网络安全|失控:一张3.5寸软盘暴露民航业网络安全危机( 二 )
航空网络安全态势:失控的数字化攻击面
不仅仅是波音公司及其客机产品 , 更大的威胁来自网络和新兴技术 。 民用航空主要依靠网络技术来提高航空运输的安全性和效率 。 随着航空业数字化的日益发展 , 系统的互联性和对技术的依赖导致了新风险的出现 。 航空业所依赖的计算机网络系统包括空中导航系统、机载飞机控制和通信系统、机场地面系统、飞行信息系统、安全检查以及许多其他日常使用的技术 , 涵盖几乎所有航空领域 。
随着机器学习和5G等新兴技术的广泛采用 , 包括垂直电动起降(eVTOL)和自动驾驶飞机 , 使得航空网络安全风险管理变得越来越复杂 , 以至于既难以管理风险 , 甚至无法深入了解风险 。 这种态势将意味着攻击者和被攻击者(航空业企业)数量将快速增长 。
攻击面的增加会威胁到航空部门的所有组成部分:机场、航空公司、空中交通管制(ATC)中心、供应商甚至乘客 。
当下的航空安全状况有多么糟糕?ImmuniWeb年初曾发布过一个针对全球大型机场的网络安全、合规性和隐私的研究 。 结果显示:
“ 全球100个最大的机场中有97个存在与易受攻击的Web和移动应用程序、公共云配置错误、暗网暴露或代码库泄漏有关的安全风险。 ”
仅有三家机场顺利通过所有安全测试 , 没有重大网络安全问题:
·阿姆斯特丹史基浦机场(欧盟)
·芬兰赫尔辛基-万塔机场(欧盟)
·爱尔兰都柏林机场(欧盟)
绝大多数机场的官方网站存在以下问题:
主网站安全:
·97%的网站包含过时的Web软件
·24%的网站包含已知和可利用的漏洞
·76%和73%的网站分别不符合GDPR和PCI DSS
·24%的网站没有SSL加密或使用过时的SSLv3
·55%的网站不受WAF保护
移动应用程序安全性:
·100%的移动应用包含至少5个外部软件框架
·100%的移动应用至少包含2个漏洞
·每个应用平均检测到15个安全或隐私问题
·33.7%的移动应用传出流量没有加密
暗网曝光、代码存储库和云:
·66%的机场暴露在黑暗网络上
·325次风险敞口中 , 有72起存在严重或高风险 , 表明存在严重违规
·87%的机场在公共代码存储库中数据泄漏
·3184次泄漏中 , 有503次存在严重或高风险 , 可能导致违规
·3%的机场具有未受保护的公共云和敏感数据
此外 , 对36个机场官方手机APP的测试发现 , 100%的机场APP都包含漏洞 , 每个APP平均检测到15个安全或隐私问题 。
糟糕的网络安全现状必然会招致惩罚 , 近年来全球机场网络安全事件层出不穷 , 例如布里斯托尔机场遭受勒索软件攻击 , 黑客窃取了建筑计划和敏感的安全协议 , 波兰华沙机场遭遇DDoS攻击 , 上千名旅客滞留;欧洲一些机场甚至在登机口显示器上公开泄露预订系统中的乘客隐私数据(此漏洞被赛门铁克安全人员发现并已修复) 。
根据EUROCONTROL于2019年发布的航空业网络安全调查 , 对许多空中交通管理系统进行的渗透测试结果显示 , 大多数系统都非常脆弱 。 EUROCONTROL在调查报告中指出: 航空业的高级管理人员 , 技术人员和系统设计师需要摆脱这样的幻想 , 即他们的系统可以在网络攻击中幸存下来 , 因为过去“什么都没有发生” 。
EUROCONTROL文件总结说:“现在的挑战在于使航空系统/服务逐渐变得越来越具有网络韧性 , 同时保持安全性和成本效益 。 ”
提高网络韧性的五大挑战
航空业的一个关键特征是各个部门(机场、空中航行服务、航空公司等)之间的高度相互依赖性 , 以及与相关系统(维护服务、网络连接服务、燃料分配系统等)的互连性 。 在此价值链中任何一点的安全事件都可能在其他领域造成严重后果 。
推荐阅读
- 航天器|任务完成了都没一张照片,我国“可重复使用航天器”为何这么神秘
- 旅行者|旅行者1号传回一张地球照片,科学家看后,瞬间沉默不语了!
- 鳄鱼|国外惊现老鹰叼走鳄鱼,半空中又狠狠摔下,场面一度失控!
- 职场飞科|贴一张膜赚10倍差价,核心收入更高,手机维修店老板月入3万
- 晨报精选|| 如何发现网络问卷的“醉翁之意”,网络安全小黑板
- 考古学家|20多万年前地球上的第一张床,由草和灰烬组成,不仅松软还驱虫
- monkeyzmk|一张摄影工作台、七个实拍案例-你的产品照片也可以很好看
- 网络安全|常看“黄色网站”你当无人知?当手机出现这几个现象时,你就该停手了
- 人世繁华|可信计算真能“彻底改变”网络安全的“命运”?
- 黑洞|满怀期待,第一张黑洞视界照片!