淺析工業控制環境下的網絡威脅感知技術
隨著科學技術的不斷發展,工業控制系統逐漸接入互聯網,由于工業控制網絡的開放性,攻擊者可采取多種手段攻擊該網絡,直接影響著工業控制系統的安全,工控系統面臨的安全形勢也越來越嚴重。2010年的伊朗震網病毒事件、2011年的duqu木馬事件、2014年的Havex、2015年的烏克蘭電力事件都用事實證明了工控系統安全形勢的嚴峻性。
為了增強工業控制網絡安全,很多研究人員都采用蜜罐技術對系統進行防護。工業蜜罐作為一種主動防御技術可以吸引攻擊,分析攻擊,推測攻擊意圖,并將結果補充到防火墻、IDS以及IPS等威脅阻斷技術。
蜜罐作為一種典型的主動安全防御技術,對攻擊方進行欺騙,通過引誘、監視和記錄黑客與蜜罐進行交互的所有攻擊行為數據。它與傳統蜜罐技術的區別在于工業蜜罐支持工業設備和工業控制系統的偽裝模擬,支持工控協議的仿真。利用影子系統及虛擬仿真技術,模擬真實的工控系統,誘捕攻擊者進行攻擊,捕獲和分析網絡空間中針對工控設備的攻擊流量數據,分析攻擊者行為動機,溯源攻擊者的真實身份,并了解攻擊者的行為動機和目的,學習攻擊者所使用的攻擊方法和模式,從而達到主動防御攻擊者的目的。這種主動安全防御技術可以廣泛運用于石油、石化、冶金、電力、燃氣、煤礦、煙草以及市政等領域,用于控制關鍵生產設備的運行。
為提升安全防御技術能力,山東云天安全技術有限公司自主研發了一款基于工控環境的主動欺騙防御型產品——昊天工控蜜罐系統。該產品采用仿真模擬技術和動態取證分析技術,內置多種類型誘餌探針,能夠迷惑黑客、誘導攻擊、及時發現告警并進行黑客畫像分析,可廣泛應用于石油化工、能源、交通、水務、市政等關鍵基礎設施行業,能夠起到有效預警、對抗APT攻擊、零日攻擊、延緩攻擊時效,攻擊意圖溯源等作用,包括:
1、工控資產與協議仿真,虛實結合、高低交互;
2、工控場景動態定制,可插拔硬件設計;
3、影子蜜網,可跨網段部署,方便靈活;
4、零誤報威脅預警,工業協議深度解析,攻擊意圖推測。
昊天工控蜜罐系統其創新性和先進性在于:
1、虛實結合,高低交互,定制硬件
對工業場景中常見的工業及IT協議進行基礎仿真,滿足低交互功能要求,對部分實體工業資產進行硬件定制,采用模塊插拔方式進行實體蜜罐仿真,最大支持3個槽位的工業控制資產設備,可以通過外部接口動態擴展物理工控設備,實現了工業協議層面真正意義上的高交互能力,極大增加了對攻擊者的迷惑性。
2、影子資產部署
通過部署大量影子蜜餌探針,在工控網絡產生大量影子資產。當黑客進入工業內網后,可延緩黑客內網偵查及橫向移動時發現真實資產的過程。當蜜餌被訪問后及時觸發入侵告警,并誘導攻擊流量轉移重定向到蜜網環境中,使其進入“蜜網黑洞”,將攻擊行為與真實網絡隔離,為追蹤溯源提供依據。
3、跨網絡動態部署
設備還可以通過trunk方式接入工業現場網絡交換機,將影子系統自身根據客戶需求動態批量的跨網絡部署,實現不同網段內按需動態播撒影子蜜餌的能力。
昊天工控蜜罐系統其價值在于:
1、全面的協議、設備、系統模擬偽裝能力
- 支持多種通用IT協議和主流工控協議
- 支持多種常見操作系統和數據庫中間件仿真
- 支持多種工控設備及工控系統的偽裝模擬
- 支持多種安全漏洞的仿真模擬
2、影子系統虛擬仿真
3、彈性動態部署
昊天工控蜜罐系統自推出以來,得到了多位業內安全專家和學者的肯定,產品已獲得多項資質和榮譽,包括:軟件著作權證書、大數據產品證書,授權發明專利和實用新型專利各一項;應用技術“基于蜜罐的工業互聯網主動防御系統”已通過山東省信息技術與信息化科技成果鑒定,達到國內領先水平,并獲得省科學技術二等獎;榮獲山東省工業軟件開發技術大賽三等獎;榮獲青島高新區藍貝國際創新創業大賽三等獎及2021年網絡安全優秀創新成果大賽入圍獎等榮譽。
