Orange Cyberdefense最近發布的Security Navigator報告顯示,過去幾年針對工業控制系統(ICS)的攻擊迅速增加,其中大多數攻擊都是針對傳統IT系統攻擊的溢出。這個調查結果并不令人意外,因為新興的網絡風險管理方法正在導致OT和IT之間的日益融合。

盡管目前的調查數據表明大多數攻擊者并未專門針對工業系統(事實上,大多數所謂工控系統攻擊都是純粹的機會主義行為),但這種趨勢隨時可能逆轉。隨著工控領域的攻擊工具和知識的普及,越來越多的犯罪分子開始嘗試工控系統攻擊,因為生產停頓往往意味著巨額損失(可以提高贖金額度和支付率)。因此,工控系統OT網絡的安全至關重要。

眾所周知,欺騙技術是提高威脅檢測和響應能力的有效方法,但在工控安全領域的應用仍面臨很多挑戰,因為工控系統安全在很多方面與傳統IT安全迥然不同,例如,兩者使用的協議存在根本差異。本文將詳細介紹欺騙技術從傳統IT轉移到工控系統的進展和挑戰。

欺騙的價值:奪回主動權

欺騙技術是一種能有效檢測惡意活動的主動安全防御方法。一方面,這種策略搭建了一個虛假信息構成的模擬環境來誤導對手的判斷,使毫無戒心的攻擊者陷入陷阱,浪費時間和精力,增加了入侵的復雜性和不確定性。

同時,防御者可以利用欺騙技術收集更全面的攻擊日志,部署對策,追蹤攻擊者的來源并監控其攻擊行為。記錄所有攻擊信息以研究攻擊者使用的策略、技術和程序(TTP),這對安全分析師有很大幫助。

總之,欺騙技術可以幫助防御者奪回網絡安全攻防的主動權。

一些欺騙應用,例如蜜罐,可以模擬運行環境和配置,引誘攻擊者滲透虛假目標。通過這種方式,防御者將能夠獲取攻擊者投放的有效負載,并通過Web應用程序中的JavaScript獲取有關攻擊者主機甚至Web瀏覽器的信息。更重要的是,可以通過JSONP劫持了解攻擊者的社交媒體帳戶,并通過“蜂蜜文件”反擊攻擊者。可以預見,未來幾年欺騙技術將會更加成熟并得到廣泛應用。

欺騙技術在工控安全領域嶄露頭角

近年來,信息技術與工業生產融合加速,工業互聯網、智能制造飛速發展。海量工業網絡和設備與IT技術的連接必然導致該領域的安全風險不斷增加。

勒索軟件、數據泄露、高級持續性威脅等安全事件頻發,嚴重影響工業企業生產經營,威脅數字社會安全。一般來說,這些系統由于其簡單的架構、內存和處理性能較低而容易被攻擊者利用。

與此同時,保護工控系統免受惡意攻擊頗具挑戰性,因為工控系統ICS組件往往架構簡單,難以進行更新或安裝補丁,安裝端點保護代理通常也不可行。考慮到這些挑戰,欺騙技術有望成為工控安全的重要方法之一。

隨著網絡安全技術的發展,欺騙已廣泛應用于網絡、數據庫、移動應用程序和物聯網等各種環境中,在OT領域,欺騙技術也在一些ICS蜜罐應用中嶄露頭角。例如,Conpot、XPOT、CryPLH等ICS蜜罐可以模擬Modbus、S7、IEC-104、DNP3等協議。

以下我們簡要介紹三個工控安全領域有代表性的欺騙技術應用:

1.Conpot是一款開源低交互蜜罐,支持各種工業協議,包括IEC60870-5-104、樓宇自動化和控制網絡(BACnet)、Modbus、s7comm以及HTTP、SNMP和TFTP等其他協議。Conpot易于部署、修改和擴展,因此,Conpot和基于Conpot的蜜罐是研究人員使用的最流行的ICS欺騙應用程序之一。

2.XPOT是一個基于軟件的高交互PLC蜜罐。XPOT模擬西門子S7-300系列PLC,并允許攻擊者編譯、解釋PLC程序并將其加載到XPOT上。XPOT支持S7comm和SNMP協議,是第一個高交互性的PLC蜜罐。由于它是基于軟件的,因此具有很強的可擴展性,并且支持大型誘餌或傳感器網絡。XPOT可以連接到模擬的工業流程,以使對手的經驗更加全面。

3.CryPLH是一款模擬西門子SimaticS7-300PLC的高交互性虛擬智能電網ICS蜜罐。它在基于Linux的主機上運行,并使用MiniWebHTTP服務器來模擬HTTP(S)、使用Python腳本來模擬Step7ISO-TSAP協議以及自定義SNMP實現。CryPLH的交互能力從模擬ICS協議到ICS環境逐漸增強。

上述蜜罐應用這樣的欺騙技術可以彌補未知威脅檢測效率低下的問題,對于保障工控網絡安全可發揮重要作用,例如:

  • 幫助檢測針對工業控制系統的網絡攻擊并展示總體風險趨勢;
  • 發現攻擊者利用的OT漏洞并將其發送給安全分析師,以便及時提供補丁和情報;
  • 可以在勒索軟件爆發之前及時發出警報,避免大規模損失和生產停頓。

工控系統欺騙技術面臨的挑戰

欺騙技術并非工控安全的“萬靈藥”。與傳統IT安全中復雜的欺騙技術相比,工控系統中的欺騙技術仍然面臨一些挑戰:

首先,工業控制設備和協議種類繁多,而且許多協議是專有的。幾乎不可能有一種欺騙技術可以應用于所有的工業控制設備。因此,蜜罐等應用往往需要定制來模擬不同的協議,這給某些環境下的實現帶來了較高的門檻。

其次,純虛擬工控蜜罐的模擬能力仍然有限,容易被黑客識別。目前純虛擬ICS蜜罐的開發和應用僅允許底層模擬工業控制協議,并且大多數已經開源,可以直接通過Shodan或Zoomeye等搜索引擎找到。收集足夠的攻擊數據并提高ICS蜜罐的模擬能力對于安全研究人員來說仍然是一個挑戰。

最后,高交互工控蜜罐消耗大量資源,維護成本高。顯然,蜜罐往往需要引入物理系統或設備來構建真實運行的模擬環境。然而,工業控制系統和設備成本高昂、難以重復使用且維護困難。即使看似相似的ICS設備在功能、協議和指令方面也往往非常不同。

欺騙技術在工控安全領域的價值

基于以上討論,工控系統欺騙技術應考慮與新技術相結合,提高模擬真實環境并與之交互的能力來增強防御技術。此外,欺騙技術捕獲的攻擊日志具有很高的價值,這些日志數據通過人工智能或大數據工具進行分析后有助于深入了解工控系統的現場情報。

綜上所述,欺騙技術對于工控系統網絡安全的快速發展、提高其智能化和防御能力發揮著至關重要的作用,但目前該技術仍面臨挑戰,亟待突破。

工控 蜜罐技術 網絡安全
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接