太空资产在国家安全、全球通信和关键基础设施中发挥着越来越重要的作用。太空资产及地面站和数据中继系统等相关资产存在遭受网络攻击的风险。强大的网络安全措施对于保护太空和地面资产免受威胁、确保数据完整性和保障运营至关重要。
但太空网络安全却始终未得到太多关注。考虑到现代社会对太空能力的依赖程度,这无疑是一个战略性错误。
幸运的是,安全专家正在考虑加强太空网络安全,以保护太空资产免受恶意网络攻击。但这些讨论通常仅限于卫星攻击或干扰/欺骗信号等方面。随着技术进步为更多人打开了进入太空的大门,更多的网络安全场景需要纳入考虑。
加州州立理工大学研究人员发布的《外太空网络攻击:生成创新创景以避免意外》报告,研究了未来几十年内各国及私营企业在争夺太空的主导地位和影响力时,可能引发网络攻击的各种潜在驱动因素。
下面节选报告部分内容,讨论推动太空网络安全问题的关键因素,并介绍了太空网络安全场景提示生成器——一种称为ICARUS矩阵(“想象网络攻击以预测空间独特风险”)的分类法。这一方法能够生成超过400万个独特场景提示,旨在激发研究者的想象力,促进多领域专家的专业知识和视角的融合。
太空网络安全的驱动因素
太空网络攻击的历史只能追溯到几十年前,这段历史是随着个人电脑和互联网在20世纪80年代和90年代的兴起而出现的,也见证了数字网络攻击的迅速发展和扩散。可以肯定地说,太空中的计算机成为目标只是时间问题。
世界上第一次太空网络攻击通常被认为发生在1986年,当时,绰号为“午夜船长”(Captain Midnight)的卫星操作工程师为了抗议HBO卫星电视服务成本的上涨,干扰了HBO的传输,并将个人信息播放了4.5分钟。其他关于卫星被黑的早期报道则因难以定性而一直存在争议。
仅仅在过去几年里,世界上才出现了第一次真正的“太空战争”,即双方在武装冲突中都使用了太空系统。2022年,在进入乌克兰的当天,俄罗斯被指责用恶意软件阻止美国卫讯宽带卫星Viasat调制解调器正常运行,导致欧洲成千上万的Viasat客户遭遇服务中断,不仅影响了互联网的使用,还影响了近6000台风力涡轮机的远程监控。同年,俄罗斯试图干扰和侵入星链的卫星互联网设备,包括在移动设备上植入恶意软件,从星链服务器窃取军事通信。
美国空军退役中将、德勤政府网络安全业务负责人克里斯·韦格曼 (Chris Weggeman) 表示,网络攻击预计将成为破坏太空能力的最常见武器。他将俄罗斯 2022 年俄乌冲突期间对 Viasat 卫星网络攻击时为 2021 年的科洛尼尔输油管勒索攻击,强调此类攻击的潜在危险。
韦格曼表示:“乌克兰就像是太空中的科洛尼尔输油管。”Viasat 事件凸显了卫星系统的脆弱性,并强调了太空网络需要更强的弹性。
这些网络攻击为全球太空网络安全敲响了警钟:虽然它们不像其他地面网络攻击那样广泛,但它正成为一个日益紧迫和危险的问题,具体原因包括以下几点。
1. 太空竞赛2.0:日益加剧、越来越拥挤。
由于持续的地缘政治紧张局势,太空竞争日益加剧且迅速变得越来越拥挤,太空物体的数量简直令人震惊。
【图表1:每年发射到太空的物体数量】
据联合国太空事务办公室数据显示,从1965年到2012年的近50年间,全球发射的已登记太空物体(主要是卫星)总数一直稳定在平均每年约130个。此后一直以惊人的速度攀升,到2022年和2023年,全球发射新物体数量已高达平均每年2600个。
目前轨道上有近 10,000 颗活跃卫星,这一数字大约每 18 个月翻一番。鉴于私营部门和政府计划部署更多卫星,增长趋势可能会持续下去。
太空发射的指数级增长在一定程度上是由更强大的新技术推动的,尤其是人工智能和机器人技术。随着机载计算和越来越多的自主性(例如飞行控制),这些卫星为黑客提供了更广泛的攻击或利用能力。也就是说,一旦进入太空系统,威胁者可以实现更多恶意操作。
随着进入太空的机会和能力的提高,全球对空间资源和研究地点的竞争正在升温。这种可访问性的增加意味着除了国家行为体外,私营企业也有能力在太空中发挥作用。这种经济因素驱动的太空竞争可能会引发冲突。例如,国家和业界对提取和开发太空资源(如水冰和贵金属)都非常感兴趣,这可能会引发新一轮的淘金热。
2. 距离难题:太空资产沦为诱人攻击目标。
从地球到太空的巨大物理距离不仅是攻击者面临的难题,也是防护者的难题。试想一下,轨道上现存最古老的运行卫星是1965年发射的林肯校准空球1号(LCS 1)。但是,直至20世纪80年代末,网络安全才开始成为主流问题,并在90年代随着互联网的兴起而发展起来。
这意味着,目前在太空中运行的卫星没有内置防御系统。虽然这听起来很疯狂,但今天发射的卫星仍然不具备网络安全能力,比如立方体卫星(CubeSat),因建造和发射成本低廉,受到大学实验室和其他机构的欢迎,但它们通常既没有足够空间安装网络安全组件,也没有足够的预算内置防御系统。
不过,即便拥有最新的技术和操作系统也是不够的,因为在数百万行代码中总有不可避免的错误。这些代码是由整个(易犯错误的)人类程序员团队编写的,没有一个人能够了解全景。因此,我们需要不断升级硬件并更新软件,以实现更强大的性能和兼容性。
但是这些升级、补丁和维护对于太空中的物体来说极为困难。遥远的物理距离意味着我们不能像在地球上那样随时更换服务器。因此,太空网络安全需要利用机载硬件,这就限制了固件和软件远程升级的程度。主要的系统更新通常会被有意避免,以消除更新失败所引发的航天器破损等严重后果;而且通常还存在无法远程修补的永久性软件组件。所有这些脆弱性都会随着时间的推移而恶化。
主要的太空系统,如国际空间站(ISS)和GPS卫星,需要十年或更长时间的发展,因此从概念到发布都要保持网络安全最佳实践极具挑战性。在这种情况下,如果缺乏最新的网络防御机制——有些系统发布时在网络安全方面落后了10年——或者由于硬件和软件的限制,无法保持在网络安全的最前沿,太空资产就会沦为特别诱人和引人注目的攻击目标。
更糟糕的是,由于外层空间的物理不可达性,针对太空的主要攻击模式可能是远程的,即通过网络攻击或电子战(例如,信号干扰和欺骗)实现。
3. 复杂系统:分散供应链中漏洞普遍存在
太空系统非常复杂,堪称“系统的系统”,其中可能会导致更多的网络漏洞,包括更广泛的攻击面或攻击切入点。
首先,太空生态系统本身是复杂的,其各个部分——发射、地面、空间、用户和通信链路等——都依赖于计算系统,而所有的计算系统都存在被黑客攻击的可能性。
航天器在地球上空运行,需要五个部分将卫星送入轨道,实现收集和共享信息,为客户提供服务的目的。这五个部分包括:
-
太空:轨道卫星等太空资产。
-
地面:对太空系统运行至关重要的地面基础设施,例如卫星监控和控制、地面终端和任务操作中心 。
-
用户:GPS接收器、智能手机、卫星通信的发射/接收终端等。
-
链路:连接其他部分的通信网络,包括地对空、空对空和地对地。
-
发射:组件和活动,包括运载火箭、卫星有效载荷接口、地面支持设备、发射场基础设施以及所需的工作人员和人员。
此外,太空系统的攻击面随着冗长而分散的供应链进一步扩大,这意味着出现错误和漏洞的机会更多,特别是在需要集成不同系统的情况下。这本质上是物联网(IoT)环境中普遍存在的网络安全漏洞问题,特别是当涉及不同供应商时。
在立方体卫星和其他卫星中流行的“即插即用”(COTS)组件加剧了这一问题,因为拥有简单的“即插即用”系统是以牺牲整个系统的强大或一致的网络安全为代价的。例如,相同的攻击可以反复针对使用COTS组件的不同目标。
另一方面,太空安全的标准化同样十分困难,因为卫星任务的安全依赖于大量半独立系统和软件的安全特性。而糟糕的现实是,由于缺乏机载空间和资金,小型立方体卫星通常根本不具备网络安全特性。
考虑到发射成本的下降和太空中强大的商业利益,国家不再是外太空的唯一或主导参与者。这增加了在整个供应链中制定网络安全标准的挑战,特别是在太空技术被认为具有“双重用途”(兼具国防和非国防应用)的情况下。
如今,新技术——比如可重复使用的运载火箭和更强大的人工智能——正在推动人们进入太空,以实现更好的控制和机动性。虽然现代技术愈发复杂,功能也日益强大,但复杂性也会造成脆弱性、更多的故障点和网络漏洞。太空系统是我们创造的最复杂的技术之一,对于技术精湛的黑客来说,绕过发射、太空任务及其技术系统设立的层层关卡闯入太空系统,可以带来极大的成就感和声誉。这就是“攻破卫星”竞赛的动机,该竞赛在2023年已经产生了几支获胜队伍。
4. 法律制度:模糊性为挑衅行为敞开大门
法律的模糊性为有争议的挑衅行为敞开了大门。在太空领域,这意味着可能引发或升级冲突,从而引发网络反应。
目前,太空网络安全主要依据《国际空间法》,而空间法的主要文书仍是1967年批准的《外层空间条约》(OST),其中与太空网络安全相关的几个关键条款如下所示:
在《条约》中,第四条和其他条款申明,太空只能用于和平目的:“月球和其他天体应由本条约所有缔约国专门用于和平目的。禁止在天体上建立军事基地、设施和防御工事,禁止试验各种武器,禁止在天体上进行军事演习。”
第九条确立了不干涉原则:“本条约缔约国如有理由认为另一缔约国计划在太空(包括月球与其他天体在内)进行的活动或实验,可能对和平探索和利用太空(包括月球与其他天体在内)的活动造成有害干扰时,可要求就该活动或实验进行磋商。”
因此,在太空中发动网络攻击似乎至少会违反其中的一些规定。举个例子:太空网络攻击要么是一种旨在未经授权利用计算机系统的侵略性非和平活动,要么是对网络武器的测试,这违反了第四条规定;网络攻击似乎符合被禁止的有害干扰的条件,这违反了第九条规定。
但这些对OST的解读可能存在争议。例如,某国可能会声称,太空网络攻击是干预先前的侵略性、非和平活动的必要手段;如果先前的活动有可能干扰另一个国家的计划,那么网络攻击看起来更像是“黑客反击”,其法律地位在国内法(或国际法)下是不明确的。
除了上述以网络安全为重点的问题外,太空法律和政策中的其他治理缺口也可能导致误解、误判,并最终导致冲突。
5. 低成本:网络攻击在太空继续发挥作用
世界各地的军队都依赖太空系统,这意味着一旦爆发敌对行动,对手可能会攻击这些系统。攻击卫星的方式有多种,但网络攻击比其他反卫星系统(如破坏性动能反卫星武器或信号干扰)更能为攻击者提供匿名性和精确性。美国太空司令部司令史蒂芬·怀廷将军表示:“我们知道,网络攻击是我们最有可能在太空中面对敌人的地方。”
网络攻击作为一种低成本但在经济、政治和环境方面非常有效的策略,将会在太空中继续发挥作用。
现在获取网络攻击能力的门槛在不断降低,许多网络攻击的开发和实施成本要比准备和发动“热战”的成本低得多。例如,一起网络钓鱼攻击只需30美元,相比之下,发射一枚导弹的成本可能超过200万美元。
因此,尽管成本不高,但网络作战却可以非常有效地对抗依赖数字系统的现代对手,特别是在指挥、通信、控制和情报(C3I)方面。无人机攻击可以摧毁整个建筑物,但C3I的数字基础设施不一定位于任何物理位置,而可能处于云端。因此,即使是将对手的通信中心炸得粉碎,也可能不如超越物理空间和限制的网络攻击有效。
除了动态摧毁目标外,网络攻击还可以提供一系列新的有用选择。它可以使目标完全失去作用,也可以被设计成具有可逆或暂时的效果。或者它可能根本不是一次攻击,而是一次情报收集行动,例如窃听敌人的通信。或者它可以用于欺骗,例如,使一个受损的系统看起来正常,但实际上向决策者提供了错误的数据。
在太空冲突中,“热战”不仅昂贵且极具毁灭性。网络攻击则因其隐蔽性特征可以不那么具有挑衅性。因此,我们可以合理预测:对于对手和其他恶意行为者来说,太空网络攻击将是一个有吸引力且有效的工具。
6. 太空安全风险:比大多数人意识到要高
对太空网络攻击愈发关注的最后一个原因是,与其他网络攻击相比,其风险异常高,而且比大多数人可能意识到的还要高。
首先,许多关键服务是由太空系统实现的。例如,GPS和其他卫星提供日常使用的定位、导航和定时服务。气象和其他地球观测卫星为监测、管理和预测我们关心的许多事情提供数据和图像,这些事情对农业、生态、社会、经济和国家安全都有好处。因此,这些服务的损害将是高度破坏性的。此外,太空系统被视为“军事行动的直接推动者”,其本身就是高度战略目标。
此外,即使重要的服务不受影响,太空系统也可能成为恐怖分子和激进组织的攻击目标。他们会通过一场壮观的“表演”来引发混乱并破坏信息,作为后续“热战”或其他行动的前奏。
考虑到网络攻击的成本和风险都比“热战”低得多,非国家行为者更有能力发动网络攻击,造成各种风险水平(从微不足道到严重级别)的影响。如果一个太空系统在其网络安全措施上明显落后,那它将更有可能成为攻击目标。
鉴于网络攻击的隐蔽性和不会造成大规模实际伤亡的特性,我们有理由相信太空中的网络攻击会不断增加。与此同时,各国也都在非常积极地阻止对其系统的攻击,尤其是那些对国家安全和情报至关重要的系统。例如,如果没有间谍卫星和其他能力,现代军队将处于巨大的劣势;没有轨道优势和其他空间服务(如GPS和通信),社会稳定将受到威胁。
ICARUS矩阵:生成创新攻击场景
为了防范特定的网络威胁或攻击载体,首先需要了解威胁,以便评估现有防御能力是否足够或需要加强。目前有许多关于网络安全的分类法——比如著名的NIST、MITRE分类法——但它们或是过于技术性,或是过于简化,或是根本没有捕捉到太空生态系统中的特定环境,不利于预测新的太空网络攻击。
我们需要采用不同的框架,以推动我们的想象力、精确地预测出网络攻击场景。ICARUS矩阵(“想象网络攻击以预测太空独特风险”的首字母缩写)就是这样一种框架。
ICARUS矩阵列出了构成网络攻击的所有主要变量,并按攻击媒介、漏洞类型、潜在威胁行为者的动机、受害者以及攻击可能危及的各种太空能力进行组织。
ICARUS矩阵并非一种正式的分类法,因为许多变量可以重叠,并且不像典型的分类法那样相互排斥,但它可以作为一种通用分类法,因为它捕获了主要变量,并且可以根据需要添加其他变量。(详见下表)
【ICARUS矩阵】
首先,作为场景提示生成器,ICARUS并没有提供全面的变量列表,而只是提供了强大的起始列表,以帮助刺激场景的“想象”。毫无疑问,随着太空和网络技术的不断发展,新的网络攻击方法、太空能力、威胁行为体等将随着时间的推移而出现,更多的变量可以纳入其中。
为此,我们针对太空网络安全的任何场景确定了五个主要关注类别(A至E列)。基本思路是从两列或更多列中选择20个变量(1至20行)中的一个,为新场景创建一个提示或基本结构,五列代表以下主要元素:
A. 威胁行为者或代理人(“谁”在实施网络攻击?)
B. 动机(他们“为什么”发动网络攻击?)
C. 网络攻击方法(攻击者“如何”渗透系统?)
D. 受害者或利益相关者(另一个关乎“谁”的问题)
E. 受影响的空间能力(攻击者想要造成“什么样”的伤害或影响?)
通过从两个或更多这些类别中选择一个变量,研究人员可以为太空网络攻击创建400多万个新场景。以下为部分场景示例。
1. 无人机重定向:恶意接管
无论是否武器化,无人机在陆地、海上或空中都具有很高的机动性,这使得它们在许多方面都可能受到威胁。例如,如果黑客的要求没有得到满足,一架监视无人机可能会被劫持,成为针对军事研发实验室的动能威胁。具有一些自主功能的卫星也像无人机一样,容易被重新定向到新的目标,比如国际空间站。一些现代太空飞机被设计用于交会和接近作战(RPO),并支持类似于地面无人机的自主、复杂的机动性。
2. 数据欺骗:设备中的幽灵
欺骗不仅限于GPS和其他信号,整个数据流都可以被欺骗,例如,传感器注入,以暗示不存在的担忧或威胁行为(如边境上的军事集结),或者通过入侵知名人士账号发起非法在线活动。这可能是由政治、经济或其他利益驱动的。
3. 勒索软件:为攻击买单
数据可能比金钱更有价值,尤其是在需要时无法访问的关键数据。想象一下,如果一枚价值10亿美元的火箭在发射过程中遭到勒索软件攻击。支付500万美元甚至5000万美元的比特币赎金,就能防止任务失败和有效载荷丢失,这无疑是个巨大的诱惑。同样地,勒索返回地球的航天器也很容易,特别是如果它们是载人的,或者可能会在人口稠密的地区迫降。
4. AI漏洞:未知的未知
作为一项快速发展的技术,AI正在开辟新的攻击媒介。例如,受感染的AI校对和写作软件可以在共享文档中附加蠕虫,收集用户的登录凭据。AI是一个多层次的威胁,涉及快速的虚假信息创建,以及运行多个密码锁定方案。在太空中,AI攻击的潜力在很大程度上仍未被探索。
5. 对抗性AI:没那么聪明
AI已被证实很容易被愚弄,尤其是计算机视觉系统,因为它们对世界的感知与人类大不相同。例如,研究人员已经欺骗了这样一个系统,让它把停车标志误认为每小时45英里的标志。同样地,在太空中,威胁行为者也可以欺骗航天器,比如让火星探测器无法识别前面的悬崖。
6. 废弃太空资产:安装后门
为了帮助缓解太空碎片问题,可能会出现新的公司来管理、服务甚至回收废弃的太空资产。但潜在的欺骗或其他手段可能会掩盖已完成(或未完成)的工作,并导致卫星所有者无法察觉对其太空资产所做的修改,例如窃听其通信,或安装可随意激活的终止开关,或在预定时间失效。此外,主动碎片清除技术(如带有机器人爪子的技术)本质上是两用的,可能会被劫持,对功能正常的航天器进行对抗性的RPO,比如撕下太阳能电池板。
7. 自主服务机器人:被接管的风险
接管未来的服务机器人可能会破坏基础、关键支持,或者使系统不堪重负。例如,一架月球航天飞机需要加油,但请求信号被蠕虫欺骗和复制,导致所有可用的加油机聚集在航天飞机上,并严重损坏航天飞机。或请求信号可能被操纵,导致航天器执行不必要甚至有害的工作。
8. 虚假求救信号:太空“假警”
作为一种武器,“报假警”(swatting)是一种具有潜在致命后果的高强度破坏行为。想象一下,太空守卫者收到一个求救信号,说一艘宇宙飞船被海盗占领了。而在守卫者对目标飞船发起攻击后,却发现飞船实际上并没有遇险;那只是一个虚假求救电话。比浪费救援努力和资源更糟糕的是,一些人员会在所谓的“营救”活动中丧生。
防御性网络行动
现在,太空领域的竞争与活力使追求“绝对安全”变得更加不切实际。但这并不意味着没有机会减少太空系统中漏洞的数量和影响。
其中一种方法是通过更好的网络态势感知、信息共享和生态系统中的安全设计方法来改善防御性的网络运营。
1. 网络态势感知:检测并响应
识别潜在的网络漏洞或防御网络威胁需要了解这些漏洞。但要知道在五个环节中持续寻找什么、在哪里寻找什么,需要快速梳理流经操作系统的大量数据。
这项任务对于单个操作员来说可能是不堪重负的。归根结底,良好的网络态势感知需要正确的工具。
通过人工智能工具(如卫星上的系统),增强太空系统威胁检测分析的新机会已经出现。考虑到数据量,人工智能和机器学习 (ML) 可用于帮助有效分析数据并识别表明潜在网络威胁的模式。
AI 工具不仅可以检测威胁,还可以用于理解、预测、建模和模拟潜在的攻击场景,使组织能够主动构建攻击管理程序并相应地加强其系统。在这种情况下,AI/ML 模型可以识别异常信号模式,且可以提供应对建议,以减轻攻击的影响,而不是仅仅依赖预定义的规则。
因此,应充分利用快速检测和敏捷响应来帮助太空组织跟上不断变化的威胁。通过使用这些工具,太空生态系统可以显著增强其网络防御态势。
2. 生态系统的安全设计
安全设计方法要求从产品设计到开发,将网络安全作为优先事项,以提供合理的保护水平来抵御网络攻击者。将网络安全融入整个工程、制造和运营生命周期对于网络防护至关重要。这通常也是负责任的选择,因为如果事后试图弥补有限的网络安全功能,即使可以添加,成本也可能更高。
安全设计方法有助于减少 IT 系统中安全控制和解决方案之间的不一致问题,提高开发流程的效率,提高系统内安全措施的普及性,并提高整体网络安全的可见性和透明度。每项改进都可以使系统更具弹性,同时实现更快、更有效的威胁响应。
安全设计还应包括安全的供应链。作为一个系统,网络漏洞可以在制造和组装过程中嵌入到许多子组件中。例如,在硬件安装到卫星或其他空间部件前,恶意代码可能已经植入硬件中。这可能对太空系统构成重大威胁,因为部署卫星上受损的硬件无法更换,并可能危及其他部分的安全。应植入适当的安全协议,以验证供应链每个阶段组件的完整性。
安全设计的概念应该成为一项指导原则,强调在整个设计过程中需要考虑网络安全要求和风险缓解措施。安全设计原则不能保证太空系统不受所有威胁的影响,但它可以通过减少可利用漏洞的数量来帮助降低系统的脆弱性。
3. 防守进攻
良好的网络安全始于强大的防御。提高网络态势感知和安全设计方法是良好防御的关键,部分原因是它们可以减少漏洞数量,但也因为它们可以创造更多机会在攻击发生时主动阻止攻击。
网络态势感知和更安全的系统类似于拥有更多安全摄像头和金库门的银行:如果银行劫匪在未被发现的情况下通过了第一道金库门,安全摄像头将为银行安全人员创造更多机会发现劫匪并为其余金库门增加额外的保护。
网络领域也是如此。如果太空系统设计和监控得当,网络安全管理人员可更早地发现入侵行为,从而可以采取行动保护其他系统,包括了解攻击者、部署诱饵、甚至侵入攻击者的网络等。
因此,在网络领域更积极地“机动”的能力可以提高防御网络选项的有效性。虽然将网络攻击者拒之太空系统之外至关重要,但如果他们获得访问权限,采取阻止行动的能力也同样重要。
(本文基于加州州立理工大学《外太空网络攻击:生成创新创景以避免意外》报告、德勤《卓越保障:组织如何保护太空资产免受网络威胁》报告编译整理)
END
原文始发于微信公众号(虎符智库):太空:网络攻击的最后疆域
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论