《电子技术应用》
您所在的位置:首页 > 通信与网络 > 业界动态 > INFRA:HALT批量漏洞来袭,看能源部如何用固件机器学习来加强电网安全?

INFRA:HALT批量漏洞来袭,看能源部如何用固件机器学习来加强电网安全?

2021-08-06
来源:网空闲话

  Forecout研究实验室和JFrog安全研究联合披露了一组14个影响NicheStack TCP/IP堆栈(也称为InterNiche堆栈)的新漏洞。NicheStack用于运营技术(OT)和关键基础设施领域的多个设备,如广受欢迎的西门子S7系列plc。其他主要OT设备供应商,如艾默生、霍尼韦尔、三菱电气、罗克韦尔自动化和施耐德电气被提到是InterNiche的客户,InterNiche是堆栈的最初开发人员。由于这种流行在OT,最受影响的垂直行业是制造业。这批漏洞也正是机器学习等自动化漏洞挖掘的成果。美国能源部(Department of Energy)正在将机器学习(ML)与它开发的一种威胁信息共享工具整合在一起,以发现电网控制系统中嵌入的网络安全漏洞。

  能源部的电网现代化实验室联盟(GMLC)由爱达荷州、阿贡州和桑迪亚国家实验室和国家可再生能源实验室组成——所有这些实验室都在固件指挥和控制(FC2)项目上共同工作。

  2014年11月,能源部启动了电网现代化的跨领域计划。这包括启动电网现代化实验室联盟,使从事能源部电网项目的国家实验室参与进来,为规划和提供支持电网现代化的创新和思想领导建立一个新的综合方法。这种横切方式确保了能源部的研发投资和能力得到充分协调。

  该技术团队由来自能源部国家实验室的65名领先科学家和工程师组成,与六个技术目标保持一致:传感和测量、设备和集成系统、系统操作、潮流和控制、设计和规划工具、安全性和弹性、机构的支持。

  在工业控制系统和操作技术(OT)中,固件通常是易受攻击的永久性软件,爱达荷国家实验室INL与软件公司Forescout合作,确保FC2的网络数据分析可以用ML检测到以固件为中心的漏洞。

  INL的基础架构顾问Rita Foster在评论中说:“嵌入式系统就像一个黑盒子,几乎不知道下面的代码是由哪些子组件构成的,这削弱了保护机制,并可能使系统变得脆弱。”“新兴的机器学习技术能够识别无处不在的库,这些库可能包含已知的潜在漏洞。”

  INL进一步开发了结构化威胁情报图(STIG),用于在电网公用事业和OT供应商之间共享可操作的威胁信息,OT供应商通常对这类信息非常吝啬,不愿意共享。STIG不是让威胁分析人员阅读数千行代码,而是可视化攻击模式、危害指标和漏洞利用之间的关系,并提出缓解措施。

  FC2和更广泛的GMLC正在帮助像南加州爱迪生公司和底特律能源公司这样的公用事业公司——作为大型、昂贵的试验台——增强他们的电网架构。与此同时,OT制造商合作伙伴,如西门子、罗克韦尔自动化、伊顿、通用电气和日立,可以开发更好的网络保护。

  福斯特说:“对共享安全威胁信息和情报的分析工具的需求已经明显上升,而现有工具已被证明是不足够的。”

  政府选择的许多知名OT制造商——艾默生、霍尼韦尔、三菱电气、罗克韦尔自动化和施耐德电气——都与InterNiche有业务关系,当地时间周三,InterNiche的代码库被披露有14个新发现的漏洞。

  Forescout研究实验室和JFrog安全研究公司公布了一套名为INFRA:HALT的设备,作为前者项目备忘录的一部分。这些漏洞允许远程代码执行、拒绝服务、信息泄露、传输控制协议欺骗和域名系统缓存投毒,这些都可能危及OT和电网等关键基础设施。这波漏洞的影响还是很广泛的。

  Forescout的报告建议实用程序通过网络分段限制关键脆弱设备的网络暴露,一旦供应商发布补丁,就应用补丁,并阻止或禁用对未使用的协议(如HTTP)的支持。

  这14个漏洞是通过使用先进的自动化二进制分析来大规模发现的。

  报告称:“我们相信网络安全领域正处于一个转折点,自动化漏洞发现技术将很快变得更加普遍,这将使发现非常大规模的漏洞(如影响TCP/IP堆栈的漏洞)更快、更频繁。”“然而,所有这些漏洞都必须被披露,映射到受影响的设备上,并加以缓解。”




电子技术图片.png

本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306118;邮箱:aet@chinaaet.com。