CISA當(dāng)?shù)貢r(shí)間17日發(fā)布警告稱，該機(jī)構(gòu)意識(shí)到美國(guó)和國(guó)際衛(wèi)星通信 （SATCOM） 網(wǎng)絡(luò)可能面臨的威脅。成功入侵 SATCOM 網(wǎng)絡(luò)可能會(huì)給 SATCOM 網(wǎng)絡(luò)提供商的客戶環(huán)境帶來風(fēng)險(xiǎn)。CISA建議衛(wèi)星運(yùn)營(yíng)商開始在入口和出口點(diǎn)監(jiān)控異常流量，包括使用各種遠(yuǎn)程訪問工具（Telnet、FTP、SSH等）；連接到“意外”的網(wǎng)段；未經(jīng)授權(quán)使用本地或備份帳戶；終端或封閉衛(wèi)星通信網(wǎng)絡(luò)的意外流量；蠻力登錄嘗試，等等異常狀況。CISA警告說，與此同時(shí)，衛(wèi)星客戶應(yīng)在其帳戶上實(shí)施多因素身份驗(yàn)證 （MFA），并應(yīng)為衛(wèi)星鏈路服務(wù)的任何敏感區(qū)域支持最小特權(quán)方法。同一天，歐盟航空安全局 （EASA） 在俄羅斯軍事打擊烏克蘭的當(dāng)前背景下發(fā)布了一份安全信息公告，警示當(dāng)前飛機(jī)使用的衛(wèi)星導(dǎo)航系統(tǒng)面臨的安全風(fēng)險(xiǎn)。

　　該公告發(fā)布的同一天，歐盟航空安全局 （EASA） 在俄羅斯入侵烏克蘭的當(dāng)前背景下發(fā)布了一份安全信息公告。該公告涵蓋了全球?qū)Ш叫l(wèi)星系統(tǒng) （GNSS） 干擾和/或可能的欺騙問題在沖突區(qū)和其他地區(qū)周圍的地理區(qū)域有所加劇。

　　網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 （CISA） 和聯(lián)邦調(diào)查局 （FBI） 的聯(lián)合警報(bào)強(qiáng)烈鼓勵(lì)“關(guān)鍵基礎(chǔ)設(shè)施組織和其他作為SATCOM 網(wǎng)絡(luò)提供商或客戶的組織審查和實(shí)施本CSA中概述的緩解措施，以加強(qiáng)SATCOM網(wǎng)絡(luò)網(wǎng)絡(luò)安全。

　　已要求衛(wèi)星通信網(wǎng)絡(luò)提供商和客戶使用安全方法進(jìn)行身份驗(yàn)證，通過授權(quán)策略強(qiáng)制執(zhí)行最小特權(quán)原則，并審查信任關(guān)系，因?yàn)楸娝苤?，黑客利用提供商與其客戶之間的信任關(guān)系來訪問客戶網(wǎng)絡(luò)和數(shù)據(jù)。

　　該公告還建議在從衛(wèi)星通信提供商租用或提供的所有通信鏈路上實(shí)施獨(dú)立加密。它還試圖加強(qiáng)操作系統(tǒng)、軟件和固件的安全性，以便建立健全的漏洞管理和修補(bǔ)實(shí)踐，并實(shí)施嚴(yán)格的配置管理程序。

　　衛(wèi)星通信運(yùn)營(yíng)商還被要求監(jiān)控網(wǎng)絡(luò)日志中的可疑活動(dòng)和未經(jīng)授權(quán)或異常的登錄嘗試，并將流量整合到現(xiàn)有的網(wǎng)絡(luò)安全監(jiān)控工具中。該公告還建議審查終端背后的系統(tǒng)日志以查找可疑活動(dòng)，將系統(tǒng)和網(wǎng)絡(luò)生成的日志提取到企業(yè)安全信息和事件管理 （SIEM） 工具中，并擴(kuò)大和加強(qiáng)對(duì)使用此類網(wǎng)絡(luò)的網(wǎng)段和資產(chǎn)的監(jiān)控。它還建議制定事件響應(yīng)、彈性和連續(xù)性運(yùn)營(yíng)計(jì)劃。

　　Tripwire戰(zhàn)略副總裁Tim Erlin在電子郵件聲明中寫道，組織應(yīng)該認(rèn)真對(duì)待CISA 的這些建議。它們?yōu)樘囟ㄐ袠I(yè)的威脅加劇提供了有用的指示，受影響的組織應(yīng)根據(jù)共享的信息采取行動(dòng)” 。很高興在CISA的建議中看到檢測(cè)和預(yù)防的平衡。包含配置和漏洞管理說明除了在攻擊發(fā)生時(shí)檢測(cè)攻擊外，還需要加固系統(tǒng)。事件檢測(cè)和響應(yīng)是全面網(wǎng)絡(luò)安全計(jì)劃的重要組成部分，但它們必須與識(shí)別您的資產(chǎn)并應(yīng)用有意義的保護(hù)的能力相結(jié)合。

　　Rapid7的首席安全研究員Andreas Galauner指出，在美國(guó)，關(guān)鍵基礎(chǔ)設(shè)施很可能是此類攻擊的目標(biāo)。幾乎沒有私人使用衛(wèi)星通信，因?yàn)樗杀靖甙?，而且延遲又高又慢。這屬于工業(yè)和關(guān)鍵基礎(chǔ)設(shè)施，這使得SATCOM成為一個(gè)有吸引力的目標(biāo)。

　　KnowBe4的安全意識(shí)倡導(dǎo)者James McQuiggan做出了類似的評(píng)估。他指出，無論是家庭之間還是政府之間，通信都是當(dāng)今生活中需要的一個(gè)關(guān)鍵要素?！叭绻ネㄐ拍芰?，制定戰(zhàn)略、協(xié)調(diào)或計(jì)劃就會(huì)變得具有挑戰(zhàn)性。當(dāng)網(wǎng)絡(luò)犯罪分子瞄準(zhǔn)關(guān)鍵基礎(chǔ)設(shè)施的這一要素時(shí)，網(wǎng)絡(luò)彈性對(duì)于保持聯(lián)系至關(guān)重要。使用SATCOM 品或服務(wù)的組織需要確保通過多因素身份驗(yàn)證保護(hù)對(duì)設(shè)備的訪問。確保所有系統(tǒng)都是最新的軟件和固件更新，加強(qiáng)對(duì)流量和日志的監(jiān)控，并審查事件響應(yīng)計(jì)劃以準(zhǔn)備中斷。所有類型的ISP都應(yīng)該保持警惕。盡管這種特殊的風(fēng)險(xiǎn)與衛(wèi)星通信網(wǎng)絡(luò)有關(guān)，但以前在‘正常' ISP中也發(fā)生過這種情況。McQuiggan舉例說，被'pwned’的是CPE：調(diào)制解調(diào)器和路由器沒有被ISP正確配置。這可能發(fā)生在 DSL和電纜線路上，就像這里發(fā)生的一樣。然而，一個(gè)可能跨越巨大地理區(qū)域的衛(wèi)星網(wǎng)絡(luò)可能允許攻擊者執(zhí)行更廣泛的攻擊，而不必在物理附近。

　　鑒于當(dāng)前的地緣政治形勢(shì)，CISA的”Shields Up“倡議要求所有組織大幅降低報(bào)告和共享惡意網(wǎng)絡(luò)活動(dòng)跡象的門檻。此外，安全機(jī)構(gòu)將在新信息可用時(shí)更新公告，以便衛(wèi)星通信提供商及其客戶可以采取與其環(huán)境相關(guān)的額外緩解措施。

　　EASA公告警告國(guó)家航空當(dāng)局 （NAA）、空中導(dǎo)航服務(wù)提供商 （ANSP） 和航空運(yùn)營(yíng)商可能會(huì)導(dǎo)致導(dǎo)航/監(jiān)視性能下降的GNSS中斷。

　　該公告顯示，Eurocontrol、分析師網(wǎng)絡(luò)和 EASA 分析的開源數(shù)據(jù)報(bào)告表明，自2月24日以來，GNSS欺騙和/或干擾加劇的四個(gè)關(guān)鍵地理區(qū)域。其中包括波羅的海周邊的加里寧格勒地區(qū)和鄰國(guó)；芬蘭東部；黑海；以及靠近塞浦路斯、土耳其、黎巴嫩、敘利亞、以色列和伊拉克北部的東地中海地區(qū)。

　　EASA公告強(qiáng)調(diào)，飛機(jī)在飛行的各個(gè)階段都觀察到了全球?qū)Ш叫l(wèi)星系統(tǒng)干擾和/或可能的欺騙的影響，在某些情況下，由于無法執(zhí)行安全著陸程序，導(dǎo)致重新航線甚至改變目的地，”公告說?！霸谀壳暗那闆r下，無法預(yù)測(cè)GNSS中斷及其影響。此類中斷所產(chǎn)生問題的嚴(yán)重程度將取決于相關(guān)區(qū)域的范圍、受影響飛機(jī)的持續(xù)時(shí)間和飛行階段。

　　確定GNSS信號(hào)衰減可能產(chǎn)生的一些潛在問題后，EASA列出了使用GNSS進(jìn)行航路點(diǎn)導(dǎo)航的能力喪失和區(qū)域?qū)Ш?（RNAV） 進(jìn)近能力的喪失。此外，它還檢測(cè)到無法執(zhí)行或維持所需導(dǎo)航性能（RNP）操作，包括RNP和RNP進(jìn)近，以及觸發(fā)地形警告，可能使用上拉命令。

　　該機(jī)構(gòu)還認(rèn)識(shí)到導(dǎo)航顯示器上的飛機(jī)位置不一致、自動(dòng)相關(guān)監(jiān)視廣播 （ADS-B） 丟失、風(fēng)切變、地形和地面功能、ATM/ANS/CNS 和使用 GNSS 作為飛機(jī)系統(tǒng)的故障或退化時(shí)間參考，以及由于 GNSS 退化導(dǎo)致的潛在空域侵犯和/或路線偏差。

　　為了解決已發(fā)現(xiàn)的問題，EASA向NAA、ANSP和航空運(yùn)營(yíng)商提供了一份建議的緩解措施清單，并建議他們采取適當(dāng)?shù)男袆?dòng)。

　　此前美國(guó)國(guó)家安全局的一份聲明指出，俄烏戰(zhàn)事開始前發(fā)生的Viasat黑客事件現(xiàn)在也被美國(guó)政府調(diào)查為潛在的俄羅斯國(guó)家支持的網(wǎng)絡(luò)攻擊，并指出跨機(jī)構(gòu)和聯(lián)盟的努力（包括法國(guó) ANSSI 和烏克蘭情報(bào)部門）以”評(píng)估網(wǎng)絡(luò)攻擊的范圍和嚴(yán)重性“。事件?！?/p>

　　正如美國(guó)有線電視新聞網(wǎng)首次報(bào)道的那樣，美國(guó)國(guó)家安全局證實(shí)，它“知道有關(guān)潛在網(wǎng)絡(luò)攻擊的報(bào)道，該攻擊導(dǎo)致數(shù)千個(gè)從衛(wèi)星網(wǎng)絡(luò)接收數(shù)據(jù)的非常小孔徑終端斷開連接”。

　　烏克蘭國(guó)家特殊通信和信息保護(hù)局 （SSSCIP） 的 CDTO（首席數(shù)字化轉(zhuǎn)型官）維克多·佐拉（Victor Zhora）多次表示 ，衛(wèi)星被黑在戰(zhàn)爭(zhēng)一開始就造成了巨大的通信損失。