行业级应用效果显著 工控蜜罐技术发展前景向好
近年来,随着工业互联网、智能制造的发展,新一代信息技术加速与工业生产领域的融合,海量的工业设备泛在物联。但与之同时,工业信息安全领域的网络安全风险也不断加剧,针对工业信息安全领域发起的攻击手段也更加智能化,工业信息安全事件日趋增多。勒索病毒、APT攻击、数据泄露等事件频发,严重影响工业企业的生产和业务运营,威胁着社会的稳定。
近日,国家工业信息安全发展研究中心发布了《2020年工业信息安全态势报告》,报告中提到,近年来,电力、石油石化、智能设备、钢铁、有色等重点行业已成为网络攻击的“重灾区”,黑客组织通过网络攻击意图获得巨大的经济政治利益。
随着针对工控设备、物联网设备、基础设施等设备的扫描和探测行为日渐增多,攻击者正在不断提高对工业领域的重视。而传统的安全技术和手段在工业信息安全领域的风险识别、威胁发现、安全防护等方面有时难以有效发挥作用。
因此在此背景下,作为一种相对主动的安全检测手段,工控蜜罐技术正在走向更高效、更可靠的深度应用,通过对攻击行为的捕获、分析攻击路径和方法,推测攻击者意图和动机,对预测大规模网络攻击事件起到了重要的作用。
近年来,随着工控安全形势的愈发严峻,蜜罐技术被越来越多的应用在工控领域,从协议的仿真做起到工控环境的模拟,交互能力越来越高,结构也日趋复杂。越来越多的研究机构和安全企业将蜜罐技术与工控安全相融合,开展了一系列工控蜜罐技术研究与应用。
工业生产环境中网络安全危机四伏
在工控安全领域,由于工业信息系统更为传统,其安全建设往往难以紧跟数字化的快速发展。由于工业生产环境对于业务连续性要求极高,一切工作都要围绕有效保障设备的持续运行出发,一些业界早已发现或披露过的漏洞,在工业信息系统中也可能依然存在,为避免干扰设备生产的运行而无法修复。
而一些传统的工控设备甚至都缺乏身份验证,或者是沿用出厂默认的弱口令,攻击者轻易既可攻入系统内部通过恶意请求对设备进行恶意操作或更改,类似攻击事件一旦发生,即可造成巨大的设备损失、工业产出损失,甚至威胁社会安全与稳定。
不久前,美国佛罗里达州坦帕市就曾发生了一起黑客攻击自来水厂控制系统,获取管理员权限后企图通过自来水厂的操作系统,向该自来水厂的蓄水池中加入了大量的、原本用于维持自来水酸碱度平衡的氢氧化钠。这种强碱性、中等毒性的化学物质在极少量添加时并不致命,但在大量添加到自来水中时,就会让自来水产生较强的腐蚀性。一旦这种自来水被误饮下肚,可能会造成消化道灼伤、肠胃粘膜糜烂、内出血等情况,甚至可能会出现休克以及死亡。
这座自来水厂的用户多达1.5万人,可想而知,一旦有毒的自来水流向城市,造成的后果将不堪设想。
工控蜜罐——可有效阻拦攻击的创新应用
蜜罐是一种近年来在网络安全攻防领域中常用的主动防御技术,通过伪装成看似有利用价值的设备、系统等吸引网络黑客对其发起攻击,经捕获和分析攻击行为,了解攻击工具与方法,推测攻击者意图和动机。
在传统网络安全态势感知领域,蜜罐技术的应用已经取得了显著的效果,而在工业信息安全领域,结合工控安全技术特点,将蜜罐技术应用于工控安全态势感知,将进一步帮助工业企业建立主动防御网络,对潜在威胁进行感知与捕获,实现网络攻击事件的实时预警与网络安全威胁转移。
由于工控领域对业务连续性的极高要求和其特殊性,工控蜜罐产品可以以不干扰工业生产设备运行的方式并联接入,同时,工控蜜罐产品不依赖于白名单和黑名单的策略,可以更加有效的可以收集分析互联网上针对工业控制系统发起的恶意行为,在大规模攻击之前提前感知风险,判断攻击趋势。
另一方面,高仿真的工控蜜罐产品,还能够起到转移攻击目标的作用,诱导攻击者对蜜罐系统发动网络攻击,从而避免重要的系统受到打击,甚至还能够通过分析黑客攻击手段来发现潜藏的高危0Day漏洞。
工控蜜罐的应用现状是怎样的?
围绕蜜罐产品在工控领域的应用,目前国内已经有许多厂商都展开了大量研究。以“平行仿真”技术为优势的安全厂商永信至诚,也基于对平行仿真技术的沉淀和研究,在以蜜罐为代表的欺骗式防御等领域做出了大量研究,并在工控蜜罐技术领域也开展了一系列探索和实践。
以永信至诚春秋云阵新一代蜜罐系统为例,春秋云阵蜜罐系统基于“欺骗式防御”理念,利用永信至诚独有的“平行仿真”技术和全量行为捕获技术,构建高甜度的蜜罐环境,诱捕攻击者进入仿真网络环境中,大大延缓攻击者对实际业务网络的攻击。
同时,不再依赖特征库对流量总的攻击行为进行甄别,“触碰蜜罐即报警”、“深入蜜罐即攻击”保证了蜜罐系统对所有攻击的“零误报”特征。全程记录的攻击轨迹和攻击行为,实现了对攻击者的快速取证和溯源。在不影响现有网络的安全架构下,利用其低成本、易部署、零误报的特性,简化网络安全运维工作的复杂程度,有效增强实际业务网络的安全防护能力。
永信至诚相关专家告诉安全419,目前春秋云阵蜜罐已成功在公安、政府、金融、运营商等多个行业实现落地应用,在工业领域覆盖了电力、水利水电、工业互联网等客户,并已经打造了众多的成功案例。
案例一
电力行业——利用工控蜜罐在某电力企业实现对攻击者的精准溯源
春秋云阵蜜罐系统凭借“溯源分析”能力,能够高隐蔽性的采集蜜罐攻击者的地址、样本、行为、黑客指纹等信息,掌握其详细攻击路径、终端指纹和行为特征,实现全面取证、精准溯源。
在2020年度大型攻防演练中,某电力企业在互联网区域部署春秋云阵蜜罐系统,依托春秋云阵自有的高甜度伪装能力、全量威胁捕获能力、威胁分析溯源能力,支撑客户方面的安全值守、威胁处置、应急响应以及攻击溯源等需求。
期间,春秋云阵蜜罐在实时针对工控网络的攻击和威胁进行诱捕和监测中,成功获取到攻击者的IP、攻击手段、攻击路径与微博ID。经过春秋云服专业安服人员的层层溯源分析,最终在其微博ID发现攻击者手机号,通过多途径搜索手机号成功匹配出攻击者姓名,并结合社工库得到攻击者的身份证号、家庭住址等信息,精准溯源到攻击者。
案例二
工业互联网领域——在国家职业技能一类竞赛中模拟演练
在工业互联网领域最高级别的网络安全大赛-2020年全国工业互联网安全技术技能大赛总决赛上,蜜罐作为一种有效的防御方式,开创了以防御者视角检验防御能力的竞赛场景模式。为了让比赛更加贴近企业现实攻防场景,大赛结合平行仿真技术,特别设计了防御者视角题目,参赛选手可以通过工业互联网场景中的春秋云阵蜜罐做分析和溯源,全面检验长期工作在一线的安全人员的防御意识、内网渗透测试能力、分析能力和溯源能力,整体提升实践防御水平。
安全威胁日益复杂 工控蜜罐技术应用前景广阔
随着工控安全成为国家安全的重要组成部分,在工业数字化转型和工业互联网的建设推进工业技术发展的同时,工控安全环境也将面临更加动态、复杂的网络安全威胁。工业信息安全领域对蜜罐等主动防御技术需求也将会更加迫切。因此,复杂的工控安全威胁将会大力推动工业蜜罐技术的应用和发展,工控蜜罐技术的应用前景十分广阔。
永信至诚安全专家表示,蜜罐产品需要配合专业的安全服务团队,来形成体系化、层级化的战法,而高仿真、高甜度,以及精准溯源的能力将是工控蜜罐产品的重要价值所在。
蜜罐建模与效能的要素主要包括:层级、关联、聚合、场景、甜度、服务等。在现实中要想充分发挥蜜罐的实效,需要综合考虑蜜罐在工控等领域的部署位置、架构设定、甜度设置、诱饵类型、诱饵投放、组件使用、联动设置、人员搭配等,形成体系化层级化战法,“把攻击限定在蜜网中”。
在人员搭配上,企业应该配备专业的安全服务团队,根据用户的信息系统部署情况、网络架构、安全级别等定向设计具有自身特色的部署方案,及时延缓和阻断攻击、协助溯源和取证、全面保护企业信息资产安全,帮助工控企业客户实现主动防御。
捕获精明的“猎物”需要更高级的陷阱,蜜罐实质上是欺骗式防御技术,只有高仿真、高甜度的蜜罐才能成功欺骗诱导攻击者,并让攻击者陷入“沉浸式”体验。是否仿的足够真、场景足够甜,是选择蜜罐的首要考量点。
随着目前工控安全事件的高发,攻击威胁也呈现出定向精准性提升迅速、技术手段复杂化专业化、攻击行为组织化的显著特征。为应对多层次的攻击、复杂多变的安全挑战,实现攻击规则和威胁情报的有效利用,工控蜜罐技术能够实现网络攻击事件第一时间发现、追踪溯源取证和防止攻击范围及危害的进一步扩大,对于工业控制系统的网络安全具有重大价值和意义。
#我们同样欢迎热爱文字且热衷于推动网络安全产业发展的您为我们提供优质内容,期待您的参与!投稿邮箱:tg@anquan419.com