/编者按/
受美国国家科学基金会资助,美国加州理工州立大学伦理与新兴科学小组6月17日发布题为《外太空网络攻击:生成新场景以避免意》的研究报告。该报告提出,鉴于太空系统在现代世界中发挥的重要作用,太空网络攻击已成为一个日益紧迫的问题,忽视太空网络安全问题将是一个战略性危险错误。报告分析了太空网络安全问题的七大驱动因素,提出名为“想象网络攻击以预测太空特有的风险”(ICARUS)网络威胁场景生成矩阵,并提出42种太空网络攻击新兴场景,旨在帮助预测太空网络攻击意外情况,为外太空网络安全的技术和政策规划提供参考。
报告首先讨论了推动太空网络安全问题的七个因素。具体包括:
一是新一轮太空竞赛。受新技术发展的推动,全球太空发射数量呈指数级增长,1965年至2012年平均每年约130个,2013年至2016年平均达220多个,2017年至2019年平均达近500个,2020年至2021年平均达1500多个,2022年和2023年平均达到近2600多个。一方面,人造卫星的功能增强为黑客提供了更广泛的攻击或利用能力;另一方面随着进入太空的途径和能力的增强,全球对太空资源和研究场地的竞争也日趋激烈,在太空科学和安全外,经济竞争引发的“太空淘金热”可能导致国家间冲突。
二是太空的遥远性。外太空的遥远距离导致进入太空的高成本,并决定了太空互动主要采用数字化方式。鉴于国际社会对反卫星手段的强烈反对以及外太空的远距离物理障,对太空资产的攻击方式也将主要以数字化的网络攻击形式进行。当前,太空中存在一些没有内置防御措施的人造卫星,同时内置网络防御系统的卫星和其他航天器也无法完全避免漏洞问题。太空的遥远性导致太空物体的升级、修补和维护极其困难,从而使太空网络不安全性会随着时间的推移而恶化,使得太空资产成为特别诱人且备受关注的网络攻击目标。
三是太空垃圾与可持续性。太空垃圾是导致太空网络攻击增加的一个间接因素,太空垃圾的威胁对太空动能冲突形成强大威慑,因为动能冲突会产生更多太空垃圾,引发太空环境灾难。相比于动能攻击,网络攻击具有巨大的环境效应,通常会避免太空垃圾问题,甚至“凯斯勒现象”,因此可能成为轨道冲突的主要模式。
四是太空系统的复杂性。太空生态系统是复杂而独特的成体系系统,包括发射、地面、太空、用户和通信链路在内的各个部分均依赖于计算系统,并且供应链长且分散,这可能导致更多的网络漏洞,包括更广泛的攻击面或黑客的切入点。虽然现代技术日益复杂,能够提供更强大的功能,但复杂性也会导致脆弱性、更多故障点和网络漏洞。
五是法律制度的不明确。与动能攻击或物理攻击相比,网络攻击没有明确的法律框架约束,尤其是跨国攻击,太空网络攻击则更少。国内法律或其执行方面的漏洞导致网络攻击的“无法无天”现象,而制定网络空间规范的国际讨论由于缺乏基本共识已经停滞十余年。法律的模糊性为有争议的挑衅行为敞开了大门,增加了行为者逃避合法活动参数开展网络攻击等恶意或有害活动的可能性,可能引发或加剧外太空网络冲突。
六是网络攻击的独特优势。与地球上“常规”网络攻击相对,太空网络攻击从经济、政治和环境角度来看是一种低成本但仍然非常有效的策略。网络能力的获取门槛不断降低,计算能力日益廉价和强大,这使得开发和发动许多其他网络攻击的成本要比发动动能攻击要低得多。除成本低廉外,网络攻击还超越了物理空间和限制,对于依赖数字系统的对手来说非常有效,并可以提供一系列新的、有用的选项。由于隐蔽性强、挑衅性低、目标难定、影响难判、取证困难、难以溯源,并可避免外交危机、事态升级以及太空环境灾难,外太空网络攻击将成为对手和其他不法分子的一种有吸引力且有效的工具。
七是攻击风险较高。太空系统是高度战略性目标,提供众多社会关键服务并且能够直接推动军事行动,因此可能成为国家、恐怖分子、犯罪分子的具有吸引力的网络攻击目标。小型人造卫星星座的共性使得网络攻击更具成本效益;严重的网络攻击可能破坏太空物体并形成更多太空垃圾;太空系统的重要性使得太空网络攻击还可能引发战争升级;不负责任的国家、恐怖分子、黑客活动分子等可能会发动太空网络攻击并造成“凯斯勒现象”。
报告提出了名为“想象网络攻击以预测太空独有的风险”(ICARUS)矩阵的分类法,用于协助开发太空网络攻击场景。该分类法致力于避免过于技术化,并在全面和简单间取得平衡,使得政策规划人员、网络安全从业人员和其他专家均能理解,为新型太空网络攻击场景奠定基础。该矩阵确定了五个关注类别,包括威胁行为体、动机、网络攻击方法、受害者/利益相关方和受影响太空能力五个方面,分别针对“谁”在实施网络攻击、攻击者“为什么”要发动网络攻击、攻击者“如何”侵入系统、“谁”遭受网络攻击的影响以及攻击者想要造成“什么”损害或影响五个方面,并且在各类别中设立了20个变量。
威胁行为体类别既涉及到具有不同的优势、角色和局限性的威胁行为体或代理人,还涉及其可能利用的自然威胁。该类别相关变量不一定相互排斥,部分变量可能会重叠。具体变量包括:主要航天国家;其他航天国家;非航天国家;内部威胁;政治恐怖分子;雇佣兵;生态恐怖分子;公司;移动服务提供商;发射服务提供商;社会工程团体;有组织犯罪;混乱代理人;宗教/末世论团体;其他意识形态团体;代理/代理人;非战斗人员;业余黑客/爱好者;人工智能/机器学习;未知/匿名行为体。
动机类别所涉到动机很难确定且可能很复杂,会极大地影响行为体愿意投入的资源、全球受众对行动的看法以及行为体的行为热情。该类别变量并不相互排斥,其中一些变量可能与其他变量互补或对立,并在多个行为者合谋发动网络攻击时可能不同且多样。具体变量包括:民族主义;支配/影响;财务/经济;欺诈;雇佣;勒索/胁迫;恐怖;战争;虚假信息;间谍活动;破坏;极端主义思想;个人崇拜;偏执狂/反科技;无聊/恶作剧;看着世界毁灭/混乱;社会/分配正义;智力/技术展示;复仇/报复;与外星生命的首次接触。
网络攻击方法类别涉及威胁行为体使用的特定策略或漏洞,可分为网络攻击、社交攻击和航空系统攻击三大领域。具体变量包括:内部人员攻击、社会工程;勒索软件;蜜罐;传感器攻击;信号干扰;信号欺骗或劫持;窃听/中间人;联网安全;硬件供应链;软件供应链;人工智能/机器学习/计算机视觉;攻击掩盖;软件黑客攻击;系统安全;多阶段攻击/高级持续性威胁;云黑客攻击;账户泄露;量子计算/通信;长期低级损害。
受害者/利益相关方类别涉及网络攻击的受害者。该类别变量同样不一定是相互排斥的,部分变量可能重叠。具体变量包括:主要航天国家;其他航天国家;非航天国家;国有实体;军事和其他承包商;科学机构;公司;富人;普通民众/社会;间接/次要利益相关者;边缘化人口;社会运动;文化/宗教团体;工会/劳工代表;通过其数据的客户/用户;个人目标;关键专家;关键基础设施;互联网/媒体/娱乐;人工智能/机器学习。
受影响太空能力类别涉及支持太空系统的地面资产、太空系统以及受太空能力支持的地面资产三个领域。具体变量包括:GPS/GNSS;地球观测/遥感;军事情报和能力;机器人或载人航天器;生命维持服务;其他基本服务;人员及其他的其他安全;主权/控制丧失;地球服务;应急服务;金融交易;采矿和制造;科学能力/研究;小行星探测系统;太空天气监测;太空交通管理;太空旅游;发射能力;通信;新闻/社交媒体。
报告根据时间轴和空间轴设想了42个太空网络攻击新兴场景。其中,在时间轴方面,近期威胁指目前存在或预计未来5年内出现的威胁,中期威胁指将在5至20年后开始的威胁,长期威胁指预计将在20年后开始且可能永远不会结束的威胁。在空间轴方面,地面到太空指在地球表面或从地球到100公里或62英里高空,地球轨道指低地球轨道(LEO)、中地球轨道(MEO)和地球同步轨道(GEO),地月及更远指近月或月球且直至太阳系以外。
在近期,报告设想的地面到太空的新场景包括:内部人员通过注重虚假数据来破坏卫星安全系统的完整性;人造卫星被劫持用于开展恶意活动;为政治、经济或其他利益开展的数据欺骗;外部团体利用隐私泄露设下“甜蜜陷阱”以窃取安全许可、项目和网络情况;某国通过栽赃行动造成他国国家间严重冲突;生态恐怖分子伪造GPS信号造成重大生态污染。地球轨道新场景包括:某国通过网络攻击“煤气灯操纵”逃避太空卫星撞击后果;决策人员被迫在太空资产保护和太空环境保护的权衡下阻击敌方人造卫星威胁;国际空间站成为社会运动或意识形态团体的象征性攻击目标;国家级黑客造成日光层观测站的误报或虚假警报。地月及更远新场景包括:黑客伪造外星智慧体馈送信息造成全球社会恐慌;恶意行动为者在自主探测车上注入的外星生命虚假数据导致全球恐慌。
在中期,报告设想的地面到太空的新场景包括:火箭发射或航天器返回地球过程中发生的针对有效载荷的勒索软件攻击;黑客利用激光破坏传感器、航天器上太阳能电池板或干扰人造卫星运行;黑客入侵太空飞机并瞄准地球上的目标;人工智能成为太空故障的新新攻击媒介。地球轨道新场景包括:网络攻击导致人造卫星星座闪电式崩盘;带推进器的立方体卫星被劫持并被用来开展恶意活动;太空游客或伪装的太空游客引发的太空IT系统恶意软件感染事件;空间站3D打印机遭黑客攻击并打印有瑕疵的部件;遭劫持的配备有推进器的立方体卫星撞击目标物体并造成“凯斯勒现象”。地月及更远新场景包括:竞争国干扰对手国探测车以阻止其太空领地主张;小行星采矿营地食品系统和货运遭网络攻击并导致食品污染;通过操纵人工智能欺骗航天器;针对加热或冷却系统的网络攻击对航天器以及内部乘员造成毁灭性打击;通过长期隐蔽性低烈度攻击造成太空系统故障;通过篡改行星探测器数据造成大量资源和资金浪费;技术过时导致故障或网络漏洞。
在长期,报告设想的地面到太空的新场景包括:新的危险性发射技术遭网络攻击并引发巨大破坏。地球轨道新场景包括:恶意行为者通过安装后门劫持废弃太空资产;控制自主服务机器人并造成航天器受损;入侵太空运输船并抢劫太空开采矿产;劫持改变小行星轨道的航天器并将其重定向到地球;发布太空虚假求救信号;入侵太空太阳能电池阵列并重新定向从而造成严重损失和人员伤亡;太空物体将撞击地球的虚假信息引发社会恐慌。地月及更远新场景包括:黑客入侵大型航天器自主对接操作系统造成“抢救电车难题”;对透镜开展网络攻击将太阳光重定向到关键太空资产甚至地面资产;宇宙海盗或太空大亨在其他星球上建立基地和定居点并开展恶意网络活动;“奥尼尔圆柱体”太空栖息地生态系统遭网络攻击致人类生命受到威胁;外星栖息地物联网遭网络攻击致人类生命受到威胁;黑客利用地球与外星文明间的通信渠道制造误解并引发星际敌对行为。
报告总结称,太空网络攻击并不像动能攻击那样引人注目,而且通常不会造成大规模影响,但太空网络安全的严重漏洞破坏地球生活只是时间问题;报告提出的ICARUS 矩阵可以向更广泛的研究人员提供太空网络攻击情景,让更多专家研究该问题并积极采取措施,并让政策研究人员帮助填补可能成为太空冲突因素的法律空白;网络攻击预计将成为外太空敌对行为和冲突的主要形式,太空网络攻击可能对地面产生巨大影响,需要紧急关注此威胁形势;针对太空系统的网络攻击类型可能变得像针对地球上的信息系统的网络攻击一样多样化,并且未来太空网络攻击可能涉及各种威胁行为者、动机、方法等,太空系统网络安防将成为网络安全的下一个前沿领域。
奇安网情局编译有关情况,供读者参考。
外太空网络攻击:
生成新场景以避免意外
1 执行摘要
尽管人们对太空网络攻击的认识可能较低,但鉴于太空系统在现代世界中发挥的重要作用,太空网络攻击已成为一个日益紧迫的问题。开源或公开讨论通常只围绕几个通用场景,即人造卫星黑客攻击和信号干扰或欺骗。但还有更多可能性。
本报告提供了一个场景提示生成器(一种称为ICARUS 矩阵的分类法),可以创建超过400万个独特的场景提示。我们将提供一组42个场景,并简要描述每个场景,以开始激发想象力,以便更多研究人员能够将他们不同的专业知识和观点运用到这个问题上。
无法想象新奇的场景是被威胁者突然袭击并遭受严重伤害的一大风险,威胁者不断想出新方法、创造性和足智多谋的方法来破坏控制我们有线世界的数字系统。为了保持警惕,防御者同样需要富有想象力,才能在网络安全中猎手和猎物间的对抗中保持领先。
除了提供新颖的情景,我们还将探讨太空网络安全问题的驱动因素,其中包括我们确定的至少七个因素。例如,太空垃圾的共同威胁似乎会促使理性国家和行为者避免在轨道上发生动能冲突,这有利于网络战成为太空冲突的主要形式。
外太空是网络安全的下一个前沿。为了防范太空网络攻击,我们需要了解和预测这些攻击,而想象力是网络安全和前沿的核心。
“我一直不确定伊卡洛斯故事的寓意是否应该只是普遍接受的‘不要试图飞得太高’,或者是否也可以理解为‘忘掉蜡和羽毛,把翅膀做得更好’。”
——斯坦利·库布里克
2 介绍
尽管外太空对于人类来说并不适宜居住,但现代世界却要归功于它。然而,对于我们大多数人来说,太空是看不见的——看不见,想不到。毕竟,大多数人都没有去过外太空,许多人一整天都不需要抬头看天空。当当今许多人似乎很难理解有关世界的基本科学和事实时,太空科学可能不足以激发人们的兴趣。
因此,尽管公众意识正在增强,但外太空网络安全尚未引起太多关注也就不足为奇了。大多数人不了解甚至不喜欢考虑“常规”网络安全,而这也可能像太空科学一样深奥和令人生畏。如果人们很容易忽视地球上的网络安全,尽管我们的有线生活依赖于它,那么就更容易忽视遥远而陌生的外太空的网络安全。
但考虑到我们的世界对太空能力的依赖程度,这将是一个战略性的、危险的错误,而这些能力对于我们大多数人来说基本上是看不见的。仅仅在智能手机上查看时间就需要依靠全球定位系统(GPS)来同步全球时间。不太明显的是,这种人造卫星计时对金融服务至关重要——从信用卡交易到股票交易——在这些服务中,每个细节,如付款或取款时间,都需要精确地记录和协调;金钱确实处于危险之中。同样,考虑到移动通信网络的工作原理,拨打手机也依赖于这种精确的时间协调。
当然,GPS更为人熟知的是它在飞机、船只、卡车、汽车、人员和其他物体的定位和导航方面的日常作用。例如,GPS对于管理和协调每天将货物运送到当地商店的卡车车队至关重要。人造卫星也是我们的“天空之眼”,它发回地球观测数据,帮助我们预测天气、监测环境变化和动物种群、跟踪和应对自然灾害、提高农作物产量、管理土地和水资源使用、监视对手和部队调动等等。
由于许多关键服务和基础设施都建立在太空中,因此毫不夸张地说,如果没有太空能力,现代世界将不复存在,而太空能力的丧失对弱势群体来说可能是致命的。除了我们关心的其他问题外,经济和国家安全也将面临严重威胁。
幸运的是,善良的人们正在考虑太空网络安全问题,以保护我们的太空资产免受不良行为者的侵害,无论是从技术还是政策方向。但在这些讨论中,至少在非机密的讨论中,通常只提出一些通用场景,这些场景通常涉及对人造卫星进行一些模糊的黑客攻击或干扰/欺骗信号,例如关键的GPS通信。随着技术进步为更多人(包括私人)打开了进入太空的大门,现在似乎有更多网络安全场景是可行的,需要在本规划中加以考虑。
如果说网络安全的短暂历史给我们带来了什么教训,那就是攻击者和防御者之间的“猫捉老鼠游戏”在不断变化;随着时间的推移,新的、创造性的攻击不断让我们吃惊。因此,本报告旨在帮助预测这些意外情况,为外太空网络安全的技术和政策规划提供参考。如果没有更全面的情景供考虑,也没有一个组织框架(本报告将提供),技术和政策解决方案如果仅限于或误导于少数明显的情景,可能会过于狭隘(且效率较低)或过于宽泛(且不够细致)。
毫无疑问,可能出现的情景还有很多。虽然我们将提供40多个新情景,但它们并不意味着是完整的一套,这无论如何都是不可能的。但我们希望这次讨论将成为“想象力泵激器”,帮助构想其他新情景,从而吸引更多专家来帮助解决迫在眉睫的太空网络安全问题。
再次强调,关于新型太空网络攻击场景的机密对话可能存在,但公众对此并不知情。安全分类通常是与更多专家进行更广泛、更深入讨论的主要障碍。该项目旨在成为更大规模的非机密对话和分析的跳板,以便机密和非机密规划都能更加周到和有效。
在接下来的章节中,我们将首先讨论推动太空网络安全问题的七个因素,这也解释了为什么这是一个需要紧急关注的领域。然后,我们将提供一个太空网络安全场景提示生成器——一种称为ICARUS矩阵的分类法,即“想象网络攻击以预测太空独有的风险”(Imagining Cyberattacks to Anticipate Risks Unique to Space)的首字母缩写——以及新颖的网络攻击场景的简要描述和一些批判性思维问题,以进一步开发和审问这些场景。
在本节的其余部分,我们将阐明本报告中“网络安全”和其他关键术语的含义。
术语
在本报告中,我们将使用“网络攻击”来指代未经授权、非动能或非物理攻击,这些攻击涉及计算设备或系统,无论是作为手段还是目标。这比通常的理解要宽泛,即网络攻击必须使用计算设备作为未经授权的手段来访问系统。而“攻击”是指网络安全中的通常理解,即未经授权的入侵旨在禁用、破坏、削弱或以其他方式损害计算系统,包括其数据的机密性、完整性或可用性,即使没有其他任何损坏或损害。
举例来说:对计算机系统进行的纯物理攻击(无论是使用水、锤子、子弹、炸弹等)仍然不属于网络攻击,因为它不是非物理攻击(根据定义)。但侵入航天器内的供水系统以喷水破坏数字控制系统将属于网络攻击,因为该攻击链的关键部分涉及网络攻击(初始黑客攻击)。同样,通过社会工程学诱骗用户透露密码(黑客可以利用这些密码未经授权访问计算机网络并窃取其数据或做更糟的事情)仍然属于网络攻击的一部分,因为对信息系统本身的攻击是非物理的,即使必要的社会工程学策略可能依赖于物理事物,例如插入后会自动运行间谍软件的植入式U盘。
鉴于上述工作定义,我们将使用“网络安全”来涵盖与电磁频谱相关的安全,在其他讨论中,电磁频谱通常被视为一个独立但相关的领域。这样做的理由是简化我们的讨论,而不是使用更繁琐的“网络安全和频谱安全”。例如,主要的航空航天组织也采取了这种立场,部分原因是为了确保不会因为缺乏明确的学科归属而忽视对频谱安全的关注。此外,两者之间的区别越来越模糊,而且对于本报告的目的来说,它并不十分重要,即使它在其他讨论中很有用。
也就是说,我们认识到信号干扰和欺骗严格来说不是“网络攻击”,而更确切地说是对无线电信号或电磁频谱的干扰。在武装冲突的背景下,它们不属于网络战,而是属于“电子战”的范畴。然而,由于这两个领域密切相关,因为它们都涉及非物理攻击,而且无线电也可以由软件定义,因此容易受到网络攻击,而不仅仅是频谱干扰,我们将信号干扰和欺骗作为网络攻击的例子,特别是因为它们是已经发生的重要事件或场景。
我们不会在这里进一步讨论网络安全的基础知识,包括其历史和方法,因为这些讨论在其他地方已经很多了,超出了本报告的范围。但本报告确实假设受众对网络安全有一定程度的了解。
所谓“太空网络攻击”,我们并不一定指针对位于外太空的计算机系统的网络攻击,尽管这可能是我们首先想到的形象。相反,我们将用这个短语来表示针对太空生态系统任何部分的网络攻击,其中可能包括:
• 发射部分,例如发射场、运载火箭、有效载荷、研发设施;
• 地面部分,即支持太空系统运行的地球基础设施和服务,例如任务控制和人员终端;
• 太空部分,即人造卫星、空间站、望远镜等空间物体;
• 用户部分,例如GPS接收器、人造卫星互联网终端、人造卫星电话;
• 链接部分,例如从地面到太空(上行链路到人造卫星或从人造卫星下行链路)、太空到太空(交叉链路)甚至地面到地面的通信链路。
下图说明了太空生态系统中的各个部分:
图 1:空间系统部分
例如,美国太空监视网络(SSN)探测并跟踪绕地球运行的人造物体,包括太空垃圾、返回航天器和脱离轨道的人造卫星以及可能的导弹。这对于太空交通管理(STM)至关重要,例如,可以预测与太空垃圾的碰撞路线并让航天器采取紧急机动以避开它们。地面雷达和光学望远镜是SSN地面部分的一部分,而人造卫星是其太空部分的一部分。链路部分可以是上述任何一种:往返太空、人造卫星到人造卫星或地面站到地面站。
再举一个例子,据报道,在2022年2月24日俄乌战争爆发前约1小时,俄罗斯对美国通信公司Viasat开展了网络攻击,以切断其在乌克兰的人造卫星互联网连接。这是对Viasat调制解调器和路由器的攻击,这意味着这是对用户部分的攻击,旨在破坏上行链路和下行链路的链路部分。虽然这次网络攻击没有直接针对太空资产,但它仍然算作太空网络攻击,因为目标是Viasat太空生态系统的一部分。
尽管如此,本报告将主要关注太空领域的网络安全,因为太空资产比地面上的计算机系统和设备更难保护,如下一节所述。此外,这些场景的考虑程度远不及地球上的网络安全场景,地球上的网络安全场景可能更为常见。例如,对地球上太空研发设施的网络攻击可能类似于对许多其他组织的网络攻击,因此已经采取了专门的防范措施。
此外,并非所有针对太空组织的网络攻击都可算作“太空网络攻击”,而更常见的攻击类型则属于此类。例如,如果“太空”只是针对非太空公司的网络攻击的偶然事件。例如,此类入侵可能旨在窃取员工的社会安全号码,以进行普通的身份盗窃——甚至可能不知道或不在乎员工在太空公司工作——而不是旨在渗透太空组织IT系统以专门破坏太空数据、产品或任务的多步骤攻击。准确划分这条界线对本报告并不重要,因为我们将处理明确的太空网络攻击实例。
最后,我们所说的“人造卫星”(satellite)是指在轨道上运行的人造或人工空间物体。如果我们指的是天然卫星,我们会明确指出,例如,指定空间物体是小行星。
3 背景:问题的根源是什么?
尽管自1957年地球第一颗人造卫星(前苏联“斯普特尼克1号”)发射以来,已经过去了近70年,但太空网络攻击的历史仅仅可以追溯到几十年前。这一历史发生在20世纪80年代和90年代个人电脑和互联网兴起之后,数字网络攻击也迅速出现并蔓延。太空中的计算机成为攻击目标只是时间问题。
世界上第一起太空网络攻击通常发生在1986年,攻击者是一名“视频海盗”,他是一名卫星操作工程师,绰号为“午夜队长”。他的任务现在看来有些古怪,他通过干扰HBO的传输并广播自己的信息4.5分钟来抗议HBO卫星电视服务不断上涨的费用,就像当代罗宾汉一样。
其他早期卫星黑客攻击的说法也存在争议。部分问题在于,由于网络空间缺乏明确的物理证据,因此很难首先发现网络攻击,更不用说将攻击归咎于某个行为者、组织甚至国家。例如,以下说法被认为具有自然或非网络原因,存在争议:1998年,据称德国 X 射线望远镜卫星(伦琴卫星,ROSAT)遭到黑客攻击,其太阳能电池板被指向太阳,导致电池过度充电和故障;1999年,据称英国军用通信卫星(Skynet)遭到黑客攻击并被勒索赎金。
但其他案件则更为清楚,即使可以预料到会遭到否认。1999年,一名15岁的黑客从控制国际空间站(ISS)物理环境的美国国家航空航天局服务器窃取了源代码;这次网络攻击毫无争议,并被起诉。2006年(以及2011年),据报道利比亚干扰了阿联酋的Thuraya卫星,以扰乱其卫星电话服务。2007年和2008年,美国国家航空航天局人造卫星遭到黑客攻击,Landsat-7和Terra AM-1人造卫星的控制权被接管数分钟。
几年之后,据称从2011年开始,伊朗展示了其通过伪造GPS信号捕获美国无人机并扰乱民用航空电子设备的能力。2014年,巴勒斯坦组织哈马斯声称对入侵以色列卫星电视传输以播放其自己的信息负责。2015年,俄罗斯黑客(Turla)被指责劫持卫星通信;这是一个值得注意的、罕见的例子,它通过攻击太空系统来攻击地面上的传统计算机,方式是隐藏其通过卫星传输数据的路线。2018年,俄罗斯被指控在北约军事演习期间干扰GPS信号,影响附近的民用空中交通。
仅在过去几年,世界才经历了第一场真正的“太空战争”,双方在武装冲突中使用了太空系统。2022年,俄乌战争爆发当天,俄罗斯被指责用恶意软件“破坏”或使可操作的Viasat调制解调器无法使用,从而拒止访问卫星互联网服务,以破坏信息和协调工作。与许多网络攻击一样,其影响是无差别的,因为它们本质上很难预测和控制。因此,欧洲数以万计的其他Viasat客户也因俄罗斯的黑客攻击而遭遇服务中断,不仅影响了互联网使用,还影响了近6000台风力涡轮机的远程监控。
同年,俄罗斯还试图干扰和入侵Starlink的卫星互联网设备,包括在移动设备上植入恶意软件,窃取Starlink服务器上的军事通信。但这些攻击直到最近(大约两年后)才成功,因为Starlink的技术尚属新颖,且漏洞不为人知。
俄罗斯的这些网络攻击为全球敲响了太空网络安全的警钟。但这并不是说国防规划者们不担心这个问题,只是媒体和公众并没有对此进行过多讨论,如果他们真的意识到这一点的话。几年前,在2020年,美国国防部发起了“黑掉卫星”竞赛,这是一场夺旗式比赛,最终在2023年DEFCON黑客大会上,几支队伍成功入侵了一颗在轨真实卫星。同样在2023年,欧洲航天局监视了一场入侵运行卫星的演示。
在上述事件之间还发生了许多其他事件,例如2024年发现的韩国卫星运营中心遭到黑客攻击,据推测是朝鲜所为。虽然它们目前还没有像其他地面网络攻击那样广泛(工业、国家组织和个人每天都会遭受这种攻击,这已经是常态),但由于以下几个原因,它正成为一个日益紧迫和危险的问题。
1. 太空竞赛2.0
鉴于地球上持续的地缘政治紧张局势,外太空正迅速变得更加拥挤,因此竞争也更加激烈。如下图所示,发射次数趋势令人震惊。
根据联合国外太空事务办公室的数据,在1965年至2012年的近50年间,全球发射的已登记太空物体(主要是人造卫星)总数保持稳定,平均每年约130个。但这种情况突然发生了变化,2013年至2016年,平均发射了220多个太空物体,2017年至2019年,这一数字翻了一番,达到近500个。
2020 年至2021年,这一数字在两年内增长了两倍,达到1500多个物体。而且,世界各国有望在不久的将来将这一数字翻一番,在过去两年(2022年和2023年)内平均发射近2600多个物体。可以肯定的是,这些活动大部分来自美国,但竞争对手国家也在关注并迎头赶上。
图1:每年发射到太空的物体数量
太空发射数量的这种指数级增长部分是由新技术、更强大的技术推动的,尤其是人工智能(AI)和机器人技术。例如,SpaceX开发了一种可重复使用的一级火箭助推器,可以精确地降落回地球,据报道,这已经节省了60%的典型发射成本。随着计算机尺寸的减小,小型人造卫星也使外太空变得更加便宜,因此更容易进入。一个流行的例子是立方体卫星,它的起始尺寸为10 厘米x 10厘米x10厘米,不到魔方的两倍大小——即使是学术实验室也能负担得起发射费用。
这些体积更小、功能更强大的人造卫星可以与人工智能协同,在轨道上形成星座或“卫星群”,例如提供人造卫星电话服务(例如Iridium)、人造卫星互联网(例如One Web)和人造卫星图像(例如Planet Labs)。人造卫星不再只是通过轨道中继无线电信号或将传感器数据传回地球的弯管,现在有了机载计算和不断增强的自主性(例如用于飞行控制),它们为黑客提供了更广泛的攻击或利用能力。也就是说,一旦进入太空系统,威胁行为者就可以做更多的事情。
随着进入太空的途径和能力的增强,全球对太空资源和研究场地的竞争也日趋激烈。例如,月球南极是一个备受推崇的地区,不仅因为其科学研究价值,还因为可能蕴藏着丰富的冰。月球冰的重要性在于它可以转化为水,供宇航员饮用,并可用作其他用途,如冷却剂或燃料(经过电解分离氢原子和氧原子);但考虑到其重量,从地球发射水的成本很高,尤其是对于长期和长距离任务来说,发射的数量就太多了。月球可以成为在进一步进入太空前补充水、氧气和其他补给的航点。
2023年,俄罗斯的着陆器在前往月球南极的途中坠毁,最终导致任务失败。仅仅几天后,印度就成为第一个成功在该地区软着陆航天器的国家。然后在2024年初,美国首次成功将商业航天器软着陆到月球,到达该地区。中国目前正计划在2026年登陆该地区,为其计划中的月球基地奠定基础。
不仅仅是国家行为者,这种可及性的提高意味着公司也能够负担得起在外太空的活动。然而,国际上现有的太空法很少,对管理太空商业活动没有多大帮助,各国只能根据自己的意愿进行监管。正如本节下文关于法律制度所讨论的那样,太空法的核心文本已有50多年的历史,是在人们认为只有国家才能负担得起太空发射费用的时候起草的;因此,太空法主要关注国家,而不是行业或其他私人行为者。
因此,太空商业出现了一些计划,这些计划可能缺乏月球和宇宙应有的尊严。这些计划包括不顾文化和宗教反对,将人类遗骸送上月球,以及通过营销噱头将粉末状运动饮料送上月球,以便未来的宇航员可以用月球水补充水分;这两项计划都是Astrobotic于 2024 年发射失败的一次发射的一部分。未来的计划包括在月球上放置用风化层或月球土壤制成的基督教十字架,这可以预见会激起更大的文化和宗教愤怒——也会种下不满和冲突的种子。这些新的争议和行为者可能会揭示出新的攻击者动机和角色,而这些动机和角色在历史上从未被考虑过。
在太空探索的最初50年里,太空科学和安全是推动太空发展的动力,推动力主要来自各国,尤其是美国和前苏联,而如今,经济也成为竞争的驱动力,因此也可能导致冲突。例如,各国和业界对开采和利用太空资源非常感兴趣,从冰到贵金属。以在火星和木星间绕太阳运行的小行星16号普赛克为例:它比塞浦路斯岛还大,富含铁和镍,估计价值约为1000京美元(19个零)——比价值约105 兆美元的整个世界经济要大几个数量级。这颗小行星是太空中众多潜在宝藏之一,可能引发新一轮淘金热。
2. 太空遥远
外太空距离我们非常遥远,因此进入太空的成本非常高,以至于只有不到700人曾经进入过太空。与目前超过80亿的世界人口相比,这基本上是一个舍入误差。世界上亿万富翁的数量是这个数字的四倍多。因此,我们与太空互动的主要方式是数字化的,例如通过我们的手机、卫星天线和带有太空数据馈送的网站。因此,如果有人想攻击太空资产,他们也必须以数字化的方式进行,即通过网络攻击;远程攻击不依赖于物理距离或访问。
当然,美国、俄罗斯和印度等少数国家已经展示了反卫星(ASAT)能力,从地球发射导弹摧毁轨道上的目标。但联合国和美国呼吁禁止反卫星试验(用于直接上升式“杀伤”,例如地面射弹,但不包括其他方式,例如通过网络攻击)在过去几年中势头强劲;2022 年联合国大会关于该决议以154票对8票通过。因此,任何进行直接上升式ASAT的国家都会面临国际谴责的巨大风险,因此这似乎在可预见的未来不太可能发生,或者世界希望如此。(另请参阅下一点以了解相关原因。)
地球与太空间巨大的物理距离不仅对攻击者是个挑战,对防御者来说也是如此。想想看,目前在轨运行的最古老的人造卫星是“林肯校准球1号”,发射于1965年。(“先锋1号”是太空中最古老的人造卫星,发射于1958年,但在1964 年通信失联后停止运行。)但现代网络安全问题直到20世纪70年代才出现,当时第一个计算机蠕虫Creeper出现在当今互联网的前身ARPANET上;即使在那时,网络安全直到20世纪80年代末才开始成为主流关注点,并在20世纪90年代随着互联网的兴起而发展泛滥。
这意味着,目前太空中存在一些没有内置防御措施的人造卫星,因为它们的出现早于人们对现代网络安全的严重担忧。同样,除信号干扰外,第一起公开的卫星黑客事件至少要到1990年代末(ROSAT和 Skynet)或2000 年代初(Landsat-7和Terra AM-1),这取决于你相信哪种说法。而且,尽管听起来很疯狂,但今天仍然有卫星在没有网络安全措施的情况下发射,例如立方体卫星,这种卫星因建造和发射成本低廉而受到大学实验室和其他实验室的欢迎;它们通常既没有足够的空间来塞入网络安全组件,也没有预算来安装它。
即使是内置网络防御系统的卫星和其他航天器,我们现在都知道网络安全是一场永无止境的“打地鼠游戏”。拥有最新的技术和操作系统是不够的,因为它们的数百万行代码中都不可避免地存在漏洞,这些代码是由整个人类程序员团队(易犯错误的)编写的,没有一个人能够全面了解情况。因此,我们需要不断升级硬件,不仅是为了获得更快、更强大的性能,也是为了修复以前和新的漏洞。软件也需要不断打补丁,直到下一个版本的操作系统或应用程序发布。
但这些升级、修补和维护对于太空中的物体来说极其困难。从太空到任何轨道的物理距离,更不用说到达那里所需的努力和成本,意味着我们不能像在地球上一样随时更换服务器。因此,太空网络安全需要根据机载硬件的情况进行调整,这限制了固件和软件可以远程升级的范围。通常会避免进行重大系统更新,以消除更新失败可能导致航天器损坏的风险,而且通常存在无法远程修补的永久性软件组件。所有这些网络不安全性都会随着时间的推移而恶化。
此外,在轨道和宇宙的其他地方,太空物体无处可藏;任何拥有合适望远镜或其他手段的人都可以清楚地看到它们。由于轨道力学遵循物理定律并且是可预测的,因此太空物体的运动也是相当可预测的,除了故意的机动和不受控制的碰撞或“结合”。这可能使它们特别容易成为可跟踪的目标,并且处于人的视线范围内。
顺便说一句,太空天气成为人类和我们的技术离开地球时需要考虑的一个更严重的因素。恶劣的太空环境包括极端温度、辐射(例如来自太阳耀斑的辐射)以及超过地球硬件正常运行极限的微流星体的影响。例如,太空辐射会导致位翻转——将1变成0,反之亦然——这会破坏机载加密密钥的存储,这可能会导致有效凭证停止工作并拒绝访问。因此,需要特别小心防范这些自然灾害,因为它们会降低网络安全防御能力,而一些网络攻击可能会使航天器暴露于这些危害之中。
国际空间站(ISS)和GPS人造卫星等主要太空系统需要十年或更长时间才能开发完成,因此从概念化到发射,它们面临着在网络安全方面始终保持最佳实践的挑战。因此,如果没有最新的网络防御系统(有些系统在发射时网络安全落后10年),或者由于硬件和软件的限制而无法保持网络安全,太空资产将成为特别诱人且备受关注的攻击目标。由于外太空的物理障碍,攻击的主要方式可能是远程的,即通过网络攻击或电子战(例如信号干扰和欺骗)进行攻击。
3. 太空垃圾与可持续性
在外太空,网络攻击相对于动能攻击的环境效益是巨大的。网络攻击通常不会炸毁目标,但有时也会。武装冲突既是道德灾难,也是环境灾难,因此,无论是在地球上还是在轨道上,防止环境损害都是一项积极的发展。正如本文所解释的那样,太空垃圾是导致太空网络攻击增加的一个间接因素。
太空垃圾是我们留在太空中的垃圾,例如报废的卫星、废弃的助推器、火箭碎片、破损的太阳能电池板、丢失的工具等,其中一些是由这些太空物体间的早期碰撞或结合产生的。问题是,它们并不是在太空中平静地漂浮;它们正以每小时20000英里(或32000公里)或更高的惊人速度绕地球飞行,或者,更可以想象的是,每秒6英里(或10公里)甚至更快。
这意味着太空领域在轨道垃圾方面已经处于危险状态。因此,为了协调太空交通,尽可能多地跟踪这些东西至关重要,例如要知道我们不会将火箭发射到碎片场,或者要知道何时何地操纵卫星远离与碎片甚至另一颗卫星的碰撞路线。在这样的速度下,任何碰撞都可能是灾难性的,即使是微小的油漆斑点。
航天机构能够追踪大约35000个太空物体,其中只有大约9000个是正在运行的人造卫星,其余都是垃圾。但也有超过100万个小碎片难以追踪,大小从1厘米到10厘米不等。更糟糕的是,有超过1.3亿个小于1厘米的太空碎片,我们目前的技术无法追踪。
这与网络安全有什么关系?太空垃圾的威胁是对太空动能冲突的强大威慑,因为动能冲突会产生更多垃圾。这不仅仅是一个环境问题,也是一个自利问题:太空垃圾不在乎撞上哪个国家的物体,它既可能摧毁自己的太空资产,也可能摧毁对手的太空资产。但太空网络攻击不太可能加剧这一垃圾问题,只要他们能从太空服务中受益,这符合每个人的利益。
与上一点相关,呼吁国际反卫星禁令旨在防止外太空军备竞赛,但考虑到共同的轨道碎片问题,它们也是为了保护空间可持续性。各种估计都指责直接上升式反卫星试验产生了25%以上的可追踪空间碎片,并使与航天器发生灾难性碰撞的风险增加了一倍。这本身已经表明,轨道上的动能“射击”战斗很可能充其量是一场惨胜——也就是说,损失如此之大(对任何一方而言),以至于赢得太空战斗都感觉像是输了——因此是不合理和不可接受的。
太空垃圾带来的危险不仅与单个航天器碰撞有关,还存在行星级风险。这就是许多专家担心的“凯斯勒现象”——太空垃圾轨道场中不可控制、不可预测的碰撞连锁反应,每次碰撞都会产生更多的碎片,这意味着没有人能够在不经过这个包围地球的危险雷区的情况下安全地发射到地球外。在最坏的情况下,这实际上会终结地球上的所有太空计划,以及支持现代世界的太空服务。
研究人员还担心轨道碎片(主要为金属)会对地球的保护磁场造成破坏。
因此,与动能冲突相比,太空网络攻击可以避免空间垃圾问题,因此可能成为轨道冲突的主要模式。
4. 系统的复杂性
太空系统可能极其复杂,实际上是“成体系系统”(systems of systems),这可能导致更多的网络漏洞,包括更广泛的攻击面或黑客的切入点。首先,太空生态系统本身复杂而独特,需要考虑需要保护的各个部分:发射、地面、太空、用户和通信链路部分,如上一节所述。
仅以太空部分为例,想想发射到太空的各种技术形式:火箭具有推进系统、导航系统,以及根据任务而定的不同有效载荷,如人造卫星、太空探测器、需要为人类和动物提供生命支持系统的载人航天器、自主探测车和太空望远镜等货物等等——所有这些都依赖于计算系统,而所有计算系统都可能被黑客入侵。
供应链越长且越分散,攻击面就越大,这意味着出现错误和漏洞的机会也越多,尤其是在需要集成不同系统的情况下。这基本上就是物联网(IoT)环境中可能面临的漏洞百出的网络安全问题,尤其是当涉及不同的供应商时。商用现货(COTS)组件在立方体卫星和其他卫星中很常见,它们加剧了这个问题,因为拥有一个简单的即插即用系统是以牺牲整个系统强大或至少一致的网络安全为代价的。例如,相同的漏洞可以反复用于使用COTS组件的不同目标。
尽管最近美国国家航空航天局(NASA)、国家标准与技术研究所(NIST)和电气电子工程师学会(IEEE)等机构在制定太空网络安全的明确标准方面取得了进展,但这仍然是一个不断变化的目标,因为进攻和防御都将继续共同发展,而且这一进展对于之前发射时网络安全状况不佳的太空物体仍然没有多大帮助。此外,标准化太空安全可能很困难,因为卫星任务安全取决于大量半独立系统和软件(即成体系系统)的安全属性。另一方面,小型立方体卫星通常也没有任何网络安全保障,因为缺乏机载空间和资金,尤其是对于学术项目而言。
鉴于发射成本下降和商业对太空的浓厚兴趣,民族国家不再是外太空的唯一或主导者。这增加了在整个供应链中制定网络安全标准的挑战,特别是因为太空技术被认为是双重用途,即既有国防用途又有非国防用途。虽然国防和情报任务可以预期使用比工业和学术任务更高的网络安全标准,但即使是那些机密任务也可能涉及对网络安全关注程度不同的商业供应商,假设这些公司甚至有网络安全专家。例如,国防和民用部门间的不同数据交换接口可能会造成信息安全方面的漏洞。
上面我们只是谈论了太空部分。其他部分也涉及需要保护的相关技术,也涉及计算系统,例如发射设施、通信地面站、任务控制中心、最终用户终端等。
如今,新技术正在推动人们涌向太空,例如可重复使用的运载火箭和更强大的人工智能,以实现更好的控制和机动性。许多都是从未使用过的原型。这种新颖性带来了一个优点,那就是它是一个陌生的系统,因此更难被黑客利用,这有助于解释为什么俄罗斯花了两年时间才破坏了Starlink向乌克兰提供的卫星互联网服务。但新颖性也有其弊端;从定义上讲,新技术的网络准备度研究不足,而机密技术无法从学术研究人员等更广泛专家的审查中受益。
由于公众普遍缺乏有关技术细节的信息(无论是由于新颖性、安全等级,还是技术开发人员不愿透露卫星固件等细节),某些形式的网络攻击可能需要大量资源来计划和执行,也许需要国家支持,就像“震网”病毒(Stuxnet)那样。但这种“隐蔽式安全”只能让我们走这么远,攻击者可以瞄准链条中较弱的环节,例如使用普通的社会工程策略诱使太空系统操作员透露他们的登录凭据(可能只需要一个,而目标组织可能拥有数千名员工),或者信号干扰,这不需要了解GPS系统的内部工作原理,除了它的无线电频率。无论如何,“隐蔽式安全”可能不会持续很长时间,因为商业压力要求使用商业现货(COTS)和标准化组件。
虽然现代技术日益复杂,能够提供更强大的功能,但复杂性也会导致脆弱性、更多故障点和网络漏洞。太空系统是我们创造的最复杂的技术之一。对于技术娴熟的黑客来说,入侵太空系统可能是一项珍贵的奖杯,因为发射、太空任务及其技术系统的安全措施非常严格;这也是“黑掉卫星”竞赛的动机,该比赛在2023年产生了几支获胜队伍。
5. 法律制度不明确
当法律不明确或缺失时,道德问题就会从这些空白中产生,因为法律通常会遵循道德来保护社会价值观,例如禁止谋杀和欺诈。但法律的模糊性也为有争议的挑衅行为敞开了大门。在外太空,这意味着可能会引发或加剧冲突,从而引发网络反应。在接下来的讨论中,我们将探讨国内法和国际法(包括太空法)中可能引发或加剧外太空网络冲突的关键问题。
与动能攻击或物理攻击相比,网络攻击没有明确的法律框架约束,尤其是跨国攻击,太空网络攻击则更少。许多备受瞩目的网络攻击(例如OPM、索尼影业、Equifax、Colonial Pipeline、NASA卫星等)尚未导致刑事指控或起诉,即使肇事者已被专家确定并已发布“通缉”海报。这反映了法律或其执行方面的漏洞,甚至可能是无法无天的迹象,因为如此大规模的严重违法行为无法预防或起诉。
事实上,一位美国联邦调查局高级特工曾建议,在某些勒索软件攻击事件中“只需支付赎金”,但这并不是很有帮助的建议,尤其是在勒索软件如此猖獗和敲诈的情况下。作为在没有其他帮助的情况下的一种自救形式,“反击黑客”——即侵入网络攻击者的系统以恢复/删除被盗数据或追踪/破坏其系统以防止进一步攻击——的合法性也并不明确,因为计算机法(例如美国的《计算机欺诈和滥用法案》(CFAA))通常不考虑这种特定情况,因此不解决这种特定情况。
如果任何一个国家都难以应对网络攻击,那么在制定国际法时,挑战就会加倍,即使每个人都认识到网络威胁是一个严重的问题。制定网络空间规范的国际讨论已经停滞了十多年,原因是对国际法是否以及如何适用于网络空间(包括武装冲突法和国际人道主义法)缺乏基本的共识。
而且,网络攻击是否能够触发国际法规定的自卫权或集体防卫权甚至还不清楚,因为1945年《联合国宪章》(分别为第2.4条和第51条)禁止“使用武力”和“武装攻击”,而这些概念和理解仍然通常被理解为动能攻击,例如子弹和炸弹,而不是网络攻击。也就是说,传输代码(一串 0 和 1)怎么会是“使用武力”或武器呢?
但是,如果我们从一定规模、持续时间和影响的角度来理解“使用武力”和“武装攻击”,那么一些严重的网络攻击可能会上升到足以证明采取军事行动的程度,例如永久摧毁为平民提供能源的电网,这类似于导弹造成的破坏。相比之下,GPS信号短时间受阻(根据上一节中的术语讨论,我们在本报告中将其归为“网络攻击”)似乎没有弹药通常造成的永久性、不可逆转的损害那么严重。
如果我们具体讨论的是信号攻击,那么国际电信联盟(ITU)就与此有关,因为它负责协调无线电信号的频谱分配和相关事宜。《国际电信联盟公约》第45条规定,“所有无线电电台,无论其用途如何,都必须以不会对其他成员国或公认的运营机构或其他经正式授权的运营机构的无线电服务或通信造成有害干扰的方式建立和运营,这些运营机构开展无线电服务并按照《无线电规则》的规定运营。”
这似乎明确禁止了信号干扰和欺骗,但不幸的是,国际电信联盟几乎没有执行机制,主要依赖于争端各方的诚信合作。如果网络攻击意味着各方之间诚信的破裂,国际电信联盟的作用主要是标准制定、协调和发展,因此它只能对网络攻击提供有限的威慑,例如,如果各国希望国际电联成为未来争端的中立仲裁者,并需要保持其良好关系。
太空网络安全面临三重挑战,因为它们牵涉到国际太空法,而国际太空法已有数十年历史,且对网络攻击、太空垃圾和其他当时尚不存在的当前问题大多保持沉默。太空法的主要文书仍然是1967年批准的《外太空条约》(OST),当时现代网络安全还未成为关注点。作为冷战的产物,OST 原本只是一项基础协议,是美国和前苏联作为地缘政治竞争对手以及当时唯一的太空强国可以最低限度同意的基本框架;因此,它留下许多未解决的细节也就不足为奇了。
随后的三项太空法条约包括《救援协定》(1968年)、《责任公约》(1972年)和《登记公约》(1976年),分别规定了向宇航员提供援助的义务、对太空物体造成损害的责任以及为了太空交通管理(STM)和国际合作而对太空物体进行登记的义务。
其他国际空间法包括“软法”文书,如联合国宣言、原则、建议和指导方针。虽然软法不具有法律强制执行力,但它作为各国行为的明确偏好,仍然具有权威性。《月球协定》(1984年)对大多数国家不具有法律约束力,因为迄今为止只有17个国家批准了该协定。总的来说,这些太空法来源可以作为制定规范的基础,这些规范可以发展成为习惯国际法或进一步的硬法,但与本讨论相关的是,它们都没有直接涉及网络安全。
因此,除仅限于少数核心文书外,大部分太空法通常与处理太空网络安全或其他现代问题无关或不充分。我们将在以后的出版物中留出更长的讨论时间,但现在,只需指出《外太空条约》(OST)中似乎与太空网络安全相关的几个关键条款即可:
在《外太空条约》中,第4条和其他条款确认外太空只能用于和平目的,“月球和其他天体应由本条约的所有缔约国使用,仅用于和平目的。禁止在天体上建立军事基地、军事设施和防御工事,禁止试验任何类型的武器,禁止进行军事演习。”
第9条确立了不干涉原则,“如果本条约某一缔约国有理由相信该国或其国民计划在外太空,包括月球和其他天体进行的活动或试验,可能对其他缔约国和平探索和利用外太空,包括月球和其他天体的活动造成潜在的有害干扰,则该国应在进行任何此类活动或试验前进行适当的国际磋商。如果本条约某一缔约国有理由相信另一缔约国计划在外太空,包括月球和其他天体进行的活动或试验,可能对和平探索和利用外太空,包括月球和其他天体的活动造成潜在的有害干扰,则该国可就该活动或试验请求进行磋商。”
第1条也可能具有相关性,因为它规定了一项不歧视原则,“外太空,包括月球和其他天体,所有国家应在平等基础上并依照国际法自由探索和利用,不受任何歧视,并应自由进入所有区域。”
因此,在太空发动网络攻击似乎违反了至少部分条款。例如:与第4条相反,这要么是未经授权利用计算机系统的侵略性、非和平活动,要么是测试(网络)武器,后者也是被禁止的。与第9条相反,网络攻击似乎属于被禁止的有害干扰,即使不是动能干扰(《外太空条约》从未明确规定它必须是动能干扰)。与第1条相反,仅针对特定国家太空资产的攻击(例如对美国人造卫星的干扰攻击)似乎违反了非歧视原则,这与干扰所有卫星信号的频谱攻击不同。然而,太空网络攻击仍然存在,没有任何违反《外太空条约》的法律指控。
但这些都是对《外太空条约》的解释,可能存在争议。例如,它可能声称太空网络攻击是干预先前侵略性、非和平活动的必要手段;如果先前的活动威胁到干扰另一个缔约国的计划,那么网络攻击看起来更像是“黑客反击”的案例,其法律地位在国内法甚至国际法下都不清楚。
众所周知,几乎所有太空技术和物体都具有双重用途的潜力,即用于和平和非和平用途。因此,发射能够进行攻击性网络作战的太空系统可能是合理的,这有助于隐藏武器,直至为时已晚。
此外,由于尚未在任何法律程序中进行测试,因此什么才算禁止对外太空进行有害干扰尚不明确。例如,干扰似乎经常以信号干扰/欺骗的方式发生,干扰也可能来自无意的行为,例如由于可能与第二颗人造卫星相撞而迫使人造卫星偏离其轨道。问题很大一部分在于信号干扰源可能难以识别和追踪,当干扰源是移动的(例如在船上)时更是如此。同样,尽管与《外太空条约》有关的争议已经出现,但尚未发现任何国家违反《外太空条约》。
即使国内或国际法律明确规定了网络攻击的非法性,提供了执行机制并指定了法律补救措施,成功起诉的一个关键障碍仍然是对攻击的明确归因。
对于国际网络攻击的适用法律和治理尚不明确,更不用说发生在外太空的网络攻击了。这为模糊性创造了空间,也增加了行为者逃避合法活动参数进行网络攻击等恶意或有害活动的可能性,这有可能升级为更严重的冲突,甚至是动能冲突。同样,并非所有针对太空系统的网络攻击都发生在外太空,因为它们可能针对地面、用户和地球上的其他部分;但本报告中提供的更新颖的场景往往是关于太空中的网络攻击,因为它们不像地球上更常见的网络攻击场景那样明显,也更少被考虑。
上述各种法律漏洞也说明了为什么在制定法律和政策时必须考虑各种情况,以预测和识别这些差距,正如本报告试图解决太空网络安全问题一样。除了上述网络安全问题外,太空法律和政策中的其他治理差距可能会导致误解、误判,并最终导致冲突。同样,我们将把这一详细讨论留到以后的报告中。
由于法律可以存在数十年甚至更长时间,今天看似荒诞或更具推测性的太空网络攻击情景在遥远的未来可能并非如此,就像《外太空条约》没有预见到我们现在面临的现代问题一样。针对各种情景(包括更遥远的情景)测试拟议的法律原则和框架仍然很有启发性,可以主动弥补任何差距。
6. 熟悉的网络优势
太空网络攻击也将继续发生,原因与地球上“常规”网络攻击将继续发生的原因相同:它们有效。从经济、政治和环境角度来看,它们是一种低成本但仍然非常有效的策略。
可以肯定的是,开展数字侦察或取证以研究目标计算机系统中是否存在网络漏洞,例如零日漏洞(未在网络攻击中使用过的未公开漏洞),然后开发一种网络武器来渗透该特定系统,可能需要大量资源和整个技术专家团队,这是非常昂贵的。例如,作为世界上第一个网络武器,2010年的“震网”(Stuxnet)蠕虫病毒是一种非常特殊的恶意软件,专门为摧毁伊朗核计划中的离心机这一非常特殊的任务而量身定制,据估计开发它耗资“数亿美元”并耗时两三年。
但是,获取网络能力的门槛不断降低,开发和发动许多其他网络攻击的成本要比派遣一支突击队、物资、运输等准备和发动动能攻击的成本低得多。随着计算能力每年都变得越来越便宜和强大,发动网络攻击的成本现在已经低得离谱,网络钓鱼活动每月只需30美元,这比美国海豹突击队的平均时薪还低,更不用说整个突击队在执行任务期间的成本了。相比之下,发射一枚导弹的成本可能超过200万美元,而乌克兰发生的爆炸或“自杀式”无人机的成本仅为几百美元。
尽管网络行动成本较低,但对依赖数字系统(尤其是指挥、通信、控制和情报 (C3I) 系统)的现代对手而言,网络行动却极为有效。无人机袭击可以摧毁整栋建筑,而C3I的数字基础设施不一定位于任何单一的物理位置,而是可以是分布式的,甚至是虚拟的,例如云计算。因此,即使将对手的通信中心炸得粉碎,也可能不如超越物理空间和限制的网络攻击有效,就像其数字目标一样。
除动能摧毁目标外,网络攻击还可以提供一系列新的、有用的选项。如果网络攻击使目标完全失去作用,那么它在功能上可以等同于动能攻击,但它也可以被设计成具有可逆或暂时的效果。或者它可能根本不是攻击,而是一种情报收集行动,例如窃听敌人的通信。或者它可以用于欺骗,例如使受感染的系统看起来正常,但实际上向决策者提供虚假数据。
从政治角度来看,与派遣“地面部队”的风险相比,网络攻击的成本要低得多,尤其是在外国,这可能会引发外交危机,甚至引发战争。由于“地面部队”的相关风险是“尸体被装进袋子里带回家”,因此网络攻击不太可能造成如此高的人员成本(对我们而言),以至于它会削弱公众对军事行动的支持并威胁到相关政治生涯。
对于太空冲突,动能类比就是用导弹从地球上击毁一颗人造卫星,这不仅代价高昂,而且对禁止反卫星试验和事件的来之不易的进展也会产生反作用。
由于网络攻击具有隐秘性,因此其挑衅性也较低,因此升级的可能性也较低。首先,由于攻击者有隐藏位置的技术,而且大多数人根本不了解数字证据,因此攻击者的身份通常难以确定。例如,国家行为者可以简单地否认其网络攻击,这可能足以在全球公众心中产生怀疑。由于某些网络攻击可以不加区分地传播并影响数千台或更多其他机器,例如来自电子邮件或受感染网站的恶意软件,因此攻击者的目标也可能难以确定。
其次,即使知道了预定目标,通常也不清楚网络攻击造成了什么损害,因此也不清楚应该采取什么相应的应对措施。网络攻击的影响并不总是显而易见的,例如摧毁整个计算系统,但它可能更加隐蔽,例如窃取数据、植入坏数据或安装间谍软件来窃听通信。由于某些网络攻击(例如零日漏洞)从未在现场尝试过,而不是在受控的实验室环境或“数字沙箱”中进行,因此根本无法保证网络攻击会按预期发挥作用。它可能会产生部分或意想不到的影响,这些影响可能比预期的更糟糕,因此在这种情况下会升级,例如,如果整个平民电网被切断,导致冬季寒冷或夏季高温导致人员死亡。
再次,网络攻击是否已经发生通常很难判断,因为网络攻击可能看起来像是系统正常的非网络故障。IBM在其2022年报告中估计,平均而言,一个组织需要207天(约7个月)才能确定发生了入侵,然后再花70天来遏制它。如果需要数月或数年才能发现网络攻击已经发生,那么即使确定了肇事者,这种滞后时间也会削弱迅速采取行动的紧迫性和冲动。
在太空中,风险更大,因为监控遥测的访问可能不定期,并且仅限于视线范围内。除非在设计时将远程数据取证功能内置到航天器中(这种情况很少见),否则结论性取证可能需要物理访问,例如磁盘工件,因此鉴于外太空难以进入,这不是一个切实可行的选择。
除此之外,许多网络攻击事件没有报告,原因多种多样,包括不想让对手或黑客知道某次网络攻击的破坏程度。如果攻击有效,公开披露可能会鼓励更多此类攻击;如果攻击无效,攻击者将浪费时间继续尝试这种策略,并会提供更多关于肇事者的数字证据。公开报告还会吓跑客户和投资者,还有其他一些自私的原因。
因此,我们可以合理地预期,外太空网络攻击将成为对手和其他不法分子的一种有吸引力且有效的工具,其原因至少与网络攻击在地球上如此普遍相同。
7. 更高的赌注
我们在这里讨论的对太空网络攻击更加关注的最后一个原因是,与其他网络攻击相比,太空网络攻击的风险异常高,而且比大多数人意识到的要高;因此,这种威胁需要更多的关注。
首先,许多关键服务都是由太空系统实现的。如介绍部分所述,GPS和其他卫星提供我们日常使用的定位、导航和计时服务。天气和其他地球观测卫星提供数据和图像,用于监测、管理和预报我们关心的许多事物,具有农业、生态、社会、经济和政治(国家安全)效益。因此,这些服务的丧失将对空中和海上导航以及金融交易和其他通信等造成严重破坏。此外,太空系统被视为“军事行动的直接推动者”,因此本身就是高度战略性目标。
即使重要的服务不受影响,太空系统也可能成为引人注目的象征性目标。这些可能对那些希望以奇观震撼人心的恐怖分子和活动团体来说更为重要,而不是那些希望造成混乱和扰乱信息作为动能攻击或其他行动前奏的国家行为者。鉴于网络攻击比动能攻击的成本和风险要低得多,非国家行为者可以更好地承担发起网络攻击以造成各种影响(从微不足道到严重)的后果。如果太空系统的网络安全措施落后,那么它就会成为更具吸引力的目标。
协调的小型人造卫星星座因其巨大的覆盖范围而越来越受欢迎,例如可以发射人造卫星互联网、电话和电视信号,但它们可能具有独特的网络漏洞。例如,卫星群或星座中的每颗人造卫星通常都与其他人造卫星相同或几乎相同;这意味着对一颗人造卫星有效的网络攻击可能对所有人造卫星都有效。如果一次只击落一颗人造卫星是最不切实际的,例如每颗人造卫星都需要的非常昂贵的反卫星导弹,那么开发一个零日漏洞来执行这项工作将更为合理和具有成本效益。此外,这些星座还带来了新的问题,例如造成更多干扰天文学的光污染,此外,考虑到涉及的人造卫星数量之多,还可能增加更多的轨道碎片。
太空垃圾仍然是外太空最紧迫的威胁之一,至少在我们关心的轨道上是如此。虽然网络攻击的优点通常是不会产生更多的太空垃圾,但情况可能并非总是如此。例如,从人造卫星窃取数据不会扰乱人造卫星的运行,但更严重的网络攻击可能会完全破坏太空物体,使其在功能上变成一块巨大的太空垃圾,以后可能会变成更多的碎片。
根据太空物体内的目标系统,网络攻击可能会产生动能效应(例如电池过热和超载导致爆炸),从而将太空物体碎裂成许多碎片,可能多达数千个,这些碎片也需要追踪和避免。如果失灵的太空物体脱离轨道,其部件也可能会像雨点一样落回地球,无论是无意还是有意,都可能对财产和生命造成损害。
如上所述,尽管网络攻击由于其隐蔽性和不造成大量人员伤亡的特点,挑衅性较低,因此升级程度较低,但太空环境的特殊情况也可能引发相反的反应。每个国家在防止地球上的网络攻击方面都遇到了麻烦,而且有理由相信太空中的网络攻击将会增加,这也是如上所述的。与此同时,各国都有很强的积极性来阻止针对其系统的网络攻击,尤其是那些对国家安全和情报至关重要的系统。如果没有间谍卫星和其他能力,现代军队在没有轨道上的有利位置和其他太空服务(如GPS和通信)的情况下将处于极大的劣势。
这些因素的汇合显然促使俄罗斯宣布,任何人造卫星黑客行为都可能被视为战争行为或开战借口。无论这种威胁是夸张还是真实,它仍然具有预期的威慑效果,因为即使是战争的可能性也会是一个可怕的幽灵,可以撼动全球金融市场并造成其他混乱。这也令人不安,因为战争本应是最后的手段,因为它是如此可怕,但俄罗斯却表示愿意在单纯的人造卫星黑客攻击上走这条路——至少没有人死亡或受到直接伤害——在俄罗斯与民族国家之间短暂的历史上,这种攻击还没有引发刑事起诉,更不用说到目前为止如此戏剧性的武力威胁了。这种威胁还凸显了太空资产在现代军事中发挥的重要作用,以及俄罗斯和所有其他国家对保护太空系统免受网络攻击的迫切需要。
与俄罗斯开战对每个人来说都是生死攸关的。俄罗斯总统普京等已经暗示,如果国家遭受严重攻击,将采取焦土战略,并发表这样的言论,“我们为什么需要一个没有俄罗斯的世界?”同样,无论这种威胁是否虚张声势,它仍然可以产生预期的威慑效果。除给对手带来过高、过大的成本外,实际的或感知到的不合理性还会扰乱博弈论中的权衡,博弈论试图根据对手或竞争对手的预期反应或动作来绘制一条获胜的路径或动作;非理性行为者往往会违背预期。
就像其焦土战略一样,在撰写本文时,如果俄罗斯真的打算将核武器送入轨道,哪怕只是作为反卫星武器,它可能会不顾一切地退出其在1967年谈判并批准的《外太空条约》。事实上,俄罗斯开始明确表示它可能同意在外太空使用核武器。
如果俄罗斯不是在虚张声势,此举将违反《外太空条约》的一项基本原则;第4条规定,“本条约缔约国承诺不在地球轨道放置任何携带核武器或任何其他种类大规模杀伤性武器的物体,不在天体安装此类武器,也不以任何其他方式在外太空部署此类武器。”
如果地球上发生大规模动能战争后国家仍然存在,那么太空网络攻击的更大风险与空间碎片问题有关。地球上的动能战争,尤其是太空强国间的动能战争,可能会蔓延到太空中的动能战争,而这不受任何具有法律约束力的规则的禁止。如果一次直接上升式反卫星试验产生的空间碎片比现有的多25%——反卫星试验和碎片的产生都没有受到法律禁止——那么一场全面的太空战争将通过破坏轨道数百或数千年而摧毁各方的太空雄心。
虽然“凯斯勒现象”(由轨道碎片制成的行星监狱)的风险可以而且应该成为对外太空侵略的威慑,但它也可能是一些网络攻击者的目标,无论是不负责任的国家、恐怖分子、黑客活动分子还是其他行为者,正如本报告中的一些情景所假设的那样。例如,一个没有太空资产、不依赖太空服务的非航天国家(至少在其自己的(错误)认知中)可能会认为污染地球轨道不会有什么损失,但这样的国家如何确保反卫星导弹或所需的网络专业知识仍是一个悬而未决的问题。
本节的结论是:即使网络攻击是外太空冲突的主要形式,并且动能冲突的代价对于理性行为者来说可能高得令人无法接受,但这并不意味着我们不需要紧急制定更有效的太空治理和激励措施来防止此类动能冲突和军备竞赛。
太空军事化持续进行,且缺乏防护措施,这仍令许多人感到担忧,误判可能会意外引发太空战斗。例如,赋予人造卫星防御能力以自动跟踪、禁用或摧毁其他人造卫星的项目需要认真考虑其对轨道环境可持续性以及升级动态的影响,尤其是在人工智能或人类做出错误防御决策的情况下,以及在未来与同样具有自主防御能力的敌对人造卫星发生冲突的情况下。
战争通常涉及一些不合理的行为者,他们会威胁数百万人的生命,造成经济和环境损害,而其收益却不明朗,因此我们不能依赖理性或运气来保护脆弱的太空环境免受人类战争的影响。即使是有限规模的动能冲突,即使是一次事件,也可能迅速升级为更广泛的太空冲突和/或产生新的碎片,产生连锁反应,使我们更接近“凯斯勒现象”。至少,一旦所谓的闸门打开,一场有限规模的太空动能冲突将开创一个危险的先例,也许会降低下一次动能战的门槛。
除可治理的国家行为者外,网络攻击还可能来自非国家行为者,他们可能根本不关心太空可持续性,例如混乱分子和其他极端分子,他们乐于引发“凯斯勒现象”。例如,他们的网络攻击可能针对航天器的关键部件,该部件的故障可能导致爆炸,并产生数千块或更多危险的太空垃圾。
在网络战可以得到治理的范围内,太空网络战的治理当然也应该得到解决。然而,挑战在于,地面网络战和网络攻击一直顽固地抵制国际协议,尽管外太空的特殊情况可能为取得更好的进展带来希望。
基于上述背景,在接下来的章节中,我们将介绍ICARUS矩阵来生成太空网络安全的新场景,以及一套强大的新场景和批判性思维问题来开发和探究新场景。
4 分类学:如何生成新场景
无论好坏,只要我们愿意,人类就会拥有令人难以置信的创造力和智慧。在网络安全领域,这意味着能够不断以新的方式渗透和利用数字系统,让世界感到惊讶。因此,正如上一节所解释的那样,网络安全仍然是现代生活中一个持续存在的问题,尤其是在外太空。
为防范特定的网络威胁或攻击媒介,首先需要了解威胁,以便评估现有防御措施是否足够或是否需要加强。但在猎手与猎物间的不断演变中,网络防御者永远不能放松。自满和缺乏想象力都可能为造成巨额经济损失甚至更糟的网络攻击打开大门。
本节为拼图中的想象力部分提供帮助。下面是一种新的分类法,是我们开发的情景提示生成器,用于帮助激发想象力。这被称为CARUS矩阵,即“想象网络攻击以预测太空特有的风险”(Imagining Cyberattacks to Anticipate Risks Unique to Space)的首字母缩写。虽然有许多关于网络安全的优秀分类法(例如NIST、MITRE和航空航天公司的分类法),但由于以下几个原因,它们不足以满足我们的目的。
有些分类法过于技术化,只有网络安全从业人员才能理解,这对于某些目的来说没问题;我们希望分类法也能让政策规划人员和其他专家理解,因为网络安全也是一个政策和社会问题。有些分类法很全面,提供了大量的细节,而另一些分类法对于我们的目的来说太过简单;我们希望在两者之间取得平衡。此外,一般分类法没有捕捉到太空生态系统中的特定部分,例如太空和链接部分,而这些部分在预测新型网络攻击时似乎很重要。
但我们希望的不仅仅是一份可能的攻击媒介和网络漏洞类型的列表,更希望有一个框架能够推动我们的想象力,让我们更准确地描述网络攻击场景。其中可能涉及许多不同的动机、方法等等,不仅要考虑漏洞在哪里,还要考虑攻击者可能从哪个方向接近漏洞。这意味着我们希望有一个框架,不仅可以解释数字系统如何被攻破,还可以解释场景中的谁、什么、在哪里、何时和为什么。所有这些都可以帮助指出不同的对策和更多的响应选项,并为场景添加更丰富的细节。
同样,本报告的主要动机是,至少在非机密讨论中,太空网络安全通常只提出少数几种情景,即人造卫星黑客攻击以及干扰或欺骗信号(如GPS)等模糊的说法。如果这些是唯一需要防范的情景,那么整个太空领域都将陷入困境。因此,太空网络安全的进步可以从更多情景的注入中受益匪浅,尤其是那些令人意外的情景。作为非机密材料,它们将使无数没有安全等级的研究人员能够参与这些情景。
介绍完毕后,下面是ICARUS矩阵,可供技术人员和非技术人员使用,用于为新型太空网络攻击场景奠定基础,并可以进一步充实细节。虽然它本身并不是正式的分类法,因为许多变量可以重叠,并且不像典型的分类法那样相互排斥,但它可以用作一般分类法,因为它可以捕获主要变量,并且可以根据需要向其中添加其他变量。
1. 了解ICARUS矩阵
首先,ICARUS 作为情景提示生成器,并没有提供全面的变量列表,而只是提供了一份强大的起始列表,以帮助激发情景的“想象”。毫无疑问,还有更多变量可以考虑,但我们在此仅将主要变量作为初始选项。此外,新的网络攻击方法、新的太空能力、新的威胁行为者等将随着时间的推移而出现,尤其是随着太空和网络技术的不断发展。
为此,我们针对太空网络安全的任何场景确定了五个主要关注类别(A至E列)。基本思路是从两列或更多列中选择20个变量(1至20行)中的一个,为新场景创建一个提示或基本结构,五列代表以下主要元素:
A. 威胁行为者或代理(“谁”在实施网络攻击?)
B. 动机(他们“为什么”要发动网络攻击?)
C. 网络攻击方法(攻击者“如何”侵入系统?)
D. 受害者或利益相关者(另一个“谁”的问题)
E:受影响的太空能力(攻击者想要造成“什么”损害或影响?)
需要注意的是,网络攻击发生的地点和可能发生的时间并不包含在ICARUS矩阵中,因为这些并不是变量,而是场景的依赖项。例如,对“旅行者1号”的网络攻击必须发生在太阳系之外,因为人造卫星就在那里。或者,对火星殖民地供水系统的黑客攻击可能不会在近期甚至中期(20 年左右的时间内)发生,因为考虑到今天的太空能力,火星殖民地预计要到2050年左右才会存在。
无论如何,本报告的下一部分将按照时间轴(在时间范围内,这种网络攻击可能发生在什么时候?)和地点(这种网络攻击可能发生在太空的哪个位置,从地球到星际空间?)组织一个包含40多个场景的样本集。但 ICARUS 矩阵可以创建更多场景;有4084000个独特的变量组合(即场景提示)可以从2至5个类别或列中提取。而且,每个类别中可能远不止我们选择的20个变量,这又只是一个起始列表。
为什么要从两个或多个类别中抽取?因为就像几何学中需要两个点来描述一条线一样,我们需要从两个或多个类别中确定变量,以便为场景提供最低限度的可行结构和方向。几何学中只有一个点,就有无数条可能的线,而场景提示中只有一个变量,同样对从无数可能性中浮现出离散场景没有多大帮助。即使是两个变量也会留下许多其他考虑因素,因此可能导致许多不同的场景,但它仍然比只有一个变量好几个数量级。无论如何,对场景进行欠缺说明可能是可取的,例如,如果存在未知数或探索核心场景的排列。
至于如何使用这些场景:即使一开始就构建一个场景,也是想象工程的一项宝贵练习,即像黑客一样思考,并开始了解有多少未探索的可能性存在。在下一节的末尾,我们将提供批判性思维问题,以帮助根据提示开发场景。
一旦开发出来,这些新颖的场景可以帮助激发对太空网络安全中现有和新兴可能性的讨论。例如,多学科团队可以使用这些场景来鼓励跨领域的讨论,如下所示。可以鼓励网络安全研究人员、航空航天工程师和其他相关专家组成的技术团队讨论合理的攻击媒介,以成功对真实或假设的系统实施攻击。
同样,政策团队(广义上包括政策分析人员以及律师、伦理学家和其他专家)可以讨论某项技术或方法是否符合当前国际和社会规范。政策团队还可以制定应对新情况的政策响应或解决方案,尤其是以不加剧紧张局势的方式。
当技术和政策团队相互合作和迭代时,这些对话的力量就会被放大。例如,当技术团队提出一种新的可行的攻击或防御技术时,政策团队可以评估该技术的意外后果,包括可能的双重用途以及是否符合现行太空法律和规范。同样,当政策团队提出新的最佳实践时,技术团队可以开发新的攻击树和潜在的防御技术,以满足政策团队提出的最佳实践。其他可能性包括运行桌面模拟或兵棋推演演习。
2. 类别说明
以下是 ICARUS 矩阵中五个类别(A至E列)的简要描述,然后在下一小节中对每个变量进行描述:
A. 威胁行为体或代理人
威胁行为体或代理人是造成或负责发动攻击的人。值得注意的是,威胁行为体不必仅限于ICARUS矩阵中的一个变量或行。例如,一个主要的航天国家可能会与一个较小的航天国家或一个独立的企业实体合作采取行动。不同的行为体在参与太空网络行动时可能具有不同的优势、角色和局限性,正如我们在描述每个威胁行为者的下一小节中讨论的那样。
一些重要的网络威胁本身并不是行为体或代理人,而是自然威胁。这方面的例子包括太空辐射、太阳耀斑、微陨石以及人类出现前在外太空出现的其他此类危害。像太阳辐射这样的自然事件可能会导致使操作条件变得不太理想的情况,因为它们可能会破坏甚至瘫痪数字系统,例如通过位翻转,就像实际的网络攻击一样。
我们之所以注意到这一点,是因为人类威胁行为者可以利用自然威胁,比如将他们的网络攻击与太阳风暴结合起来,以免被怀疑是犯规行为,或者瞄准跟踪或防御这些自然威胁的系统,使他们的目标受害者暴露在这些危害中。
B. 动机
威胁行为体的动机需要考虑,因为它们可以指向不同的响应和防御,但动机很难确定,而且可能很复杂。例如,一个新兴的航天国家可能受到其他国家的行动、经济利益、魅力独裁者的个性或任何数量的激励因素的激励。
动机也会极大地影响行为体愿意投入的资源、全球受众对行动的看法以及行为体的行为热情。重要的是要记住,人类的行为和决策是多方面的;例如,主要受经济利益驱使的行为体也可能受职业自豪感、民族主义和/或个人崇拜驱使。
C. 网络攻击方法
网络攻击方法是指威胁行为体使用的特定策略或漏洞。以下是威胁行为体可能使用的三大攻击领域,这些领域可以结合在网络活动中:
网络攻击包括各种电子战、黑客攻击、软件攻击、硬件攻击和供应链攻击。其中许多攻击将类似于过去30年来网络安全界一直在探索的信息技术和运营技术攻击。然而,太空环境有一些独特的挑战,我们将更详细地讨论。
社交攻击涉及欺骗、胁迫或贿赂一名或多名员工,让他们听从攻击者的命令,从获取访问权限到安装恶意软件。这些社交攻击在当前针对信息技术和运营技术系统的攻击中非常成功,并被用于在各个行业发起网络攻击。
航天系统具有特殊且具有挑战性的操作和工程条件。攻击太空系统特有的传感器、执行器和算法会创建一个最少探索的攻击面,至少在攻击前是如此,可以以新颖的方式加以利用。
请注意,虽然本报告重点关注的是太空部分中较为新颖的场景,因为太空部分是尚未探索的部分,但网络攻击可能发生在太空系统的任何部分。例如,信号干扰攻击可能会干扰太空对地通信、太空对太空信号、探测车的运行和导航等。
D. 受害者或利益相关方
受害者或利益相关者是网络攻击的受害者,了解目标受害者也有助于协商应对方案。与威胁行为体一样,影响不必局限于单个受害者。还值得注意的是,实施一次事件的威胁行为者可能是另一次事件的受害者。例如,一个航天国家可能是网络攻击的受害者,并决定以牙还牙或升级并向另一个国家发动攻击。
E. 受影响的太空能力
我们对太空能力的定义大致分为以下三个领域:支持太空系统的地面资产、太空系统以及受太空能力支持的地面资产。以下是每个领域的示例:
支持太空系统的地面资产可以包括航天发射中心、指挥控制中心、通信、研发设施、地球望远镜、最终用户终端等。
太空系统可以包括载人航天器(例如航天飞机、指令舱和空间站)和无人航天器(例如GPS人造卫星、探测器、太空望远镜、探测车)。
依赖于太空服务的主要地面能力包括可用于广泛的民用和国防应用的GPS的定位、导航和授时(PNT)应用,包括导航、航空、电网管理、物流、金融服务等。
3. 变量解释
以下是上述五个类别中每个变量的简要描述。请注意,变量不一定是相互排斥的;有些变量可以重叠,这是可以预料到的,因为太空能力可以具有双重用途,黑客动机可以是多维的,等等。
A. 威胁行为者或代理人
再次强调,威胁行为者不需要独立或孤自的;许多行为者可能与其他行为者合作、雇用其他行为者或受其胁迫。
A1. 主要航天国家/实体:此分类针对的是经验更丰富且更活跃的航天国家或实体,包括美国、加拿大、英国、欧洲航天局(ESA)、法国、德国、印度、俄罗斯、中国、独联体(CIS)、国际通信卫星组织 (ITSO) 等。谁或什么算作“主要”航天国家或实体在这里无需定义,只要此ICARUS矩阵的用户始终遵循这一理解即可。
A2. 其他航天国家/实体:这一分类依据是,与主要航天国家/实体相比,这些国家在太空的有效载荷数量较少,在航天方面的经验和资源也较少。
A3. 非航天国家/实体:此分类涵盖了上述A1或A2外的所有其他国家和实体。
A4. 内部威胁:没有人愿意认为自己的员工、同事、供应商甚至朋友可能对自己的工作和组织构成威胁。这些内部人员不一定是恶意的;他们也可能只是网络安全习惯松懈、受到胁迫或成为大型行动的“棋子”等等。内部威胁更有可能是“独狼”行为者,例如心怀不满的员工,而不是有组织行动的一部分。
A5. 政治恐怖分子:这些是暴力极端团体,其动机是特定议程,例如政治变革、宣传、选举、权力、破坏和扰乱。他们甚至可能是受国家支持的黑客活动分子。同样,了解威胁行为者的动机至关重要,但政治恐怖分子的动机可能特别多样化。
A6. 雇佣兵:这些黑客可能由政府资助,也可能受雇于私人。随着私人军事承包商(PMC)继续在现代战争中发挥作用,日益网络化的世界的新现实也在创造致力于网络战的战斗人员,我们也可以预期网络雇佣兵将随着这一趋势发展成为补充资产。
A7. 生态恐怖分子:一些极端组织寻求保护或破坏环境。该组织与其他恐怖组织不同,他们主要关注改变环境,但他们会使用暴力来迫使法律或政策变革。航天工业应将对地面作业和太空垃圾的攻击视为攻击媒介。生态恐怖分子可能倾向于保护“太空环境”——或者摧毁它。
A8. 公司:太空公司面临的威胁形势不断受到来自内部和外部实体的测试,以发现其中的漏洞。私营和公共太空公司帮助全球经济运转,对商业太空产业和太空资产的攻击处于高度戒备状态。这些重要技术在知识产权和专有数据方面存在潜在的网络漏洞。至少部分外太空应被视为关键基础设施部门。其他国家的黑客继续试图从人造卫星收集数据并破坏通信;其中一个目标是在重大冲突期间找到漏洞并加以利用。
A9. 移动服务提供商:作为威胁行为者,移动服务提供商可能比其他公司更有可能被胁迫或以其他方式利用来进行网络攻击,而不是主动造成伤害。这是因为它们可以利用专业资源,例如在多步骤攻击中。它们还可能在不知情的情况下参与攻击,例如,旨在接管客户账户的SIM卡交换或端口转移诈骗,或欺骗蜂窝塔以拦截数据传输。
A10. 发射服务提供商:大型私营公司已逐渐取代美国国家航空航天局(NASA)成为发射服务提供商(LSP),并改变了格局。由于发射频率和速度的原因,太空任务存在许多漏洞。与移动服务提供商一样,LSP 拥有对黑客有吸引力的专业资源,因此LSP也更有可能被迫或不情愿地参与网络攻击,例如通过远程工作且拥有升级权限的供应商或承包商。
A11. 社会工程团体:这些是成熟的威胁行为者,他们使用劝诱和操纵来窃取数据和信息,以便日后用来危害系统和人员。近年来,太空资产已成为攻击目标,商业、安全和其他领域都依赖于太空资产。社会工程将使用策略让高层管理人员交出凭证,以便威胁行为者可能危害敏感数据和知识产权。经过适当培训的人员以及最佳实践(例如最小特权原则)可以帮助抵御此类攻击。
A12. 有组织犯罪:为获取非法收入和其他可能的目标,有组织犯罪能够开展网络行动,例如扩散勒索软件来加密重要数据并勒索受害组织支付赎金,赎金可能高达数百万美元,具体取决于加密数据的价值。高价值的人造卫星或人类可能是有组织犯罪集团的经济丰厚目标。其他网络攻击可能更为复杂,需要犯罪组织而非单独的犯罪黑客提供的资源和协调。
A13. 混乱代理人:混乱代理人,例如无政府主义者,通常使用混乱和权力来改变和破坏,而不是平衡社会常态。过去十年,每年发射的卫星数量激增,几乎每年都在增加,这在全球催生了一些混乱代理人,他们担心低地球轨道(LEO)人造卫星数量不断增加,以及对太空可持续性造成影响并使一些轨道无法使用的碎片。
A14. 宗教/末世论团体:末世论邪教会导致意想不到的、不稳定的群体行为,这通常与受魅力领袖控制的宗教运动有关。以“天堂之门”为例,这是一个拥有魅力领袖的UFO/UAP宗教,该邪教相信,如果他们在海尔-波普彗星经过地球时自杀,他们就会在更高的存在层面上复活;这导致了1997年在圣地亚哥的一个地下室发生的集体自杀事件。类似的末世论邪教可能会在狂妄自大的领袖的指导下,将航天器作为攻击目标。
A15. 其他意识形态团体:其他极端主义团体也可能采取暴力或其他非法行动来支持其目标。即使我们目前无法识别或预测它们,也必须牢记未来“已知的未知数”的作用。
A16. 代理/代理人,尤其是非自愿的:威胁行为者可能希望隐藏在无辜的人背后,例如那些被胁迫或欺骗参与网络行动的人。在实施网络攻击时伪造某人的IP地址也可能牵连无辜的第三方。这不仅会使网络攻击的归因变得复杂,而且会使对该攻击的响应和后果变得复杂。一些代理也可能是自愿的,例如被指示攻击共同对手系统的盟国。
A17. 非战斗人员,尤其是非自愿人员:在战争背景下,非战斗人员包括普通平民,也包括军队牧师、医生、受伤和退役的作战人员、战俘和其他未参与战斗的人员。因此,他们享有法律保护,免于成为军事袭击的目标。但如果他们拿起武器或以其他方式直接积极参与敌对行动,他们就会失去这种受保护的地位。在2022年俄乌战争爆发时,Starlink被指控参与敌对行动,为乌克兰提供关键的人造卫星互联网连接,有效地帮助他们抵抗和对抗俄罗斯——并使他们成为合法目标(至少在俄罗斯看来),尽管Starlink主要为民间社会提供服务。
A18. 业余黑客/爱好者:这类威胁行为者并非出于恶意,而是出于好奇,想知道自己是否能够闯入系统,而这本身就是目标。但由于缺乏经验,他们可能会意外破坏系统中的某些东西;如果目标是太空资产,这可能会造成严重损害,例如脱离轨道。除好奇心之外,他们还可能出于无聊、吸引眼球或其他动机。
A19. 人工智能(AI)和机器学习(ML):威胁行为者可以利用AI/ML的进步来检测新的漏洞,以利用这些漏洞来对付人造卫星系统有效载荷或其他组件。AI/ML 正在迅速发展,而指令(prompt)编写可能是我们构建这些技术的下一个用途的方式。这些进步的研究和开发将能够分析大量数据,包括网络威胁。
A20. 未知/匿名:虽然有些威胁行为者可能希望因网络攻击而受到赞扬,但大多数人都不想被发现。有些人以特别努力隐藏身份而闻名,例如黑客行动主义团体“匿名者”,而其他威胁行为者尽管尽了最大努力,但仍不为人所知。除了无法将网络攻击归咎于任何特定的威胁行为者外,这些隐藏的身份还可以掩盖动机,这对于预测他们的行动计划并做出战略性回应非常重要——尽管对于“匿名者”来说,他们的动机通常是明确且公开的。
B. 动机
再次强调,重要的是要注意动机并不相互排斥,其中一些动机可能与其他动机互补或对立。同样,当多个行为者合谋发动网络攻击时,他们的潜在动机可能不同且多样。
B1. 民族主义:冷战期间,太空优势被视为民族自豪感的主要来源。从那时起,太空一直是各国的骄傲,例如,近年来印度成功将无人探测器送上月球。攻击太空能力的动机之一可能是民族主义情绪,例如,破坏另一个国家以保护自己在太空的优势或阻止该国取得重大的象征性胜利。
B2. 支配和影响:除了政治支配、影响和国家及其他国家影响力的动机之外,黑客社区本身在历史上也具有不健康的攻击性,这是由于其固有的对抗性质和早期的文化规范。因此,攻击者的潜在动机是试图证明他们是“1337”黑客,这是早期留言板上对精英黑客的简称。太空系统的高调性质加上其强大的防御态势,使其成为试图展示其支配地位并在黑客社区中获得影响力的黑客极具吸引力的目标。更广泛地说,试图在不同社区证明自己的攻击者可能会选择攻击不同的太空系统;例如,获得对国家侦察局(NRO)人造卫星的控制权可能会对反美团体产生强大的影响力。
B3. 财务和经济动机:潜在的太空网络攻击至少有两种财务或经济动机与此相关。第一种动机是经济利益,试图将攻击变成收入来源。出于经济动机的攻击的一个常见例子是勒索软件,它会加密关键数据或以其他方式禁用系统的关键部分,直到支付赎金为止。另一个例子是窃取知识产权的网络入侵。
第二个动机是给对手造成经济损失。这可能发生在国家或企业层面。例如,为了给企业造成经济损失,黑客可能会选择攻击那些会造成最大经济损失的太空系统,比如耗资数十亿美元的詹姆斯·韦伯太空望远镜(JWST)。在经济恐怖主义中,目标可能不如损失规模和随之而来的社会影响重要,比如金融股票市场的混乱。与此相关的是,导致经济损失的网络攻击(例如增加部件的故障率)也可能妨碍开发和任务时间表,从而让竞争对手有时间赶上。
B4. 欺诈:与前一个变量相关,欺诈通常是出于经济利益,但一个关键区别是,作案者不希望他们的欺诈行为被发现,而勒索软件攻击则必须被发现才能有效。例如,老化人造卫星的所有者可能会破坏自己的太空资产以收回保险赔付或隐藏其他犯罪的证据。
B5. 雇佣:许多参与网络攻击的行为者可能只是受雇工作,尤其是政府雇员或承包商。即使国家从未宣称对攻击行为负责,此类攻击者的目标也可能与赞助国的官方政策和声明一致。破坏伊朗核计划的“震网”蠕虫等攻击与探索此类威胁行为者有关。
B6. 勒索/胁迫:有时,黑客会受到外部力量或影响的驱使,例如各种形式的胁迫,包括勒索和敲诈。想象一下被绑架的亲人,或来自极权主义政权的威胁性影响,甚至勒索以揭露真实或感知到的不检点行为。威胁行为者也可能作为动机本身试图勒索或敲诈受害者。
B7. 恐怖:至少有两种与太空系统有关的恐怖主义策略与此相关。第一种是攻击太空系统以破坏一群人的士气。太空系统是损害民族自豪感的明显目标;例如,哈勃太空望远镜和詹姆斯·韦伯太空望远镜(JWST)都是国家和国际成就的象征,可能成为导致美国及其盟友士气低落的目标。
另一种策略是利用太空资产恐吓一群人。设想有人破坏了美国国家航空航天局(NASA)双小行星重定向测试(DART)任务的正面目标;最初的任务是探索人造物体在改变小行星方向以防止未来小行星与地球相撞方面的影响。恐怖组织可以重新利用DART的目标,将小行星转向太空或地球上具有国家、政治、宗教或文化意义的目标。
B8. 战争:太空系统对于现代军队的定位、导航和授时(PNT)以及情报收集和间谍活动至关重要。这里的动机至少可以从三个方面考虑。首先,国家行为者可能旨在通过摧毁对手的PNT或侦察太空系统来削弱对手。这可能会导致许多现代防御系统失去关键的制导数据,并使其中许多系统失效,并导致电网、蜂窝网络和民航等关键民用基础设施出现故障。
其次,黑客活动可能导致关键 PNT 和侦察系统的数据损坏或欺骗。设想一个对手想要隐藏边境部队的集结,不让人造卫星侦察发现。如果他们能够入侵相关系统,并用不包含部队的操纵图像替换图像,这可能会对武装冲突产生重大影响。
再次,太空黑客可用于将太空资产重新用于太空战。考虑接管带有推进器的小型人造卫星,例如Starlink互联网人造卫星。这些卫星可能会被重新利用,在低地球轨道周围引发“凯斯勒现象”(或称“碰撞级联效应”)事件。
B9. 虚假信息:与出于战争目的的虚假信息类似,威胁行为者可能出于其他动机而受到虚假信息的驱使。例如,假设某人确信需要为行星防御分配额外资金,例如用于未来的“杀手小行星”或防止反向污染;他们可能会受到驱使而伪造信号并试图制造地球受到威胁的假象,从而引起恐慌并产生新的预算优先事项。其他动机根本不需要涉及太空政策,而只是使用太空网络攻击来实现他们的目标。
B10. 间谍活动:高保真光学、电磁和其他传感技术使太空系统在监视、跟踪和监视地球方面具有独特的能力。对于功能极其强大且著名的NRO人造卫星以及用于科学和工业研究的低成本多产小型人造卫星(立方体卫星)而言,情况确实如此。入侵并控制具有先进成像功能的人造卫星,可以让一个国家对陆基资产进行间谍活动,而小团体或小民族国家则很难做到这一点。虽然NRO人造卫星可能经过安全设计过程,但较小的立方体卫星在网络安全和防御方面的审查可能极其有限。
B11. 破坏:在太空系统等高压力和快速发展的领域,现任或前任员工总是有可能对正在进行的项目或组织感到失望,从而有动机破坏系统。这种情况在关键基础设施中已经发生过很多次,例如,一名前污水处理工人利用系统中的后门,向雇用他的市政厅投放污水。非内部人员同样可以出于不同的不满和目标参与破坏活动。
B12. 极端主义思想:上述大多数其他动机都可以与极端主义思想相结合,使犯罪者的行为更加狂热和鲁莽。例如,考虑一个厌世的恐怖分子,他被人类对生态系统的影响的极端观点所驱使。如果这个攻击者决定入侵太空发射系统以阻止发射大量化学废气,他们可能愿意因为他们的极端观点而采取一切必要手段。类似的极端主义可能是出于政治、民族主义、宗教或其他原因。
B13. 个人崇拜:科技界有许多大人物,他们有狂热的追随者和批评者。这些人物往往对粉丝有巨大的影响力,有时会发表轻率和错误的言论,而不考虑其言论的潜力。一个强大的人物可能会发表关于太空系统危险的言论,无论正确与否,都会被解读为对太空系统的行动号召。
B14. 偏执狂/反科技:日益网络化的世界也可能会遭遇越来越多的抵制和抗议,以应对日常生活中快速的技术变革。变革不仅可能很困难,而且有一种不无道理的观点认为,缺乏治理和监督已经导致了真正的危害,并且这种危害还会持续下去,例如人工智能偏见、持续的社会监视以及分散社会和基础设施投资的项目(例如公共交通)。这种恐惧和沮丧可能导致威胁行为者采取激烈措施。
B15. 无聊/恶作剧:黑客社区早已熟悉了那些除了看看是否能用多余的空闲时间完成一些任务之外没有其他目的的黑客。这导致了著名且具有开创性的病毒、蠕虫、僵尸网络和其他针对计算机系统的攻击。拥有足够技术技能和空闲时间的人可能会开始问自己“我能入侵人造卫星吗?”在入侵系统时,无聊的黑客可能希望对系统进行恶作剧或开玩笑,例如接管人造卫星上的LED并闪烁摩尔斯电码中的不雅信息。这里的动机不是为了出名,不是为了造成损害,不是为了引发冲突,而是为了简单而纯粹的好奇心,再加上缺乏责任感或道德。这种动机通常可以被重新利用并被利用为一种向善的力量,正如各种改过自新的黑客所见,他们已经转变为行业甚至国防组织的生产成员。
B16. 看着世界毁灭/混乱:有时,像无聊或恐怖分子黑客一样,混乱的黑客旨在造成损失、痛苦或混乱,只是为了“看着世界毁灭”。这种类型的攻击者的动机只是混乱,这使得他们非常难以预测。例如,考虑一下上面那个能够入侵人造卫星的无聊黑客;但黑客并没有无害地闪烁带有不雅信息的 LED,而是决定检查他们是否可以使一颗或多颗人造卫星脱离轨道。计划外的脱离轨道可能导致许多后续结果,包括更多碰撞、资产损失、基本服务(如全球互联网服务)的损失以及其他影响。
B17. 社会/分配正义:尽管太空的准入开始开放,但它仍然是富人的天下,这本身就带来了一些担忧,比如当他们利用治理漏洞或干涉国际争端和冲突时。与此同时,地球上仍然存在着巨大的贫困、不平等、性别歧视、种族主义和其他不公正现象。社会活动团体可能会被激励将太空资产作为目标,以将他们的事业推到聚光灯下,因为他们在取得更好进展的努力中受挫,或者感觉像是倒退。目标可能是富人所拥有的,例如太空中的虚荣项目,或目标国家的组织和资产。
B18. 智力/技术展示:可以连接这些类别的激励因素之一是对网络攻击质量和有效性的专业自豪感、智力展示或吸引注意力的策略,例如“吹牛”。这通常出现在具有重大影响的攻击以及有政府资助的攻击中。同样,对手可能希望展示他们的能力,例如作为威慑信号。
B19. 复仇/报复:无论是在个人、企业还是国家层面,报复都是一个强大的动机因素;对许多受害者来说,报复被视为正义问题。报复性反应的相称性通常不是复仇者的主要关注点,他们更关心的是惩罚罪犯、威慑其他潜在罪犯或恢复失去的民族自豪感。这造成了非相称反应的真正风险,这种过度反应可能会让双方的敌对情绪和破坏不断升级。
B20. 第一次接触,赞成与反对:外星生命存在的可能性要么令人兴奋,要么令人恐惧,甚至两者兼而有之,这取决于你是谁。这肯定会成为人类历史上最伟大的发现之一。与智慧外星生命的第一次接触所带来的极端情绪和高调性质可能足以促使一些威胁行为者欺骗第一次接触(当没有外星生命存在的证据时)或破坏第一次接触(或许有一天它会发生)。
C. 网络攻击方法
以下是在实际攻击中可以单独使用或组合使用的一般攻击类别的描述。网络攻击通常涉及利用多种攻击技术的多步骤、多向量过程。攻击者通常会通过外部漏洞获得初始访问权限。然后,攻击者将扫描和评估其他漏洞或弱点,并转向其他攻击。
攻击的细节(即获取访问权限、提升权限、获得持久立足并最终实现攻击者的预期目标的过程)可以用各种方式建模。例如,“洛克希德网络杀伤链”和“MITRE ATT&CK框架”是最强大的网络建模技术之一。
C1. 内部人员攻击:“内部人员”是指可能曾经或现在拥有访问其雇主或客户系统的权限的前任和现任员工、供应商和承包商。例如,一家航天公司的一名心怀不满的员工在升职时感到委屈,可能会被激励去破坏数字资产,包括窃取知识产权或制造混乱。内部人员攻击与其他攻击之间的重要区别使其成为一种明显有害的威胁。例如,内部人员可能已经拥有访问关键系统的有效凭证和权限,从而避免了开发或支付专业黑客技能的麻烦。内部人员还可能了解不为公众所知的系统设计和弱点,这有助于发起更有效的攻击。
C2. 社会工程:威胁行为者使用操纵、胁迫和社交策略诱骗用户提供信息或数据,从而以某种方式在组织内危害他们。例如,网络钓鱼电子邮件旨在诱骗系统管理员泄露其凭据,以便威胁行为者可以访问敏感数据或应用程序。社会工程通常是一种有用的技术,可以获取对系统的初始访问权限,然后可以利用该访问权限开展其他攻击。
C3. 勒索软件:这种恶意软件会加密或禁用一个或多个系统,使系统处于非运行状态,除非操作员支付赎金来恢复系统。即使支付了赎金,也无法保证受害者不会被勒索更多钱财,数据也可能被删除或无法解锁。这些数据对于许多组织的日常运营至关重要;例如,医院一直是勒索软件的受害者,无法访问患者记录以进行挽救生命的治疗和手术。在太空系统中,时间紧迫的勒索软件可能存在于生命支持系统或脱离轨道的飞行器周围。
C4. 蜜罐:这是一种诱饵,一个看似有价值的数据宝库,但实际上却诱骗了访问者。在网络防御中,蜜罐是一种诱捕行动;它可以是企业IT系统中预先设置或牺牲的区域,其中包含虚假数据作为诱饵。被这种诱饵欺骗的黑客会在那里浪费时间和精力,同时受到监视以发现身份、方法和其他此类信息,以便起诉或采取其他行动。至关重要的是,蜜罐可以是一种预警系统,用于检测何时有人试图未经授权访问信息系统。
作为网络攻击的一种策略,蜜罐可以同样诱骗无辜用户与看似合法的网站或IT系统区域进行交互,以危害用户,例如,通过在他们的设备上安装恶意软件。这也称为水坑攻击,本质上是一个欺骗性网站和相关策略。“甜蜜陷阱”还可以指通过浪漫的诱惑和纠缠来诱捕目标,例如在约会网站上。
C5. 传感器攻击:这包括破坏航天器的传感器系统以扰乱或改变数字信号。例如,考虑下用于测量两艘试图对接的航天器间距离的激光雷达传感器。如果该传感器被破坏,读数比实际值仅多一米,则在尝试对接操作期间可能会发生碰撞。被禁用或损坏的传感器也会对任务造成严重破坏。例如,用于对接的激光雷达传感器被破坏可能会导致整个任务被取消,从而导致昂贵的重新发射或延迟。
C6. 信号干扰:无线信号使太空领域有了新的、令人兴奋的突破。无论是从“旅行者号”接收到的深空遥测数据,还是包括GPS在内的近太空通信,我们都依赖这些信号来拓展我们对宇宙的理解,并促进现代生活。然而,值得注意的是,这些信号的传播距离很远。即使在低地球轨道上,信号也会传播2000公里或超过1200英里。无线电磁信号通常以耗散平方反比建模;换句话说,从太空到达地面的信号非常微弱。正因为如此,干扰或中断来自太空的信号很容易实现。
市场上有许多产品以保护卡车司机的隐私为幌子非法干扰GPS信号。这些低成本且随时可用的干扰器过去曾造成问题,甚至导致主要机场关闭。它们通常采用持续干扰方式,这意味着它们不断发出中到高功率信号来实现其目标。更乐观的是,有许多技术可以监控和地理定位这些信号,以识别和消除干扰器。
在过去二十年中,人们还实现了更隐蔽、更低功耗的干扰,例如反应性干扰和自适应干扰。在反应性干扰中,攻击者会监听信号,并且只有当信号包含某种信息时才会进行干扰;例如,攻击者可能会监听来自“星链”(Starlink)人造卫星的通信,并且只有当信号发往特定接收器时才会进行干扰。自适应干扰会调整攻击者的信号,以最大限度地减少攻击者输出的能量,从而降低被发现的可能性。更智能的干扰的发展增加了设计干扰弹性通信和地理定位防御的挑战。
C7. 信号欺骗或劫持:攻击者还可以欺骗或创建难以与合法信号区分的信号。这种类型的攻击通常发生在地面部分,比实际入侵人造卫星更有效、更容易。我们可以在这里考虑两个激励性的例子。第一个是欺骗GPS信号,使GPS接收器错误地分类其所在位置。这已在现实生活中得到证明,可以有效地欺骗商用GPS接收器,而不是更安全的军用级接收器。虽然干扰GPS可以廉价地且仅需有限的技术技能即可完成,但有效且正确地欺骗GPS则要困难得多,成本也更高。
我们可以考虑的第二种攻击是欺骗人造卫星或其他设备。通过欺骗人造卫星,攻击者可以注入信号来伪造数据以达到任何目标。例如,一种方法是重新利用退役的人造卫星假装它目前正在使用中。这可能会造成地面混乱或被用来将错误的传感器数据发回地球。
C8. 窃听或中间人:这可以是被动的,也可以是主动的;前者称为窃听,后者称为中间人(MITM)。在窃听攻击中,攻击者会监听未加密或加密程度较低的通信。然后,攻击者可以利用这些通信直接收集信息或规划未来的攻击重点。
在MITM场景中,攻击者会拦截通信,然后对其进行修改或更改。MITM攻击可以解密和更改数据包、丢弃数据包、重新排序数据包,或者只是多次发送数据包。请注意,对无线网络的MITM攻击比窃听攻击要困难得多,因为无线或人造卫星信号到达攻击者的人造卫星天线的时间与到达其他天线的时间大致相同;在这种情况下,除人造卫星本身之外,没有“中间人”。
C9. 联网安全:太空系统依赖于复杂的计算机网络。计算机网络安全有着悠久的历史,包括我们已经提到的许多专业主题。但是,根据网络拓扑,我们还可以考虑丢包、数据包重新排序和可能导致性能不佳的类似网络攻击。对于更大的人造卫星星座,可能需要开发新的路由算法或协议来协调信号,而这可能会导致新的漏洞和网络攻击。
C10. 硬件供应链:过去十年,国家行为者对在设计、制造或物流过程中更改硬件作为日后网络攻击的基础的可能性表现出越来越浓厚的兴趣和担忧。飞行系统新机板组件的设计和部署本质上是一个复杂的过程,并且依赖于可能在几个关键点被破坏的复杂软件。
例如,设计可能被发送到制造厂,该设计被破坏并替换为恶意设计,导致过早失效、反向通道或其他一些故障情况。电路板将需要集成电路和无源元件,如果用错误的部件替换这些部件,这些元件可能会被破坏。电路板还需要在使用它的每个地点之间运送;在运输过程中,攻击者可能会更换或更改组件。由于文献中存在许多概念验证攻击,因此发现硬件损坏非常困难且成本高昂。
此外,人造卫星和其他航天器在飞行准备测试和实际发射之间往往要搁置数月甚至数年。在这段漫长的时间内,发射服务提供商或其他行为者可能有很多机会在他人不知情或未经许可的情况下修改或以其他方式与物体互动。
C11. 软件供应链:用于设计、制造、开发和控制太空系统的软件同样非常复杂。该软件的设计和部署涉及软件设计工具、操作系统、编译器、库和其他现有代码。这些工具的集成和使用取决于这些工具的安全性。在过去五年中,已经发现了许多被破坏的工具和库的例子,这导致了软件被入侵。
C12. 人工智能/机器学习/计算机视觉攻击:大语言模型(LLM)和其他高级通用人工智能(AI)模型的出现,导致许多任务的处理方法发生了根本性转变。然而,事实证明,针对机器学习(ML)的攻击可以有效部署;例如,攻击者可以破坏模型,对重要类别的数据进行错误分类。
C13. 攻击掩盖:攻击者通常会试图通过掩盖其行为并消除其不当行为的证据来尽量减少被发现的机会。为此,攻击者可能会尝试删除或更改安全日志,或从易于发现的位置删除恶意软件。这会使事件或黑客事件后取证变得更加困难。
C14. 软件黑客攻击:现代计算机软件极其复杂,涉及数千个函数,代码多达数十万行或更多。每个接受用户输入或可能源自人工输入的函数都有可能以意想不到的方式执行。这可能涉及广泛的攻击类别,如不适当的访问控制、意外的库行为或计算机内存损坏(例如缓冲区溢出)。
C15. 系统安全:软件和硬件系统间的互连可导致有趣的突发行为。例如,考虑一组分布在航天器上的温度传感器。如果传感器发生故障并以比处理器处理速度更快的速度向连接的计算机发送数据,处理器可能会超载并发生故障。
C16. 多阶段攻击/高级持续性威胁:在高级持续性威胁(APT)中,攻击者会初步进入系统。此时,攻击者可以了解有关系统的更多信息,测试其防御能力,然后发起攻击。多阶段攻击涉及有才能的威胁代理使用本节概述的攻击方法组合来发起更有效的攻击。
C17. 云黑客攻击:随着越来越多的系统依赖云服务提供商提供计算和存储资源,云利用的威胁也越来越大。攻击者可能会利用云服务提供商的权限错误或漏洞来窃取与人造卫星任务和操作相关的数据。一些云服务提供商,如亚马逊网络服务和微软Azure,开始提供人造卫星地面站服务,租用共享地面站的时间进行太空通信。通过其他方式(如在同一云账户中运行的配置错误的网站)在客户云租赁中获得立足点的攻击者可能会利用此访问权限,使用客户的地面站配置文件向客户的人造卫星发送命令和控制消息。
C18. 账户泄露:在分布式系统中,账户用于管理谁有权检索数据和控制设备的权限。理论上,通过适当的身份验证和多因素身份验证规则,应该可以安全地管理用户账户并尽量减少不适当的权限分配。然而,用户经常重复使用凭据、忽略多因素身份验证、共享密码或不当存储加密密钥。账户泄露是指攻击者能够通过任何这些手段访问系统,例如密码填充和双因素身份验证(2FA)绕过。
C19. 量子计算/通信:虽然这些技术仍处于新兴阶段,但其使用过程中可能会发现新的漏洞,可能被黑客利用。量子计算也可用作一种攻击手段,例如,破解某些常用的加密方案。
C20. 千刀万剐/长期游戏:虽然这本身不是一种网络攻击方法,但它是一种对系统造成一系列长期低级损害的策略,其中每个事件不足以拉响警报或触发响应,但可以累积成强大的攻击。
D. 受害者或利益相关方
在考虑网络攻击时,了解谁可能受到影响非常重要,成功的网络攻击可能会影响广泛的受害者。这包括对太空系统运营商的明显影响,但也可能包括依赖太空系统的广大民众。通过对受害者进行估计,它可以帮助网络安全专家更好地减轻最危险的网络攻击,并更好地了解黑客的动机。
以下是对潜在受害者和利益相关方各个领域的简要描述。同样,变量不一定是相互排斥的;有些变量可以重叠,这是可以预料的。
D1. 主要航天国家/实体:此定义见上文 A1。主要、其他和非航天国家/实体之间的差异很重要,因为它们可能表明对人造卫星的依赖、受影响的人数以及遭受的成本。
D2. 其他航天国家/实体:此定义见上文 A2。由于这些其他航天国家拥有的太空资产比主要航天国家/实体少,因此它们遭受太空网络攻击的风险较小,因为它们及其经济对人造卫星的依赖程度较低。但反之亦然:如果它们没有强大的太空网络安全,它们可能会成为攻击目标。
D3. 非航天国家/实体:此定义见上文 A3。由于没有人造卫星在轨,这些国家/实体及其经济遭受太空网络攻击的风险更小。但请记住,风险永远不会为零,因为在经济和技术相互依存的全球化世界中,它们可能是次要受害者。例如,GPS故障会影响依赖此类基于位置服务的航空、海运和其他交通运输,可能会阻碍出口、进口,以及当地商店保持货架上补充食品和其他用品的能力。
D4. 国有实体:国有实体(SOE)特别容易受到攻击,因为它们与政府有联系。许多关键服务都是国有企业,例如公共交通系统、邮政服务和石化设施。这些服务依赖于太空技术,例如邮政服务对GPS信号的依赖。对这些服务的攻击会对经济和政治环境产生直接影响。由于国有实体受政府控制,这些实体的安全性有时由于预算限制而最低,这使得它们更容易受到攻击。
D5. 军事和其他承包商:这些潜在受害者负责执行关键行动,以保障国家安全,因此是国家敌人和高级持续威胁的主要目标。现代军队依靠太空技术(尤其是人造卫星)来了解情况并协调攻击和其他活动。对军事和相关承包商的攻击可能会对经济、政治格局和国家安全产生不利影响。威胁行为者可能会以这些组织为目标,侦察国防技术,从而在战场上取得优势。一些威胁行为者还可能试图破坏这些组织,以改变政治格局,使其有利于自己。
D6. 科学机构:美国国家航空航天局(NASA)、欧洲航天局和其他处于太空科学和研究前沿的组织可能成为威胁行为者的高调目标。可能的动机包括阻碍这种进步,例如,如果人们认为人类不应该或不能被信任以负责任的方式开发外太空,以及仅仅找到一个象征性的目标,以引起人们对网络攻击的极大关注。国家竞争也可能激发此类攻击,例如,为竞争的太空计划争取时间赶上。
D7. 公司:公司很容易受到许多网络攻击,其太空资产中有许多领域可能成为攻击目标。其中一个领域是知识产权,这对公司的财务责任和股东至关重要。如果一家太空公司遭到黑客攻击或遭受勒索软件攻击,后果可能是灾难性的。更糟糕的是,攻击者可以复制被盗的创新成果,而无需花费大量研发成本。大型公司需要一个人员齐备的网络安全部门来每天抵御这些威胁行为者和其他威胁行为者。
D8. 富人:这类人群损失更大,因此成为有吸引力的目标。许多名人都曾受到威胁者攻击,他们能够窃取金钱或其他有价值的东西。富人也是容易攻击的目标,因为他们的个人身份信息(PII),尤其是高知名度人士的个人身份信息(PII),可能会被开源情报(OSINT)公开。名人可能是特别有吸引力的目标,可以提升攻击的知名度,从而提高攻击者的声望。
D9. 普通民众/社会:不仅仅是特定的人和群体,更广泛的社会都可能受到太空网络安全攻击的影响。正如本报告引言部分所述,太空服务对现代世界至关重要,包括对我们的福祉、生态系统、科学、交通、通信、基于位置的服务、应急响应人员等。
D10. 间接/次要利益相关者:太空网络攻击的一些受害者可能是附带损害或非预期受害者,例如被黑客攻击公司的投资者。由于这些间接或次要利益相关者与太空公司或项目有联系,他们也可能成为社会工程攻击的受害者。由于他们没有直接参与该项目,他们可能不太了解或担心受到社会工程攻击,因此很容易受到攻击。
D11. 边缘化人口:设想对用于农业和食品分配的太空资产进行大规模网络攻击。如果网络攻击成功破坏了食品分配,例如造成GPS长期中断,这可能会导致粮食损失和全球粮食短缺。在这种情况下,全球穷人可能会受到非相称伤害。第二个例子是,设想一个受迫害的人口处于一个非航天国家的统治之下;该国通过网络攻击获得对太空馈送的未经授权的访问权,可能会使该国更有能力镇压和追踪受迫害的人口。
D12. 社会运动:近年来,由于重大的不平等和不公正现象持续存在,社会运动越来越受到关注;但即使在物理学之外,似乎每个行动都会引发相反的反应。一些反应可能试图通过网络手段来对抗那些引人注目的社会运动,例如针对成员、在抗议期间扰乱通信或实现其他目标。
D13. 文化/宗教团体:与上一个社会运动变量类似,文化和宗教趋势也遭遇反对团体的反击,而且往往是另一种狂热。同样,对这些趋势的反击可能会转向非法手段,从网络攻击到身体暴力。
D14. 工会/劳工代表:尽管几十年来工会会员人数一直在下降,但疫情让许多员工重新将工作与生活的平衡放在了首位。裁员(包括因技术取代,尤其是人工智能)、随意解雇、在家办公政策突然逆转以及其他不利于劳工的行动,使劳资间紧张关系持续加剧。随着工会寻求重新获得动力和谈判权,许多组织可能会试图破坏工会的努力。
D15. 通过其数据的客户/用户:虽然公司可能成为太空网络攻击的目标,但如果他们的数据被访问,他们的客户、用户、员工、供应商和其他人也可能成为攻击目标,就像网络安全中的普通数据泄露一样。但如果这些人口统计数据是太空行业生态系统的一部分,威胁行为者可能会特别关注它们,例如军官或太空公司员工的约会资料,以便在这些成员中找到特别脆弱的目标。
D16. 个人目标:威胁行为者可能不仅仅对用户或员工数据感兴趣,还可能针对特定个人或特定群体,例如一群太空游客。动机可能是勒索或窃取他们的高级系统凭证,还有许多可能。如果此人受雇于一家航天公司,这可能会让其未经授权访问政府机密和关键任务数据。如果此人是人造卫星互联网的用户,数据泄露可能会泄露此人的位置,而战时的高价值目标将面临遭受物理攻击的风险。
D17. 关键专家:这些个人目标在太空生态系统中具有战略重要性,从指挥到作战;因此,如果他们不能轻易被别人取代,或者他们正在监督威胁行为者试图破坏或拒绝的关键功能,那么扰乱他们的工作可能会产生非相称影响。
D18. 关键基础设施:此变量涉及许多领域,例如供水、食品生产系统、应急服务、医疗保健、交通等。电网是关键基础设施中特别重要的部分,因为它们为所有其他区域供电。这些服务的中断可能导致数据泄露和财务损失,甚至造成人员伤亡。
D19. 互联网/媒体/娱乐:互联网服务提供商(ISP)为家庭、商业公司、政府机构和国防相关组织提供连接。对ISP的直接攻击可能会影响各种不同的用户。例如,如果大型太空组织由于其ISP受到攻击而发生互联网中断,这可能会严重扰乱日常运营并影响项目和任务。人造卫星互联网提供商(如Starlink)可能成为有吸引力的目标,因为它们比典型ISP为更多的地区提供服务。特别是,娱乐是现代世界的重要组成部分,例如体育和音乐,这些利益相关者热衷于确保网络安全事件最少。
D20. 人工智能/机器学习:人工智能和机器学习技术正越来越多地融入航天工业。其用途包括人造卫星操作、任务规划、数据分析等,这些利益相关者可能会成为网络安全攻击的受害者。可能成为网络安全事件的一个领域是对抗性攻击,这种攻击巧妙但有效地操纵输入数据以欺骗人工智能/机器学习模型。缓解这些问题的一些方法包括实施加密和监控异常行为。人工智能/机器学习将继续成为航天工业的一部分,它将在网络安全漏洞中变得更加明确。
E. 受影响太空能力
正如我们在本报告开头的术语讨论中所述,我们将使用“人造卫星”一词来指代任何航天器,不包括彗星、卫星和其他行星等自然卫星。以下变量是可能受到威胁行为者或机构影响的各种太空能力。
E1. GPS/GNSS:被称为全球导航卫星系统(GNSS),这些系统被其他人造卫星和人类用户使用这些系统来确定他们在地球或太空中的位置。全球定位系统(GPS)是 GNSS 的一个子集,也是美国的标准;伽利略是欧盟系统,格洛纳斯是俄罗斯系统,北斗是中国系统,QZSS 是日本系统, NavIC是印度系统。要确定一个人的位置,必须使用至少三颗GNSS卫星进行三角测量和三边测量。
E2. 地球观测/遥感:人造卫星通过传感器和摄像机观测地球,追踪天气、洋流、陆地变化(例如森林砍伐和洪水)、冰川和水位等。在环境方面,这些航天器的例子包括地球静止环境作业卫星(GOES)和地表水和海洋地形(SWOT),两者都由美国国家航空航天局(NASA)运营。
E3. 军事情报和能力:人造卫星还用于安全和防御目的,例如跟踪军事部署和部队调动。这些侦察人造卫星可用于地球观测或通信,包括早期导弹预警系统、核爆炸探测、光学和遥感等。
E4. 机器人或载人航天器:人造卫星可分为载人航天器和非载人航天器。国际空间站(ISS)是载人航天器的一个例子,而哈勃太空望远镜和其他机器人任务则是非载人航天器的例子。
E5. 生命维持服务:生命维持服务可分为地面服务和太空服务。如E1所述,GPS和人造卫星通信用于日常生活,包括紧急通信。例如,在太空中,勒索软件可能会被用来锁定或限制太空系统中正在进行的生命维持,这将成为一场极其紧迫的危机。
E6. 其他基本服务:电力系统同步、民航、天气预报(与天气预报以外的其他服务相关,例如农场/土地和水资源管理)以及许多其他民用地面服务都需要太空系统。对这一领域的攻击可能会降低甚至关闭这些服务。
E7. 人员及其他的其他安全:当网络攻击影响地面系统、地面人员以及太空中的其他人员(例如国际空间站上的人员)时,就会出现这一领域。如果人员无法履行职责,对该领域的攻击可能会影响太空系统。
E8. 失去主权和控制:这个变量与另一个国家运营的人造卫星有关。例如,人造卫星服务(例如 GPS 或互联网)可能会在需要时被拒止,这违背了受害国的意愿。再举一个例子,如果其他国家启用的人造卫星服务恢复了该国想要审查甚至完全关闭的通信和新闻的访问权(例如在抗议期间),则该国的主权可能会受到影响。
E9. 地球服务:这个变量非常广泛,将涵盖此类别中的其他变量。例子包括遥感航天器和气象人造卫星,以及载人航天器(例如国际空间站)和用于科学的航天器(例如哈勃太空望远镜)。未来,除地球外,还可能有针对其他天体的太空服务,例如绕月球或火星运行的人造卫星提供的服务。
E10. 应急服务:这是指在紧急情况下需要人造卫星,特别是当地面系统无法运行时,例如,当飓风袭击城市并导致该地区的基础设施瘫痪时。人造卫星可以为受灾地区提供或恢复通信和新闻访问,并帮助保持机场开放和公用事业正常运行。
E11. 金融交易:金融机构使用GPS/GNSS来确定高度精确的时间,以正确排列事件顺序。几微秒的差异可能会影响金融交易的盈利能力。信号弱或根本没有信号会极大地影响交易和金融互动的金融完整性。
E12. 采矿和制造:未来的航天器将具备在太空制造的能力,并可能在其他星球、月球甚至小行星上采矿。目前这些还不存在,但地球上的采矿和建筑机器人已经实现了概念验证。
E13. 科学能力/研究:卫星用于提高科学和研究能力,例如地球观测和遥感。但研究也在航天器中进行,例如国际空间站,甚至可以自主进行,例如使用火星探测器。太空和地球望远镜都用于收集有关宇宙的科学数据,例如哈勃太空望远镜或詹姆斯·韦伯太空望远镜。
E14. 小行星探测系统:航天器以及地球上的地面望远镜和雷达站在早期探测可能接近地球附近的小行星方面发挥着重要作用,这些小行星可能对地球构成生存威胁。通过网络入侵发出的误报也可能引起全球恐慌。
E15. 太空天气监测:如果没有做好准备,太阳风、太空辐射和其他太空自然天气现象可能会严重损坏或完全摧毁航天器,并扰乱地球上的数字生活。监测太空天气的人造卫星本质上是一种早期探测系统,可以预测恶劣天气,以便及时采取预防措施。
E16. 太空交通管理:如果没有太空交通管理(STM),轨道上的每项太空资产都会面临更大的相互碰撞或与太空垃圾发生碰撞的风险;因此,保持这种能力的在线和准确性至关重要。
E17. 太空旅游/开发:网络攻击可能试图阻止太空旅游、太空开发(例如外星殖民地)和其他此类活动的进展。一种可能的动机是认为人类未能照顾好我们的家园地球,因此不应允许破坏太空环境。
E18. 发射能力:除卡纳维拉尔角和范登堡太空基地等联邦航天发射中心外,美国还有十几个私人宇航中心,而且还有更多宇航中心即将建成。旨在削弱发射能力的网络攻击也可能针对火箭、太空飞机和其他运载工具本身。
E19. 通信:尤其是在偏远地区或地面通信基础设施离线的紧急情况下,人造卫星连接可以成为一条生命线,例如对军事指挥部和急救人员而言。切断这条生命线可能意味着直接危及实际生命,此外还可能造成较小的破坏。作为提供商的一个例子,铱星(Iridium)是第一家提供卫星电话服务的公司。“星链”(Starlink)运营着一组人造卫星,将互联网连接传送到地球。DirecTV、DISH Network 和Sirus XM Radio 使用人造卫星传输电视和无线电信号。
E20. 新闻/社交媒体:在自然灾害或武装冲突等关键时刻扰乱新闻报道和社交媒体,不仅会造成混乱,还会妨碍有效的应急响应。在新闻推送中植入虚假消息会传播虚假信息和不信任,从而达到各种目的。
在下一节中,我们将列出并简要描述一些新颖的场景作为起始示例。同样,作为开源材料,它们可以让无数更多的研究人员(尤其是没有安全许可的研究人员)思考这些和其他场景(而不仅仅是一些通用的、模糊的场景)以及技术和政策解决方案,从而扩大有关太空网络安全的讨论给他们。通过预测新的场景,我们可以更好地避免意外和措手不及。
5 场景:描述和发展
本节提供了 42 种太空网络攻击新场景的初始列表。同样,从 ICARUS 矩阵中抽取 2 到 5 个类别(列)中的变量(行)时,可能出现 4084000 种独特组合。使用其他变量和感兴趣的类别可以生成更多场景;此外,考虑到任何给定变量的可能性范围,每个独特提示都可以产生多种场景。
每个场景的描述都很简短,以便留出定制空间,也考虑到篇幅。每个场景可能需要几页才能解释清楚,在本节的最后,我们提供了一个初始问题列表,以进一步开发和询问场景。
同样,这些情景旨在通过帮助预测意外情况来为太空网络安全的技术和政策讨论提供参考,因为(非机密)讨论主要依赖于少数通用的、熟悉的情景。如果不了解所有可能出现的情景,技术和政策解决方案可能会因视野狭窄而过于宽泛或狭窄。
组织这些场景的主要方法是时间和空间。第一个轴表示特定网络攻击何时可行,第二个轴表示网络攻击可能发生的距离(相对于地球),即网络攻击可能发生的位置。用户可以根据需要修改这些场景的组织方式,因为两个轴上可能没有共识。解释这两个轴:
时间轴
A. 近期:威胁目前存在或预计未来5年内出现
B. 中期:预计威胁将在5-20年后开始
C. 长期:威胁预计将在 20年后开始,甚至永远不会结束
一如既往,技术进步难以预测,因此某些威胁可能比其类别所指示的更早或更晚出现。因此,这些类别必然是广泛而粗略的,而不是对威胁出现的确切顺序的具体预测。因此,在每个按时间顺序排列的类别中,威胁不是按时间顺序排列,而是按位置排列。
在以下网络攻击场景中,应假设未来任何特定威胁都没有明确的结束日期;给出的时间表是威胁可能开始的时间,而不是结束的时间。也就是说,大多数或所有这些威胁都是长期的,除非我们成功找到预防方法,否则只要我们在太空开展活动,这些威胁就会持续存在。
空间轴
组织的次要方面跟踪网络行动的主要位置,包括距离地球的距离或轨道性质,因为这可能会限制响应选项。位置划分如下:
1. 地面到太空:在地球表面或从地球到100公里或62英里高空
2. 地球轨道:低地球轨道(LEO)、 GPS 所在的中地球轨道(MEO)和地球同步轨道(GEO)
3. 地月及更远:近月或月球上的运行,直至太阳系以外
第一类反映了这样一个事实:太空系统通常还涉及地球上的设施和操作以及未进入轨道的航空航天;太空系统不仅存在于外太空。在太空中,现在和可预见的未来大多数活动都发生在地球轨道上,这是第二类。第三类涵盖了其他一切,从近月或月球上的操作到其他行星,甚至远超出我们的太阳系。
以下是新颖场景的列表,下一小节中将提供简短的描述。
近期(A)
A.1 地面到太空
1. 内部威胁
2. 无人机重新定向
3. 数据欺骗
4. 隐私
5. 栽赃行动
6. 生态恐怖分子
A.2 地球轨道
7. 煤气灯效应(注:“煤气灯效应”是一种心理操纵的形式,其方法是一个人或团体隐秘地让受害人逐渐开始怀疑自己,使其质疑自己的记忆力、感知力或判断力,其结果是导致受害者产生认知失调和其他变化)
8. 保护责任
9. 象征性目标
10. 太空领域意识
A.3 地月及更远
11. 技术特征
12. 生物特征
中期(B)
B.1 地面到太空
13. 勒索软件
14. 太空激光器
15. 水平发射和太空飞机
16. 人工智能漏洞
B.2 地球轨道
17. 人造卫星星座
18. 带推进器的立方体卫星
19. 太空wifi
20. 3D制造
21. 凯斯勒现象(由美国科学家唐纳德·J·凯斯勒1978年提出的一种理论假设。该假设认为当在近地轨道的运转的物体的密度达到一定程度时,将让这些物体在碰撞后产生的碎片能够形成更多的新撞击,形成级联效应。)
B.3 地月及更远
22. 占领月球
23. 生命维持系统
24. 对抗性人工智能
25. 供热、制冷和电力
26. 千刀万剐
27. 行星探测器和探测车
28. 技术过时
长期(C)
C.1 地面到太空
29. 危险的发射技术
C.2 地球轨道
30. 废弃太空资产
31. 自主服务机器人
32. 小行星采矿
33. 小行星改道
34. 假求救信号
35. 太阳能发电阵列
36. 穿越地球的物体
C.3 地月及更远
37. 精妙操作
38. 太空辐射
39. 太空海盗
40. 奥尼尔圆柱体(注:美国物理学家兼天文学家杰瑞德·K·奥尼尔在其1976年著作《高边疆:太空中的人类殖民地》中提出的宇宙殖民地构想)
41. 火星和月球定居点
42. 首次接触干扰
情景描述
以下是对上述每种情景的简要描述,以便大致了解此类情景可能如何发挥作用。同样,对每种情景的更详细描述超出了本报告的范围,尽管这可能是有价值的后续工作。我们还未明确说明这些情景,以便为根据需要的定制留出空间。在本节的最后,我们提供了批判性思维问题来帮助开发和审问这些情景。
1. 内部威胁:幽灵般的威胁
内部人员永远不会像你想象的那样。例如,内部人员可能是32岁的数据库经理詹妮弗,她因受贿而受到渗透;她被保证会得到补偿,以支付她母亲因身体健康状况不佳而不断增加的医疗费用。她的任务只是注入虚假数据来破坏卫星安全系统的完整性——从内部毒害系统。
2. 无人机重新定向:恶意支持
无论是否装备武器,无人机在陆地、海上或空中都具有高度机动性,因此它们可能成为威胁,并可能被用于多种目的。例如,如果黑客的要求得不到满足,一架侦察无人机可能会被劫持,成为针对军事研发实验室的动能威胁。人造卫星具有一些自主功能,因此也是一种无人机,同样容易被重新定向到新目标,例如国际空间站。一些现代太空飞机专为交会和接近操作(RPO)而设计,并支持类似于陆地无人机的自主、复杂的机动性。
3. 数据欺骗:机器里的幽灵
威胁是否存在,还是被伪造了?欺骗不仅仅涉及GPS和其他信号(这是已知的情况),而且整个数据流都可能被欺骗,例如通过传感器注入,以暗示不存在的令人担忧或威胁的行为,例如边境的军事集结,或恶意行为者想要破坏的知名人士的非法在线活动。这样做可能是为了政治、经济或其他利益。另请参阅 AI 漏洞。
4. 隐私:“向右滑动”
在数字世界中,隐私很难得到保护。一名军官在约会应用程序上的私人账户已被泄露,包括他喜欢的婚外情对象的身高、眼睛颜色和其他身体特征。一个外部组织通过美人计利用了他,通过约会应用程序将他介绍给他们的一名特工,然后他们都“向右滑动”(指喜欢或接受某人)。随着时间的推移,他的安全许可、项目和网络通过这段恋情被揭露。
5. 栽赃行动:分而治之
混淆和欺骗是强有力的工具,尤其是在忠诚和联盟日益重要的地缘政治环境中。例如,国家A和国家B之间存在着微妙的太空合作关系,而国家C则想破坏这种关系;C通过伪造其IP地址和其他线索来暗示B参与了对A敏感数据的窥探。这破坏了两国关系,并威胁到太空项目的合作。栽赃网络行动还可能导致毫无戒心的双方之间发生更严重的冲突,包括战争。
6. 生态恐怖分子:幽灵船
假设一艘大型油轮在大西洋上泄露;一个生态恐怖组织能够伪造GPS信号,暂时向母公司隐藏该船的真实位置,并破坏该船通过无线电报告事故和寻求援助的能力。该公司未能及时开展清理和救援工作,漏油事件变得比它应有的更为严重。生态恐怖分子利用公众对扩大漏油事件的负面反应来抗议石油钻探和运输方面的重大变革,即使漏油事件造成了数十亿美元的损失,并同时破坏了该地区的生物多样性。
7. 煤气灯效应:众说纷纭
这是你的说法与他们的说辞。想象一下,A国故意将自己的一颗人造卫星撞向B国拥有的另一颗人造卫星。A国否认自己负有任何责任,将“事故”归咎于一场不存在的网络攻击,其中包括一场全面的虚假宣传活动来支持A的说法。鉴于网络攻击通常会伴随着否认和模糊的归因,这种“煤气灯” ——一种让受害者相信一些并非显而易见的事实的诡计——可能很难被反驳;因此,A国逃避了后果。
8. 保护责任:新的限制
保卫太空资产可能需要动能,例如用自己的人造卫星物理阻止威胁交会和接近操作(RPO)的敌方人造卫星,例如撕掉其太阳能电池板。但动能力量可能会将敌方卫星碎裂成数百甚至更多的太空垃圾,这已经是对所有太空资产的现实且日益严重的威胁。决策者需要权衡保护太空资产的责任与不制造更多太空垃圾的责任,这更倾向于网络攻击而不是动能行动。
9. 象征性目标:按照我的形象重建
想象一下,土著或社会运动领袖试图煽动其追随者攻击“当权派”在外太空珍视的象征。例如,国际空间站不仅是一个战略目标,也是一个象征性目标:它的存在被视为国际合作的“灯塔”,对于一些潜在的意识形态团体来说,它还被视为一个更广泛的全球政府的证据,而该政府的目标与这些团体不一致。防御者必须了解威胁行为者的核心信念,以确定他们的攻击路线图。
10. 空间领域意识:狼来了
日光层观测站(SOHO)等人造卫星可以发出日冕物质抛射(CME)的警告,警告持续时间从几天到几小时不等,这样地球就可以采取保护措施,比如减少电网的电力负荷。如果国家支持的黑客在SOHO的反馈中制造一系列误报或警报,显示CME将会发生或正在发生,而实际上不会发生,那么人们对SOHO的信任就会受到削弱,而真正的太阳风暴警告可能会被忽略,因为SOHO仍然值得信赖。结果,一个地区的数字服务和连接可能会中断;例如,作为入侵的前奏,当地居民协调和击退动能攻击的能力可能会严重下降。
11. 技术特征:METI黑客攻击
1938年,一部广播剧引发了社会恐慌,称外星人可能发动袭击,这表明操纵外界接触的迹象(或缺乏迹象)可能会造成大范围混乱。如果 METI(向外星智慧体发送信息,“寻找外星智慧生命”任务中一项积极的努力)的馈送被黑客入侵,并在其转录中插入听起来像语言的录音,然后泄露给媒体,后果可能包括军事行动和全球范围内的病毒式社会恐慌。
12. 生物特征:疯狂的外星人追逐
与上述METI情景类似,一项深空任务在遥远星球的地面和水样中发现了外星生命的生物证据。这一生物特征是恶意行为者在自主探测车上注入的虚假数据。但它对地球的影响可能是真实的,从新的计划和投资(毫无结果地)探索地球,到金融市场和街头的恐慌。
13. 勒索软件:这是一个不方便的时刻吗?
数据可能比金钱更有价值,尤其是当它是关键数据而无法在需要时访问时。想象一下,如果在火箭发射过程中对价值10亿美元或以上的有效载荷发起勒索软件攻击。人们会非常愿意支付500万美元甚至5000万美元的比特币赎金,以防止任务失败和有效载荷丢失。同样,对于返回地球的航天器,赎金要求也很难拒绝,特别是如果它们载有机组人员或可能坠毁在人口稠密的地区。
14. 太空激光:砰!砰!砰!
由于能够从远处破坏或使太空系统瘫痪,太空激光可能会带来新的风险,导致归因和责任难以确定。例如,如果黑客控制了足够强大的激光,它可能会被用来在太空中摧毁传感器,并可能使航天器上的太阳能电池板过热。如今,甚至地面激光也可以用来干扰卫星运行。未来,强大的太空对地激光可能会被用作武器。
15. 水平发射和太空飞机:X-37
与火箭垂直发射相比,太空飞机具有许多优势,例如,由于其逐渐水平上升,可以更有效地进入轨道;有朝一日,太空飞机可能会成为发射的主流。即使是通过火箭发射,X-37太空飞机在返回地球时也可以像普通飞机一样着陆,就像以前的航天飞机一样。但如果它被黑客入侵并瞄准地球上的目标,X-37造成的破坏可能远超“911式攻击”,因为它除了有强大的引力外,还可以通过自己的发动机加速。这种策略可以有效地让小国和非国家行为者拥有非核洲际导弹的能力,而无需花费巨额成本来开发或购买它们。
16. 人工智能漏洞:未知的未知数
作为一种快速发展的技术,人工智能正在开辟新的攻击媒介。例如,受感染的人工智能校对和写作软件可能会将蠕虫附加到共享文档中,从而收集用户的登录凭据。人工智能是一种多层次的威胁,范围从闪电般快速创建虚假信息到运行多个密码锁定方案。人工智能在太空中的故障可能是什么样子,目前仍未得到充分探索。
17. 人造卫星星座:闪电崩盘
人造星座因其冗余性和覆盖范围而越来越受欢迎,例如,有效地在地球上空建立一个网状网络,以向下传输互联网、电话和电视信号。但由于星座中的卫星都是相互协调的,因此有可能通过网络手段摧毁整个网络,包括使星座脱离轨道或仅使几颗关键卫星脱离轨道,例如,禁用关键路由点以中断通信。
18. 带推进器的立方体卫星:两用武器
立方体卫星通常不配备推进系统,但有些立方体卫星正在开发中,例如配备水基推进器。它们通常也没有足够的空间或相关预算来提供网络安全保障,这使得这些推进器特别容易受到攻击。如果在轨道上发射时被劫持的立方体卫星被激活,将非常危险,这可能会威胁到部署工具,例如火箭或空间站。未来,随着能力的增强,机动性立方体卫星可能会成为隐形反卫星武器;例如,一家公司可能希望使用这种策略摧毁自己的一颗故障卫星,以收回保险赔付。
19. 太空wifi:可恶的游客
众所周知,游客会危及自身和他人的安全。在中期未来,当太空旅游流行起来时,一些游客在太空酒店上网,在社交媒体上分享他们的冒险经历——但他们点击了一个恶意链接,导致恶意软件安装在太空栖息地的IT系统上,从而降低电源和生命支持系统的性能。伪装成游客的恶意行为者可以通过USB拇指驱动器中的恶意软件做同样的事情。国际空间站上的笔记本电脑已经被感染。
20. 3D制造:注定失败
太空任务无法发射所有可能需要的替换部件,因此 3D 或增材打印机可以成为快速按需制造部件的宝贵资源。但作为电子设备,3D 打印机也容易受到黑客攻击。恶意攻击者能够访问空间站上的打印机,对其进行重新编程,使其打印的部件内部产生微小的瑕疵,而目视检查无法发现。其中一些注定会失效的组件是关键系统的一部分。
21. 凯斯勒现象:碎片僵尸网络
之前配备推进器的立方体卫星可能被用作碎片清洁器,将太空垃圾推向地球,在重返大气层时燃烧殆尽。但如果一群立方体卫星被劫持,每颗都控制一块碎片,它就可能变成某种僵尸网络,一个可以瞄准目标的物理群体,甚至引发连锁反应,让我们更接近凯斯勒现象。任何东西的群体都是可怕的,因为它们的数量是压倒性的。
22. 机器人主张:占领月球
在月球南极建立研究基地,以期获得其科学价值和可能蕴藏的冰层。一个国家认为“占有即是法律的十分之九”,尤其是在尚不清楚如何正确主张使用或占有(而非拥有)地外区域的情况下,该国计划派遣一辆探测车开始标记其计划中的基地边界——但竞争对手通过干扰机器人主张者的控制和通信来破坏这一努力,使其偏离轨道并可能坠落悬崖。
23. 生命维持系统:毒害水井
例如,对小行星采矿营地的食品系统和货运进行网络攻击可能会故意使食品受到肉毒杆菌的污染。犯罪嫌疑人是该公司的竞争对手,目前正处于采矿权纠纷中。由于疾病或饥饿是他们唯一的选择,营地缺乏维持当前采矿工作和抵御破坏的资源;不久之后,他们被迫放弃小行星。
24. 对抗性人工智能:不那么智能
事实已经证明,人工智能很容易被愚弄,尤其是计算机视觉系统,因为它们感知世界的方式与人类大不相同。例如,研究人员已经欺骗了这样一个系统,使其将停车标志误认为是45英里/小时的标志。同样,在太空中,威胁行为者可以欺骗航天器错误识别不存在的东西,例如火星探测器看不到前方的悬崖。或者,作为对地球观测系统的攻击,可以在建筑物屋顶上绘制对抗性图案,以触发某些图像分类库中的错误分类。除图像识别外,其他人工智能系统也可能被操纵,例如用于太空操作的大语言模型(LLM)和生成式人工智能。
25. 加热、冷却和电力:过热难当
加热或冷却系统遭到攻击可能会对航天器以及内部的任何乘员造成毁灭性打击。例如,温度升高可能意味着发动机或其他关键系统运行更热,磨损更快。如果液体冷却剂被针对造成过热,例如通过将其排放到太空中,冷却剂可能会冻结并成为潜在的太空碎片。
26. 千刀万剐:每次割一点
当你打持久战时,没人能预料到你的到来。制定一个需要数年才能完成的游戏计划可能会留下许多悬而未决的问题,而且没有明显的应对路线图。每一次攻击或事件都有无数种解释。例如,网络攻击可能旨在在太阳耀斑高发期间“翻转一点” ,将攻击伪装成辐射损害;随着时间的推移,损坏的位可能导致灾难性的系统故障。
27. 行星探测器和探测车:数字海市蜃楼
篡改行星探测器的数据,使其显示不准确的大气、温度或水读数等,可能会浪费资源,甚至导致任务搁浅。对于火星探测器来说,篡改的数据可能会错误地显示某个区域有大量地下冰,而基于这些数据,如果未能找到从未存在过的冰,那么为探索该地点而启动的任务将浪费数十亿美元。
28. 技术过时:失败是一种选择
由于某些太空任务的周期较长,硬件将面临过时和缺乏支持的巨大风险,从而导致故障或网络漏洞。例如,许多创新太空技术都由初创公司开发,但如果初创公司失败,其客户可能无法更换或维修这些技术,包括更新网络防御系统。在低价竞标的情况下,降低成本的追求可能会损害零部件的质量和耐用性。
29. 危险的发射技术:聚变、反物质和太空电梯
新的能源也带来了新的风险。一种强大的新型燃料电池已被开发出来,用于从地面发射火箭;在一次任务中,燃料电池在发射时遭到黑客攻击而失效。爆炸摧毁了飞船、平台和周围数英里的区域,其影响类似于世界上最大的炸弹在发射台上爆炸。或者,如果太空电梯真的出现,它们的60多英里长的系绳可能会成为网络攻击者的目标,导致其断裂,而当上层建筑倒塌到地面时,将造成巨大损失。
30. 废弃太空资产:安装后门
为了帮助缓解太空垃圾问题,可能会出现新的公司来管理、维修甚至回收废弃的太空资产。但潜在的欺骗或其他手段可能会掩盖所执行的工作(或未执行的工作),并导致卫星所有者不知道对其恢复的太空资产所做的修改,例如窃听其通信,或安装可随意启动或在预定时间失效的终止开关。此外,主动碎片清除技术(例如机械爪)本质上具有双重用途,可能会被劫持以对运行中的航天器进行对抗性交会和接近操作(RPO),例如撕掉太阳能电池板。
31. 自主服务机器人:5 星中的 1 星
控制未来的服务机器人可能会拒绝提供基本、关键的支持,或使这些系统因噪音过载而无法正常工作。例如,月球航天飞机需要加油,但请求信号被蠕虫欺骗和复制,导致所有可用的加油机都聚集到航天飞机上并严重损坏航天飞机。或者请求信号可能会被操纵,导致航天器上执行不必要甚至有害的工作。
32. 小行星采矿:海盗来了
太空中蕴藏着宝藏,小行星中蕴藏着价值数十亿美元甚至更多的贵金属和稀土金属——而太空海盗则被宝箱所吸引。他们计划入侵一艘运输船,将开采的资源运回地球,将其引导至海洋中偏远的地区,以便窃取货物。
33. 小行星改道:来自上帝的岩石
美国宇航局的双小行星重定向测试(DART)任务已经证明了通过航天器碰撞改变小行星轨道的可行性。未来,整颗小行星的轨道都可以由自主的“牧羊人”精确操纵;网络攻击可以劫持这些“牧羊人”,将其重新定向到地球,从而引发潮汐波和其他危险的动能破坏。
34. 假求救信号:太空骚扰
作为一种武器,“骚扰”是一种高强度的破坏,可能会造成致命后果。想象一下,太空守护者收到求救信号,称一艘太空船被海盗劫持。一旦守护者突破飞船,通常会采取激进的方式,因为他们认为存在主动威胁,但他们发现飞船实际上并没有遇险;这是一个假信号。更糟糕的是,比浪费救援努力和资源更糟糕的是,一些人员在最初的突破中丧生。
35. 太空太阳能电池阵列:天色渐暗
利用可持续能源是当今世界的当务之急,太空太阳能发电(SBSP)阵列是该计划的一部分:利用太阳能并将其传送到地球的人造卫星。但它们可能会被黑客入侵并重新定向,以增加输出功率并使其供电系统过载,或破坏关键电源。无论哪种情况,都可能造成严重损失和人员伤亡。
36. 穿越地球的天体:咄咄逼人
大型太空物体(例如小行星)撞击地球的可能性备受关注,也是行星保护计划的基础。歪曲有关这些太空物体的信息(例如混淆轨迹或撞击可能性)可能会引发社会恐慌,例如,如果虚假数据显示撞击发生在大城市或附近。大规模撤离正在进行中,导致整个地区陷入混乱,从而导致互联网通信不堪重负,并导致该地区大面积中断。
37. 精妙操作:不是又一个电车难题
臭名昭著的电车难题是两个非常糟糕的选项之间的选择,通常涉及牺牲少数人以造福多数人。太空黑客可以强行制造这样一种双输的局面:当大型航天器缓慢接近月球门户时,其自主对接操作遭到黑客入侵。现在,它将与空间站相撞并损坏主对接端口,这对于接收货物和人员至关重要。但如果对其进行操纵,它只能稍微避开对接端口,但很可能会刺穿空间站上科学家正在工作的实验室模块的墙壁。正确的反应是什么?
38. 太空辐射:“金枪”
与上述天基太阳能(SBSP)情景类似,随着太阳能技术变得更加强大,其作为武器的潜力也随之增强。例如,通过透镜重定向太阳光已被理论化为深空旅行的潜在推进力。同样的透镜可以将太阳辐射集中并引导到关键的太空资产甚至地面资产上,从而导致过热、电子故障和物理损坏。
39. 宇宙海盗:民间军事承包商
海盗和雇佣兵是老生常谈的挑战,它们不断适应新技术和新前沿,这意味着太空网络操作能力。在遥远的未来,海盗们在其他星球上建立基地和定居点,他们可能会切断通讯,误导补给运输,以谋取私利。此外,不择手段的太空大亨们想要建立自己的自治帝国,类似于海上家园,他们可能会雇佣雇佣兵来保卫他们在太空的领土,并通过物理和网络手段攻击和破坏竞争对手的行动。
40. 奥尼尔圆柱体:技术越多,问题越多
被称为“奥尼尔圆柱体”的旋转圆柱形栖息地旨在支持人类在外太空的定居,这显然是一个复杂的技术生态系统。它将集成定位、大气控制和人造重力等关键系统——如果每个系统被破坏,都会带来新的重大风险,因为人类生命将受到威胁。其他太空栖息地也可能成为有吸引力的目标。
41. 火星和月球定居点:物联网
由于我们更加依赖自动化,外星栖息地可能看起来像智能家居,尤其是在弥补运行和维护复杂环境的人员减少的情况下。考虑分布式拒绝服务攻击,例如,它可以禁用整个太空定居点的电子门锁,类似于DDoS攻击可以破坏网站以及物理系统(例如物联网或连接设备)的方式。一些定居者被锁在外面(考虑到寒冷的夜晚,这可能是致命的),其他人被锁在里面,定居点周围的活动被停止。对其他系统(例如生命支持系统)的攻击可能会造成更直接的伤害。
42. 第一次接触中断:你分崩离析
也许有一天,通过与另一个先进文明的接触,我们会发现人类在宇宙中并不孤单。但黑客可以利用地球与这个外星文明之间的通信渠道传播虚假信息,制造误解,引发星际敌对行为。对手还可能破坏首次接触系统的安全性,导致不信任——或者破坏我们发送到太空的信号,在其中隐藏威胁信息。
开发场景的问题
为了更加实用,上述每个场景都可以得到更充分的发展,因为这些细节可能很重要。作为演习的概述,批判性地思考太空网络攻击场景意味着回答有关基本要素的问题:谁、什么、为什么、何时、何地和如何。在上一节中,我们解释了ICARUS矩阵针对这些关键维度。同样,五列 A-E 代表了太空网络攻击场景的主要要素:
A. 威胁行为者或代理(“谁”在实施网络攻击?)
B. 动机(他们“为什么”要发动网络攻击?)
C. 网络攻击方法(攻击者“如何”侵入系统?)
D. 受害者或利益相关者(另一个“谁”的问题)
E. 受影响的太空能力(攻击者想要造成“什么”损害或影响?)
前面已经指出,网络攻击发生的地点和时间是通过首先确定其他要素来确定的;它们并不是要选择的变量,而是场景中其他要素的依赖关系。
有了对场景的一些想法,我们可以开始开发场景,然后用关键的批判性思维问题来质问场景,如下所示。这只是一般问题的起始列表,而不是全面的列表。其他问题可能取决于场景以及对前面问题的回答。关于如何想象和开发场景的更完整讨论超出了本报告的范围,但捕捉主要要素的提示已经提供了一个良好的开端,甚至可能足以满足某些目的。
谁?
• 此次特定攻击是否还有其他可能的威胁行为者?
• 未牵涉的第三方是否会被牵连到此次攻击中?如何牵连?
• 被牵连的民族国家是否是升级的特殊考虑因素?
• 是否有办法归因或确认网络攻击已经发生,并且是由特定行为者实施的?
• 是否存在“煤气灯效应”,即威胁行为者否认其攻击,以及如何否认?
• 这次袭击会直接或间接地影响哪些人?
为什么?
• 这次袭击是否还有其他可能的动机?
• 动机为威胁行为者的攻击提供了哪些线索,例如:他们愿意开展行动的程度,他们在寻求什么/谁,他们将如何回应防御者的反应,等等?
如何?
• 此类网络攻击是如何进行的?
• 将采用哪些具体方法?
• 实施攻击需要哪些资源?
什么?
• 将涉及哪些太空资产?
• 哪些太空能力会受到影响?
• 可能造成的成本有哪些,例如:身体伤害、经济伤害、心理伤害、关系伤害(如家庭、朋友)、社区伤害、社会和文化伤害、环境伤害(包括动物)和未来利益?
• 从质量、数量和概率来看,影响会有多严重?
在哪里?
• 太空生态系统的哪些部分将参与其中?
• 此类网络攻击会在哪里发生,比如:在地球上,还是在低地球轨道到地球静止轨道(GEO)的轨道上,或位于拉格朗日点的地月更高轨道(包括月球本身)上,或超越行星际甚至星际空间?
• 距离地球的距离是否会限制攻击者或防御者可以采取的行动(包括回应)?
什么时候?
• 网络攻击在近期、中期或远期是否有可能发生?
• 网络攻击是否会更早发生?情况将如何变化?
如何回应?
• 由于不同的利益相关者可以访问不同的资源,那么在应对攻击时有哪些资源可用?
• 哪些技术或设计解决方案可以帮助防止或减轻此类攻击,或减轻其影响?
• 应实施哪些政策来帮助阻止未来重复的攻击?
• 应考虑采取哪些类型的制裁或回应?
• 深思熟虑的回应是否与网络攻击相称?
• 我们的回应可能得到什么样的回应?
• 如果目标是降级,那么在特定的响应下,出口在哪里?
• 如何处理试图以“煤气灯效应”或其他方式伪造归因以及相关的推卸责任的行为?
此外,要真正批判性地思考这些场景,需要多元化的视角来防范群体思维和认知偏见,尤其是因为威胁行为者已经是极其多样化的群体,从冷漠者到狂热者。不同的学科接受过不同的培训,以从不同的方向和方法解决问题。因此,通过跨学科进行批判性思考是一种实用的情景分析和解决问题的方法,因为它将许多学科的独特专业知识和力量运用到任务中。
例如,社会科学家(例如来自科学技术研究的科学家)提供了有用的工具来揭示和研究与技术系统相关的种族、性别、残疾、土著和其他问题。心理学家和其他行为科学家可以深入了解这些场景的社会工程方面。哲学家可以带来深入的分析和概念技能,帮助构建、扩展、改进、组织和批判性地强调相关问题。科幻小说作家和未来学家对于想象未知事物至关重要,而且往往比学者更有创造力。当然,工程师和技术人员是网络攻击所针对系统的架构师;因此,他们对于评估攻击机制和努力寻求解决方案至关重要。
6 结论
从表面上看,太空安全似乎不是什么大问题,因为还没有发生过重大事件,比如对敌方卫星的动能攻击。虽然一些太空网络攻击成为新闻,但由于许多可能的原因,人们对它们的普遍认识仍然很低。除对大多数人来说可能过于技术性或晦涩难懂之外,太空网络攻击并不像动能攻击那样引人注目,而且它们通常不会大规模影响人们。
当然,值得注意的例外是那些受到俄罗斯在2022年涉嫌对Viasat卫星互联网服务开展黑客攻击影响的人群,此次攻击还导致欧洲数万名用户中断服务。该事件很可能预示着未来的事件,在太空网络安全方面开创了一个非常危险的先例。
由于大型组织每天都会遭受网络攻击,因此这可能是一场数字游戏,因此太空网络安全的严重漏洞破坏地球上的生活只是时间问题。例如,大面积的GPS故障不仅会影响定位和导航(这对于航空航天和海上导航以及日常货物运输至关重要),还会影响精确计时,这是金融交易和现代通信的关键需求。
但要预测未来针对太空系统的网络攻击,我们需要考虑的不仅仅是GPS或卫星黑客攻击的模糊概念,尽管这两种情况可能非常严重。无法想象更多的可能性可能会导致视野狭窄,而忽略无数其他情况。这对网络防御者来说非常糟糕,因为攻击者已经被认为非常有创造力和足智多谋。
为了帮助缩小这一差距并激发网络防御者的想象力,本报告提供了更多可能性的路线图(或星图):更多威胁行为者、更多动机、更多网络攻击方法、更多受害者和更多受影响的太空能力。借助我们的场景提示生成器 ICARUS 矩阵,可以生成超过400万个独特的提示,每个提示也可以导致多种场景。用户还可以添加自己感兴趣的变量来生成更多场景可能性,并且其他变量可能会随着时间的推移而出现。
ICARUS 矩阵还可用作一种分类法,更易于本文所针对的更广泛受众理解。这与现有的分类法形成鲜明对比,现有的分类法要么过于技术性和全面,要么过于简单和有限,不适合本文的目的。分类法的价值在于它能够提供概念框架或围绕某个领域组织逻辑的能力,例如用于生物分类的林奈分类法。有了框架,研究人员就可以有条不紊地研究某个领域,以及识别或跟踪某些元素进行研究,将它们的关系映射到其他元素,发现领域中的模式,等等。
通过向拥有安全许可的研究人员以外的更广泛的研究人员提供更广泛的太空网络攻击情景,这项工作可以帮助更好地避免意外,让更多专家研究该问题并积极采取措施。政策研究人员还可以帮助填补可能成为太空冲突因素的法律空白,包括制定应对新情景的政策,以免加剧紧张局势。即使是更具推测性的情景也可以帮助思考拟议的立法和条约,以防出现任何意想不到的后果和漏洞。
作为“想象”更多场景的入门指南,ICARUS 矩阵和本报告并不详细,无法成为恶意黑客或黑帽黑客的指南,必须假设他们已经在创造性地思考他们的下一个攻击方式。相反,这次讨论旨在提高普遍认识,并帮助研究人员为太空系统的防御做出贡献,这是网络安全中猎人和猎物的自然共同进化的一部分。
我们希望理性思维占上风,认识到太空中的动能冲突根本不可持续,至少对环境构成重大风险。如果在轨道上爆发公开战争,那么一切皆有可能,包括可能有人再次安全进入太空的能力,因为在实现“凯斯勒现象”的过程中可能会掉落大量轨道碎片。
出于这一原因以及本报告中解释的其他原因,可以预见,网络攻击将成为外太空敌对行为和冲突的主要形式;至少,它们需要紧急关注。鉴于太空系统和服务在现代世界中发挥的重要作用,即使许多人或大多数人看不到这一点,太空网络攻击也可能对地面产生巨大影响。
如果太空系统的价值对许多人或大多数人来说都是看不见的,那么太空网络安全问题可能也是如此。不久的将来,针对太空系统的网络攻击类型可能变得像针对地球上的信息系统的网络攻击一样多样化。事实上,似乎没有任何理由认为它们将仅限于少数几种类型,尤其是考虑到复杂太空系统和不同类型的太空任务可能具有广泛的攻击面。
未来网络攻击可能涉及各种威胁行为者、动机、方法等,因此需要各种专家来理解。不仅技术人员处于这个难题的中心,他们显然必不可少,而且政策制定者、律师、社会科学家、哲学家、创意人士、其他人文主义者等(例如可能的受害者和利益相关者)在努力实现更深入、更全面的理解方面也同样不可或缺。
本报告涵盖了范围更广的新颖和令人惊讶的情景,旨在吸引和激励更多研究人员、技术人员、政策专家和广大公众参与解决太空网络攻击问题。我们都是利益相关者和潜在受害者。从地球上持续存在的无情和不断变化的网络威胁来看,我们需要尽可能多的帮助来保护我们的太空系统,这是网络安全的下一个前沿。
声明:本文来自网络空间安全军民融合创新中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
