作者 | 陳柯宇,楊佳寧,郭嫻
國家工業信息安全發展研究中心
1引言
云計算、大數據、人工智能等新一代信息技術正加速推進工業化與信息化的融合進程,工業互聯網時代下,數字化、網絡化、智能化發展趨勢使得越來越多原本處于封閉環境中的工業控制設備暴露于公共互聯網,直面來自互聯網的攻擊威脅。為應對日趨嚴峻的網絡安全形勢,及時洞悉工業控制系統及設備面臨的安全風險,研判分析、精準預測整體安全狀況,工控安全態勢感知技術研究正成為安全領域的一大研究熱點。
蜜罐是一種新型的主動防御技術,通過偽裝成看似有利用價值的設備、系統等吸引網絡黑客對其發起攻擊,經捕獲和分析攻擊行為,了解攻擊工具與方法,推測攻擊者意圖和動機。蜜罐技術的出現,扭轉了網絡攻防的不對稱局面,在傳統網絡安全態勢感知領域取得了較多成功的應用案例。結合工控安全技術特點,將蜜罐技術應用于工控安全態勢感知,有效獲取針對工業控制系統及設備發起的網絡攻擊數據,分析攻擊手段,剖析黑客活動趨勢,有著極高的實用價值。
2工業控制系統蜜罐技術概述
2.1 蜜罐技術發展進程
世界上第一個被公開使用的蜜罐系統是美國著名計算機安全專家Fred Cohen于1998年研發的DTK(Deception Tool Kit),旨在誘導攻擊者對存在大量安全漏洞的DTK系統發動網絡攻擊,Cohen的研究工作為蜜罐技術的發展奠定了基礎。2000年計算機蠕蟲病毒大爆發,研究人員發現蜜罐系統在捕獲網絡傳播的蠕蟲病毒樣本、判定傳播趨勢、溯源攻擊黑客等方面有著無可替代的作用。此后蜜罐技術得到廣泛關注,出現了大量開源蜜罐系統。
蜜罐技術發展到現在,已出現多種成熟的蜜罐工具。一套成熟的蜜罐系統通常由核心模塊和輔助模塊兩部分組成:核心功能模塊是誘騙與監測攻擊方的必需組件,具備構建仿真環境、捕獲攻擊數據以及威脅分析等功能;輔助模塊是蜜罐系統擴展需求,包含系統安全風險控制、配置與管理、反蜜罐偵查等功能。
2.2 蜜罐分類
按照為攻擊方提供的交互程度可劃分,蜜罐系統可分為低交互性蜜罐、中交互蜜罐和高交互性蜜罐,如表1所示。低交互性蜜罐通過編程軟件構建偽裝的系統運行環境,提供簡單的服務模擬,交互程度較低;中交互蜜罐以軟件模擬方式搭建,可模擬較為復雜的系統服務,為攻擊者提供較好的交互環境,可捕獲更多的信息數據;高交互蜜罐一般采用真實系統搭建,交互程度高,但由于黑客的攻擊行為可對蜜罐本身造成損壞,因此安全風險最大。
2.3 工控蜜罐研究進展
隨著信息技術的發展,出現了針對不同業務應用場景的蜜罐系統,如:web蜜罐、數據庫蜜罐、移動應用蜜罐、IoT蜜罐等。工控蜜罐作為面向工業控制、工業生產業務環境的新一代蜜罐系統也得到了越來越多的關注,目前主流的工控蜜罐有Conpot、Snap7、CryPLH、XPOT等,如表2所示。
近年來,國內外安全機構紛紛針對工控蜜罐及其應用場景開展了系列研究。2016德國達姆施塔特工業大學在原移動應用蜜罐的基礎上進一步開發出HosTaGe工控蜜罐,支持Modbus等工業專有協議仿真;2017年,中國科學技術大學大數據分析與應用重點實驗室對標西門子S7系列可編程邏輯控制器(PLC),開發出高交互工控蜜罐S7commTrace并取得了較好的應用效果;2019年,江蘇科技大學網絡與信息安全團隊開發出基于S7、snmp等協議,應用于船舶領域的工控蜜罐;2019年希臘馬其頓大學研發針對電網基礎設施的蜜罐系統,并開展了相關試驗驗證工作。
2.4 工控蜜罐的功能
工控蜜罐的主要功能包括:
(1)收集分析互聯網上針對工業控制系統發起的惡意行為,在大規模攻擊之前提前感知風險,判斷攻擊趨勢;
(2)分散黑客注意力,誘導攻擊者對蜜罐系統發動網絡攻擊,從而保護真實的工業控制系統健康運行,避免對工業生產造成破壞;
(3)高交互蜜罐可誘使攻擊者發動真實攻擊,挖掘分析工業控制系統零日漏洞。
3工控蜜罐在工控安全態勢感知領域的應用
“態勢感知”的概念最早用于軍事領域,主要是指在特定時空下對動態環境中各元素或對象的覺察、理解以及對未來狀態的預測。隨著網絡技術的發展,“態勢感知”的應用情景更傾向于網絡安全,通過廣泛采集和匯聚廣域網中的安全狀態和事件信息,加以處理、分析和展現,從而明確當前網絡的總體安全狀況,為大范圍的預警和響應提供決策支持。為應對當前工控安全面臨的嚴峻形勢和挑戰,國家工業信息安全發展研究中心利用主動監測、被動誘捕、流量分析、企業側采集、大數據挖掘等技術手段,建設國家工業信息安全監測與態勢感知平臺,有效感知全國工業信息安全整體態勢,形成全天候、全方位工業互聯網安全態勢感知能力,其中利用工控蜜罐建設的威脅誘捕系統,為整體感知工業控制系統信息安全態勢提供不可或缺的數據支持。
3.1 系統架構
通過工控蜜罐構建的威脅誘捕系統框架如圖1所示。工控蜜罐的部署位置一般選取網絡關鍵節點或工業企業網絡出口處,根據蜜罐仿真模式,合理配置仿真的工業控制系統或服務協議,避免被網絡空間掃描引擎或有經驗的黑客組織輕易識別。當蜜罐遭遇黑客攻擊后,會將攻擊數據發送至威脅誘捕系統進行存儲、處理、分析,系統完成對攻擊數據的判定后,將攻擊行為進行可視化展示,并將處理結果發送至態勢感知平臺,為下一步整體安全態勢分析提供數據基礎。
工控蜜罐工作原理如圖2所示,蜜罐系統由攻擊交互模塊和設備/服務仿真環境兩部分組成。攻擊交互模塊直接處理黑客與蜜罐的交互,通過流量重定向技術,檢測攻擊流量中訪問的目標類型,在嚴格過濾DDoS等高危操作后,將對應攻擊流量導入適當的設備/服務仿真環境,并將初步分析結果發送至威脅誘捕系統;設備/服務仿真環境在收到攻擊交互模塊發送的攻擊流量后,模擬系統被攻擊的真實反應,反饋至交互模塊,用于蜜罐與黑客的進一步交互。
威脅誘捕系統通過分析工控蜜罐搜集的攻擊數據,研判各類攻擊要素,包括攻擊工具、惡意文件、攻擊來源、攻擊步驟等信息,如:攻擊者的IP、地理位置、探測工具等。
3.2 捕獲數據行為分析
以2020年4月工控蜜罐捕獲到的攻擊數據為例,該工控蜜罐為中交互蜜罐,模擬Ethernet/IP協議工控設備。通過分析工控蜜罐對攻擊流量記錄發現,4月21日晚IP地址為202.106.222.26的用戶對該蜜罐102端口掃描222次,對44818端口掃描70余次,如圖3所示。
經對數據包按照時間順序進行梳理分析,黑客首先通過SYN發送SYN掃描判斷44818端口開放情況,如圖4所示,當探測到端口開放狀態后,與蜜罐系統建立PSH數據通信鏈路,如圖5所示,并建立Ethernet/IP通信獲取session,如圖6所示,進而利用session查詢設備信息,如圖7所示。
3.3 蜜罐應用情況
根據威脅誘捕系統統計數據,單個工控蜜罐平均每周可捕獲2000余次攻擊事件,有來自120余個國家和地區對蜜罐系統發起過網絡探測與攻擊,其中攻擊源IP地址地理分布排前5位的分別是美國、中國、荷蘭、俄羅斯、英國,攻擊占比如圖8所示。
攻擊次數最多的前5名IP地址如表3所示,這些IP地址主要集中在美國、歐洲等發達國家和地區,發起過近千次網絡嗅探和攻擊行為。
4討論
工控蜜罐作為直接面向黑客攻擊的對抗性技術手段之一,在態勢感知等領域取得了較好的應用效果。但是與傳統網絡服務蜜罐相比,工控蜜罐的應用與發展還存在一定困難,主要體現在以下3個方面:
(1)高交互工控蜜罐耗費大量資源,維護成本較高。蜜罐為了構建真實運行的仿真環境,往往需要引入實物系統或設備。工業控制系統及設備成本高且難以復用,即使同類的工控設備在功能、協議、指令等方面也是千差萬別,維護工作較為復雜。
(2)純虛擬工控蜜罐仿真能力有限,極易被黑客識別。目前研發應用的純虛擬工控蜜罐只對工控協議進行底層模擬仿真,且大部分已經開源,極易被如shodan、zoomeye等網絡空間搜索引擎或黑客發現,難以收集有效的攻擊數據。
(3)工控設備種類繁多且工控協議多為私有,單一種類的工控蜜罐難以滿足應用需求。工業控制系統、工業協議種類繁多,單一形式的工控蜜罐難以囊括多種工控設備的仿真的需求,為工控蜜罐應用帶來一定阻力。
綜合以上討論,結合工控蜜罐技術應用方向,工控蜜罐技術可在以下方向開展進一步研究:
(1)工控蜜罐應與新技術應用緊密融合,完善升級模擬仿真與威脅溯源能力。當前人工智能、區塊鏈、邊緣計算等新技術發展迅猛,并在傳統網絡安全領域取得了優秀的應用成果。工控蜜罐融合新一代信息技術,強化模擬仿真、用戶交互、威脅溯源等功能,進一步發揮工控蜜罐的防御優勢。
(2)進一步挖掘工控蜜罐捕獲數據應用, 開展工業信息安全威脅深入追蹤與分析研究。工控蜜罐作為主動防御技術,誘捕收集的攻擊數據具有很高的參考價值,可反映出黑客組織的攻擊意圖。在網絡流量、主動探測、安全日志、情報信息等數據的基礎上,結合工控蜜罐誘捕數據,能夠更加深入的分析工業信息安全態勢,形成全方位的監測能力。
5結束語
工控蜜罐技術發展至今,已經成為網絡安全研究人員對工業控制系統安全進行風險監測、態勢分析、追蹤溯源的主要技術手段之一,其主動防御的思想為現代工業信息安全態勢感知體系建設提供了強有力的支撐。本論文首先介紹了蜜罐技術背景,梳理蜜罐及工控蜜罐的發展歷程,并結合工控蜜罐在國家工業信息安全監測與態勢感知平臺威脅誘捕系統中的應用,分析蜜罐的重大作用,最后對工控蜜罐技術研究及發展應用存在的問題進行了討論,闡述了下一步研究重點。
作者簡介:
陳柯宇(1992-),男,漢族,新疆伊犁人,助理工程師,碩士,畢業于北京郵電大學,現就職于國家工業信息安全發展研究中心,主要研究方向為工控安全、工業互聯網安全等。
楊佳寧(1990-),男,漢族,山東臨沂人,工程師,碩士,畢業于北京航空航天大學,現就職于國家工業信息安全發展研究中心,主要研究方向為工控安全、工業互聯網安全等。
郭 嫻(1984-),女,漢族,湖南衡陽人,高級工程師,博士,畢業于中國科學院高能物理研究所,現就職于國家工業信息安全發展研究中心,主要研究方向為工控安全、工業互聯網安全等。
來源:摘自《自動化博覽》2020年6月刊
