机、软件或网络产生不利影响,或者拦截、窃取有价值或敏感的信息,”GAO 表示,“这些攻击是通过各种渠道进行的,包括网站、电子邮件、无线和蜂窝通信、互联网协议、便携式媒体和社交媒体。此外,攻击者可以利用常见的计算机软件程序,例如 Adobe Acrobat 和 Microsoft Office,通过将漏洞嵌入软件文件中来传递威胁,当用户在其相应程序中打开文件时可以激活这些漏洞。”
这些威胁,都给致力于保护其资产的关键基础设施运营商带来了独特的挑战。
(来源:综合外媒等。本文参考内容均来源于网络,仅供读者了解和掌握相关情况参考,不用于任何商业用途。侵删)
