中文 英语

水系统黑客和硬件安全的影响

仅仅在软件中有安全保护是不够的。

受欢迎程度

上个月我们谈到了SolarWinds黑客这个月又发生了另一起令人不安的袭击,这次是在佛罗里达州的供水系统。不幸的是,这些类型的攻击正变得越来越频繁,让我们不禁要问,服务于我们日常生活的系统到底有多安全。我们可以从最近的这次袭击中吸取什么教训,从而使事情向前发展更加安全?

根据手头的证据,此次攻击在网络接口上进行了并远程访问了控制城市水处理系统的计算机。黑客将氢氧化钠的量短暂增加至正常水平的100倍。这听起来很可怕,但专家猜测入侵者缺乏经验,并且可能得到了透露了该系统的访问凭据,但没有躲藏起来。这种缺乏是在攻击早期救出的供水中的相当数量的因素。

这个城市这次很幸运。软件中的漏洞很快就被识别出来了,让市政府关闭了这一容易进入的途径。但黑客通常只是先利用最简单的方式进入。硬件可以为绕过所谓的“安全”凭据提供另一个入口。这些系统有集成电路作为控制单元的一部分。如果黑客知道存在一种测试/调试机制来控制这些化学物质,就打算绕过这些凭证,那该怎么办?或者,类似于SolarWinds的攻击,硬件中的隐藏功能可能有一个定时响应来改变控制机制本身。仅仅在软件上有保护已经不够了;硬件也需要进行彻底的保护和检查。

我们如何确保这种级别的硬件安全?该解决方案的一个重要部分是在硬件上执行信任评估。我们需要积极寻找潜在的攻击点,确保没有漏洞。在此评估期间,将识别可能导致拒绝服务(DoS)攻击的多种触发器、可靠性问题和死锁条件。

不敏感性评估能力是一种快速有效的方法,可以彻底解决这些弱点。使用INESPIN,运行自动检查,请尽早识别已知问题。无需验证或正式专业知识,该技术可以快速找到像后门和死锁条件的东西。通过早期执行此“审计”,可以改善代码和产品质量,从而降低后来的利用的风险。

今天世界上有许多“糟糕的演员”,茁壮成长利用产品。故意插入和无意的弱点或缺陷都是利用的手段。但是,对您的设计进行早期信任评估可以让您更大的信心它是安全的。评估很容易,我们当然应该今天开始。解决方案是手动的,可以作为预防意图或意外的攻击中的有价值的武器。对于需要更高水平的保证水平的系统或产品的IC,存在更广泛的方法和技术。



留下一个回复


(注意:此名称将公开显示)