足球赛场电力突然中断 传统恶意软件侦测OUT

一家美国新创安全公司将透过以侦测功耗活动的方法来取代传统的恶意软件侦测方法，以预防电力网络或制造工厂遭受网络黑客攻击；该技术已经在一个实验性网络中，成功在Stuxnet恶意软件发动攻击之前发现它的存在。

那家即将正式成立的新公司名为PFP Cybersecurity，最初是由美国国防部高等研究计划署(DRAPA)所赞助。美国国防部以及美国国土安全部基本上已经为工业控制系统(ICS)与数据采集与监控系统(SCADA)建立了功耗基准，例如可程序化逻辑控制器(PLC)、监控继电器(supervisory relays)等等设备，当那些设备在使用时的功耗或射频辐射(RF radiation)变化超出基准就会发出警报，而那些变化有可能是系统硬件故障或是恶意软件所导致。

美国能源部旗下的萨凡那河国家实验室(Savannah River National Laboratory，SRNL)最近测试了以PFP的技术侦测类似Stuxnet的恶意软件攻击；SRNL顾问工程师表示，当PLC系统休眠时，PFP系统能马上发现设备中代码的微小变化。“休眠状态下通常很难发现异常，因为没有外在迹象，处理器也很少或几乎不受影响；”Cordaro表示：“我们在其他PLC做过一些后续(恶意软件)测试，获得的结果都是一样的。”

下一页：黑客攻击保护性继电器曾让美国超级杯足球赛中断

{pagination}

SRNL也打算在作为电力网络骨干的保护性继电设备(protective relay devices)上测试该技术，那类设备在2013年美国超级杯足球赛于纽奥良超级巨蛋(New Orleans Superdome)举行时成为目光焦点，当时球赛进行到第三轮，因为供电网的保护性继电器装置本身故障以及错误的设定而失误，使球赛场地电力突然中断数分钟。

“这场断电意外显示有人可能会黑进美国电力网络的保护性继电器，造成部分限电或是大停电；”Cordaro表示实验室正与PFP进行一项契约合作，对保护性继电器的基准进行描述，并在一个测试平台上执行，最后将提供研发信息给美国的公用事业机构。

Cordaro表示，PFP的连续性监测方案对ICS/SCADA网络具吸引力的原因是，其技术并不是依赖IT网络或继电器网络，也不会扰乱高敏感性的电厂运作；那类网络对各种侵入或非侵入性保全工具或软件更新是出了名的敏感，这也导致很多电厂一点也不想使用任何保全工具。

PFP的高层主管则指出，他们的技术是以气隙(air-gapped)模式运作，会监测电磁频率以及电力使用的任何波动；其传感器(或者说是探针)是放置在电厂装置与系统上，会将功耗信息馈入可监测多台PLC设备、PFP称为的eMonitor装置上。PFP同时能提供一种PC架构的P2Scan设备，能读取来自eMonitor的数据。

“我们能在几毫秒(millisecond)之内对系统发生的异常提供非常早期的侦测结果，”PFP产品营销副总裁Thurston Brooks表示，那些异常可能来自于硬件或软件故障，或是恶意软件；举例来说，恶意软件在检察系统时间时就会产生功耗。当收到异常警报，ICS/SCADA的操作员就能利用分析技术或其他取证工具找出问题所在。

翻译：Judith Cheng

本文授权翻译自EE TIMES，谢绝转载