無人機是“飛行計算機”和攻擊媒介

雖然無人機為運營商提供了實實在在的好處，但它們也帶來了嚴重的網絡安全風險。關鍵基礎設施運營商、執法部門和各級政府都在忙于將無人機納入其日常運營。無人機正被用于支持傳統基礎設施以及農業、公用事業、制造業、石油和天然氣、采礦業和重工業的一系列場所。盡管人們知道存在潛在的漏洞，但許多無人機系統并未使用更高級別的安全架構。

無人機本質上是一臺飛行計算機，就像計算機一樣，它們充滿了潛在的網絡威脅。安永技術咨詢高級經理Joshua Theimer表示：“組織正在做的大部分工作都集中在確保無人機的運行符合外部州級和聯邦法規上了。”

根據畢馬威(KPMG)戰略與創新主管安德森（Jono Anderson）的說法，“在無人機的互聯系統中，無人機內部和周圍不斷增長的通信‘霧'會產生多個攻擊向量，這些攻擊向量可能暴露單個無人機或整個機隊的關鍵系統，甚至可能暴露整個云和企業。

縱觀過去，網絡安全并不是無人機制造商和無人機用戶的首要任務。

當擔心惡意軟件傳播到企業環境中時，Theimer注意到“組織在無人機與支持這些無人機的設備以及企業網絡的其余部分相關聯的設備之間實施了氣隙”，目的是確保設備永遠不會連接到企業網絡。

國網絡安全和基礎設施安全局（CISA）的基礎設施安全項目專家Samuel Rostrow說：“無人機給組織帶來了網絡安全威脅，并存在數據泄露的風險。”CISA于2019年向關鍵基礎設施社區發布了行業警報，警告外國制造的無人機可能對組織的敏感信息構成威脅。去年7月，國防部關于DJI系統的聲明重申了警報中的信息和指導。

攻擊者如何破壞無人機

無人機是誘人的目標，對其威脅分為兩類:對無人機的攻擊和使用無人機進行的攻擊。

在無人機操作員和無人機本身之間的通信過程中，系統容易受到攻擊。Theimer指出“存在觀察，破壞或接管命令到控制鏈接的漏洞”。

Armand的研究表明，通過供應鏈攻擊可以破壞無人機的軟件或硬件，甚至控制器（例如手機）。他舉了兩個例子：

操縱3D打印機的螺旋槳設計文件允許無人機在打印的螺旋槳破裂之前在高空飛行。

通過收集在手機上收集的信息（用戶和無人機的蜂窩網絡ID和GPS位置），攻擊者可以在沒有用戶控制的情況下執行“強制更新”和代碼執行。

Theimer擔心“如今，許多制造商繼承并利用社區開發的軟件包，這些軟件包并不總是關心安全性設計或審查。隨著無人機變得越來越強大和復雜，漏洞擴散的機會只會增加。”

與圍繞新興技術使用的大多數安全考慮因素一樣，讓使用無人機相關的威脅模型和風險分析與組織風險態勢保持一致通常是最佳方法。Theimer認為行業的目標是“要確保與使用無人機和網絡設備相關的風險與組織的安全態勢保持一致。”

無人機供應商需要關注安全性

以無人機為重點的網絡解決方案的商業市場仍處于萌芽階段，因為報告的攻擊數量仍然相對較少。因此，優先考慮無人機安全的需求很低。“很少有組織在網絡安全方面進行重大投資。可能是由于美國政府公開的審查，雖然一些主要的無人機制造商已經進行了重大和有意的投資，但許多無人機仍然不安全，”Theimer說。

畢馬威網絡安全服務負責人Rik Parker表示：“企業需要專注于提高產品安全性，特別是與無人機上的平臺軟件以及無人機之間的通信，以減輕無人機接管或失去指揮權的可能性。例如，潛在的漏洞可以擴展到供應鏈中，那里通常有各種監管點，并且可以依賴開源代碼。這如果被利用，可能導致依賴第三方開發過程來開發關鍵硬件的安全代碼被破壞，進而導致敏感數據和情報的丟失或潛在的生命損失。”鑒于無人機部署的敏感性，他建議供應商為訪問監控和行為分析增加一層防護，以識別潛在的風險或威脅。這將記錄在違規行為之前或期間受到損害的跡象。

Orange對Parrot Corp.的一款產品進行了安全評估，阿曼德透露，他們通過與Orange Security Expert Community進行的有趣的技術交流，在專業無人機的不同層面上提供了解決網絡安全問題的應對策略：

通過使用多個衛星星座防止 GPS 欺騙；

通過使用里程測量技術利用漂移測量來計算位置，從而防止干擾；

使用蜂窩連接，而不是Wi-Fi，為無人機管理提供更安全的無線電協議；

使用安全存儲在安全元素中的設備唯一證書進行無人機身份驗證。

Armand引用了Regulus，InfiniDome和Septentrio等公司，這些公司擁有可用于檢測，緩解和報告GNSS欺騙攻擊的商業產品。他指出，包括泰雷茲（Thales）和英特爾（Intel）在內的大公司也活躍在無人機安全領域。

無人車輛系統國際協會（Uncrew vehicle Systems International Association）執行副總裁邁克爾·羅賓斯（Michael Robbins）認為，商業和國防都專注于“確保數據存儲和傳輸、數據保留和處置，保護無人機操作的數據鏈路，同時關注監控違規行為或惡意軟件”。

越來越多的專家認為，需要更好的法規來解決無人機網絡安全挑戰。

美國白宮于2021年發布了第13981號行政命令，指示聯邦實體評估和限制聯邦政府使用“覆蓋”無人機。CISA一直在推薦網絡安全最佳實踐以降低風險，并正在推動行業專注于符合Blue UAS標準的無人機，這些無人機已通過國防部認證，符合聯邦網絡安全標準。

為本文提供咨詢的大多數專家都認為，人們對無人機網絡安全的興趣正在上升。（本文出自SCA安全通信聯盟，轉載請注明出處。）

總結

以上是生活随笔為你收集整理的攻击者如何破坏无人机？的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。