根据最新报告显示,美国迫切需要一个全国性的战略来保护其高度“脆弱”的电网,如果攻击者攻击美国电网,损害程度可能会远远超过飓风桑迪。
根据美国国家研究委员会的报告显示,如果恐怖分子侵入任何一个关键设施(无论是通过用于破坏控制系统的互联网恶意软件,还是通过内部攻击),都可能让美国大部分地区断电达数星期或数个月。
这种攻击的损害程度将比上个月飓风桑迪对美国东海岸的损害多几十亿美元以上。
卡内基-梅隆大学工程和公共政策系M Granger Morgan表示,“精心设计和执行的恐怖袭击造成的损害更广泛,持续时间更长,想都不用想,这种攻击将会造成几百亿美元的损失。”
美国电网的“脆弱性”在于分布范围广泛(数百英里),并有很多无人防守的关键设施。此外,20世纪90年代中期的联邦立法为电力市场的更多竞争者打开了大门,强调国家的散布的高压系统,这可能造成攻击后多重故障的风险。
美国电网还包含很多重要设备,这些设备有些已有几十年的历史,缺乏先进的传感和控制技术来防止系统中断。一个典型的例子就是,在飓风桑迪后,美国Long Island电力管理局难以恢复电力,造成超过700亿美元的损失。新闻媒体报道称,由于使用年代久远的电脑主机,严重阻碍了公共事业设备的恢复进度。
计算机取证和安全专家兼佩斯大学教授Darren Hayes表示,“由于公共事业设备难以赚取利润,最让人担心的就是陈旧系统的更新和安全投资。”
Hayes表示,公共事业设备的另一个问题是,加入IT操作以消减成本。
“安全一直都不是优先事项,但现在必须优先考虑安全性,很多公共事业设备将重点放在集中IT操作来降低成本,”Hayes表示,“这种集中化意味着,公共事业设施联接在一起,可能被灾难性地全部摧毁。”
在发现Stuxnet(2010年破坏伊朗核设施的高级恶意软件)后,对国家的关键基础设施的攻击开始成为关注的焦点。伊朗表示要采取“先发制人”的方式来打击他们认为应当负责任的国家。“纽约时报”报道称美国和以色列共同开发了Stuxnet。
该报告提供了保护国家电力输送系统的几个建议,当然,一切都需要从钱开始,研究资助资金远远小于需求。
除了钱以外,该报告还建议开发、生产和储备“通用恢复变压器”,这可以暂时代替故障的高压变压器—这些变压器通常是在美国以外地区定制的,需要几个月甚至几年来替换。恢复变压器效率没那么高,但它们可以显著减少恢复电力的时间。美国国土安全局最近开始于美国电力行业合作开发和测试恢复变压器。
其他“脆弱点”包括通信、传感器和控制系统,这些都容易通过互联网连接或者内部的攻击。最好的解决办法是断开与互联网的连接。如果不能断开的话,应该部署国家最先进的技术和管理安全系统,包括监控操作人员错误或破坏的系统。
内部攻击的威胁非常巨大,在8月份,名为Shamoon的病毒删除了国有石油公司Saudi Aramco公司三个季度的企业数据。据称是内部人员通过USB插入电脑来感染系统的。
最后,该报告建议美国国土安全局和能源部跨地区制定安全战略,这些战略的目的在于消除漏洞。
另外,还需要政府机构和私营行业之间的信息共享与协作。但要做到这一点,联邦政府将不得不解决公共政策和法律障碍。
美军将领称如电网遭袭击美国可能发射导弹反击
美国《华尔街日报》报道:五角大楼已经制定了一套新战略,将重大的赛博攻击归为战争行为,为采取军事报复的可能铺平了道路。
五角大楼计划在6月公布其关于赛博作战的首份正式赛博战略,战略涉密版约30页,非密版12页,警告了那些可能试图破坏美国电网、地铁或输油管道的敌人。一名美军将领称,如果敌人关闭美国电力网,美国就有可能发射导弹实施反击。
根据三位阅读过战略的官员所述,战略将保留目前武装冲突的国际规则(条约和惯例),并将其沿用至赛博空间。报告涵盖了多项武装冲突法——来自多项条约和多年来的惯例,这些条约和惯例一直指引战争行为及相应的对策,战略将它们用于赛博空间领域。战略还描述了国防部对信息技术的依赖,以及为什么国防部要想保护基础设施,就必须推动与其他国家和私营工业的合作关系。
据称五角大楼将有可能根据“等效”原则(即赛博攻击带来的伤害与常规军事打击带来的伤害是否具有可比性),决定是否对赛博攻击采取军事回击。此外,是否采取军事回击还将取决于能否确定精确的攻击源头。
战略还将指出与美国盟国同步赛博战争条令的重要性,并将推出新的安全政策原则。
五角大楼官员相信最先进的计算机攻击需要政府资源,比如,在关闭电力网等重大技术袭击中使用的武器,有可能是在某一政府的支持下开发的。
2010年“震网”(Stuxnet)病毒攻击伊朗核设施之后,美国就决定正式制定赛博战争规则。将五角大楼的想法形式化,是由于军方意识到美国在建立应对此类攻击的防卫措施方面慢了一拍,民用和军用基础设施已经越来越依赖互联网。2010年美军成立了一个新司令部,以加强军用网络安全,阻止攻击活动,国家安全局主任担任该司令部司令。
美国安全专家指出:国家智慧电网受黑客攻击
Whitehat安全专家日前指出,国家级的智慧电网一直遭受到攻击威胁,而且,很可能做再多的安全投资也无济于事。
在稍早前的DesignWEST中一场有关智慧电网攻击的小组讨论中,资深研发工程师JoeLoomis就智慧电网和智慧能源技术展开强烈抨击,揭露了当前智慧电网正面临的骇客攻击威胁和全面性网路战可能带来的破坏及影响,甚至会危及到国家基础建设。
“举国上下皆仰赖的关键基础设施,正是攻击的首要目标,”Loomis说。
事实上,在智慧电网的发展历程中,骇客们也从中发现了许多破坏国家基础设施的机会。
Loomis指出,在2010年10月发现的Stuxnet电脑蠕虫病毒,对伊朗核电厂造成重大感染,并破坏了运送核燃料的设施。
这只蠕虫病毒源自何处至今仍无定论,Loomis说,但它利用零日漏洞在全球迅速蔓延,而且,虽然伊朗才是它的真正目标,但美国也有多个系统被迫关闭。
“让Stuxnet的杀伤力比其他病毒更强大的主要原因,是它的复杂度要比以往所有病毒都高出许多倍,”Loomis说,他以电脑蠕虫病毒的例子证明网路战的真实性和危险程度。
“无法控制的蔓延是电脑蠕虫病毒最可怕的部份,”Loomis说,他同时指出,对Stuxnet的分析显示,这只病毒是由40岁以上的工程师所开发,不过截至目前,仍没有任何一个国家或组织团体愿意负责。
另一只类似的蠕虫病毒DuQu在2011年9月被发现,一般认为它的开发者与Stuxnet相同,虽然其最终目的显然不同。DuQu的目的是撷取系统资讯,并记录使用者键入的字码,而且也可能展开类似于Stuxnet的攻击行为。
“许多人都在研究网路战以及攻击的方法,”Loomis指出,而智慧电网正是这类攻击的首要目标。
“在此之前,如果有人想切断我家的电源,电力公司必须派人出来关断连到我家的电源。但现在一切都连上网路,可以远端关闭,这意味着一种全新的风险,”他表示。
美国政府用于补助智慧电网技术的34亿美元资金已经到位,愈来愈多美国家庭和企业装设连网的智慧电表,预估今年的部署数量就将超过6,000万。
对于Loomis声称的,他已经发现的“多个确实的威胁”而言,智慧电网大量且迅速的普及将是多么可怕的一件事。
“如果他们想要,他们随时都可以关闭我们的电力,”他表示。
Loomis接着指出,最果难之处在于评估个人和企业用户风险,并进行相应的保护投资。“这些系统都不是为了安全目的所设计,”他说,而且,他进一步指出,任何投资到最后也可能会证明毫无价值。
“没有任何一种制度可确保百分之百安全,”他说。“但只要有足够的时间做准备,你就可以扭转局面。”
Loomis表示,即使一个国家或独立企业花费大把钞票来保障电力基础设施的安全性,但最终仍然要在许多方面做出折衷考量,因此,未来每一个使用者都必须确定,他们究竟想花多少钱来填补安全漏洞。
“我跟客户说,他们应该自行判断情况的轻重缓急,”他建议人们应该着手推动制定更完善的标准,而且应该反覆地针对系统漏洞做测试。
“幸运的是,今天已经有很多开放原始码工具可用了,这些都是协议测试的理想选择,”他表示。
如果黑客攻击美国电网
无数人陷入黑暗之中,医院一片混乱,银行系统遭到围攻美国电网要是遭到网络攻击,可能会产生灾难性后果。
当联邦研究人员发现外部黑客可以控制并摧毁美国发电设备时,分析人士警告称,对电网的联合攻击可能会导致大范围断电,造成的破坏堪比多场飓风同时来袭。
监管部门要求电力公司修复这一设计缺陷,对于后来发现的其它缺陷,他们也是同样的反应。
如今,距离首次警告已过去4年,专家称,发电厂、金融机构、交通系统及其它基础设施却变得愈发脆弱。
美国国防部长利昂帕内塔(Leon Panetta)在今年6月的任命听证会上表示:“我们遭遇的下一次珍珠港事件很有可能是一次网络攻击,让我们的电力系统、电网、安全系统、金融体系和政府体系都陷入瘫痪。”
时任SRA International首席执行官的斯坦顿斯罗恩(Stanton Sloane)最近在一篇文章中写道,针对关键基础设施发动一波网络攻击,就可能造成逾7000亿美元的经济损失,相当于50场大规模飓风同时侵袭美国。
怀疑人士辩称,鼓吹这些危险的都是那些希望受聘提供帮助的人。英国等其它国家也面临此类风险,但官员们承认,美国最容易受到网络攻击,因为美国的公司和人民对互联网的依赖程度极高。
研究人员称,仅凭一小撮专业黑客,就能让许多对于保存食品和维护社会秩序至关重要的发电设施被关闭。最近一些间谍案显示,针对军事通信、银行和电信公司的攻击可能更为容易。
现已退休的美军网络行动特别小组前指挥官哈里拉多哥中将(Lt.Gen Harry Raduege)表示:“能源和其它系统的安全方面仍存在很大漏洞,因为它们在最初设计时就没有考虑安全因素。”拉多哥现在供职于德勤(Deloitte)。
公用事业单位称,它们在可靠性方面有着良好记录,而且还在不断改善。但上月美国公用事业行业和行业监管机构联合发布的一份安全“路线图”承认,威胁扩大的速度“快于该行业制定并部署对策的能力”。该计划的目标是在2020年前部署网络安全体系。
在美国等一些国家,电网按地区被分割为许多块,从理论上讲,这应该能把每次的潜在损害限制在一块地区内。但纽约、华盛顿或其它主要枢纽地区的长时间停电,仍可能产生毁灭性影响一周后,食品短缺问题将明显加剧而恶意软件既然能破坏一个地区,就也能破坏其它地区。
让美国的基础设施防御变得更为复杂的除了监管权和所有权的分立,还有下面这一事实:为安全系统升级埋单的几乎总是私营部门,而非政府。而在中国等一些国家,政府对公用事业单位有着更多的控制权,对私人商业的干预也更为直接。
但美国或许也是网络进攻方面装备最强的。人们普遍认为,美国是去年Stuxnet病毒攻击的支持者通过微软(Microsoft)和西门子(Siemens)软件的漏洞传播Stuxnet病毒,由此摧毁了伊朗的核设施。
很多人认为Stuxnet病毒开启了一个战争新时代,第一次有证据表明,美国和中国等国既有着巨大的能力,又有着巨大的弱势。自从那次攻击以来,Stuxnet代码一直在黑客论坛流传。安全公司McAfee和战略与国际研究中心(Centerfor Strategicand International Studies)在今年的一次调查中发现,过去一年,全球约85%的公用事业网络遭到过犯罪分子和间谍机构入侵,而就在Stuxnet病毒被发现之前,这一比例仅略高于50%。
但最令美国国防部门担心的是电网缺乏安全性。很多电厂以及工厂车间和管道都依赖于自动化设备,这些设备可以远程重新编程,甚至不需要普通电脑用户必须提供的身份验证。RedTigerSecurity的约翰?波莱(John Pollet)表示,所有的设备制造商都存在“系统性问题”。该公司对150多家工厂进行了安全评估。
今年8月,Black Hat黑客会议上的报告显示,一些控制系统能够利用谷歌(Google)特别搜索定位,接着根据指令关闭或加速,这可能会引爆一家电厂或水处理厂。其中很多控制系统是在互联网连接普及之前设计的。
中国黑客曾入侵美国机构以及科技安全公司,包括防病毒软件公司赛门铁克(Symantec)及其它保护联邦政府网络的机构,这一事实说明了威胁的严重性。
这种间谍行为不仅仅是一种巨大的威胁,而且还表明,真正的网络大战很容易爆发。“在网络王国,从操作角度讲,侦察是一项更为困难的任务,”曾任美国国家安全局(National Security Agency)局长以及中情局(CIA)局长的迈克尔?海登(Michael Hayden)表示。“在网络上不被发现,要比扰乱或破坏网络困难得多。”
即使在关键设备的弱点被公开报道后例如今年夏季发现的西门子一个系统的主口令繁冗的监管结构也让美国官员很难有所作为。曾著书论述过电网威胁的乔?威斯(JoeWeiss)表示,行业监管机构北美电力可靠性公司(North American Electric Reliability Corp)对于所有电力运营商都没有控制权,一直不愿采取严格的安全措施。
那些竭力增强本国防御力量的人十分清楚地意识到,在网络空间,攻击者总是具备优势。他们只需要找到一个漏洞,就能侵入整个系统,而那些试图保护这个系统的人则需要堵住所有安全漏洞而这看似一项无法完成的任务。刚刚离职的美国国防部网络政策主管罗伯特?布特勒(Robert Butler)告诉英国《金融时报》,这就是为何网络是“一个由攻方主宰的空间”的原因。
建立一种坚不可摧的防御力量的难度,正促使西方政府在进攻方面做出更努力的工作。美国参谋长联席会议副主席詹姆斯?卡特赖特上将(James Cartwright)表示,美国把网络支出的90%用在了防御领域,只有10%放在了威慑方面,这与传统的武器平衡相反。他认为应该改变这一比例。美国需要让人相信,如果有人攻击的话,“我们有能力和实力应对”。
