管理航空领域的关键IT运营
机场的网络威胁
2013年7月26日,土耳其伊斯坦布尔(Istanbul)Atatürk国际机场国际航站楼停运。护照和出入境管制停止运作,所有离境航班都停飞。根据土耳其当地Dogan通讯社和Hürriyet日报报道,这起混乱事件是由伊斯坦布尔省是安全控制中心的数据系统(PolNet)故障引起的,据称是由网络攻击造成的。尽管PolNet系统最终得以恢复,但它确实瘫痪了几个小时,影响了数十个航班和数千名乘客。机场官员没有证实所谓的网络攻击,但当地媒体声称,PolNet系统因网络攻击而受损。
在最近的一个案例中,路透社(Reuters)报道称,2015年6月21日,波兰国家航空公司LOT遭到网络攻击,导致华沙肖邦机场(Warsaw Chopin Airport)10个航班停飞。这次攻击使LOT包含安全信息的的计算机系统瘫痪了5个小时。根据LOT的说法,这很可能使一次DDoS攻击,使LOT系统超载。结果,大约1400名乘客在Warsaw机场滞留数小时。
尽管机场的网络攻击不像其他部门那样常见,但令人担忧的是,机场并没有完全武装起来,准备好应对这些攻击。机场设备齐全,训练有素,能够硬对物理威胁,但似乎没有完全做好硬对网络威胁的准备。机场的安检和筛查都着眼于捕捉人身威胁上(这当然也非常重要)。虽然机场的IT系统和网络确实具有基本保护,例如防火墙和IDS/IPS,但它们无法检测和阻止最新的黑客和网络攻击方法,如鱼叉式网络钓鱼(Spear phishing)和零日攻击(zero-day attacks)。
机场的IT环境
机场的网络安全和保护机制集中在其数据中心。这是按照标准网络设计的,完全适用于主要企业。然而,有两个关键因素使机场与常规组织截然不同:
1、覆盖的区域
机场,特别是大城市的国际机场,都建在很大的空间上,面积至少有一百万平方米。将IT基础设施覆盖到如此巨大的区域,本身就是一项艰巨的任务。监控和保护此IT基础设施是另一个挑战。其他商业企业,不管企业总部有多大,覆盖的面积都要小得多。
2、公共访问
根据定义,机场是公共空间。当然,虽然有一些特定的地方是禁止公众进入的,但仍有很大一部分区域供公共使用。其中一些区域以Wi-Fi热点的形式为乘客和游客提供公共互联网接入。大多数现代国际机场自己管理这些Wi-Fi热点,并免费提供公共接入。相比之下,商业企业是主要为员工提供的私人空间,只有一小部分访客被限制在特定的接待区。
在物理安全方面,机场有多层检查。然而,他们的IT基础设施却并非如此。机场的IT传统上是闭路的,在旧的系统上运行的适当协议。如今,机场的IT环境已经发生了变化。现代机场严重依赖信息和通信技术来登机、行李托运和边境管制,以及处理飞机所涉及的复杂操作。互联网的整合,以及公共休息室可用互联网接入的涌入,使机场暴露在网络威胁之下。即使是相对较小规模的网络攻击也可能扰乱机场运营。机场当局逐渐意识到,他们的IT 网络在设计、管理和保护方面需要不同的方法。
1、外部
通过机场的Wi-Fi热点接入公共互联网是外部威胁载体,它可以找到进入机场网络任何外围或主要部分的途径。黑客可以利用这一途径侵入机场内部网络,发动网络蠕虫,甚至发动DDoS式攻击,破坏机场的任何系统。更危险的是,黑客可以利用这种免费的公共互联网接入方式,使用机场的IP地址向世界上任何其他地方发起网络攻击。
2、内部
可以上网的员工工作站可能成为社会工程技术的受害者,比如鱼叉式网络钓鱼(spear-phishing)。这些技术的主要目的是通过让用户单击或访问一个看似合法的欺诈性链接或站点,将恶意软件投放到系统上。一旦系统被感染,恶意软件就会进行一系列恶意活动,包括让黑客从外部访问用户的系统。由于该活动是由用户自己发起的,并且恶意软件日益复杂,即使是防火墙或IDS/IPS也无法检测到此类攻击。必须认真对待这种威胁载体。在针对一个国家基础设施的网络战中,机场是首要目标。网络安全公司Cylance Inc.在2014年12月一份名为《Operation Cleaver》的报告中,揭露了令人震惊的事实:据称由伊朗策划并执行的针对全球关键基础设施组织的网络秘密行动。根据这份报告,多达6个机场和7家航空公司-在韩国、沙特阿拉伯、巴基斯坦和美国-遭到黑客入侵到这些实体的内部网络的攻击。用于这些攻击的主要方法之一是鱼叉式网络钓鱼。这类攻击的影响并不限于网络世界。他们也可以延续到物质世界。例如,根据Operation Cleaver的报告,黑客窃取了大量的机密数据,包括员工信息、时间表细节、身份照片、机场和航空公司的安全信息,以及网络、住房、电信和电力图的PDF。利用这样的敏感信息来协调物理世界中的攻击,后果不堪设想。
虽然有多种工具可以检测和防止与网络攻击相关的恶意活动,但有些时候,威胁被执行,导致了数据泄露,而这些工具却没有捕捉到任何信息。例如在机场部分区域与主网络隔离的情况下。黑客可以通过协调物理世界中的另一个恶意活动,使机场区域与主数据中心断开连接。在这种情况下,不可避免地需要进行实时或事后取证分析,以确定攻击源、检测攻击的下一步行动或衡量迄今为止造成的损害。
利用网络取证技术在机场进行网络侦测
物理世界的取证在网络空间也找到了其数字对应物,它涉及两个领域:静态数据和动态数据。第一个领域主要是关于计算机取证,涉及到对受感染的计算机及其内存或存储的事后分析。第二个领域涉及检查在运动中发生的数据,即通过网络传播的数据,被称为 “网络取证”。虽然数字取证的两个领域都同样重要,但是,网络调查被认为在犯罪现场更加有用和关键。例如,如果攻击者删除了被入侵主机的所有数据,或者在事件发生后硬盘受损,那么基于网络的数据痕迹可能是唯一可用于取证分析的证据。网络取证也比较棘手,因为它处理的是动态发生的不稳定信息。一旦网络轨迹被传输,它就被认为是 “消失了”,因此,网络取证是一种主动的、同时进行的调查。
网络取证又称数据包取证,通过捕捉网络流量(即数据包)来分析数据,重新组合数字传输的文件,拦截和解析数字通信。可以恢复和重建电子邮件、聊天对话、网上冲浪活动和文件传输的全部内容,以揭示原始交易。
因此,网络安全团队需要具备实时拦截网络流量和捕获数据包的能力。各个组织通常会根据其网络的规模和架构来设置其流量捕获机制,例如,企业组织会将数据包分析设备集中托管在其数据中心。然而,根据上一节所述的两个关键的差异因素,机场需要有不同的策略。由于机场的网络非常庞大,分布在多个区域,可能会出现一个区域被隔离的情况,因此建议具备在受影响区域进行网络取证分析的能力,即使该区域与主数据中心断开连接。
只有拥有一个便携式网络取证工具包,按需进行现场分析,才有可能具备这种能力。在数据中心的主要数据包分析仪设备发生故障或与网络其他部分发生内部连接问题的情况下,这种便携式工具包也会有所帮助。便携式工具的优点在于可以灵活地将其携带到任何现场位置,并能够立即将其插入任何网段,而不需要电源。也就是说,工具包应该是随时可以投入使用的。
为了按需进行取证分析,可以使用以下3种东西建立一个便携式工具包:
首先,你需要的是一台规格合适的笔记本电脑,以满足网络取证工作的需要。4GB的内存、500GB的存储(SSD)、1Gbps的网卡、一个USB3.0接口、3小时的电池备份,是最起码的要求。如今大多数现代笔记本已经具备了这些规格。要记住的一个关键点是,这台笔记本不应该是IT团队日常使用下的普通机器,因为那意味着上面会安装很多应用程序,注册表会有很大的变化,内存也会有很大的负荷,导致性能变慢。相反,这台笔记本应该是一台专门用于特殊用途的机器,比如取证分析。
其次,需要一个数据包分析器(也称为数据包分析器),这是一种工具(软件或硬件),可以记录、解析和分析通过网络的数据包。当数据在网络上流动时,数据包分析器接收捕获的数据包,并对数据包的原始数据进行解码,揭示数据包中各种字段的值(如协议头、会话细节等)。目前有各种开源的数据包分析器,其中WireShark(软件)是最受欢迎的,也是免费的。它有一个GUI前端,集成了过滤选项,这对于在较短的时间内整理数据包非常有用。任何其他商业数据包分析工具也可以使用(例如专业的Ntopng流量分析软件)。
为了使数据包分析器工作,需要一个数据包捕获机制来拦截和捕获实时流量的数据包。这是通过安装一个网络TAP来 “分流 “网段来实现的。在过去的几年里,TAP技术发展迅速。在今天的各种类型的TAP中,便携式TAP因其灵活的携带方式和在任何地点的即时部署而迅速流行起来。它们可以轻松地连接到你的笔记本电脑上,安装了Wireshark等工具后,你的笔记本电脑就变成了一个便携式工具包,随时可以进行任何网络取证工作。
大多数制造商都有自己的各种便携式TAP。然而,并不是所有的人都像他们可能听起来那么好。其中一些功能强大,但复杂以及处理没有真正的便携。他们需要一个lunch-box PC连接与额外的配置来完成。因此,它们一开始就不是真正的便携式。虽然其他的很容易部署,但他们的功能不够强大,无法捕捉到完整的流量–他们要么在复制到笔记本电脑上时丢掉数据包,要么扰乱了这些数据包的时间戳。这就辜负了数据包分析活动的初衷–遗漏数据包或混乱的时序是无济于事的。一款功能强大的便携式TAP可以承担全部的流量–拷贝每一个数据包而不破坏数据包的时序–同时又能方便快速地部署在现场,这才是正确的工具。
适用于关键IT运营的最佳便携式TAP
ProfiShark 1G – 世界上最好的、最快的、真正的便携式网络TAP,可以在任何地点进行任何类型的数据包捕获。ProfiShark 1G体积小巧,但功能强大。它作为一个多合一的数据包捕获工具,没有任何数据包丢失或延迟的瓶颈。通过2个千兆网络端口,它可以轻松地将两个数据流结合起来,通过一个监控端口进行传输。它不使用千兆网卡作为监控端口。相反,它利用了USB 3.0的力量,它可以以高达5 Gbps的速度传输数据。因此,它可以轻松地通过USB 3.0链路传输2 Gbps的聚合流量流(每个方向1G)。这意味着缓冲存储器不需要丢弃任何数据包,也不需要存储足够长的数据包来影响其时序。而且由于它可以很容易地连接到你的笔记本电脑的USB接口,即插即用的ProfiShark 1G最大的优点是它不依赖于外部电源。结合笔记本电脑,您就拥有了一个真正的便携式网络取证工具包,可以在任何地点使用,而不需要依赖电源。所有数据包在进入TAP时,都会在硬件层面上以纳秒级的时间戳实时捕获。这样就可以以纳秒级的分辨率对捕获的流量进行实时分析。
因此,您可以依靠这个方便的工具进行任何类型的按需网络取证分析工作,特别是在安全危机时期。ProfiShark 1G是您的新搭档,可以协助机场的关键IT操作,确保乘客和航班准时到达目的地。如果您有兴趣认识您的新搭档,并看看它能为您做什么,那么请联系我们或访问我们的网站了解更多细节。
