一種關(guān)于無人機(jī)對網(wǎng)絡(luò)安全影響分析方法的研究

李維峰

中國飛行試驗(yàn)研究院

本文概述了一套方法，從“藍(lán)隊(duì)”和“紅隊(duì)”的角度出發(fā)，對無人機(jī)構(gòu)成的網(wǎng)絡(luò)安全威脅進(jìn)行了枚舉和分類。首先，我們將STRIDE威脅模型分類法作為我們對威脅進(jìn)行分類方法的一部分。其次，我們介紹了網(wǎng)絡(luò)安全殺傷鏈，作為將“紅隊(duì)”進(jìn)攻性視角納入威脅分析的一種手段。最后，我們還介紹了一種新穎的模板，用于展示特定場景中的網(wǎng)絡(luò)安全狀況，集成攻擊面和攻擊向量，從而對該場景中的網(wǎng)絡(luò)漏洞和攻擊路徑進(jìn)行對應(yīng)性的展示。本文研究的方法可以幫助決策者了解無人機(jī)相關(guān)的網(wǎng)絡(luò)安全威脅，方便對這些威脅進(jìn)行深入的調(diào)查并采取防御手段。

防范網(wǎng)絡(luò)安全攻擊的第一步，是了解可能的威脅范圍。如果“藍(lán)隊(duì)”想要領(lǐng)先于對手，就必須要具有創(chuàng)造力并能夠積極主動的了解對手。想要對未知風(fēng)險(xiǎn)進(jìn)行分類，首先需要認(rèn)真審視現(xiàn)有技術(shù)及新興技術(shù)帶來的威脅。我們嘗試使用已有的威脅分析框架，通過集思廣益的方法來填充此框架，以幫助我們對可能的新威脅進(jìn)行分類。

有一個(gè)這樣的框架，是Adam Shostack的用于威脅建模的STRIDE分類法，該框架概述了可以對安全威脅進(jìn)行分類的六個(gè)領(lǐng)域（如圖1所示）。STRIDE的替代方案（例如Gunnar Peterson的DESIST框架）為威脅枚舉提供了其他分類法。盡管STRIDE分類法最初是為軟件開發(fā)而設(shè)計(jì)的，但其涵蓋的六個(gè)領(lǐng)域?qū)τ诹信e與網(wǎng)絡(luò)安全和無人機(jī)相關(guān)的威脅也很有用。

圖1 STRIDE分類法。

框架中的S代表“欺騙”，它涵蓋了一系列違反身份驗(yàn)證協(xié)議的威脅，使攻擊者可以假裝是其不是的某物或某人。在以無人機(jī)為目標(biāo)的相關(guān)網(wǎng)絡(luò)安全的情況下，欺騙可能包括聲稱自己是無人機(jī)數(shù)據(jù)的授權(quán)接收方。

框架中的T代表“篡改”，它涉及通過對系統(tǒng)進(jìn)行某種修改，來破壞受攻擊系統(tǒng)的完整性。在無人機(jī)相關(guān)的網(wǎng)絡(luò)安全中，無人機(jī)被用作網(wǎng)絡(luò)武器，如果使用無人機(jī)通過近距離訪問不安全的無線網(wǎng)絡(luò)，將惡意軟件傳送到目標(biāo)計(jì)算機(jī)，則可能會造成篡改。此類惡意軟件可能會感染諸如工廠或發(fā)電廠設(shè)備之類的高價(jià)值機(jī)器，或攻擊諸如水系統(tǒng)和電網(wǎng)之類的高影響力目標(biāo)。

框架中的R代表“拒絕”，攻擊者拒絕對某行為負(fù)責(zé)。此威脅與無人機(jī)相關(guān)的網(wǎng)絡(luò)安全領(lǐng)域關(guān)系最小。一個(gè)可能示例是內(nèi)部濫用系統(tǒng)控件。例如，一架無人機(jī)的運(yùn)營商在面對指責(zé)——由于通訊網(wǎng)絡(luò)設(shè)計(jì)缺陷而引起的無人機(jī)失控，可能聲稱他們并非有意造成墜機(jī)。在無人機(jī)是網(wǎng)絡(luò)武器的情況下，另一個(gè)示例可能是通過干擾與損壞松散相關(guān)的通信節(jié)點(diǎn)來使攻擊者的身份與后果保持距離。這可能還包括攻擊臨近的網(wǎng)絡(luò)以修改管理目標(biāo)計(jì)算機(jī)日志的計(jì)算機(jī)系統(tǒng)。

框架中的I指的是信息“披露”，涉及違反保密原則。在信息泄露攻擊中，代理將信息發(fā)布給沒有適當(dāng)憑據(jù)的人。信息泄露威脅可能包括滲透到UAS傳感器數(shù)據(jù)系統(tǒng)以訪問視頻、音頻或其他數(shù)據(jù)。代理也可以披露信息，然后使用抵賴來否認(rèn)對此行為的責(zé)任。

框架中的D代表“拒絕服務(wù)”，是指拒絕被攻擊系統(tǒng)正常運(yùn)行所需的資源的可用性。拒絕服務(wù)的一個(gè)例子是以無人機(jī)為目標(biāo)，并且可能涉及感染無人機(jī)控制軟件以使設(shè)備對用戶的輸入無響應(yīng)。

最后一個(gè)字母E表示“提升特權(quán)”，這涉及違反執(zhí)行不允許執(zhí)行的操作的授權(quán)原則。特權(quán)授權(quán)的一個(gè)示例是當(dāng)無人機(jī)成為目標(biāo)時(shí)，它可能涉及冒充合法控制者來劫持無人機(jī)。當(dāng)無人機(jī)用作網(wǎng)絡(luò)武器時(shí)，它們可以被用于傳遞數(shù)據(jù)，代碼或其他信號，以破壞或改變受攻擊系統(tǒng)的行為。

在應(yīng)用了上述部分或全部方法之后，分析人員可以在制定網(wǎng)絡(luò)安全決策時(shí)將要考慮的一組威脅場景填充到STRIDE框架（或類似的框架）中。這種防御性的“藍(lán)隊(duì)”方法確定了對手可能利用的攻擊面，并開始確定可能需要關(guān)閉或緩解的潛在漏洞，以增強(qiáng)無人機(jī)相關(guān)系統(tǒng)的網(wǎng)絡(luò)安全性。

在場景中發(fā)現(xiàn)威脅：網(wǎng)絡(luò)安全殺傷鏈

在給定的攻擊場景下，如何發(fā)現(xiàn)無人機(jī)易受攻擊的方法有很多。如果決策者從對手的角度出發(fā)（即“紅隊(duì)”），可能有助于確定“藍(lán)隊(duì)” STRIDE框架方法未發(fā)現(xiàn)的威脅。網(wǎng)絡(luò)安全殺傷鏈就是這種從“紅隊(duì)”視角考慮的方法，使用戶能夠確定特定系統(tǒng)何時(shí)以及如何在方案中易受攻擊。這樣可以設(shè)計(jì)出針對特定威脅的明智防御措施。

這種方法可以確定長距離通信鏈中的薄弱環(huán)節(jié)。例如，由于員工家中的無線信號帶來的不安全因素，是無法通過進(jìn)一步加強(qiáng)中央數(shù)據(jù)庫安全性來彌補(bǔ)的。網(wǎng)絡(luò)安全殺傷鏈確定了網(wǎng)絡(luò)攻擊的七個(gè)階段：偵察、武器化、傳遞、利用、安裝、控制以及行動。圖2中描繪的鏈條表示一個(gè)序列，其中每個(gè)階段代表對手采取的行動。

圖2 網(wǎng)絡(luò)安全殺傷鏈。

至關(guān)重要的是，每個(gè)階段都為攻擊檢測提供了機(jī)會。由于各階段是相繼進(jìn)行的，因此早期檢測可減少破壞性的后果并降低修復(fù)成本。由于適當(dāng)?shù)姆烙袆尤Q于給定行動在鏈中的位置，因此指定無人機(jī)在網(wǎng)絡(luò)安全殺傷鏈中的位置將有助于采取有效的安全措施。

在許多涉及無人機(jī)攻擊的情況中，啟動網(wǎng)絡(luò)安全殺傷鏈的目的是對無人機(jī)本身采取行動。此類攻擊試圖獲得對無人機(jī)或其子系統(tǒng)的控制權(quán)，以捕獲或更改其數(shù)據(jù)，改變其航向或破壞設(shè)備。在此類攻擊中，無人機(jī)在網(wǎng)絡(luò)安全殺傷鏈的每個(gè)環(huán)節(jié)中都發(fā)揮著作用。我們稱這種支持無人機(jī)的網(wǎng)絡(luò)攻擊的變體為“以無人機(jī)作為目標(biāo)”。

在其他啟用無人機(jī)的攻擊中，攻擊者會利用無人機(jī)的獨(dú)特特性來攻擊其他（非無人機(jī)）目標(biāo)。在這種情況下，無人機(jī)會在網(wǎng)絡(luò)安全殺傷鏈的某個(gè)環(huán)節(jié)中被使用，以對某些其他目標(biāo)采取行動，或者在最終環(huán)節(jié)中使用，以促進(jìn)行動。此類攻擊可能直接利用無人機(jī)上存在的安全漏洞，我們將此類攻擊稱為“以無人機(jī)作為媒介”。“以無人機(jī)作為目標(biāo)”與“以無人機(jī)作為媒介”的區(qū)別在于，不同的攻擊類型與不同的防御態(tài)勢相關(guān)聯(lián)。

可視化威脅：無人機(jī)網(wǎng)絡(luò)安全圖模板

同時(shí)使用“藍(lán)隊(duì)”和“紅隊(duì)”的視角來枚舉可能的漏洞，可以揭示復(fù)雜而令人生畏的威脅范圍。在本節(jié)中，我們介紹一種新穎的無人機(jī)網(wǎng)絡(luò)安全圖模板，旨在以一種易于理解的方式描繪威脅范圍。

通過應(yīng)用圖表模版提供可視化的方式來展示系統(tǒng)可能受到攻擊的位置（攻擊面）以及攻擊到達(dá)系統(tǒng)的方式（攻擊向量），這有助于弄清楚黑客在何處以及何以構(gòu)成威脅。該模板分別捕獲攻擊面和攻擊向量，從而得到兩個(gè)互補(bǔ)的插圖。在下一節(jié)中，我們將該模板應(yīng)用于多個(gè)小場景，并提供其應(yīng)用的具體示例。

攻擊面示例

攻擊面插圖模板包括三個(gè)核心節(jié)點(diǎn)，這些節(jié)點(diǎn)定義了通信邊界，如圖3所示。這些節(jié)點(diǎn)是操控員、無人機(jī)本身以及無人機(jī)環(huán)境，這意味著操控員與無人機(jī)之間以及無人機(jī)與環(huán)境之間存在通信通道。當(dāng)無人機(jī)應(yīng)用程序涉及視線之外的操作時(shí)，可以通過為人類環(huán)境創(chuàng)建節(jié)點(diǎn)來捕獲更多細(xì)節(jié)。

圖3 攻擊面的三個(gè)核心節(jié)點(diǎn)。

操控員與無人機(jī)之間的通信通道負(fù)責(zé)無人機(jī)的操作和控制。該系統(tǒng)中的第一個(gè)鏈接是人，可以將其視為無人機(jī)的主要操控員，但是人類對無人機(jī)的命令傳輸可以通過各種計(jì)算設(shè)備（例如：用于飛行命令的基于云的服務(wù)器、物理控制器、手機(jī)、筆記本電腦、平板電腦），所有這些都可以在圖像模板中突出顯示，以指出潛在的攻擊面。

無人機(jī)與其操作環(huán)境之間的通信通道較少集中在無人機(jī)控制所需的通信上，而更多地集中在從操作環(huán)境收集的信息上。無人機(jī)收集的感官信息可能涉及多種來源，例如GPS信號，高度信息以及視覺或其他傳感器數(shù)據(jù)。可以用這些節(jié)點(diǎn)注釋模板。

攻擊向量示例

結(jié)合攻擊面插圖模板，我們提供了另一個(gè)模板，用于說明可用于網(wǎng)絡(luò)攻擊的向量，如圖4所示。攻擊向量圖示回答了以下關(guān)于圖示攻擊的5個(gè)問題：

圖4 攻擊向量。

1）漏洞是什么（網(wǎng)絡(luò)武器）？

2）如何到達(dá)那（攻擊向量）？

3）從哪進(jìn)入（系統(tǒng)進(jìn)入點(diǎn)或攻擊面）？

4）什么失敗了（安全漏洞或緩解措施）？

5）發(fā)生了什么（后果）？

為了能夠直觀地描繪整個(gè)無人機(jī)和網(wǎng)絡(luò)安全威脅范圍中的攻擊向量，攻擊向量模板旨在隔離與前面網(wǎng)絡(luò)攻擊的三個(gè)關(guān)鍵階段相對應(yīng)的網(wǎng)絡(luò)安全殺傷鏈的三個(gè)連續(xù)部分（請參見圖3）。整合上面針對攻擊面和攻擊向量開發(fā)的可視化模板，我們可以使用“分屏”方法來提供與無人機(jī)相關(guān)的網(wǎng)絡(luò)攻擊的完整可視化表示，如圖5所示。

圖5 攻擊面與攻擊向量的可視化展示。

本節(jié)介紹的方法提供了一種枚舉、評估和描述與無人機(jī)相關(guān)的網(wǎng)絡(luò)安全威脅的方法。這些方法共同為識別威脅提供了盟友和對手的視角，同時(shí)也為了解將無人機(jī)作為攻擊目標(biāo)或利用無人機(jī)作為攻擊媒介提供了直觀的方法。在下一節(jié)中，我們將這些方法應(yīng)用于特定的場景，以證明這些方法的有用性并提供對特定場景中網(wǎng)絡(luò)威脅的理解。

無人機(jī)作為目標(biāo)：遠(yuǎn)程劫持無人機(jī)

攻擊描述

麻省理工學(xué)院（MIT）的4名研究人員花了一個(gè)月的時(shí)間來識別和利用無人機(jī)（DJI Phantom3 Standard）上的安全漏洞。研究人員使用網(wǎng)絡(luò)映射工具從無人機(jī)的三個(gè)主要子系統(tǒng)（無人機(jī)、相機(jī)和控制器）中捕獲傳出的數(shù)據(jù)包。一旦確定了每個(gè)子系統(tǒng)，研究人員就可以利用設(shè)備較差的密碼安全性來獲得根訪問權(quán)限。對無人機(jī)文件系統(tǒng)的根訪問權(quán)限允許修改系統(tǒng)文件，從而使攻擊者可以修改飛行路線或使設(shè)備崩潰。根據(jù)攝像機(jī)的訪問權(quán)限，攻擊者可以訪問，刪除或添加圖像或視頻。最后，研究人員在無人機(jī)的Android應(yīng)用中發(fā)現(xiàn)了一個(gè)漏洞，攻擊者可以利用該漏洞繞過聯(lián)邦通信委員會（FCC）的禁飛區(qū)限制。

消除威脅

STRIDE框架可用于分類此案例說明的威脅類型。研究人員能夠相對輕松地（特權(quán)提升）獲得對所有主要無人機(jī)系統(tǒng)的root訪問權(quán)限。根訪問權(quán)限允許修改系統(tǒng)文件（篡改）。研究人員通過使用公開的默認(rèn)密碼（信息泄露），可以訪問無人機(jī)的WiFi網(wǎng)絡(luò)和文件系統(tǒng)。將網(wǎng)絡(luò)安全殺傷鏈應(yīng)用于攻擊表明，可以通過阻止偵察階段來阻止攻擊。

大多數(shù)公共用途的無人機(jī)都通過創(chuàng)建了ad-hoc網(wǎng)絡(luò)來將設(shè)備與其控制器鏈接起來。我們所討論的攻擊證明了這些網(wǎng)絡(luò)對于網(wǎng)絡(luò)映射和發(fā)現(xiàn)工具的應(yīng)用仍然存在脆弱性（即它們易于被偵察）。圖6是本例攻擊面與攻擊向量的可視化展示。

圖6 遠(yuǎn)程劫持無人機(jī)威脅分析圖。

無人機(jī)作為媒介：無人機(jī)注入的蠕蟲

攻擊描述

以色列和加拿大的四名大學(xué)研究人員在以色列Be’er Sheva的一棟辦公樓中，使用DJI無人機(jī)注入蠕蟲并控制了智能燈泡。該攻擊利用了Zigbee通信協(xié)議中用于連接燈泡的安全漏洞。研究人員使用無人機(jī)到達(dá)足夠接近燈泡的位置，并發(fā)出恢復(fù)出廠設(shè)置的命令。無人機(jī)的軟件隨后更新了設(shè)備的固件，控制了燈泡，并使它們在摩爾斯電碼中閃爍“SOS”。

消除威脅

在STRIDE框架內(nèi)，攻擊構(gòu)成了篡改案例，因?yàn)楣糇⑷肓藧阂獯a，這些惡意代碼修改了智能燈泡的軟件，從而使研究人員可以對其進(jìn)行遠(yuǎn)程控制。

再次，將網(wǎng)絡(luò)安全殺傷鏈框架應(yīng)用于攻擊，揭示了在攻擊中使用無人機(jī)的階段。在這種情況下，無人機(jī)是在網(wǎng)絡(luò)安全殺傷鏈的傳遞和控制階段使用的。更普遍的是，在將無人機(jī)用作攻擊向量的情況下，無人機(jī)進(jìn)入了網(wǎng)絡(luò)安全殺傷鏈，以利用無人機(jī)所提供的特殊優(yōu)勢（通常具有接近目標(biāo)或創(chuàng)建和訪問不安全網(wǎng)絡(luò)的能力）。

尤其值得注意的是，通過Zigbee通信協(xié)議執(zhí)行網(wǎng)絡(luò)安全殺傷鏈的傳遞階段。Zigbee協(xié)議是物聯(lián)網(wǎng)（IoT）設(shè)備的通用通信協(xié)議。盡管所討論的攻擊僅是為了表明存在安全漏洞，因此是良性的，但該攻擊方法可以用來斷開設(shè)備連接或發(fā)起DDOS攻擊。此外，通過使用Zigbee無線通信傳播蠕蟲，攻擊可以避免與互聯(lián)網(wǎng)通信相關(guān)的安全措施和流量監(jiān)控。圖7是本例攻擊面與攻擊向量的可視化展示。

圖7 無人機(jī)注入蠕蟲威脅分析圖。

總結(jié)

本文主要針對與網(wǎng)絡(luò)安全有關(guān)的無人機(jī)威脅進(jìn)行分類，并提出了一種可幫助分析這些威脅的方法，其目標(biāo)是為決策者制定緩解或防御策略提供幫助。

但是，本文所提出的分析方法沒有解決為威脅的優(yōu)先級進(jìn)行排序的問題。在識別并了解了這些威脅類型之后，決策者仍將需要針對每種威脅了解攻擊的可能性，這種攻擊的后果以及為防止或利用這種攻擊而存在的機(jī)會。

不過，作為保護(hù)自己免受無人機(jī)相關(guān)網(wǎng)絡(luò)攻擊或避免無人機(jī)成為攻擊媒介的第一步，決策者可以通過本文中方法來了解攻擊媒介與攻擊面的合集。這是研究無人機(jī)對網(wǎng)絡(luò)安全影響的必要步驟。