隨著科學(xué)技術(shù)的不斷發(fā)展,工業(yè)控制系統(tǒng)逐漸接入互聯(lián)網(wǎng),,由于工業(yè)控制網(wǎng)絡(luò)的開放性,,攻擊者可采取多種手段攻擊該網(wǎng)絡(luò),直接影響著工業(yè)控制系統(tǒng)的安全,,工控系統(tǒng)面臨的安全形勢也越來越嚴(yán)重,。2010年的伊朗震網(wǎng)病毒事件、2011年的duqu木馬事件,、2014年的Havex,、2015年的烏克蘭電力事件都用事實(shí)證明了工控系統(tǒng)安全形勢的嚴(yán)峻性。
為了增強(qiáng)工業(yè)控制網(wǎng)絡(luò)安全,,很多研究人員都采用蜜罐技術(shù)對(duì)系統(tǒng)進(jìn)行防護(hù)。工業(yè)蜜罐作為一種主動(dòng)防御技術(shù)可以吸引攻擊,,分析攻擊,,推測攻擊意圖,并將結(jié)果補(bǔ)充到防火墻,、IDS以及IPS等威脅阻斷技術(shù),。
蜜罐作為一種典型的主動(dòng)安全防御技術(shù),對(duì)攻擊方進(jìn)行欺騙,,通過引誘,、監(jiān)視和記錄黑客與蜜罐進(jìn)行交互的所有攻擊行為數(shù)據(jù)。它與傳統(tǒng)蜜罐技術(shù)的區(qū)別在于工業(yè)蜜罐支持工業(yè)設(shè)備和工業(yè)控制系統(tǒng)的偽裝模擬,支持工控協(xié)議的仿真,。利用影子系統(tǒng)及虛擬仿真技術(shù),,模擬真實(shí)的工控系統(tǒng),誘捕攻擊者進(jìn)行攻擊,,捕獲和分析網(wǎng)絡(luò)空間中針對(duì)工控設(shè)備的攻擊流量數(shù)據(jù),,分析攻擊者行為動(dòng)機(jī),溯源攻擊者的真實(shí)身份,,并了解攻擊者的行為動(dòng)機(jī)和目的,,學(xué)習(xí)攻擊者所使用的攻擊方法和模式,從而達(dá)到主動(dòng)防御攻擊者的目的,。這種主動(dòng)安全防御技術(shù)可以廣泛運(yùn)用于石油,、石化、冶金,、電力,、燃?xì)狻⒚旱V,、煙草以及市政等領(lǐng)域,,用于控制關(guān)鍵生產(chǎn)設(shè)備的運(yùn)行。
為提升安全防御技術(shù)能力,,山東云天安全技術(shù)有限公司自主研發(fā)了一款基于工控環(huán)境的主動(dòng)欺騙防御型產(chǎn)品——昊天工控蜜罐系統(tǒng),。該產(chǎn)品采用仿真模擬技術(shù)和動(dòng)態(tài)取證分析技術(shù),內(nèi)置多種類型誘餌探針,,能夠迷惑黑客,、誘導(dǎo)攻擊、及時(shí)發(fā)現(xiàn)告警并進(jìn)行黑客畫像分析,,可廣泛應(yīng)用于石油化工,、能源、交通,、水務(wù),、市政等關(guān)鍵基礎(chǔ)設(shè)施行業(yè),能夠起到有效預(yù)警,、對(duì)抗APT攻擊,、零日攻擊、延緩攻擊時(shí)效,,攻擊意圖溯源等作用,,包括:
1、工控資產(chǎn)與協(xié)議仿真,,虛實(shí)結(jié)合,、高低交互,;
2、工控場景動(dòng)態(tài)定制,,可插拔硬件設(shè)計(jì),;
3、影子蜜網(wǎng),,可跨網(wǎng)段部署,,方便靈活;
4,、零誤報(bào)威脅預(yù)警,,工業(yè)協(xié)議深度解析,攻擊意圖推測,。
昊天工控蜜罐系統(tǒng)其創(chuàng)新性和先進(jìn)性在于:
1,、虛實(shí)結(jié)合,高低交互,,定制硬件
對(duì)工業(yè)場景中常見的工業(yè)及IT協(xié)議進(jìn)行基礎(chǔ)仿真,,滿足低交互功能要求,對(duì)部分實(shí)體工業(yè)資產(chǎn)進(jìn)行硬件定制,,采用模塊插拔方式進(jìn)行實(shí)體蜜罐仿真,,最大支持3個(gè)槽位的工業(yè)控制資產(chǎn)設(shè)備,可以通過外部接口動(dòng)態(tài)擴(kuò)展物理工控設(shè)備,,實(shí)現(xiàn)了工業(yè)協(xié)議層面真正意義上的高交互能力,,極大增加了對(duì)攻擊者的迷惑性。
2,、影子資產(chǎn)部署
通過部署大量影子蜜餌探針,,在工控網(wǎng)絡(luò)產(chǎn)生大量影子資產(chǎn)。當(dāng)黑客進(jìn)入工業(yè)內(nèi)網(wǎng)后,,可延緩黑客內(nèi)網(wǎng)偵查及橫向移動(dòng)時(shí)發(fā)現(xiàn)真實(shí)資產(chǎn)的過程,。當(dāng)蜜餌被訪問后及時(shí)觸發(fā)入侵告警,并誘導(dǎo)攻擊流量轉(zhuǎn)移重定向到蜜網(wǎng)環(huán)境中,,使其進(jìn)入“蜜網(wǎng)黑洞”,,將攻擊行為與真實(shí)網(wǎng)絡(luò)隔離,為追蹤溯源提供依據(jù),。
3,、跨網(wǎng)絡(luò)動(dòng)態(tài)部署
設(shè)備還可以通過trunk方式接入工業(yè)現(xiàn)場網(wǎng)絡(luò)交換機(jī),將影子系統(tǒng)自身根據(jù)客戶需求動(dòng)態(tài)批量的跨網(wǎng)絡(luò)部署,,實(shí)現(xiàn)不同網(wǎng)段內(nèi)按需動(dòng)態(tài)播撒影子蜜餌的能力。
昊天工控蜜罐系統(tǒng)其價(jià)值在于:
1,、全面的協(xié)議,、設(shè)備,、系統(tǒng)模擬偽裝能力
支持多種通用IT協(xié)議和主流工控協(xié)議
支持多種常見操作系統(tǒng)和數(shù)據(jù)庫中間件仿真
支持多種工控設(shè)備及工控系統(tǒng)的偽裝模擬
支持多種安全漏洞的仿真模擬
2、影子系統(tǒng)虛擬仿真
3,、彈性動(dòng)態(tài)部署
昊天工控蜜罐系統(tǒng)自推出以來,,得到了多位業(yè)內(nèi)安全專家和學(xué)者的肯定,產(chǎn)品已獲得多項(xiàng)資質(zhì)和榮譽(yù),,包括:軟件著作權(quán)證書,、大數(shù)據(jù)產(chǎn)品證書,授權(quán)發(fā)明專利和實(shí)用新型專利各一項(xiàng),;應(yīng)用技術(shù)“基于蜜罐的工業(yè)互聯(lián)網(wǎng)主動(dòng)防御系統(tǒng)”已通過山東省信息技術(shù)與信息化科技成果鑒定,,達(dá)到國內(nèi)領(lǐng)先水平,并獲得省科學(xué)技術(shù)二等獎(jiǎng),;榮獲山東省工業(yè)軟件開發(fā)技術(shù)大賽三等獎(jiǎng),;榮獲青島高新區(qū)藍(lán)貝國際創(chuàng)新創(chuàng)業(yè)大賽三等獎(jiǎng)及2021年網(wǎng)絡(luò)安全優(yōu)秀創(chuàng)新成果大賽入圍獎(jiǎng)等榮譽(yù)。
