孙立
目前,新冠疫情给航空企业带来了巨大的经营压力,曾经受关注的网络安全问题此时已成为一些MRO公司无暇顾及或至少是暂时忽略的项目,但事实上在此次特殊的疫情期间,IT系统和数据面临的威胁并没有因此减少。相反,远程工作和视频会议的增加,为网络犯罪分子提供了更多实施黑客攻击和恶意窥探的机会和载体,疫情之下的网络安全威胁只增不减。前有美国防部承包商Westech International(其曾参与美国洲际弹道导弹“民兵-3”维护工作)遭遇重磅级网络攻击,后有美国MRO服务供应商圣安东尼奥航空航天公司(VT SAA)惨遭网络攻击的“荼毒”,可谓“一波未平,一波又起”。纵观各类事件,主要归纳为以下几类攻击类型,但有专业人士认为,这类网络攻击的真实目的是避开正面强攻,以另辟蹊径之姿,从目标“渠道供应链”下手,将外部威胁与目标内部上下游承包商的脆弱性“叠加共振”,进而出其不意地给关键目标致命一击,思来发人深省。
1 以勒索病毒为主的网络攻击
2020年6月,新科工程旗下的MRO子公司VT SAA,遭受了一个名为“Maze集团”的网络犯罪集团的严重攻击。为了增强勒索“筹码”, 犯罪集团陆续“曝光”了100多个已窃取的文档,约1.5万亿字节的敏感组织数据,其中包括财务电子表格、网络保险合同、提案以及过期的保密协议。自2019年以来,该犯罪集团已经连续攻击了多个行业,手段是窃取公司数据并索要赎金,否则就将数据公之于众。曾有媒体称,VT SAA遭受攻击,造成与其长期合作的美国政府、美国国家航空航天局(NASA)以及美国航空公司也极有可能遭遇“连带”威胁。也就是说,网络黑客通过攻击VT SAA,轻而易举地威胁到了与其保持横向联系的相关机构单位或者母公司新科工程。显然这与直接逐一攻破以上关键基础设施领域相比,黑客通过攻击上下游供应商的子公司,操作 “简单”多了。但不管怎样,防止此类勒索病毒攻击已成为包括航空业在内的大多数行业IT经理的首要任务。瑞航技术公司(SR Technics)的对策是坚持定期进行风险评估,制定预防、检测和阻碍勒索病毒攻击的具体措施。
瑞航技术公司表示,“作为基于主题的信息安全计划的一部分,公司进行了最新的风险评估,加强了IT基础设施和员工安全意识,并正在与公司的安全合作伙伴接洽,以改进检测和响应服务。最终通过模拟勒索病毒攻击,评估网络安全相关投资的效果。”
当然,MRO供应链上的其他环节也会让人担忧。GA Telesis公司自称其最担心的是敏感信息泄露、勒索病毒和欺诈,同时这些也都是大多数行业包括航空业在内面临的最普遍的攻击。由于网络攻击频率的增加,GA Telesis公司出台了多项措施。
在VT SAA遭受的入侵成为MRO领域最广为人知的网络攻击事件之后,GA Telesis成功挫败了“数百万美元的欺诈企图”,主要类型是网络钓鱼电子邮件,这些邮件通常会骗取密码或银行账户详情等敏感信息。据不完全统计,全球MRO领域大多数公司都遭受过某种网络攻击或攻击企图。
2 主要网络安全威胁与防御措施
大多数勒索病毒攻击可能本质上是要勒索钱财,但在航空售后服务市场,比丢失钱财更令人担心的是为客户保密数据,同时制造商和MRO供应商还必须防范知识产权盗窃和来自竞争对手或者竞争国家的其他惡意行为。
因为数据是企业参与市场竞争的核心,也是其走向成功的关键。有的MRO公司丢失数据将可能引发毁灭性的后果,所以企业必须非常努力地设计自己的专有软件和算法,在成功识别项目和商业机会的同时,保护数据。
此外,丢失客户数据也是一大危险。除了影响客户声誉和企业间关系,还会给使用这些数据开展预测性维修服务和定制化解决方案的公司带来麻烦。例如,汉莎技术公司可以通过其Aviatar平台访问某些航空公司数据,尽管仅限于客户愿意共享的数据。但汉莎技术公司要将每个客户的数据分开,并采用数据加密的手段保证其在整个Aviatar平台上的存储和传输。这就使得Aviatar的防火墙和自动威胁检测等安全措施成为了各航空公司数据安全的最后一道防线。
随着互联网设备和组件在飞机上和机库中的激增,MRO公司的网络安全变得更加脆弱。因为几乎每种新设备都有网络接口,所以使用设备的增加相当于攻击面的增加,而且这些设备使用多个操作系统,所以只安装标准“代理”端点安全软件是完全不够的。
为了解决这一问题,GA Telesis使用软件监控进出数据中心的流量,即设备内部网络之间和进出外部网络的流量。这种全方位的监控可保证公司对过去传统的基于签名的安全工具所忽略的威胁有了更强的防御能力。
另一种安全方法是授权专业公司对IT系统进行各种入侵测试模拟,以发现系统的弱点。实践表明,测试结果通常会非常不错,模拟测试能够帮助公司制定高于标准的安全措施。
3 人为因素是网络泄密的重要原因
尽管网络安全需要采取多层防御,包括防火墙、邮件过滤器、防病毒软件、反恶意软件和入侵检测软件,但即使最坚固的技术防御也很容易被人为错误和疏忽所破坏,如不安全的密码、使用未经授权的设备或者无法发现的诈骗。
这就是为什么对公司和个人的网络钓鱼越来越多的原因,因为攻击者明白,追踪用户会比“暴力”攻击能够产生更好的结果。所以大多数数据泄露被认为是人为错误造成的。
这就意味着,有效落实网络安全战略不仅需要聘用胜任的IT员工或外部承包商,还要广泛加强员工培训,让他们学会遵守安全规定,并学会如何识别潜在的网络安全风险及应对风险的方法。
因此,也有人认为最好的防御措施是 “人类防火墙”。例如,加强用户培训和模拟测试,安全培训的课堂教学能够提供识别威胁所需的知识,持续的模拟和补救则可以巩固和提高人员的网络安全技能水平。
4 人才建设意义重大
今年受疫情影响,航空企业大量裁员、人力需求大幅降低,MRO行业近年来面临严重的人员短缺问题看似不再延续。但其实疫情危机加深了企业对技术和网络连通性的依赖,这就意味着对IT员工的需求或对员工IT技能的需求更加看重。
因此,MRO IT领域的人才竞争正在变得激烈。GA Telesis公司认为,除了为这类员工开具好的薪水,雇用和留住这方面优秀员工的关键是让他们积极参与公司项目和战略部署。
人才建设的另一个重点是综合利用内部和外部的IT专家。众所周知,当前行业内均面临“合格的网络安全专业人员短缺”的问题,所以利用内部安全专业人士了解自身业务并与员工和业务合作伙伴保持密切合作的优势的同时,大力发动外部合作伙伴监控和维护企业的技术安全,就成为了解决这一问题的有效路径。
5 预防网络攻击要从“整体”出发
实施网络安全战略必须坚持人、技术、培训和政策的正确组合,这4个核心因素缺一不可。
例如,即使是复杂的防火墙也可能被黑客攻破,所以公司也应该尽可能实行系统隔离,以及完全的数据加密。同样,即使采取了这些措施,系统也可能被一个错误的密码破坏,所以保持对加密密钥的控制也非常重要。
同时,加强物理安全,要控制对关键IT基础设施的访问,限制在数据中心等场所使用USB和其他外部设备。要监测和控制移动设备的使用,同时还应评估供应商的网络安全,防止恶意软件嵌入设备或新出厂的组件中。
另外,人工智能(AI)也可以应用于打击网络犯罪,用来检测攻击前的数据探测。因为当攻击者攻破一个组织时,他们通常会开始收集尽可能多的情报,确定网络钓鱼和鱼叉式钓鱼攻击的关键利益相关者,然后利用收集的信息对该组织实施定制攻击,所以AI技术可以通过标识(LOGO)和熟悉的地址,利用机器学习加速发现攻击者的这一阶段,或实现自动化的快速检测。
为了应对这些威胁,GA Telesis利用各种AI工具预测性地分析威胁和新策略,然后与更广泛的网络安全社区共享信息。
6 持续应对不断演变的威胁
近年来,网络犯罪分子不断演化作案手法,企业曾经有效的应对措施甚至是IT员工的技能出现了严重过时,因此企业的网络安全策略必须与之同步发展,更好地应对新的挑战。
GA Telesis认为,在信息安全时代,一个组织可能犯的最大错误不是选错了工具或策略,而是未能跟上不断发展的网络犯罪手法的步伐。随着网络攻击变得复杂起来,防御也必须非常完善和周全。企业必须通过持续改进快速有效地适应这些变化。
至于“关于网络安全的军备竞赛将要持续多久”这个问题,显然是很难回答。随着MRO业务变得更加信息化、自动化、数据化,数据主导的预测性维修变得越来越重要,远程监控和远程工作变得越来越普遍,这些领域获得的效率提升在一定程度上可能会被保护这些领域所需的信息安全投資所抵消。尽管如此,网络攻击对企业财务、公共关系和知识产权的威胁仍然不容小觑,MRO供应商别无选择,只有继续认真地做好网络安全工作,才能获得业务的持续发展。