本文转自Cylus网络安全公司的一篇技术博客,作者Miki Shifman,对轨道交通信号系统主要的网络安全威胁做了分析,翻译成中文后分享,并附上原文链接。
公共交通运营商正在利用更多的数字技术来提高运营效率。基于通信的列车控制系统(CBTC)是该战略的一个关键要素,使用移动闭塞原理来减少间隔,从而大幅提高地铁网络容量。随着现场连接部件的减少和运输流量优化软件,新一代CBTC不仅增加了运输可用性和准点率,而且降低了维护和运营成本。其中许多优势是通过系统互操作性和使用 IoT 技术实现的。然而,这种更高的效率是有代价的,CBTC 系统不再与外部世界隔绝,其攻击面正在扩大。因此,它们正成为外部网络攻击更容易访问的目标,也更容易向其他业务系统输出风险。
CBTC 系统面临的七类网络安全威胁
1. CBTC 列车到地面的无线通信容易受到网络攻击,可能导致列车劫持,并成为运营商网络的攻击媒介。
说明:一部分在运营的CBTC系统 列车与地面的通信通常基于 WLAN 技术来实现列车控制。WLAN 在身份验证、加密和传输等关键技术方面面临高漏洞。此外,较旧的 CBTC 实施采用旧的 Wi-Fi 技术 (802.11X),网络保护非常薄弱,并可能遭受攻击,如嗅探、流氓 AP、中间人攻击、邪恶孪生攻击和拒绝服务 (DoS)。
影响:攻击者可以利用弱无线协议劫持列车,传输紧急命令或渗透生产网络。另一个挑战是处理干扰,这可能会导致可用性损失,退到降级模式。
2. CBTC 与 OT/IT 网络的连接不安全。
说明:CBTC 系统与不同安全级别的系统越来越互联,以释放数字化的全部潜力。交通优化需要列控管理和联锁系统之间的连接,或实时信息显示调度系统和乘客信息系统之间的连接,是其中的两个例子。通常,这些连接在没有适当的安全措施(检查应用程序流量)的情况下实施。
影响:CBTC 存在来自较小关键网络的潜在渗透,这种渗透可能导致安全和可用性的影响。
3. 由于安全限制,CBTC 系统很难或不可能修补,使网络面临已知的漏洞。
说明:CBTC 系统上线运营需要经过漫长而复杂的安全审批流程。然而,此类系统已广泛使用现成的COTS软件组件和操作系统。操作系统和其他固件可能会暴露在已知漏洞中,这些漏洞在安全关键环境中难以修补且成本高昂。
影响:通过利用已知漏洞,攻击者可以获得系统权限、使系统崩溃并执行远程代码。
4. IT 安全措施无法"理解"CBTC数据流,因此在阻止对 CBTC 系统的攻击方面无效。
说明:大多数 IT 网络解决方案可以防止南北向流量(数据中心或内部段内)对暴露的 IT 漏洞的攻击。将这种传统的外围保护纳入安全临界网络将增加延迟,而无法真正检查出东西向流量(段和组件之间或内部的流量)攻击向量。
影响:许多 CBTC 系统仅受到 IT 漏洞的保护,事实上在抵御东西向攻击方面完全不安全。
5. 在应用层上运行的CBTC专有协议,可能被威胁行为者滥用,损害铁路系统的安全。
说明:所有 CBTC 供应商都开发自己的特定解决方案,但他们在设计上缺少网络安全方面的考虑。
影响:最危险的攻击是基于语义的,因为它们可以更改消息内容,从而创建可能导致事故的不安全条件。
6. CBTC 通常包括"隐藏"维护支持功能,该应用程序旨在为设备厂商提供实时性强的故障排查功能,但网络访问方面不设防。
说明:安装后会添加许多维护监控系统。为了访问 CBTC 网络,维护团队将创建非标准接口,这些界面包含调试端口、调试消息或"隐藏"功能,这些功能可作为操作设备的攻击载体。由于某些维护活动本质上是间歇性的,因此它们会产生难以拾取的随机性,并可能导致误报。
影响:通过引脚扫描攻击,黑客可以识别和使用这些未受保护的通道,损害铁路运营系统。此外,访问故障日志的真正维护活动可能会触发误报,影响系统的可用性。
7. CBTC 命令通常未经授权或加密,这使他们面临欺骗性攻击影响安全
说明:身份验证和加密通常不是 CBTC 安全协议要求的一部分,因为传统上这些系统被视为孤岛。此外,有时与延迟相关的安全限制会阻止在应用程序层上实施身份验证或加密。
影响:当前的 CBTC 技术不提供端到端数据加密。因此,威胁行为者很容易欺骗操作命令,损害网络的安全。
对于以上网络安全威胁,国内的轨道交通行业很多情况处于应对网络安全的合规性阶段,很少在信号系统设计阶段主动考虑信息安全威胁的影响,因此以上网络安全威胁可以作为攻击场景识别的可能路径,通过系统性的分析和漏洞识别、渗透测试工具的结合,找到现有系统的弱点。在产品研发阶段就考虑安全(security)性设计,通过系统的设计使其具备内生安全能力,如实现端到端的加密技术,采用安全防护技术更优的LTE无线通信,在东西向的应用协议层面考虑攻击防护措施,对既有系统脆弱性的识别及漏洞应对策略,自内向外形成纵深防护。
本文转自Cylus网络安全公司的一篇技术博客,作者Miki Shifman,对轨道交通信号系统主要的网络安全威胁做了分析,翻译成中文后分享,并附上原文链接。
公共交通运营商正在利用更多的数字技术来提高运营效率。基于通信的列车控制系统(CBTC)是该战略的一个关键要素,使用移动闭塞原理来减少间隔,从而大幅提高地铁网络容量。随着现场连接部件的减少和运输流量优化软件,新一代CBTC不仅增加了运输可用性和准点率,而且降低了维护和运营成本。其中许多优势是通过系统互操作性和使用 IoT 技术实现的。然而,这种更高的效率是有代价的,CBTC 系统不再与外部世界隔绝,其攻击面正在扩大。因此,它们正成为外部网络攻击更容易访问的目标,也更容易向其他业务系统输出风险。
CBTC 系统面临的七类网络安全威胁
1. CBTC 列车到地面的无线通信容易受到网络攻击,可能导致列车劫持,并成为运营商网络的攻击媒介。
说明:一部分在运营的CBTC系统 列车与地面的通信通常基于 WLAN 技术来实现列车控制。WLAN 在身份验证、加密和传输等关键技术方面面临高漏洞。此外,较旧的 CBTC 实施采用旧的 Wi-Fi 技术 (802.11X),网络保护非常薄弱,并可能遭受攻击,如嗅探、流氓 AP、中间人攻击、邪恶孪生攻击和拒绝服务 (DoS)。
影响:攻击者可以利用弱无线协议劫持列车,传输紧急命令或渗透生产网络。另一个挑战是处理干扰,这可能会导致可用性损失,退到降级模式。
2. CBTC 与 OT/IT 网络的连接不安全。
说明:CBTC 系统与不同安全级别的系统越来越互联,以释放数字化的全部潜力。交通优化需要列控管理和联锁系统之间的连接,或实时信息显示调度系统和乘客信息系统之间的连接,是其中的两个例子。通常,这些连接在没有适当的安全措施(检查应用程序流量)的情况下实施。
影响:CBTC 存在来自较小关键网络的潜在渗透,这种渗透可能导致安全和可用性的影响。
3. 由于安全限制,CBTC 系统很难或不可能修补,使网络面临已知的漏洞。
说明:CBTC 系统上线运营需要经过漫长而复杂的安全审批流程。然而,此类系统已广泛使用现成的COTS软件组件和操作系统。操作系统和其他固件可能会暴露在已知漏洞中,这些漏洞在安全关键环境中难以修补且成本高昂。
影响:通过利用已知漏洞,攻击者可以获得系统权限、使系统崩溃并执行远程代码。
4. IT 安全措施无法"理解"CBTC数据流,因此在阻止对 CBTC 系统的攻击方面无效。
说明:大多数 IT 网络解决方案可以防止南北向流量(数据中心或内部段内)对暴露的 IT 漏洞的攻击。将这种传统的外围保护纳入安全临界网络将增加延迟,而无法真正检查出东西向流量(段和组件之间或内部的流量)攻击向量。
影响:许多 CBTC 系统仅受到 IT 漏洞的保护,事实上在抵御东西向攻击方面完全不安全。
5. 在应用层上运行的CBTC专有协议,可能被威胁行为者滥用,损害铁路系统的安全。
说明:所有 CBTC 供应商都开发自己的特定解决方案,但他们在设计上缺少网络安全方面的考虑。
影响:最危险的攻击是基于语义的,因为它们可以更改消息内容,从而创建可能导致事故的不安全条件。
6. CBTC 通常包括"隐藏"维护支持功能,该应用程序旨在为设备厂商提供实时性强的故障排查功能,但网络访问方面不设防。
说明:安装后会添加许多维护监控系统。为了访问 CBTC 网络,维护团队将创建非标准接口,这些界面包含调试端口、调试消息或"隐藏"功能,这些功能可作为操作设备的攻击载体。由于某些维护活动本质上是间歇性的,因此它们会产生难以拾取的随机性,并可能导致误报。
影响:通过引脚扫描攻击,黑客可以识别和使用这些未受保护的通道,损害铁路运营系统。此外,访问故障日志的真正维护活动可能会触发误报,影响系统的可用性。
7. CBTC 命令通常未经授权或加密,这使他们面临欺骗性攻击影响安全
说明:身份验证和加密通常不是 CBTC 安全协议要求的一部分,因为传统上这些系统被视为孤岛。此外,有时与延迟相关的安全限制会阻止在应用程序层上实施身份验证或加密。
影响:当前的 CBTC 技术不提供端到端数据加密。因此,威胁行为者很容易欺骗操作命令,损害网络的安全。
对于以上网络安全威胁,国内的轨道交通行业很多情况处于应对网络安全的合规性阶段,很少在信号系统设计阶段主动考虑信息安全威胁的影响,因此以上网络安全威胁可以作为攻击场景识别的可能路径,通过系统性的分析和漏洞识别、渗透测试工具的结合,找到现有系统的弱点。在产品研发阶段就考虑安全(security)性设计,通过系统的设计使其具备内生安全能力,如实现端到端的加密技术,采用安全防护技术更优的LTE无线通信,在东西向的应用协议层面考虑攻击防护措施,对既有系统脆弱性的识别及漏洞应对策略,自内向外形成纵深防护。
- 上一篇:数据安全合规体系建设新思路
- 下一篇:以色列20多万名学生的个人信息遭到泄露