网络安全:最佳保险可能是模拟 - 彭博社

David Sax

来源:Getty Images在圣诞节前夕,乌克兰的两家电力公司同时遭到攻击,这被认为是世界上首次成功针对公共事业的网络攻击。黑客(很可能是俄罗斯人)使超过80,000名客户的电力中断了几个小时。幸运的是,乌克兰的电网有些过时,当局通过手动重置断路器在几个小时内恢复了电力。教训是:在网络犯罪的时代,最好的保险可能是模拟的。

彭博社商业周刊美国投票机如何变得比以往更安全埃隆·马斯克如何接受“特朗普交易”马斯克在煽动性的特朗普集会上庆祝胜利没有被监禁的儿子。寻求庇护者占据了拜登承诺关闭的监狱随着我们急于将从发电厂到家庭恒温器的所有设备连接到互联网,灾难性网络攻击的风险倍增,因为人们依赖的系统现在变得更加复杂、互联和集中。“你在购买一种能力,但同时你也在购买一种脆弱性,”前海军部长、约翰霍普金斯应用物理实验室的高级研究员理查德·丹齐格说。“数字攻击者可以通过一次攻击摧毁所有系统。”这就是为什么丹齐格建议在美国电网、军事设施和其他关键基础设施中最脆弱的地方部署物理备份硬件。“我的观点是,如果你的主要系统是数字的,那么如果你的保障是模拟的,你会更强大。”

丹齐格的思维源于核电行业,最近对控制系统进行数字化的推动引发了几位专家的担忧。“如果一个电厂的所有计算机都失效,模拟系统就会启动,控制棒会进入反应堆,冷却反应堆,并且不会释放辐射,”前美国核监管委员会成员、Langner Group的联合创始人佩里·彼得森说,该公司是一家专注于基础设施和大规模制造的安全咨询公司。“你无法对模拟设备撒谎。你不能告诉一个阀门它是打开的,当它实际上是关闭的。这是物理学。”

根据应用控制解决方案的管理合伙人、能源行业网络安全顾问乔·韦斯的说法,数字化失去了深度防御的概念。“深度防御意味着你有多层保护,”他说。“但是数字化,即使声称有多层保护,从某种意义上说也是一层。穿透这一层后,你可能就不再有需要穿透的另一层。”

任何联网并由计算机控制的设备都有被攻破的潜力。网络连接的心脏起搏器、胰岛素泵、飞机控制系统、监狱门锁,甚至汽车都面临黑客攻击和劫持的风险。加州大学圣地亚哥分校的计算机科学教授斯特凡·萨维奇在2010年证明了这一点,当时他和同事通过黑入一辆雪佛兰Impala的娱乐系统来控制它。萨维奇说,危险在于几乎所有汽车的控制系统都以某种方式数字化,而这些数字控制是由通用计算机运行的。因为计算机理论上可以被编程做任何事情,一旦你突破防线,潜在的可能性几乎是无限的。“正是这种通用性让我们陷入麻烦,”他说。

模拟设备无法被恶意软件感染,也无法被黑客控制

制造业的一个特定漏洞是PLC,或称可编程逻辑控制器。这是专门设计的工业计算机,几乎位于每一台重要的工厂设备上,从高炉到汽车组装机器人,再到照明和通风系统。PLC理论上可以用不同的指令重新编程。因此,越来越多的专家呼吁开发新的模拟逻辑控制器。设备的PLC不需要连接到易受网络攻击的网络。它的指令只能通过手动插入新的电路板来更改,而这种电路板现在可以通过3D打印快速制作。

迈克尔·阿桑特,位于马里兰州贝塞斯达的Sans Institute工业控制系统主任,该机构培训和认证网络安全专家,承认这些模拟控制器的成本会更高,适应性也不如通用PLC。同样,塔夫茨大学的计算机科学教授凯瑟琳·费舍尔,曾在国防高级研究计划局(Darpa)工作,她表示,在全国电网中采用模拟安全备份的成本将是“过于昂贵的”。这就是为什么模拟冗余只会在关键任务系统中部署的原因。“这不是数字反弹,”阿桑特说。“对于95%的应用,数字化和互联将带来比不这样做更多的好处。”

尽管成本高昂,许多网络安全界的人士正在慢慢接受模拟防御的潜力。去年九月,达尔帕启动了3600万美元的利用模拟领域进行安全(LADS)计划,试图创建一套电子耳朵,通过监测数字硬件的无意模拟排放(如热量、声音和频率变化)来检测恶意活动。“模拟方法的优势在于,恶意软件无法直接穿过空气影响监测设备,”该项目负责人安吉洛斯·凯罗米提斯说。

与LADS项目相关的五年历史的公司PFP网络安全,已经销售了一款消费者版本。PFP表示,一家未获授权命名的主要电子品牌已经开始将其传感器放入智能电视中以检测安全漏洞。

最后的防线是计算机安全专家长期以来认为的第一道弱点:人类。“多年来,大家都认为人是那些容易出错的人,他们会点击恶意链接并受到利用,”信息安全媒体集团的副总裁汤姆·菲尔德说。“你现在看到的是围绕人类是最了解业务流程和行为的这一概念构建的安全解决方案,他们能够发现某些事情不太对劲。”

网络安全公司PhishMe培训其700多家全球客户的员工识别和标记电子邮件中的潜在恶意软件。那些威胁检测准确率最高的员工被纳入PhishMe的可信信息员网络;他们在识别黑客攻击方面的成功率超过了单靠杀毒软件。“我们的研究、技术和整个公司都是基于我们能够将人类知识转化为实际操作的事实,”PhishMe首席执行官罗希特·贝拉尼说。“如果你完全依赖数字化,你就麻烦大了。”

***底线:***安全专家们逐渐接受这样一个观点:物理系统是抵御网络攻击的最佳保障。