浅析工业蜜罐技术在工业互联网场景下应用_第1页
浅析工业蜜罐技术在工业互联网场景下应用_第2页
浅析工业蜜罐技术在工业互联网场景下应用_第3页
浅析工业蜜罐技术在工业互联网场景下应用_第4页
浅析工业蜜罐技术在工业互联网场景下应用_第5页
已阅读5页,还剩5页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1引言

工业蜜罐技术是工业企业防守者得以观察攻击者行为的新兴网络防御战术,通过诱骗攻击者和恶意应用暴露自身,以便研究人员能够设计出有效的防护措施。工业蜜罐技术提供低误报、高质量的监测数据。因此,工业企业安全人员在构建自身威胁检测能力的时候,应将工业蜜罐技术加入安全防御体系中。在Gartner2018年10大战略技术之一的CARTA(持续自适应风险与信任评估)中,蜜罐技术承担了重要的角色,作为运行时风险与信任评估的重要手段之一。目前蜜罐技术与理念已经被成功运用到安全防护体系中。2需求分析

随着信息技术的发展,工业企业已经建立了比较完善的信息系统,提供的服务大大提升了组织的服务效率、延伸了组织的服务能力,但同时也面临黑灰产业利用和APT组织攻击、0day漏洞等未知威胁攻击的风险,围绕着信息系统的安全能力建设需要更偏向实战化,在攻防不平衡的现状下亟需针对威胁提供高效的主动检测防御技术能力,优化企业整体安全防御体系。总结工业企业当前网络安全需求归纳如下:

2.1攻击延缓需求

攻击者对工业企业进行信息收集到漏洞利用进行攻击整个链条中,工业企业需要在不同阶段提供迷惑攻击视线,延缓攻击进程的能力。让攻击者收集虚假信息,进入内网虚假蜜网环境并和虚假服务器、数据库、业务系统进行交互。

2.2未知威胁检测需求

面对攻击者的访问,工业企业需要对APT组织攻击及0day漏洞等未知威胁攻击进行有效检测与发现,缺乏有效的监控技术能力来捕获关键恶意行为。

2.3攻击全过程记录追踪需求

针对攻击者从入侵、安装、控制、意图四个阶段全过程需要进行全面记录,从资产服务端口探测、攻击行为动作、远程攻击命令等行为记录;以攻击者视角对攻击提供智能分析、全面剖析且直观展示攻击链的详细信息。

2.4威胁快速预警需求工业企业面对已知和未知的威胁需要有快速预警能力,对威胁进行集中展示,提供多维度展示为企业防守方进行应急响应提供有效信息支撑。

2.5精准攻击溯源需求

针对传统防御产品无法精准溯源攻击者身份问题,对溯源攻击者能力需求,要能精准获取指纹信息,结合情报信息准确定位攻击者位置或身份,达到溯源目的。3工业蜜罐技术架构及原理

3.1技术架构

工业蜜罐技术主要由威胁管理系统与威胁感知传感器组成,威胁感知传感器可广泛应用于缺少防护、审计、不便于升级、无法升级改造的工业控制系统中,传感器本身极具扩展性,且工业蜜罐具备分布式、统一威胁管理特性。工业蜜罐架构如图1所示,传感器内部通过虚拟网络仿真模块可以在专用硬件上虚拟海量工控设备、服务、应用,作为干扰项目引导攻击流量,通过对攻击行为展开实时分析,最终实现对各种可疑的网络活动、安全威胁、攻击事件进行实时告警。图1技术架构3.2技术原理

工业蜜罐基于K8S+docker+KVM等虚拟化技术,结合SDN技术构建业务高度伪装蜜罐服务以及欺骗伪装蜜网;结合客户业务特点,在客户不同业务网络区域部署对应蜜罐服务,迷惑攻击者的同时收集蜜罐获取的攻击行为相关日志进行集中分析、监控、告警,为企业提供攻击行为画像、提供溯源分析和攻击报告,技术原理如图2所示。图2技术原理4工业蜜罐技术实现功能

4.1仿真能力

工业蜜罐能够实现针对应用服务的仿真包括:(1)web类:Weblogic、tomcat、thinkphp、wordpress、wiki、wildfly等;(2)数据库类:MySql、phpmyadmin等;(3)系统服务仿真:SSH、Telnet、FTP等等;(4)工业场景类:支持真实工控系统交互仿真、发电站西门子控制器交互、变电站测控装置交互、远动装置交互、调度OMS系统交互等。

能够实现针对工业协议的仿真,包括针对IEC61850主要仿真变电站的场景,开放102端口,记录连接的打开和关闭;记录对文件的访问和删除;关键配置定值PTOC1.Set61.setMag.f的修改;针对104协议仿真,主要是对电厂中104协议的服务仿真模拟,记录服务的连接和断开,实现对各种遥控、遥信等命令动作的翻译和记录;针对S7协议主要实现仿真程序主要记录了连接的打开和断开;系统信息的读取;数据的写和读动作记录;块的操作;CPU的相关操作等信息。针对Modbus实现仿真程序主要记录了(1)连接的建立信息(2)读线圈寄存器(3)读离散输入寄存器(4)读保持寄存器(5)读输入寄存器(6)写单个保持寄存器。

能够实现漏洞仿真系统默认集成自身带有漏洞的高甜度蜜罐,例如Weblogic、Shiro、Struts2等,保障蜜罐的高仿真度和诱捕能力,可定制热点漏洞的仿真。

4.2未知威胁检测基于工业蜜罐技术独特的行为识别,依靠高仿真业务在网络中布下的层层陷阱,当攻击者访问,可对0day及APT等高级攻击与未知威胁进行有效发现。技术上进行驱动层监控,早于入侵者入场,隐藏自身存在,具有先手优势,捕获关键恶意行为。

4.3智能分析引擎

基于规则链的有限状态自动机原理,可根据规则链从海量进程监控数据中分析截取攻击事件数据。单个分析引擎可接收多个仿真系统产生的数据,可根据规则对不同仿真系统的数据进行区分隔离和融合,分析引擎预留插件接口,可通过插件实现更加复杂和定制化的分析逻辑。经过智能分析引擎的匹配分析,可从入侵、安装、控制、意图四个阶段直观展示攻击链的详细信息。入侵阶段包括端口扫描、连接端口、登录服务等行为,安装阶段包括注入代码、下载恶意样本、设置注册表自动启动、程序自删除等行为,控制阶段包括连接C&C服务器、黑客远程攻击命令输入等行为,意图包括使用某些特定家族的样本实现数据窃取、勒索等目的的行为。

4.4威胁感知

工业蜜罐通过配置可对网段、多端口的仿真覆盖,实现恶意的扫描、探测、攻击,可实时感知并快速上报,对于攻击第一时间告警,应用于密级较高的网络场景,进行主动防御防护。在公开的网站中设置虚假信息,在黑客收集信息阶段对其造成误导,使其攻击目标转向蜜罐,间接保护其他资产。主机诱饵需要提前投放到在真实环境中,在其预留一些连接到其他蜜罐的历史操作指令、放置SSH连接蜜罐过程中的公钥记录或在主机诱饵指向的蜜罐上开放有利用价值的端口,在攻击者做嗅探时,可以吸引其入侵并进入蜜罐;类如攻击者偏爱OA、邮件等用户量较大的系统,可在重点区域部署此类诱饵,并通过在真实服务器伪造虚假的连接记录诱导攻击者掉入陷阱,最后将攻击者的攻击视线转移到蜜罐之中。

4.5溯源反制

攻击行为进入蜜罐后,蜜罐可记录所有的攻击数据,包括攻击报文、攻击样本等攻击过程数据。攻击数据可通过IP、时间等查询,界面可展示攻击者IP、地理位置、来源蜜罐以及攻击的详细信息。5工业互联网场景应用

(1)部署在互联网网络出口,模拟Web系统和PLC等,造成IT网络业务系统和生产端暴露在公网的假象,诱惑攻击者进入;

(2)部署企业内网,仿真OA、ERP等系统,对攻击者进行诱捕,同时可有效监测恶意代码扩散等;(3)部署生产网,仿真PLC等设备,有点监测到恶意代码的扩散、外部攻击的进入以及第三方运维的恶意扫描等行为,工业蜜罐部署场景如图3所示。图3工业蜜罐部署场景6工业蜜罐价值

6.1自身安全性

上层架构中,业务和管理分离,具有各自独立的命名空间,并处于不同的逻辑交换机下,网络二层隔离,通过蜜罐的网络空间和网络空间的权限的隔离,保障系统内部安全。工业蜜罐一般具有专有的防逃逸方案,具体如下:所有运行的蜜罐服务不以root权限运行,对每个服务进程的权限进行精准控制,蜜网中的服务限制主动外连等多种技术手段保障防逃逸。采用自研的代码框架,各模块在统一的框架平台,按照统一的代码要求进行开发,不但保证了代码的规范,也保证各模块的开发效率。对自研框架进行持续的维护升级,不断提升安全性。借由框架的安全性,提升产品的整体安全性,框架的升级对各模块子功能完全透明。

6.2低误报

工业蜜罐的实现原理,决定着低误报的特点,正常操作一般不会进入到蜜罐系统,任何触碰和进入蜜罐的行为均被详细定位和分析,“攻击即报警,响应即处置”。

6.3蜜网组建

工业蜜罐具有多种蜜网组建方式,可通过直连和探针两种模式实现不同蜜网的设计,探针适用于Linux、Windows、Mac等系统的部署,适用性强。不同组网方式都可实现网络攻击流量的转发和捕获,形成蜜网,具有高迷惑性,攻击者一旦进入蜜网即会被拖住,且所有操作行为被记录,很难逃脱。蜜网功能与高仿真蜜罐相结合,保障其真实性,进行攻击过程的有效捕获。

6.4诱捕能力

一般工业企业核心生产环节安全防护能力薄弱:企业安全存在技术上或管理上的薄弱环节,例如发电企业尤其明显,电力攻击队伍更愿意尝试从厂站发起攻击。厂站突破可能影响主站:部分厂站直连主站,为主站安全防护带来压力,主站安全防护亟需进一步提升风险主动识别能力、攻击溯源能力,以及诱捕能力。无论是攻击队还是敌对势力攻击者均会更加关注生产相关系统及突破口,电力监控系统未来将会成为攻击者眼中最为重要的目标,演练中的攻击人员更有分寸,通常不会对生产造成影响,但敌对势力将会以破坏生产为最终目的。电力企业中生产控制大区设备蜜罐前置到调度三区或者互联网大区的厂网业务区,通过“生产环境前置”的方式欺骗攻击者,达到真正的保护生产业务;可以仿真的变电站监控系统主要包括:监控系统、继电保护、测控装置、故障录波装置、辅助设备监控等。7结论

工业蜜罐技术可以通过溯源、反制等功能获取到攻击者的IP、微信、QQ等社交信息账号,结合攻击过程、攻击报文等信息可以溯源到攻击个人,实现溯源取证;该技术具有强大的业务高仿真和蜜网组建能力,通过在入侵者必经之路上构造陷阱,混淆攻击目标,吸引攻击者进入蜜网,拖住攻击者延缓攻击,从而保护真实系统,为应急响应争取时间。工业蜜罐技术的低误报特性决定了数据的准确性,获取攻击者的地址、样本、黑客指纹等信息,可掌握其详细攻击路径、攻击工具、终端指纹和行为特征,实现全面取证,精准溯源。同时可通过syslog方式将捕获的数据发送到第三方平台,为整体威胁分析提供有效数据,为攻击研判提供依据。工业蜜罐部署在企业边界与核心PLC/

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论