蜜罐工厂:欺骗技术在工控安全领域的机遇和挑战
Orange Cyberdefense最近发布的Security Navigator报告显示,过去几年针对工业控制系统(ICS)的攻击迅速增加,其中大多数攻击都是针对传统IT系统攻击的溢出。这个调查结果并不令人意外,因为新兴的网络风险管理方法正在导致OT和IT之间的日益融合。
尽管目前的调查数据表明大多数攻击者并未专门针对工业系统(事实上,大多数所谓工控系统攻击都是纯粹的机会主义行为),但这种趋势随时可能逆转。随着工控领域的攻击工具和知识的普及,越来越多的犯罪分子开始尝试工控系统攻击,因为生产停顿往往意味着巨额损失(可以提高赎金额度和支付率)。因此,工控系统OT网络的安全至关重要。
众所周知,欺骗技术是提高威胁检测和响应能力的有效方法,但在工控安全领域的应用仍面临很多挑战,因为工控系统安全在很多方面与传统IT安全迥然不同,例如,两者使用的协议存在根本差异。本文将详细介绍欺骗技术从传统IT转移到工控系统的进展和挑战。
欺骗的价值:夺回主动权
欺骗技术是一种能有效检测恶意活动的主动安全防御方法。一方面,这种策略搭建了一个虚假信息构成的模拟环境来误导对手的判断,使毫无戒心的攻击者陷入陷阱,浪费时间和精力,增加了入侵的复杂性和不确定性。
同时,防御者可以利用欺骗技术收集更全面的攻击日志,部署对策,追踪攻击者的来源并监控其攻击行为。记录所有攻击信息以研究攻击者使用的策略、技术和程序(TTP),这对安全分析师有很大帮助。
总之,欺骗技术可以帮助防御者夺回网络安全攻防的主动权。
一些欺骗应用,例如蜜罐,可以模拟运行环境和配置,引诱攻击者渗透虚假目标。通过这种方式,防御者将能够获取攻击者投放的有效负载,并通过Web应用程序中的JavaScript获取有关攻击者主机甚至Web浏览器的信息。更重要的是,可以通过JSONP劫持了解攻击者的社交媒体帐户,并通过“蜂蜜文件”反击攻击者。可以预见,未来几年欺骗技术将会更加成熟并得到广泛应用。
欺骗技术在工控安全领域崭露头角
近年来,信息技术与工业生产融合加速,工业互联网、智能制造飞速发展。海量工业网络和设备与IT技术的连接必然导致该领域的安全风险不断增加。
勒索软件、数据泄露、高级持续性威胁等安全事件频发,严重影响工业企业生产经营,威胁数字社会安全。一般来说,这些系统由于其简单的架构、内存和处理性能较低而容易被攻击者利用。
与此同时,保护工控系统免受恶意攻击颇具挑战性,因为工控系统ICS组件往往架构简单,难以进行更新或安装补丁,安装端点保护代理通常也不可行。考虑到这些挑战,欺骗技术有望成为工控安全的重要方法之一。
随着网络安全技术的发展,欺骗已广泛应用于网络、数据库、移动应用程序和物联网等各种环境中,在OT领域,欺骗技术也在一些ICS蜜罐应用中崭露头角。例如,Conpot、XPOT、CryPLH等ICS蜜罐可以模拟Modbus、S7、IEC-104、DNP3等协议。
以下我们简要介绍三个工控安全领域有代表性的欺骗技术应用:
1.Conpot是一款开源低交互蜜罐,支持各种工业协议,包括IEC60870-5-104、楼宇自动化和控制网络(BACnet)、Modbus、s7comm以及HTTP、SNMP和TFTP等其他协议。Conpot易于部署、修改和扩展,因此,Conpot和基于Conpot的蜜罐是研究人员使用的最流行的ICS欺骗应用程序之一。
2.XPOT是一个基于软件的高交互PLC蜜罐。XPOT模拟西门子S7-300系列PLC,并允许攻击者编译、解释PLC程序并将其加载到XPOT上。XPOT支持S7comm和SNMP协议,是第一个高交互性的PLC蜜罐。由于它是基于软件的,因此具有很强的可扩展性,并且支持大型诱饵或传感器网络。XPOT可以连接到模拟的工业流程,以使对手的经验更加全面。
3.CryPLH是一款模拟西门子SimaticS7-300PLC的高交互性虚拟智能电网ICS蜜罐。它在基于Linux的主机上运行,并使用MiniWebHTTP服务器来模拟HTTP(S)、使用Python脚本来模拟Step7ISO-TSAP协议以及自定义SNMP实现。CryPLH的交互能力从模拟ICS协议到ICS环境逐渐增强。
上述蜜罐应用这样的欺骗技术可以弥补未知威胁检测效率低下的问题,对于保障工控网络安全可发挥重要作用,例如:
- 帮助检测针对工业控制系统的网络攻击并展示总体风险趋势;
- 发现攻击者利用的OT漏洞并将其发送给安全分析师,以便及时提供补丁和情报;
- 可以在勒索软件爆发之前及时发出警报,避免大规模损失和生产停顿。
工控系统欺骗技术面临的挑战
欺骗技术并非工控安全的“万灵药”。与传统IT安全中复杂的欺骗技术相比,工控系统中的欺骗技术仍然面临一些挑战:
首先,工业控制设备和协议种类繁多,而且许多协议是专有的。几乎不可能有一种欺骗技术可以应用于所有的工业控制设备。因此,蜜罐等应用往往需要定制来模拟不同的协议,这给某些环境下的实现带来了较高的门槛。
其次,纯虚拟工控蜜罐的模拟能力仍然有限,容易被黑客识别。目前纯虚拟ICS蜜罐的开发和应用仅允许底层模拟工业控制协议,并且大多数已经开源,可以直接通过Shodan或Zoomeye等搜索引擎找到。收集足够的攻击数据并提高ICS蜜罐的模拟能力对于安全研究人员来说仍然是一个挑战。
最后,高交互工控蜜罐消耗大量资源,维护成本高。显然,蜜罐往往需要引入物理系统或设备来构建真实运行的模拟环境。然而,工业控制系统和设备成本高昂、难以重复使用且维护困难。即使看似相似的ICS设备在功能、协议和指令方面也往往非常不同。
欺骗技术在工控安全领域的价值
基于以上讨论,工控系统欺骗技术应考虑与新技术相结合,提高模拟真实环境并与之交互的能力来增强防御技术。此外,欺骗技术捕获的攻击日志具有很高的价值,这些日志数据通过人工智能或大数据工具进行分析后有助于深入了解工控系统的现场情报。
综上所述,欺骗技术对于工控系统网络安全的快速发展、提高其智能化和防御能力发挥着至关重要的作用,但目前该技术仍面临挑战,亟待突破。