Таксономия киберугроз для авионики: расширение MITRE ATT&CK, междоменные векторы и практическая матрица защит

Executive summary

Киберриски для гражданской авиации растут быстрее, чем внедряются меры защиты. По данным EUROCONTROL EATM-CERT, рост зарегистрированных авиационных киберинцидентов между 2019 и 2020 годами составил +530%; это не объясняется одной лишь лучшей отчётностью. eurocontrol.int Параллельно Check Point Research фиксирует +186% год-к-году по недельным атакам вымогателей в транспортной отрасли за период июнь-2020—июнь-2021. Check Point Blog
Базовое исследование БГУ Негева (ACM Computing Surveys, 2023) предлагает адаптацию MITRE ATT&CK под авионику, использует STRIDE для оценки воздействия и детально описывает междоменные переходы (PIESD↔AISD↔ACD) через общие узлы (EFB, EGM/CSM, NIM, CIS-MS/FSM). Это даёт «универсальный язык» для отрасли и основу для планирования целевых контролей.

1. Введение: почему окно риска расширяется

NextGen (FAA) и SESAR (ЕС) исторически приоритезировали пропускную способность, точность и надёжность управления движением, а вопросы приватности и ИБ на ранних этапах не были первостепенными. На фоне цифровизации бортовых/наземных систем это формирует разрыв «функциональность ↔ защищённость». Скачок инцидентов EATM-CERT (+530%) подчёркивает тренд. eurocontrol.int

2. Архитектура уязвимостей: домены и «мостики»

Домены (ARINC/AEEC):

• PIESD/PODD — пассажирские сервисы и устройства; высокая доступность, большой периметр.
• AISD — служебная/административная информация авиакомпании; опорный канал для множества приложений (включая EFB).
• ACD — критический контур управления полётом и системами; наивысшие требования к изоляции.

Ключевые точки связности («мостики»): ядро салонной сети (EGM/CSM), файловый/техсервисы (CIS-MS/FSM), шлюз в авионику (NIM) — именно на них возможна эскалация доступа между доменами.
EFB (в т.ч. планшеты класса 2) соединяет множество подсистем (ARINC-429/615, Wi-Fi/BT) и нередко становится функциональным «мостом».

3. Уточнённые кейсы атак (по каналам)

ACARS → FMS/индикация: унаследованная незашифрованность и доверие к служебным сообщениям создают векторы подмены критичных данных. Показаны сценарии обновления веса/центровки и плана полёта с потенциальным влиянием на поведение ВС (EASA case studies). EASA Обзор БГУ фиксирует индустриальные/исследовательские демонстрации, включая исторический кейс Teso и угрозы через связи CMU с другими авиасистемами.

CPDLC (FANS-1/ATN): протокол в базовой конфигурации без криптозащиты; реализуемы пассивные и активные атаки (прослушка, инъекция, флуд, MITM). MDPIcs.ox.ac.uk

ADS-B/GNSS/ILS: отсутствие аутентичности у ADS-B открывает спуфинг/джамминг; для GNSS показаны практические сценарии помех и подмены; для ILS — «overshadow» и «single-tone» атаки с риском на посадке.

IFEC/пассажирская сеть: прямой контакт с пассажиром, связь с ядром PIESD и провайдерами SATCOM; уязвимости могут дать доступ к соседним сетям и данным.

4. Методология: расширение MITRE ATT&CK + STRIDE

Таксономия исследователей переносит цепочку атаки (tactics→techniques) в плоскость авионики: конкретные под-техники привязаны к протоколам/сущностям (ACARS/CPDLC/IFEC/EFB/SDU и т.д.), а оценка воздействия проводится по STRIDE с учётом ролей актора и требуемых способностей. Сравнение с прежними обзорами показывает покрытие не только «классики» (CNS), но и backend-связности, чего не хватало ранее.

5. «Лестницы» латерального перемещения: два эталонных сценария

Сценарий А: PIESD→AISD→ACD через IFEC и ядро салона

1. Эксплуатация IFEC/пассажирского Wi-Fi (RCE/конфиг-дефект).
2. Переход в EGM/CSM (общие сервисы: DHCP/DNS/мониторинг).
3. Доступ к CIS-MS/FSM (загрузки/файловые сервисы), затем к NIM.
4. Трансляция в ACD через шлюз/маршрутизатор; попытка влияния на компоненты ACD. (Риск снижается при однонаправленных диодах/строгих ACL.)

Сценарий B: ACARS→CMU→FMS

1. Доступ к радиосети/провайдеру DSP (SITA/ARINC) и формирование корректно оформленных, но ложных служебных сообщений.
2. Доставка в CMU и автопропуск в FMS в доверенной цепочке обновлений (вес/баланс или план полёта). EASA
3. Изменение индикации/расчётов, загрузка альтернативного маршрута; при ошибках процедур — влияние на решения экипажа.

6. Практическая матрица защит (coverage map)

Коммуникационные дата-линки (ACARS/CPDLC/SATCOM):
— Сквозная криптография (аутентификация+целостность), валидация источника, отказ от автоприменения критичных обновлений FMS, «двухчленная ауторизация» для загрузок.
— Сегментация CMU/SDU, журналы неизменяемости, IDS на протоколах (аномалии формата/частоты, эвристики MITM). cs.ox.ac.uk

Навигация/наблюдение (ADS-B/GNSS/ILS):
— Мультисенсорная корреляция (MLAT/TCAS/первичная РЛС), детекторы спуфинга GNSS по мощности/качеству сигнала, мониторинг спектра; тесты ILS на устойчивость к «overshadow/single-tone».

Сетевые мостики (EGM/CSM/CIS-MS/NIM):
— Однонаправленные шлюзы/диоды данных для путей AISD↔ACD; микросегментация (VLAN/VRF), deny-by-default ACL; минимизация общих компонент между PIESD и ACD.

EFB/IFEC/пассажирский контур:
— Жёсткий MDM/EMM-профиль EFB (запрет публичных сетей, обязательный VPN/DTLS, контроль приложений, полная инвентаризация интерфейсов ARINC-429/615).
— IFEC hardening: контейнеризация сервисов, отсутствие прямых путей в ACD, изоляция платёжных модулей, мониторинг целостности образов.

Процедуры/контрразведка угроз:
— Плейбуки на основе таксономии (ATT&CK-style), регулярные красные команды по сценариям ACARS/CPDLC/GNSS/IFEC; единая TIP-платформа для обмена индикациями и техникой.

7. Горизонты R&D

— Человеко-машинный интерфейс инцидентов: «объяснимые» детекторы аномалий трафика с выводом причин/контекста для пилота и диспетчера.
— Автономные функции управления: верификация и кибербезопасность алгоритмов усиления характеристик полёта (уроки из дискуссий вокруг MCAS).
— Стандартизация защит для дата-линков и онборд-обновлений (подписи AMI/LRU, защищённые загрузчики).

8. Практическая ценность для стейкхолдеров

Производители авионики: привязать требования ИБ к доменным схемам и тактико-технической матрице; минимизировать общие узлы, внедрить доверенную загрузку AMI/LRU, обеспечить однонаправленность там, где это возможно.
Авиакомпании/SOC: построить карту покрытия по тактикам/техникам; закрыть слепые зоны телеметрии; приоритезировать EFB/IFEC и ядро салона.
Регуляторы/АНСП: обновить руководства по ATM/дата-линкам (минимум — обязательная аутентификация/целостность для ACARS/CPDLC), включить требования к TIP-обмену.

9. AUDIT TRAIL (что усилено на основе допматериалов)

• Структура отчёта. Разделение на «Проблема → Архитектура → Методология → Меры» — сохранено и усилено coverage-матрицей.
• Латеральное перемещение. Дала развёрнутые сценарии PIESD→AISD→ACD и ACARS→FMS с привязкой к EGM/CSM/NIM и процедурам загрузки.
• STRIDE. Включена интерпретация воздействий для каналов (S/T/R/I/D/E) и маппинг на тактики ATT&CK-style.
• Практическая ценность. Чётко прописаны действия OEM/эксплуатантов/регуляторов и направления R&D (TIP, HMI инцидентов).

Источники (ключевые)

Дополнительно: доменные справки (ACD/AISD/PIESD) для читателя вне стандарта ARINC. nbaa.orgconnectedaviationtoday.com

Habler, Bitton, Shabtai (Ben-Gurion Univ.) Assessing Aircraft Security: A Comprehensive Survey and Methodology for Evaluation, ACM Computing Surveys 56(4), 2023. DOI: 10.1145/3610772. (Базовая таксономия, домены, мостики, STRIDE, кейсы ACARS/CPDLC/IFEC/EFB.)

EUROCONTROL EATM-CERT Think Paper #12 — «Aviation under attack…» (+530% 2019→2020). eurocontrol.int

Check Point Research (Jun 14, 2021) — отраслевые YoY-метрики, +186% по транспорту (Jun-2020→Jun-2021). Check Point Blog

EASA — Impact Assessment of Cybersecurity Threats (сценарии ACARS: weight & balance, flight plan update). EASA

Gurtov et al., Sensors (2018) — модель угроз CPDLC; и Martinovic et al., 2021 — практический MITM на CPDLC. MDPIcs.ox.ac.uk

Author: admin