您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
蜜罐工廠:欺騙技術(shù)在工控安全領(lǐng)域的機(jī)遇和挑戰(zhàn)
Orange Cyberdefense最近發(fā)布的Security Navigator報告顯示,過去幾年針對工業(yè)控制系統(tǒng)(ICS)的攻擊迅速增加,其中大多數(shù)攻擊都是針對傳統(tǒng)IT系統(tǒng)攻擊的溢出。這個調(diào)查結(jié)果并不令人意外,因為新興的網(wǎng)絡(luò)風(fēng)險管理方法正在導(dǎo)致OT和IT之間的日益融合。
盡管目前的調(diào)查數(shù)據(jù)表明大多數(shù)攻擊者并未專門針對工業(yè)系統(tǒng)(事實(shí)上,大多數(shù)所謂工控系統(tǒng)攻擊都是純粹的機(jī)會主義行為),但這種趨勢隨時可能逆轉(zhuǎn)。隨著工控領(lǐng)域的攻擊工具和知識的普及,越來越多的犯罪分子開始嘗試工控系統(tǒng)攻擊,因為生產(chǎn)停頓往往意味著巨額損失(可以提高贖金額度和支付率)。因此,工控系統(tǒng)OT網(wǎng)絡(luò)的安全至關(guān)重要。
眾所周知,欺騙技術(shù)是提高威脅檢測和響應(yīng)能力的有效方法,但在工控安全領(lǐng)域的應(yīng)用仍面臨很多挑戰(zhàn),因為工控系統(tǒng)安全在很多方面與傳統(tǒng)IT安全迥然不同,例如,兩者使用的協(xié)議存在根本差異。本文將詳細(xì)介紹欺騙技術(shù)從傳統(tǒng)IT轉(zhuǎn)移到工控系統(tǒng)的進(jìn)展和挑戰(zhàn)。
欺騙的價值:奪回主動權(quán)
欺騙技術(shù)是一種能有效檢測惡意活動的主動安全防御方法。一方面,這種策略搭建了一個虛假信息構(gòu)成的模擬環(huán)境來誤導(dǎo)對手的判斷,使毫無戒心的攻擊者陷入陷阱,浪費(fèi)時間和精力,增加了入侵的復(fù)雜性和不確定性。
同時,防御者可以利用欺騙技術(shù)收集更全面的攻擊日志,部署對策,追蹤攻擊者的來源并監(jiān)控其攻擊行為。記錄所有攻擊信息以研究攻擊者使用的策略、技術(shù)和程序(TTP),這對安全分析師有很大幫助。
總之,欺騙技術(shù)可以幫助防御者奪回網(wǎng)絡(luò)安全攻防的主動權(quán)。
一些欺騙應(yīng)用,例如蜜罐,可以模擬運(yùn)行環(huán)境和配置,引誘攻擊者滲透虛假目標(biāo)。通過這種方式,防御者將能夠獲取攻擊者投放的有效負(fù)載,并通過Web應(yīng)用程序中的JavaScript獲取有關(guān)攻擊者主機(jī)甚至Web瀏覽器的信息。更重要的是,可以通過JSONP劫持了解攻擊者的社交媒體帳戶,并通過“蜂蜜文件”反擊攻擊者??梢灶A(yù)見,未來幾年欺騙技術(shù)將會更加成熟并得到廣泛應(yīng)用。
欺騙技術(shù)在工控安全領(lǐng)域嶄露頭角
近年來,信息技術(shù)與工業(yè)生產(chǎn)融合加速,工業(yè)互聯(lián)網(wǎng)、智能制造飛速發(fā)展。海量工業(yè)網(wǎng)絡(luò)和設(shè)備與IT技術(shù)的連接必然導(dǎo)致該領(lǐng)域的安全風(fēng)險不斷增加。
勒索軟件、數(shù)據(jù)泄露、高級持續(xù)性威脅等安全事件頻發(fā),嚴(yán)重影響工業(yè)企業(yè)生產(chǎn)經(jīng)營,威脅數(shù)字社會安全。一般來說,這些系統(tǒng)由于其簡單的架構(gòu)、內(nèi)存和處理性能較低而容易被攻擊者利用。
與此同時,保護(hù)工控系統(tǒng)免受惡意攻擊頗具挑戰(zhàn)性,因為工控系統(tǒng)ICS組件往往架構(gòu)簡單,難以進(jìn)行更新或安裝補(bǔ)丁,安裝端點(diǎn)保護(hù)代理通常也不可行??紤]到這些挑戰(zhàn),欺騙技術(shù)有望成為工控安全的重要方法之一。
隨著網(wǎng)絡(luò)安全技術(shù)的發(fā)展,欺騙已廣泛應(yīng)用于網(wǎng)絡(luò)、數(shù)據(jù)庫、移動應(yīng)用程序和物聯(lián)網(wǎng)等各種環(huán)境中,在OT領(lǐng)域,欺騙技術(shù)也在一些ICS蜜罐應(yīng)用中嶄露頭角。例如,Conpot、XPOT、CryPLH等ICS蜜罐可以模擬Modbus、S7、IEC-104、DNP3等協(xié)議。
以下我們簡要介紹三個工控安全領(lǐng)域有代表性的欺騙技術(shù)應(yīng)用:
1.Conpot是一款開源低交互蜜罐,支持各種工業(yè)協(xié)議,包括IEC60870-5-104、樓宇自動化和控制網(wǎng)絡(luò)(BACnet)、Modbus、s7comm以及HTTP、SNMP和TFTP等其他協(xié)議。Conpot易于部署、修改和擴(kuò)展,因此,Conpot和基于Conpot的蜜罐是研究人員使用的最流行的ICS欺騙應(yīng)用程序之一。
2.XPOT是一個基于軟件的高交互PLC蜜罐。XPOT模擬西門子S7-300系列PLC,并允許攻擊者編譯、解釋PLC程序并將其加載到XPOT上。XPOT支持S7comm和SNMP協(xié)議,是第一個高交互性的PLC蜜罐。由于它是基于軟件的,因此具有很強(qiáng)的可擴(kuò)展性,并且支持大型誘餌或傳感器網(wǎng)絡(luò)。XPOT可以連接到模擬的工業(yè)流程,以使對手的經(jīng)驗更加全面。
3.CryPLH是一款模擬西門子SimaticS7-300PLC的高交互性虛擬智能電網(wǎng)ICS蜜罐。它在基于Linux的主機(jī)上運(yùn)行,并使用MiniWebHTTP服務(wù)器來模擬HTTP(S)、使用Python腳本來模擬Step7ISO-TSAP協(xié)議以及自定義SNMP實(shí)現(xiàn)。CryPLH的交互能力從模擬ICS協(xié)議到ICS環(huán)境逐漸增強(qiáng)。
上述蜜罐應(yīng)用這樣的欺騙技術(shù)可以彌補(bǔ)未知威脅檢測效率低下的問題,對于保障工控網(wǎng)絡(luò)安全可發(fā)揮重要作用,例如:
● 幫助檢測針對工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)攻擊并展示總體風(fēng)險趨勢;
● 發(fā)現(xiàn)攻擊者利用的OT漏洞并將其發(fā)送給安全分析師,以便及時提供補(bǔ)丁和情報;
● 可以在勒索軟件爆發(fā)之前及時發(fā)出警報,避免大規(guī)模損失和生產(chǎn)停頓。
工控系統(tǒng)欺騙技術(shù)面臨的挑戰(zhàn)
欺騙技術(shù)并非工控安全的“萬靈藥”。與傳統(tǒng)IT安全中復(fù)雜的欺騙技術(shù)相比,工控系統(tǒng)中的欺騙技術(shù)仍然面臨一些挑戰(zhàn):
首先,工業(yè)控制設(shè)備和協(xié)議種類繁多,而且許多協(xié)議是專有的。幾乎不可能有一種欺騙技術(shù)可以應(yīng)用于所有的工業(yè)控制設(shè)備。因此,蜜罐等應(yīng)用往往需要定制來模擬不同的協(xié)議,這給某些環(huán)境下的實(shí)現(xiàn)帶來了較高的門檻。
其次,純虛擬工控蜜罐的模擬能力仍然有限,容易被黑客識別。目前純虛擬ICS蜜罐的開發(fā)和應(yīng)用僅允許底層模擬工業(yè)控制協(xié)議,并且大多數(shù)已經(jīng)開源,可以直接通過Shodan或Zoomeye等搜索引擎找到。收集足夠的攻擊數(shù)據(jù)并提高ICS蜜罐的模擬能力對于安全研究人員來說仍然是一個挑戰(zhàn)。
最后,高交互工控蜜罐消耗大量資源,維護(hù)成本高。顯然,蜜罐往往需要引入物理系統(tǒng)或設(shè)備來構(gòu)建真實(shí)運(yùn)行的模擬環(huán)境。然而,工業(yè)控制系統(tǒng)和設(shè)備成本高昂、難以重復(fù)使用且維護(hù)困難。即使看似相似的ICS設(shè)備在功能、協(xié)議和指令方面也往往非常不同。
欺騙技術(shù)在工控安全領(lǐng)域的價值
基于以上討論,工控系統(tǒng)欺騙技術(shù)應(yīng)考慮與新技術(shù)相結(jié)合,提高模擬真實(shí)環(huán)境并與之交互的能力來增強(qiáng)防御技術(shù)。此外,欺騙技術(shù)捕獲的攻擊日志具有很高的價值,這些日志數(shù)據(jù)通過人工智能或大數(shù)據(jù)工具進(jìn)行分析后有助于深入了解工控系統(tǒng)的現(xiàn)場情報。
綜上所述,欺騙技術(shù)對于工控系統(tǒng)網(wǎng)絡(luò)安全的快速發(fā)展、提高其智能化和防御能力發(fā)揮著至關(guān)重要的作用,但目前該技術(shù)仍面臨挑戰(zhàn),亟待突破。
來源:GoUpSec