The debate over the chances of a catastrophic cyber attack taking down a major part of the nation’s critical infrastructure (CI) has been ongoing for a generation.
但一直没有得到解决 - 在某些方面它是更激烈的现在比以往任何时候。
On one side are those, including high government officials, who warn of a “cyber Pearl Harbor” that could leave swaths of the country in darkness and cold – without electric power – for months.
退役海军上将詹姆斯Stavridis,塔夫茨大学弗莱彻学院和前北约盟军最高司令院长,used that term just three months ago,说这样的攻击将在电网和金融业无论是瞄准。
"It is the greatest mismatch between the level of threat, very high, and the level of preparation, quite low," he told CNBC in December.
在另一边是专家谁说,这种警告是巨大的夸张推销FUD(恐惧,不确定和怀疑) - 自然灾害和啮齿动物都超过网络攻击工业控制系统的威胁(ICS)电力电网,配水,交通等关键服务。
证据 - 迄今为止 - 似乎同意后一种观点。在美国,没有网络攻击已经削弱了电网,水,通讯或其他CI系统,甚至数周。事实上,大风暴已经离开的人没有权力成千上万的时间超过任何黑客攻击了。
But the growth of the Internet of Things (IoT) may be changing that calculus. The billions – and growing billions more – of connected devices are bringing both unimaginable benefits to society and unprecedented dangers.
正如众多专家已经指出,任何连接到互联网 - 家电,汽车,公用事业,医疗保健和金融机构以及更多 - 是一个“受攻击面”的敌对行为,从所谓的“脚本小子”的一部分政治活动家,犯罪团伙和民族国家。
去年秋天的分布式拒绝服务攻击互联网骨干运营商的Dyn(DDoS)攻击is one recent high-profile example. Attackers used a botnet of tens of thousands of insecure cameras and DVDs (all part of the IoT) to take down a number of popular websites, including Twitter, Netflix, Reddit and PayPal.
Incidents like that have intensified the debate over the risks to CI, which means an increasing focus on the debate is over whether ICSs are part of the IoT or not.
据一些专家,他们不是。他们说,北美电网更加有弹性,几乎无懈可击的理由很简单物联网攻击:它的重要发电和输电部件 - 运行硬件 - 不是物联网的一部分 - 没有连接到互联网。
Marcus Sachs, CSO of the North American Electric Reliability Corporation (NERC), said many people believe that all three major components of the grid – generation, transmission and distribution – are internet facing.
但他表示,发电和输电部件都没有。他告诉观众在旧金山举行的RSA会议上说,虽然损害网络攻击的风险“大于零的...real threat is Mother Nature and humans doing stupid stuff。”
Sachs agreed that cyber attacks have caused damage to energy infrastructure in other parts of the world – the 2015 hack of the energy grid in Ukraine took out power for several hours to 225,000 people. But he told the audience the North American grid is exponentially less vulnerable because of its, “diversity and separation of infrastructure.”
他告诉CSO也正是因为,“控制系统没有连接到互联网。”这一点,他说,是的一个强制性的关键基础设施保护(CIP)可靠性标准。
“这种威胁是真实的,风险也高,但我们的曝光不足,”他说,竞争,它将采取控制系统物理访问他们的操作干扰。也就是说,他说,是可能的,但可能性很小。
Marcus Sachs, CSO of the North American Electric Reliability Corporation (NERC)
“We’ve bent over backwards to decrease our exposure – we’re anal about it,” he said.
This doesn’t mean there are no internet connections in the overall industry – there are many in the corporate networks and the distribution of power to customers. “But that’s at the edge, where you’re flipping the lights on or off,” he said. “We see power companies get spammed and phished all the time. We see ransomware. But even if the lights go out locally, the grid is still working.”
这基本上是由国家情报詹姆斯·克拉珀的前主任,消息中的“声明为记录”大约18个月前情报众议院常设特别委员会。克拉珀说,他相信一个“网络末日”的机会是远程。
But that message clearly has not reached the mainstream media.The Wall Street Journal标题一二○一六年十二月三十零日故事,“Cyberattacks Raise Alarm for U.S. Power Grid,”和NBC Nightly News just this past week reported that公用事业在本质上是活靶子for cyberattacks。
它也没有说服在ICS领域的所有其他专家任。乔·魏斯,在应用控制系统的管理合伙人,强烈不同意,称高盛的评论,“离奇......超越可信性的境界。
“网络可以降低电网几个月了,”他补充说,电力公司的“多样性”本质上是一个海市蜃楼,因为只有“全世界8至10个供应商”,在制造了一种在ICS中使用的发电机。
Weiss pointed to Project SHINE (SHodan INtelligence Extraction), an initiative that has扫描互联网寻找SCADA和ICS的设备。“他们发现直接连接到Internet超过200万(控制)系统设备,”他说,争辩说,美国政府一直压抑在已经发生的ICS攻击的信息。“我们的政府不会公布,并承认他们,”他说。“我们已经遇到了敌人,这是我们的。”
In a blog post this week, Weiss said在美国有针对性的攻击ICS有致,“电和水SCADA,制造线损坏,HVAC系统的停机和损坏到设备仪器包括关键电机的损耗”。
其他专家则激烈得多 - 他们说的风险可能超过高盛更大的是说,因为即使有气隙的系统可能会受到影响。但他们一致认为,美国的ICS远离坐在鸭 - 一个灾难性攻击的机会,为梆子说,“遥控器”。
本·米勒的威胁运营中心Dragos的主任,他说,如果电力公司的企业网络连接到互联网,而ICS连接到这一点,那么有一个在线的方式获取到ICS。也有接入的风险ICS攻击者可能通过损害第三方供应商获得。
他还表示,他和Dragos的CEO罗伯特·李将在本周投放的基调SANS ICS峰会in Orlando, Fla., on a project titledMIMICS (Malware in Modern ICS),即发现,“千人感染病毒ICS软件的情况下,仅仅过了90天的时间。”
这些,他说,主要的非目标,“机会主义病毒在许多ICS厂商计划可移动媒体。”
不过,他说,在美国,在线访问ICS“,是极为罕见的。最终拿下电网是一个非常复杂的课题。有任何ICS工业的影响是很难的。缩放攻击到一个特定的区域是真的真的很难。”
Edgard Capdevielle,希Networks首席执行官也表示,企业网络连接是一个风险。“虽然工业交通可能不会通过互联网从一个站点到达另一个,所有这些网络通常具有对外部的物理路径,因此暴露出来,”他说。“防火墙帮助在网络上提供的分割,但曝光依然存在。”
PAS首席执行官埃迪·哈比比同意高盛上的ICS攻击成功的可能性不大,“鉴于网络防御的层,大多数公司都在的地方。”
But he said the risks are very real, even with air-gapped systems. He said they could include downloading an infected software upgrade from a third-party vendor’s website into a SCADA system.
或者,可以通过网络访问凭据的不满的内部可以远程的系统控制。
“Are these cyberattacks? You bet they are,” he said. “And they actually happened to two companies in the US.”
和Plixer国际首席执行官迈克尔·帕特森说,尽管他同意的ICS应该从互联网上,“永远不会发生断开。即使被切断,技术已经沿,让歹徒填补空白认为,以防止系统从网络被攻击的空气进来“。
斯科特,在学院为关键基础设施技术(ICIT)的高级研究员,他说他与高盛同意取下电网,“将是非常困难的。”
But he also agreed with Patterson that, “a cyber kinetic approach using social engineering methods to bridge the air gap and introduce self-replicating malware to a network is actually very possible and not too complicated to do.”
,他说,可能会导致停电区域上的秤2003年8月级联断电that left about 50 million people in southeastern Canada and eight northeastern US states without power for up to two days.
That event was attributed to equipment failure and human error.
斯图尔特坎特,全光谱的CEO,有同样的担忧。“美国人口已经高度集中在少数几个地理区域全国创建丰富的目标,”他说,“在一个单一的集中攻击可能让数以百万计的危险,并可能导致数十亿美元的损失和恢复成本一个小的动作。”
高盛再次坚持认为,虽然风险是真实的,他们是用最少的控制系统。“我从来不会说,有零个连接,”他说,“但他们(控制系统)没有设计为连接到互联网。如果有人想挑战的是,给我的连接“。
虽然争论还会继续,大家都同意的措施,也有好消息 - 更加注重ICS安全。
“网络安全技术的进步,如机器学习和人工智能的应用创造了一些乐观情绪,” Capdevielle说。“这些进展提供更好的可视性经营风险,不论其原因的。”
Kantor said there are various ongoing “best-practices” initiatives. The Electric Power Research Institute (EPRI), the Utilities Technology Council (UTC) and a group of major utilities, are supporting a new IEEE standard for secure field area networks,
“该标准,被称为广域无线网络802.16s,地址,可靠性和安全性,”他补充说,它正在帮助公用事业其业务转移到“完全私有网络,从公共网络数字化和物理上分开。”
Still, the nation’s critical infrastructure remains a potentially dangerous soft spot.
“许多电力公司宣称有钥匙系统从互联网封锁,”帕特森说,“当在现实中,一些内部跳将让你到目标系统中。”
斯科特说,他认为最大的风险不是来自俄罗斯,中国,甚至伊朗的敌对民族国家,而是来自“像朝鲜或如Cyber哈里发谁使用国内自主意识形态的集体一个万福玛利亚状态激进网络孤独的狼和租用独立佣兵谁拥有尖端技术来拉像这样关“。
这个故事,“关键基础设施:关网页,脱离了生命危险?”最初由出版CSO 。