爱游戏ayx网

返回攻击:来自Aurora漏洞的课程

政府赞助的关于网络攻击是否可能造成现实世界的身体损伤的测试,这一天对这一天具有重大影响。有关如何对工业控制系统(ICSS)的潜在网络攻击,请参阅八步。

由Daniel E. Capano 2021年4月29日
图片礼貌:Brett Sayles

正如今年2007年示范所显示的那样,可以从现有网络安全的工作中获取课程,即使是较大的网络安全。您是否意识到减轻Aurora漏洞的八种方法?

2007年,国土安全部门与爱达荷国家实验室合作,承诺证明一个网络攻击事实上可能导致世界的物理伤害。已众所周知,Cyber​​attacks可以通过在硬盘驱动器中创造异常行为以及超频微处理器来破坏计算机设备;该测试的目标是确定各种控制组件的操纵是否可能会损坏或破坏大型基础设施,在这种情况下,在这种情况下是2.25mW,27吨柴油发电机。测试是成功,因为它可以完成它。但是,它也确定了它揭示的脆弱性可能难以减轻。测试是代码名为“Aurora”的代码,被称为“Aurora漏洞”。

发电的网络安全影响101

发电是一个复杂但常规的操作。典型的发电机通过重型铜线线圈旋转强大的磁铁以诱导电流;转动电枢或现场的旋转力,如壳体,可以是内燃机,蒸汽轮机或水轮。然后将电源通过电网分发到家庭和企业。在配电系统的任一端是断路器。这些断路器的目的是保护连接到网格的布线和设备并保护电网。

用于大型安装的发电机使用由保护继电器系统控制的断路器。保护继电器是一种自己的科学;它们监测连接到发电机的接线上发生的情况,并保护其免受网格上的异常情况或发电机的损坏。

这些条件是过电流,暗流,欠压,相位不平衡,同步丧失和接地故障。每个继电器都有一个美国国家标准研究所(ANSI)指定的设备编号,必须定期检查和校准,以避免损坏发电机或分配系统。当保护继电器感测到旨在监控的条件时,继电器驾驶断路器并断开发电机或从线路的连接设备。

这些保护系统的点是通过从系统中拆卸断层设备,使电网保持稳定并操作,尽可能多地留下分配系统。在美国和北美其余部分,电网在60 Hz上运行。对于任何电网功能正常,连接到它的所有发电设备必须通过电压,相位和频率同步。

如果任何发电机都没有同步,系统中会有不平衡,这可能会损坏发电机,分配系统或其他连接设备。如果发电机脱离同步,则相位不平衡保护(同步)继电器将跳闸并断开发电机的连接。如果没有发生这种情况,那么系统的巨大力量将尝试重新同步机器。

发电机的电气和物理特性自然地抵抗这一点,并且将施加在发电机绕组中产生的驱动轴和高电流上的大扭矩。这些目前的尖峰可以损坏其他设备,如变压器和电机。

网络安全回归:极光发电机测试说明

将未同步的发电机连接到工作电网是危险的,如果没有被破坏,发电机会导致损坏。如果具有发电系统的运作的威胁演员是通过物理或几乎获取保护系统的威胁演员?这是在庞大的爱达荷州国家实验室完成概念验证测试的基础,该实验室由能源部经营。

该实验室拥有自己的大电网和发电能力,它用于测试潜艇,船舶和航天器中使用的小型核电系统。从剩余中获得大型柴油发电机,建造了一个设施。建造了一种新的变电站,复制了共同做法中看到的那些,并包括经常在这种类型的安装中使用的保护继电器系统。

为了促进测试的主要目标,禁用振动监测,超速和同步行程。目标是通过在运行并连接到网格上时,通过打开和关闭发电机的断路器来生产所谓的相位同步(oops)。防护系统旨在隔离故障发生器。对于测试,同步和相位不平衡保护继电器被重新编程为随机打开和关闭发电机断路器。

在开始测试之前,发电机与电网同步并按预期运行。在试验开始时,保护系统首先检查同步;然后他们把发电机和电网断开。卸载后,发电机自然加速。然后,断路器再次闭合,将发电机连接回电网。发电机被电网的压倒性力量猛然拉回同步状态;其他连接的发电机和设备的力量将测试发电机的小质量拉回与60hz的电网频率同步。

损坏保护系统功能的恶意代码小于130 kB,这是约30行代码。发电机断路器的开启和关闭仅持续了几微秒,或大约15个周期。代码已执行三次。每次,观察到发电机猛烈地颠簸和摇动;第二次击中后,机器的碎片开始飞走。将发电机连接到发动机的大型橡胶连接器从机器上施加的极端扭矩迅速劣化。发电机开始吸烟。它的绕组已经开始熔化和融化伴随哎呀的高电流尖峰。

在代码的第三次和第四次执行时,引擎和生成器本质上分裂了。验尸报告显示发电机的绕组被熔化并烧毁了。发动机轴扭了,撞到了曲轴箱里——发电机成了废铁。测试持续了三分钟,发电机在一分钟内就被摧毁了。

测试视频可在此处提供:https://www.youtube.com/watch?v=bawu5amyaao.

网络攻击方法

将产生源连接到电网需要频率,电压和相位旋转以匹配与网格的适当和安全连接。保护继电器监控这些参数中的每一个以确保成功连接;如果这些参数中的任何一个超过容差,则机器断开连接,以防止损坏机器或电网。

为了危及这些系统,攻击者将不得不违反多层安全性并具有良好的工作知识来瞄准正确的断路器。攻击者还需要对变电站的物理访问或损害将保护继电器连接到监督控制和数据采集(SCADA)系统的通信系统。还需要禁用各种警报,以免警告运营商解决问题。需要违规的几层安全性地理想地在每个级别受密码保护。密码保护是一种常见的监督和漏洞。

Aurora漏洞的根本原因是物理安全性差,网络安全性差。设计师和运营商必须考虑一开始的网络安全并计划所有可能的攻击方式,包括对设施的物理攻击。Aurora漏洞(如果没有减轻),可以广泛地损坏连接到网格的大量设备,并且可能导致扩展的停电。攻击不必在发电机或变电站处发生;它可以从任何地方发起。

随着更高价值的选择,它们的防御性强化,关键基础设施和工业控制系统(ICS)正在成为素数。大多数攻击都是远程进行的。然而,安全良好的设施也可以为地下物理攻击提供机会。

直接黑客攻击是一种攻击方式,它通过物理访问保护继电器系统并重新编程来影响异常——直接黑客攻击保护继电器。这需要物理访问,电力系统和黑客知识。这种攻击意味着它可能是由内部人员或破坏设施的人身安全的人实施的。

任何具有物理访问变电站的人都可以手动打开和关闭断路器,并实现相同的结果 - 手动切换绕过任何自动控制或保护系统。这种袭击属于“不满的员工”或恶意破坏类别。

受损通信通道是用于远程攻击各种控制系统的公共访问方法。事实上,鉴于大多数威胁演员的物理位置是海上的最常见的攻击载体。与任何其他攻击一样,允许成功泄露的首席罪魁祸首是网络饱现,密码政策差,网络架构差和保护。人类因素也在减轻这种风险的情况下发挥作用,不容忽视。

第三且越来越常见的攻击载体,正在渗透供应链。如果攻击者可以在制造期间或在安装之前的任何点处访问保护系统,则可以将嵌入式代码注入将在特定日期或事件上触发的设备。在最近的事件中已经看到了这种攻击,其中软件完整性在供应商和最终用户之间的供应链中受到损害(例如,SolarWinds)。

减轻Aurora漏洞的八种方法

这听起来像一个常见的克制,​​但缓解这种漏洞是类似的,如果不是相同的,则保护任何其他IC。这些措施需要对时间和金钱的投资。如果正确执行,它们可以使设施实际上坚不可摧。防守措施的水平,被视为防御深度,通过物理堵塞或混淆,误导和阻止他们的努力来挫败确定的攻击者。最终,这些糟糕的演员将放弃并继续前进以更轻松的目标。

通过遵循适当的安全措施,可以减轻极光漏洞。这八项措施是一个很好的基线。

  1. 审计通信系统。重要的是要知道控制网络是如何建立的,以及任何可能发生的破坏可能发生在哪里。像黑客一样思考——他们就像走在街上检查门把手的窃贼一样行动——并关闭任何未使用的端口或多余的通信通道。审计的重点是确定哪些系统和哪些人员可以访问关键系统通信网络,包括SCADA。了解哪些沟通渠道正在使用,哪些可以消除。
  2. 研究所算法,监控和监督保护继电器和断路器操作。继电器或断路器的异常打开和关闭可以遵循可识别的图案,并且在执行攻击之前被检测和减轻。
  3. 加密和保护通信通道。使用具有虚拟专用网络(VPN)功能的防火墙进行任何外部访问要求。如果主频道受到损害,则建立一个安全和加密(和不方式)备份通信通道的备份通信通道。
  4. 消除与办公室或公司网络的任何交叉连接。SCADA或能源管理系统网络和设施的办公网络之间应该没有连接,这可能与互联网连接。这是一个严重的漏洞,因为攻击以“网络钓鱼”电子邮件开始;85%的攻击都以网络钓鱼电子邮件开始。此外,攻击可能是恶意或不满的员工的“内部工作”。
  5. 应建立和强制密码策略。更改保护继电器上的默认密码。使用长而强的密码和分层访问控制。需要定期密码更改。使用多因素身份验证(MFA)进行关键系统访问。将每个系统视为唯一的安全域,不使用所有系统的相同密码。
  6. 为所有员工限制对关键系统的访问权限最小特权的政策。将原理图,产品手册,图表,流程图和任何其他详细的系统信息视为机密和限制对这些员工的需求,以了解的基础。划分系统知识和用于保护每个域的安全方法。
  7. 针对供应商的规格检查入境设备。这有助于用户确定是否发生了供应链攻击。与供应商合作以确定可以确定设备或软件是否篡改了工厂和客户之间的方法。
  8. 审核并加强物理安全。可以渗透设施和物理接入设备的威胁演员可以犯有巨大的损坏。

任何网络安全计划中最薄弱的环节都是人的因素。尽可能多地实现自动化,包括发电设备的启动、同步和连接,可以很容易地实现自动化,这些过程的启动也可以实现实质上的自动化。现代的保护系统能很好地发挥它们的功能,其可靠性水平超过人类——它们不会分心、烦恼或愤愤不怒,它们24/7地毫无怨言地工作。

警告网络安全漏洞的故事

2009年,第一件专门制造的数字武器被用来摧毁伊朗纳坦兹(Natanz)气隙实验室三分之一的铀浓缩离心机。由美国国家安全局和以色列网络战士开发的Stuxnet蠕虫病毒是通过一个承包商的笔记本电脑偷运进该设施的。蠕虫通过专门针对控制它们的可编程逻辑控制器(plc)来感染离心机控制系统。这是已知的第一次使用数字武器来摧毁现实世界中的物理设备。

2016年,俄罗斯的GRU军事情报机构对乌克兰电网发动了一次攻击。那次攻击始于一封钓鱼电子邮件,该邮件释放了一个脚本,通过不安全或不安全的通信渠道,迅速破坏了网格。这次攻击造成了大面积断电和附带损害。一个经常被忽视的问题是这种攻击造成的破坏:蠕虫的目标是用于过程控制和发电的plc和pc等关键设备。几个发电机被破坏或摧毁使用极光类型的攻击;变压器和变电站也被类似的技术损坏。

从网络安全错误中学习,示范

2009年,美国《信息自由法》(Freedom of Information Act, FOIA)就另一个恰巧被称为“极光计划”(Project Aurora)的项目提出请求,无意中披露了“极光”漏洞,这一漏洞在整个网络安全和电力行业引发了冲击波。

可以减轻漏洞,自2007年以来,在保护关键系统时取得了很大进展。但是,许多遗留系统仍然存在,运营商屈服于相信这是寻找问题的解决方案。存在问题,以及防止它的方法和方法也存在。随着混乱的是,一个大而长期的停电会产生,问题需要清醒的事实和负责人的行动。

丹尼尔E.卡纳诺是高级项目经理,Gannett Fleming工程师和建筑师,CFE媒体内容合作伙伴并在控制工程编辑咨询委员会。由网络内容经理克里斯·瓦夫拉编辑,控制工程,《媒体,cvavra@cfemedia.com


丹尼尔E.卡纳诺
作者简介:Daniel E. Capano是高级项目经理,Gannett Fleming工程师和建筑师,P.C.和控制工程编辑咨询委员会成员