大多数人都听说过,执法部门可以通过监测电力消耗来确定谁可能在地下室种植大麻。
如果一个小房子在附近的两三个类似房屋中吮吸电力,那么“异常”就会发生。
一些安全专家说,可以在更微观的层面上检测数字系统中的恶意活动,从构成国家关键基础设施的发电厂,一直到物联网(IoT)中的微型嵌入式设备。
这个想法是,由于每个设备都有一个“能量指纹”,通过检测基线指纹中的异常情况,就有可能知道是否发生了不好的事情,或是否发生了入侵。
这就是PFP网络安全公司的前提,这家公司上个月上市,其启动资金来自美国国防部高级研究机构(DARPA)、国防部和国土安全部。
作为一个帖子在Dark Reading中,PFP的技术“确定了ICS/SCADA(工业控制系统/监控和数据采集)设备(如可编程逻辑控制器(PLC)、监控继电器、,或其他设备,并在功耗或射频辐射变化超出其基线使用范围时发出警报。
“这些变化可能是由于恶意软件,以及硬件或系统故障,”邮报说。
据该公司称,电力指纹技术可能检测到臭名昭著的Stuxnet恶意软件,该软件破坏了伊朗的核计划。
这使得这是一个安全的银耳子弹,为全国臭名昭着的不安全的基础设施?
不根据该领域的一些专家,尽管他们同意它可能会改善ICS / SCADA系统的安全,至少有一段时间。
这些专家表示,虽然该技术并不新,但他们之前没有看到它以这种商业应用程序使用。
“商业上这是一件新的事情,”Logrhythm的实验室主任Dave Pack说:“但你可以读回学年的学术论文。”
戴夫包他是LogRhythm实验室主任
十七年,至少。前副总裁Ben Jun Cryptogry Research(CR)和现在的宣言合作伙伴的CTO,他在CR时表示,“我们在1998年创建了简单的功率分析(SPA)和差动功率分析(DPA)。请参阅计算机和嵌入式设备上的电源测量,例如Siemens SIMATIC S7-315,S7-315 Tearinged。“
对Stuxnet的提及引出了另一点——功耗分析主要是一种用于攻击而非保护系统或收集设备信息的技术——其中一些技术几乎具有神奇的特异性。
“2010年,研究人员发现,用于电视显示器的led消耗了大量的总功率,”Jun说。“他们只需查看房子的电表数据,就能识别出播放的是哪部《星际迷航》电影的哪个场景。”
它的另一个用途是破解加密。Accuvant实验室的高级研究科学家扎克·拉尼尔(Zach Lanier)说:“更突出的应用是监测电力波动,以恢复加密密钥。”
Duo Security的联合创始人兼首席技术官乔恩·奥伯海德(Jon Oberheide)对此表示赞同。他说:“传统上,监控电力和其他侧通道被用来破坏安全,而不是增加安全。”
例如,试图破坏嵌入式系统的攻击者可能会使用诸如功耗之类的旁道从嵌入式设备中提取机密
Jon Oberheide.,Cofounder和CTO,Duo安全
CTO在PFP网络安全的CTO Carlos Aguayo Gonzalez,同意所有这些。但是,他说,从那些冒犯的用途中,他公司的力量指纹技术已经开发出“大幅不同”。
“PFP与侧通道攻击有一些共同之处,比如捕获侧通道,”他说。“但在捕捉到动力或排放后,分析结果就完全不同了。你不能用我们的监视器破解密码装置。
“据我们所知,我们是第一个使用侧通道信息来评估设备的完整性,并直接在终端检测恶意入侵,而无需在目标上安装任何软件的公司。”
That makes sense to Pack, who called it, “a really interesting, side-channel approach that, over time could prove to be valuable,” noting that programmable logic controllers (PLC), “don’t allow vendors to install some piece of software directly on them to monitor what it’s doing.
他说:“如果我们的目标是充分利用你的环境,找出什么时候发生变化,这将是一个有效的工具。”
然而,功率分析已被用于过去的防御性或认证目的。IBM研究人员提出了一个纸张在2007年的IEEE研讨会上,他们表示,“侧通道信息(如电源,温度和电磁(EM)轮廓,”可用于开发可能认证海外所制造的集成电路(IC)的“指纹”,确保他们不包含特洛伊木马电路。
Kevin Fu是Virta实验室的首席科学家,也是《麻省理工技术评论》的“2009年度创新者”,他在密歇根大学领导了一个研究小组,该小组开发了一个名为WattsUpDoc的系统,通过分析医疗设备和SCADA系统的功耗异常来检测恶意软件。
傅表示,Virta已经创建了一种需要的商业产品,“没有软件安装,并且没有修改到受保护的设备。它像浪涌保护器一样简单。“
密码学研究有一个长期的交易三星电子的“智能手机、支付芯片、内容保护系统、企业应用程序等设备”都配有DPA对策,旨在保护这些设备免受侧通道攻击。
但专家们一致认为,这种功率指纹技术应该能提高ICS/SCADA系统的安全性。
Oberheide说:“对于ICS、SCADA和其他嵌入式设备来说,这无疑是一种理想的方法,因为在这些设备中,任何其他类型的安全仪表或测量都是不可行的。”。
然而,与此同时,他们说它为安全工具包添加了一个工具,但不会替换工具包。
“我怀疑这将是ICS安全的终极目标,”Lanier说。“毫无疑问,对手最终会发现这项技术的细节,并完善他们的工具和技术,以逃避。不过,这并不是说它在一段时间内不会提供相当大的安全效益。”
Zach Lanier.,高级研究科学家,适c实验室
另一个可能的缺陷,包装说,这是,“异常不一定意味着恶意发生的事情,”所以可能存在“误报”的问题。
Oberheide同意了。“如果你太敏感了,你会通过虚假安全问题和昂贵的调查来泛滥运营商。如果你不够敏感,你打开了攻击者隐藏他们在基线运作中的恶意活动的门,“他说。
然而,Gonzalez认为,PFP的技术很难逃避。“虽然技术上,可以开发一种完美地匹配的入侵,符合原始逻辑中每个时钟周期的功率,实际上是非常困难的,”他说。
“在我们的演示中,我们展示了PFP如何能够检测ICS系统中的入侵,即使入侵处于休眠状态,等待触发条件激活。”
并且关于误报,Gonzalez表示,该技术足够灵活,允许用户设置可容忍的假阳性率。“PFP可以非常准确,如果它能够观察到同一执行的多个实例,则具有非常小的误报率,”他说。
最后,电力指纹技术是否可以用于保护构成物联网的数十亿台设备仍然是一个悬而未决的问题。但专家们对此表示怀疑,因为每台设备不仅具有不同的指纹,而且使用方式也不同。
“这不像ICS或工厂车间,”帕克说当你进入物联网时,人类的日程安排会以各种不同的方式和时间使用这些设备。异常情况将更难发现。”
Oberheide表示,消费类设备“在功能上千差万别,电能测量并不是检测恶意行为的最有效方法。”
他说,对于开发人员和制造商来说,它会更好,“将安全性建立到平台上并提供足够的修补机制。”
冈萨雷斯对此没有异议。“某些系统比其他系统更容易成为PFP监测的目标,”他说。’例如,ICS/SCADA系统具有确定性和可重复的逻辑,比复杂的云服务器更容易成为目标。”
休斯·汤普森蓝外套首席技术官
但是,休斯汤普森在蓝色外套时表示,他认为这项技术可能非常有用,可以验证各种物联网设备的组件 - 其中许多来自世界各地的。
“你可以从30家供应商那里建造这些东西,”他说,“所以我可以想象,对于制造商和供应商来说,有一种方法来测试和验证来自其他供应商的东西将是有用的。”
“这对终端买家来说也是一件好事,他们可以定期回去,确保自己仍然正常,并有一个机制确保某些东西处于清洁状态。”
这个故事,“Power FingerPrint'如何提高ICS / SCADA系统的安全性”最初是发表的CSO 。