许多企业发现自己长期维护着不安全的操作技术或遗留IT系统。但它们通过将脆弱的系统置于防火墙或其他网关后,或使用入侵防御技术来降低这种风险。这是当前对控制系统安全防护的通行思路和做法。然而网络连接泛在化和网络攻击无处不在,特别在军事物联网应用中,跨域(不同区域、网络、网段、密级)数据传输的需求是常态,还会有很高的实时性和可靠性的要求。这才是关键的核心挑战。1553数据总线正在面临这样的挑战。在激烈的未来战争环境中,所有信息化装备的关键是弹性/韧性,即抵御网络攻击的能力。另外就是除了信息保障的方法,以减轻1553总线武器系统的脆弱性,更应该考虑任务保障。

早在JADC2设想将1553系统上线的几年前,美国军方就意识到数字维护工具的发展对总线构成的威胁,这些工具插入飞机系统并与之交互。事实上,国防部高级研究计划局(Defense Advanced Research Projects Agency,简称DARPA)驻在五角大楼的疯狂科学家们已经秘密研究了多年,想要弄清楚如何保护基于1553总线的武器系统。

1553数据总线安全保护的难点

那么,是什么让1553总线如此难以保护呢?要理解这一点,我们需要回顾一下使它成为一个如此成功的实时航空电子控制系统的特点——可靠性和可预测性。为了实现实时控制所需的可靠性,1553协议具有严格的时间约束。国防电子承包商Peraton Labs的系统和网络安全高级研究总监约瑟芬·米卡莱夫(Josephine Micallef)表示,这使得在总线上使用防火墙或网络入侵防御系统等传统网络安全工具变得不可能。

“当1553总线上的一台嵌入式计算机收到一个请求时,它们必须在12微秒内做出响应。如果不这样做,如果发送方在14微秒内没有收到响应,那么发送方就超时了……如果这种情况经常发生,这些系统就无法沟通,并出现故障。

典型的网络安全工具将引入20多毫秒范围内的延迟——比1553总线允许的延迟要大几个数量级。她指出:“如果你把我们在传统网络上使用的这些网络安全产品中的一个放到1553总线上,它会因为时间限制而破坏协议。”

此外,为了达到足够的可预见性,以获得飞行资格认证,1553总线必须具有确定性的功能——没有怀疑、不确定性或错误的空间。传统的网络安全技术通常涉及假阳性或其他错误的可能性。简而言之,它是概率性的——与确定性相反——这使得它不可能用于像1553这样的安全关键飞行系统。“你不能把这些网络工具插入到总线结构中……你不想把使用总线的设备炸毁,”Konieczny说。

因此,大多数1553安全的早期方法集中于异常检测:被动地监视总线上的流量——这既不违反可靠性要求,也不违反可预测性要求——并在发现异常消息或命令时向驾驶员发出警告。

保护1553数据总线的实践探索

2017年,BAE系统公司的一组科学家申请了网络警告接收器(Cyber Warning Receiver, CWR)专利,这是一种旨在“检测1553总线上的异常行为”并“向操作员发出警报”的设备。该团队2018年发表在《美国陆军网络防御评论》(U.S. Army "s Cyber Defense Review)上的一篇文章更详细地描述了该设备的功能。CWR使用机器学习建立总线上正常流量的基线模型,并识别异常消息。本文为CWR确定了两种可能的配置。

可以将CWR“与关键的1553总线子系统连接在一起,随时准备采取迅速而果断的行动,阻止网络攻击。”这篇文章既没有提到总线通信的时间安排问题,也没有提到获得适航认证需要确定性,BAE系统公司多次拒绝了采访请求。

或者,CWR可以配置为脱机,“被动地……监视系统的恶意活动,并向操作员发出任何可疑的警报,但从不主动与网络交互。”

雷神公司在2019年高调推出的网络异常检测系统(CADS)也采取了类似的离线策略。CADS“通知飞机和车/机组人员”有关“MIL-STD-1553通信总线上的轻微偏差”,该公司的一篇博客文章写道。雷神公司还拒绝了几次采访请求。

但正如《网络防御评论》(Cyber Defense Review)的那篇文章所指出的,提醒飞行员的问题在于,她还有其他事情要做。文章指出,CWR警告“永远不应该分散飞行员或其他关键任务人员的注意力,除非发现迫在眉睫的生存威胁”,并补充说,“提供太多的信息,或产生过多令人讨厌的虚假警报,可能会导致操作员禁用系统,消除保护。”

更重要的是,提醒飞行员网络攻击已使他们的武器系统瘫痪,这在军事术语中可能被称为次优结果。最理想的结果是防止或减轻攻击,并让武器发挥作用。米卡莱夫说:“这不仅是探测,而且是预防和减缓,以确保武器系统的运作连续性。”

为此,她在Peraton实验室的团队开发了一种解决方案,直面1553的低延迟和确定性要求。

1553总线防御器(Bus Defender)是一个插件硬件组件,它对通过总线的消息执行实时安全过滤,只增加大约300纳秒的延迟——而且确实如此。作为一个硬件内联模块,1553总线防御器不需要对总线上的组件或其配置或软件进行任何修改。

“你有一套规则来规定谁可以和谁交谈,”米卡莱夫解释说,所以总线上的一个不听话或有问题的子系统不能模仿飞行计算机或其他子系统发送虚假数据。这些规则为每个平台配置。“Bus Defender需要知道总线上有什么[系统]以及它们在哪里,”这样它就可以执行谁可以和谁说话的规则。该系统还强制执行1553通信协议,消除了设备或恶意软件感染可能在拒绝服务攻击中击倒总线的可能性。“如果没轮到你说话,你就别说话,”她说。

Bus Defender提供了异常检测功能,但Micallef表示,虽然它可能对警报和事后取证有用,但基于异常的算法对于飞行安全来说“通常具有挑战性”,因为它们“根据定义,具有概率性”。

“我们的主要重点是我们的专利、实时和确定性算法,可以保护武器系统免受网络攻击,同时也能够实现飞行资格,”她说。

Micallef说,Peraton实验室正在与所有三个军事部门合作,开发总线防御解决方案和适合不同的1553武器系统的形式因素。另一种基于异常检测的替代方案是科技初创公司Vitro。该公司创始人兼首席执行官大卫•古德曼表示,他们的做法符合五角大楼“零信任”的安全理念。他说:“我们不是保护通道,而是保护数据和信息本身。”

Vitro的解决方案在总线连接的某些选定子系统中使用廉价的硬件附加组件,并依赖于基于云的公钥基础设施(PKI)加密体系结构。古德曼说:“我们不像在VPN中那样使用PKI来保护通道。”他指出,这不符合零信任原则。“我们用它来验证发送者和验证信息。”

1533数据总线安全的终极目标--网络弹性及任务保障

所有使1553总线在近50年里无处不在的因素也确保了它的寿命。军队中没有新项目,所以向后兼容性一直是一个需求,也没有计划替代它。

JADC2的愿景要求指挥官能够调用所有领域的多种武器和传感器系统。新美国安全中心(Center for a New American Security)高级助理研究员珍妮弗·麦卡德尔(Jennifer McArdle)解释说,普遍的连通性是取得胜利的必要条件,因为这确保了美国军队对目标实施最有效的攻击,同时也给敌人制造了多重困境。

但她警告说,增加连接会增加攻击的表面。“在网络社区中,我们称之为能力/脆弱性悖论:系统变得越精致和复杂,它们就越有能力。与此同时,他们反而表现出了更大的脆弱性。”

她说,关键是弹性/韧性,即抵御网络攻击的能力。麦卡德尔说,除了正在开发的信息保障方法,以减轻1553总线无人机的脆弱性,军方还需要考虑“任务保障”。他说:“这意味着要接受这样一个事实,即JADC2将在一个竞争激烈的环境中运作,[通信]将受到破坏、被窃听和颠覆。所以你需要进行实验,进行流程化和训练,一旦当它退化或被欺骗,仍然可以找到一种方式来完成任务。”

扩展阅读

军标MIL-STD-1553数据总线存在安全漏洞,武器系统和航空电子系统面临网络攻击危险

军事控制系统网络安全--对MIL-STD-1553数据总线的网络攻击

参考资源

1、https://readme.security/this-vulnerability-puts-the-future-of-u-s-warfighting-at-risk-9d1d75581279?gi=ae85f86d0cdc

2、D. De Santo, C.S. Malavenda, S.P. Romano, C. Vecchio,Exploiting the MIL-STD-1553 avionic data bus with an active cyber device,Computers & Security (2020), doi:https://doi.org/10.1016/j.cose.2020.102097

声明:本文来自网空闲话,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。