无人机是“飞行计算机”和攻击媒介

虽然无人机为运营商提供了实实在在的好处，但它们也带来了严重的网络安全风险。关键基础设施运营商、执法部门和各级政府都在忙于将无人机纳入其日常运营。无人机正被用于支持传统基础设施以及农业、公用事业、制造业、石油和天然气、采矿业和重工业的一系列场所。尽管人们知道存在潜在的漏洞，但许多无人机系统并未使用更高级别的安全架构。

无人机本质上是一台飞行计算机，就像计算机一样，它们充满了潜在的网络威胁。安永技术咨询高级经理Joshua Theimer表示：“组织正在做的大部分工作都集中在确保无人机的运行符合外部州级和联邦法规上了。”

根据毕马威(KPMG)战略与创新主管安德森（Jono Anderson）的说法，“在无人机的互联系统中，无人机内部和周围不断增长的通信‘雾'会产生多个攻击向量，这些攻击向量可能暴露单个无人机或整个机队的关键系统，甚至可能暴露整个云和企业。

纵观过去，网络安全并不是无人机制造商和无人机用户的首要任务。

当担心恶意软件传播到企业环境中时，Theimer注意到“组织在无人机与支持这些无人机的设备以及企业网络的其余部分相关联的设备之间实施了气隙”，目的是确保设备永远不会连接到企业网络。

国网络安全和基础设施安全局（CISA）的基础设施安全项目专家Samuel Rostrow说：“无人机给组织带来了网络安全威胁，并存在数据泄露的风险。”CISA于2019年向关键基础设施社区发布了行业警报，警告外国制造的无人机可能对组织的敏感信息构成威胁。去年7月，国防部关于DJI系统的声明重申了警报中的信息和指导。

攻击者如何破坏无人机

无人机是诱人的目标，对其威胁分为两类:对无人机的攻击和使用无人机进行的攻击。

在无人机操作员和无人机本身之间的通信过程中，系统容易受到攻击。Theimer指出“存在观察，破坏或接管命令到控制链接的漏洞”。

Armand的研究表明，通过供应链攻击可以破坏无人机的软件或硬件，甚至控制器（例如手机）。他举了两个例子：

操纵3D打印机的螺旋桨设计文件允许无人机在打印的螺旋桨破裂之前在高空飞行。

通过收集在手机上收集的信息（用户和无人机的蜂窝网络ID和GPS位置），攻击者可以在没有用户控制的情况下执行“强制更新”和代码执行。

Theimer担心“如今，许多制造商继承并利用社区开发的软件包，这些软件包并不总是关心安全性设计或审查。随着无人机变得越来越强大和复杂，漏洞扩散的机会只会增加。”

与围绕新兴技术使用的大多数安全考虑因素一样，让使用无人机相关的威胁模型和风险分析与组织风险态势保持一致通常是最佳方法。Theimer认为行业的目标是“要确保与使用无人机和网络设备相关的风险与组织的安全态势保持一致。”

无人机供应商需要关注安全性

以无人机为重点的网络解决方案的商业市场仍处于萌芽阶段，因为报告的攻击数量仍然相对较少。因此，优先考虑无人机安全的需求很低。“很少有组织在网络安全方面进行重大投资。可能是由于美国政府公开的审查，虽然一些主要的无人机制造商已经进行了重大和有意的投资，但许多无人机仍然不安全，”Theimer说。

毕马威网络安全服务负责人Rik Parker表示：“企业需要专注于提高产品安全性，特别是与无人机上的平台软件以及无人机之间的通信，以减轻无人机接管或失去指挥权的可能性。例如，潜在的漏洞可以扩展到供应链中，那里通常有各种监管点，并且可以依赖开源代码。这如果被利用，可能导致依赖第三方开发过程来开发关键硬件的安全代码被破坏，进而导致敏感数据和情报的丢失或潜在的生命损失。”鉴于无人机部署的敏感性，他建议供应商为访问监控和行为分析增加一层防护，以识别潜在的风险或威胁。这将记录在违规行为之前或期间受到损害的迹象。

Orange对Parrot Corp.的一款产品进行了安全评估，阿曼德透露，他们通过与Orange Security Expert Community进行的有趣的技术交流，在专业无人机的不同层面上提供了解决网络安全问题的应对策略：

通过使用多个卫星星座防止 GPS 欺骗；

通过使用里程测量技术利用漂移测量来计算位置，从而防止干扰；

使用蜂窝连接，而不是Wi-Fi，为无人机管理提供更安全的无线电协议；

使用安全存储在安全元素中的设备唯一证书进行无人机身份验证。

Armand引用了Regulus，InfiniDome和Septentrio等公司，这些公司拥有可用于检测，缓解和报告GNSS欺骗攻击的商业产品。他指出，包括泰雷兹（Thales）和英特尔（Intel）在内的大公司也活跃在无人机安全领域。

无人车辆系统国际协会（Uncrew vehicle Systems International Association）执行副总裁迈克尔·罗宾斯（Michael Robbins）认为，商业和国防都专注于“确保数据存储和传输、数据保留和处置，保护无人机操作的数据链路，同时关注监控违规行为或恶意软件”。

越来越多的专家认为，需要更好的法规来解决无人机网络安全挑战。

美国白宫于2021年发布了第13981号行政命令，指示联邦实体评估和限制联邦政府使用“覆盖”无人机。CISA一直在推荐网络安全最佳实践以降低风险，并正在推动行业专注于符合Blue UAS标准的无人机，这些无人机已通过国防部认证，符合联邦网络安全标准。

为本文提供咨询的大多数专家都认为，人们对无人机网络安全的兴趣正在上升。（本文出自SCA安全通信联盟，转载请注明出处。）