李維峰

中國飛行試驗研究院

本文概述了一套方法，從“藍隊”和“紅隊”的角度出發(fā)，對無人機構成的網絡安全威脅進行了枚舉和分類。首先，我們將STRIDE威脅模型分類法作為我們對威脅進行分類方法的一部分。其次，我們介紹了網絡安全殺傷鏈，作為將“紅隊”進攻性視角納入威脅分析的一種手段。最后，我們還介紹了一種新穎的模板，用于展示特定場景中的網絡安全狀況，集成攻擊面和攻擊向量，從而對該場景中的網絡漏洞和攻擊路徑進行對應性的展示。本文研究的方法可以幫助決策者了解無人機相關的網絡安全威脅，方便對這些威脅進行深入的調查并采取防御手段。

防范網絡安全攻擊的第一步，是了解可能的威脅范圍。如果“藍隊”想要領先于對手，就必須要具有創(chuàng)造力并能夠積極主動的了解對手。想要對未知風險進行分類，首先需要認真審視現(xiàn)有技術及新興技術帶來的威脅。我們嘗試使用已有的威脅分析框架，通過集思廣益的方法來填充此框架，以幫助我們對可能的新威脅進行分類。

有一個這樣的框架，是Adam Shostack的用于威脅建模的STRIDE分類法，該框架概述了可以對安全威脅進行分類的六個領域（如圖1所示）。STRIDE的替代方案（例如Gunnar Peterson的DESIST框架）為威脅枚舉提供了其他分類法。盡管STRIDE分類法最初是為軟件開發(fā)而設計的，但其涵蓋的六個領域對于列舉與網絡安全和無人機相關的威脅也很有用。

圖1 STRIDE分類法。

框架中的S代表“欺騙”，它涵蓋了一系列違反身份驗證協(xié)議的威脅，使攻擊者可以假裝是其不是的某物或某人。在以無人機為目標的相關網絡安全的情況下，欺騙可能包括聲稱自己是無人機數(shù)據的授權接收方。

框架中的T代表“篡改”，它涉及通過對系統(tǒng)進行某種修改，來破壞受攻擊系統(tǒng)的完整性。在無人機相關的網絡安全中，無人機被用作網絡武器，如果使用無人機通過近距離訪問不安全的無線網絡，將惡意軟件傳送到目標計算機，則可能會造成篡改。此類惡意軟件可能會感染諸如工廠或發(fā)電廠設備之類的高價值機器，或攻擊諸如水系統(tǒng)和電網之類的高影響力目標。

框架中的R代表“拒絕”，攻擊者拒絕對某行為負責。此威脅與無人機相關的網絡安全領域關系最小。一個可能示例是內部濫用系統(tǒng)控件。例如，一架無人機的運營商在面對指責——由于通訊網絡設計缺陷而引起的無人機失控，可能聲稱他們并非有意造成墜機。在無人機是網絡武器的情況下，另一個示例可能是通過干擾與損壞松散相關的通信節(jié)點來使攻擊者的身份與后果保持距離。這可能還包括攻擊臨近的網絡以修改管理目標計算機日志的計算機系統(tǒng)。

框架中的I指的是信息“披露”，涉及違反保密原則。在信息泄露攻擊中，代理將信息發(fā)布給沒有適當憑據的人。信息泄露威脅可能包括滲透到UAS傳感器數(shù)據系統(tǒng)以訪問視頻、音頻或其他數(shù)據。代理也可以披露信息，然后使用抵賴來否認對此行為的責任。

框架中的D代表“拒絕服務”，是指拒絕被攻擊系統(tǒng)正常運行所需的資源的可用性。拒絕服務的一個例子是以無人機為目標，并且可能涉及感染無人機控制軟件以使設備對用戶的輸入無響應。

最后一個字母E表示“提升特權”，這涉及違反執(zhí)行不允許執(zhí)行的操作的授權原則。特權授權的一個示例是當無人機成為目標時，它可能涉及冒充合法控制者來劫持無人機。當無人機用作網絡武器時，它們可以被用于傳遞數(shù)據，代碼或其他信號，以破壞或改變受攻擊系統(tǒng)的行為。

在應用了上述部分或全部方法之后，分析人員可以在制定網絡安全決策時將要考慮的一組威脅場景填充到STRIDE框架（或類似的框架）中。這種防御性的“藍隊”方法確定了對手可能利用的攻擊面，并開始確定可能需要關閉或緩解的潛在漏洞，以增強無人機相關系統(tǒng)的網絡安全性。

在場景中發(fā)現(xiàn)威脅：網絡安全殺傷鏈

在給定的攻擊場景下，如何發(fā)現(xiàn)無人機易受攻擊的方法有很多。如果決策者從對手的角度出發(fā)（即“紅隊”），可能有助于確定“藍隊” STRIDE框架方法未發(fā)現(xiàn)的威脅。網絡安全殺傷鏈就是這種從“紅隊”視角考慮的方法，使用戶能夠確定特定系統(tǒng)何時以及如何在方案中易受攻擊。這樣可以設計出針對特定威脅的明智防御措施。

這種方法可以確定長距離通信鏈中的薄弱環(huán)節(jié)。例如，由于員工家中的無線信號帶來的不安全因素，是無法通過進一步加強中央數(shù)據庫安全性來彌補的。網絡安全殺傷鏈確定了網絡攻擊的七個階段：偵察、武器化、傳遞、利用、安裝、控制以及行動。圖2中描繪的鏈條表示一個序列，其中每個階段代表對手采取的行動。

圖2 網絡安全殺傷鏈。

至關重要的是，每個階段都為攻擊檢測提供了機會。由于各階段是相繼進行的，因此早期檢測可減少破壞性的后果并降低修復成本。由于適當?shù)姆烙袆尤Q于給定行動在鏈中的位置，因此指定無人機在網絡安全殺傷鏈中的位置將有助于采取有效的安全措施。

在許多涉及無人機攻擊的情況中，啟動網絡安全殺傷鏈的目的是對無人機本身采取行動。此類攻擊試圖獲得對無人機或其子系統(tǒng)的控制權，以捕獲或更改其數(shù)據，改變其航向或破壞設備。在此類攻擊中，無人機在網絡安全殺傷鏈的每個環(huán)節(jié)中都發(fā)揮著作用。我們稱這種支持無人機的網絡攻擊的變體為“以無人機作為目標”。

在其他啟用無人機的攻擊中，攻擊者會利用無人機的獨特特性來攻擊其他（非無人機）目標。在這種情況下，無人機會在網絡安全殺傷鏈的某個環(huán)節(jié)中被使用，以對某些其他目標采取行動，或者在最終環(huán)節(jié)中使用，以促進行動。此類攻擊可能直接利用無人機上存在的安全漏洞，我們將此類攻擊稱為“以無人機作為媒介”?！耙詿o人機作為目標”與“以無人機作為媒介”的區(qū)別在于，不同的攻擊類型與不同的防御態(tài)勢相關聯(lián)。

可視化威脅：無人機網絡安全圖模板

同時使用“藍隊”和“紅隊”的視角來枚舉可能的漏洞，可以揭示復雜而令人生畏的威脅范圍。在本節(jié)中，我們介紹一種新穎的無人機網絡安全圖模板，旨在以一種易于理解的方式描繪威脅范圍。

通過應用圖表模版提供可視化的方式來展示系統(tǒng)可能受到攻擊的位置（攻擊面）以及攻擊到達系統(tǒng)的方式（攻擊向量），這有助于弄清楚黑客在何處以及何以構成威脅。該模板分別捕獲攻擊面和攻擊向量，從而得到兩個互補的插圖。在下一節(jié)中，我們將該模板應用于多個小場景，并提供其應用的具體示例。

攻擊面示例

攻擊面插圖模板包括三個核心節(jié)點，這些節(jié)點定義了通信邊界，如圖3所示。這些節(jié)點是操控員、無人機本身以及無人機環(huán)境，這意味著操控員與無人機之間以及無人機與環(huán)境之間存在通信通道。當無人機應用程序涉及視線之外的操作時，可以通過為人類環(huán)境創(chuàng)建節(jié)點來捕獲更多細節(jié)。

圖3 攻擊面的三個核心節(jié)點。

操控員與無人機之間的通信通道負責無人機的操作和控制。該系統(tǒng)中的第一個鏈接是人，可以將其視為無人機的主要操控員，但是人類對無人機的命令傳輸可以通過各種計算設備（例如：用于飛行命令的基于云的服務器、物理控制器、手機、筆記本電腦、平板電腦），所有這些都可以在圖像模板中突出顯示，以指出潛在的攻擊面。

無人機與其操作環(huán)境之間的通信通道較少集中在無人機控制所需的通信上，而更多地集中在從操作環(huán)境收集的信息上。無人機收集的感官信息可能涉及多種來源，例如GPS信號，高度信息以及視覺或其他傳感器數(shù)據?？梢杂眠@些節(jié)點注釋模板。

攻擊向量示例

結合攻擊面插圖模板，我們提供了另一個模板，用于說明可用于網絡攻擊的向量，如圖4所示。攻擊向量圖示回答了以下關于圖示攻擊的5個問題：

圖4 攻擊向量。

1）漏洞是什么（網絡武器）？

2）如何到達那（攻擊向量）？

3）從哪進入（系統(tǒng)進入點或攻擊面）？

4）什么失敗了（安全漏洞或緩解措施）？

5）發(fā)生了什么（后果）？

為了能夠直觀地描繪整個無人機和網絡安全威脅范圍中的攻擊向量，攻擊向量模板旨在隔離與前面網絡攻擊的三個關鍵階段相對應的網絡安全殺傷鏈的三個連續(xù)部分（請參見圖3）。整合上面針對攻擊面和攻擊向量開發(fā)的可視化模板，我們可以使用“分屏”方法來提供與無人機相關的網絡攻擊的完整可視化表示，如圖5所示。

圖5 攻擊面與攻擊向量的可視化展示。

本節(jié)介紹的方法提供了一種枚舉、評估和描述與無人機相關的網絡安全威脅的方法。這些方法共同為識別威脅提供了盟友和對手的視角，同時也為了解將無人機作為攻擊目標或利用無人機作為攻擊媒介提供了直觀的方法。在下一節(jié)中，我們將這些方法應用于特定的場景，以證明這些方法的有用性并提供對特定場景中網絡威脅的理解。

無人機作為目標：遠程劫持無人機

攻擊描述

麻省理工學院（MIT）的4名研究人員花了一個月的時間來識別和利用無人機（DJI Phantom3 Standard）上的安全漏洞。研究人員使用網絡映射工具從無人機的三個主要子系統(tǒng)（無人機、相機和控制器）中捕獲傳出的數(shù)據包。一旦確定了每個子系統(tǒng)，研究人員就可以利用設備較差的密碼安全性來獲得根訪問權限。對無人機文件系統(tǒng)的根訪問權限允許修改系統(tǒng)文件，從而使攻擊者可以修改飛行路線或使設備崩潰。根據攝像機的訪問權限，攻擊者可以訪問，刪除或添加圖像或視頻。最后，研究人員在無人機的Android應用中發(fā)現(xiàn)了一個漏洞，攻擊者可以利用該漏洞繞過聯(lián)邦通信委員會（FCC）的禁飛區(qū)限制。

消除威脅

STRIDE框架可用于分類此案例說明的威脅類型。研究人員能夠相對輕松地（特權提升）獲得對所有主要無人機系統(tǒng)的root訪問權限。根訪問權限允許修改系統(tǒng)文件（篡改）。研究人員通過使用公開的默認密碼（信息泄露），可以訪問無人機的WiFi網絡和文件系統(tǒng)。將網絡安全殺傷鏈應用于攻擊表明，可以通過阻止偵察階段來阻止攻擊。

大多數(shù)公共用途的無人機都通過創(chuàng)建了ad-hoc網絡來將設備與其控制器鏈接起來。我們所討論的攻擊證明了這些網絡對于網絡映射和發(fā)現(xiàn)工具的應用仍然存在脆弱性（即它們易于被偵察）。圖6是本例攻擊面與攻擊向量的可視化展示。

圖6 遠程劫持無人機威脅分析圖。

無人機作為媒介：無人機注入的蠕蟲

攻擊描述

以色列和加拿大的四名大學研究人員在以色列Be’er Sheva的一棟辦公樓中，使用DJI無人機注入蠕蟲并控制了智能燈泡。該攻擊利用了Zigbee通信協(xié)議中用于連接燈泡的安全漏洞。研究人員使用無人機到達足夠接近燈泡的位置，并發(fā)出恢復出廠設置的命令。無人機的軟件隨后更新了設備的固件，控制了燈泡，并使它們在摩爾斯電碼中閃爍“SOS”。

消除威脅

在STRIDE框架內，攻擊構成了篡改案例，因為攻擊注入了惡意代碼，這些惡意代碼修改了智能燈泡的軟件，從而使研究人員可以對其進行遠程控制。

再次，將網絡安全殺傷鏈框架應用于攻擊，揭示了在攻擊中使用無人機的階段。在這種情況下，無人機是在網絡安全殺傷鏈的傳遞和控制階段使用的。更普遍的是，在將無人機用作攻擊向量的情況下，無人機進入了網絡安全殺傷鏈，以利用無人機所提供的特殊優(yōu)勢（通常具有接近目標或創(chuàng)建和訪問不安全網絡的能力）。

尤其值得注意的是，通過Zigbee通信協(xié)議執(zhí)行網絡安全殺傷鏈的傳遞階段。Zigbee協(xié)議是物聯(lián)網（IoT）設備的通用通信協(xié)議。盡管所討論的攻擊僅是為了表明存在安全漏洞，因此是良性的，但該攻擊方法可以用來斷開設備連接或發(fā)起DDOS攻擊。此外，通過使用Zigbee無線通信傳播蠕蟲，攻擊可以避免與互聯(lián)網通信相關的安全措施和流量監(jiān)控。圖7是本例攻擊面與攻擊向量的可視化展示。

圖7 無人機注入蠕蟲威脅分析圖。

總結

本文主要針對與網絡安全有關的無人機威脅進行分類，并提出了一種可幫助分析這些威脅的方法，其目標是為決策者制定緩解或防御策略提供幫助。

但是，本文所提出的分析方法沒有解決為威脅的優(yōu)先級進行排序的問題。在識別并了解了這些威脅類型之后，決策者仍將需要針對每種威脅了解攻擊的可能性，這種攻擊的后果以及為防止或利用這種攻擊而存在的機會。

不過，作為保護自己免受無人機相關網絡攻擊或避免無人機成為攻擊媒介的第一步，決策者可以通過本文中方法來了解攻擊媒介與攻擊面的合集。這是研究無人機對網絡安全影響的必要步驟。