★山東外事服務(wù)保障中心卜鈺

關(guān)鍵詞：蜜罐;工業(yè)互聯(lián)網(wǎng);網(wǎng)絡(luò )安全

1　引言

工業(yè)蜜罐技術(shù)是工業(yè)企業(yè)防守者得以觀(guān)察攻擊者行為的新興網(wǎng)絡(luò )防御戰術(shù)，通過(guò)誘騙攻擊者和惡意應用暴露自身，以便研究人員能夠設計出有效的防護措施。工業(yè)蜜罐技術(shù)提供低誤報、高質(zhì)量的監測數據。因此，工業(yè)企業(yè)安全人員在構建自身威脅檢測能力的時(shí)候，應將工業(yè)蜜罐技術(shù)加入安全防御體系中^[1]。

在Gartner2018年10大戰略技術(shù)之一的CARTA（持續自適應風(fēng)險與信任評估）中，蜜罐技術(shù)承擔了重要的角色，作為運行時(shí)風(fēng)險與信任評估的重要手段之一。目前蜜罐技術(shù)與理念已經(jīng)被成功運用到安全防護體系中^[2]。

2　需求分析

隨著(zhù)信息技術(shù)的發(fā)展，工業(yè)企業(yè)已經(jīng)建立了比較完善的信息系統，提供的服務(wù)大大提升了組織的服務(wù)效率、延伸了組織的服務(wù)能力，但同時(shí)也面臨黑灰產(chǎn)業(yè)利用和APT組織攻擊、0day漏洞等未知威脅攻擊的風(fēng)險，圍繞著(zhù)信息系統的安全能力建設需要更偏向實(shí)戰化，在攻防不平衡的現狀下亟需針對威脅提供高效的主動(dòng)檢測防御技術(shù)能力，優(yōu)化企業(yè)整體安全防御體系?？偨Y工業(yè)企業(yè)當前網(wǎng)絡(luò )安全需求歸納如下：

2.1　攻擊延緩需求

攻擊者對工業(yè)企業(yè)進(jìn)行信息收集到漏洞利用進(jìn)行攻擊整個(gè)鏈條中，工業(yè)企業(yè)需要在不同階段提供迷惑攻擊視線(xiàn)，延緩攻擊進(jìn)程的能力。讓攻擊者收集虛假信息，進(jìn)入內網(wǎng)虛假蜜網(wǎng)環(huán)境并和虛假服務(wù)器、數據庫、業(yè)務(wù)系統進(jìn)行交互。

2.2　未知威脅檢測需求

面對攻擊者的訪(fǎng)問(wèn)，工業(yè)企業(yè)需要對APT組織攻擊及0day漏洞等未知威脅攻擊進(jìn)行有效檢測與發(fā)現，缺乏有效的監控技術(shù)能力來(lái)捕獲關(guān)鍵惡意行為。

2.3　攻擊全過(guò)程記錄追蹤需求

針對攻擊者從入侵、安裝、控制、意圖四個(gè)階段全過(guò)程需要進(jìn)行全面記錄，從資產(chǎn)服務(wù)端口探測、攻擊行為動(dòng)作、遠程攻擊命令等行為記錄；以攻擊者視角對攻擊提供智能分析、全面剖析且直觀(guān)展示攻擊鏈的詳細信息。

2.4　威脅快速預警需求

工業(yè)企業(yè)面對已知和未知的威脅需要有快速預警能力，對威脅進(jìn)行集中展示，提供多維度展示為企業(yè)防守方進(jìn)行應急響應提供有效信息支撐。

2.5　精準攻擊溯源需求

針對傳統防御產(chǎn)品無(wú)法精準溯源攻擊者身份問(wèn)題，對溯源攻擊者能力需求，要能精準獲取指紋信息，結合情報信息準確定位攻擊者位置或身份，達到溯源目的^[3]。

3　工業(yè)蜜罐技術(shù)架構及原理

3.1　技術(shù)架構

工業(yè)蜜罐技術(shù)主要由威脅管理系統與威脅感知傳感器組成，威脅感知傳感器可廣泛應用于缺少防護、審計、不便于升級、無(wú)法升級改造的工業(yè)控制系統中，傳感器本身極具擴展性，且工業(yè)蜜罐具備分布式、統一威脅管理特性。工業(yè)蜜罐架構如圖1所示，傳感器內部通過(guò)虛擬網(wǎng)絡(luò )仿真模塊可以在專(zhuān)用硬件上虛擬海量工控設備、服務(wù)、應用，作為干擾項目引導攻擊流量，通過(guò)對攻擊行為展開(kāi)實(shí)時(shí)分析，最終實(shí)現對各種可疑的網(wǎng)絡(luò )活動(dòng)、安全威脅、攻擊事件進(jìn)行實(shí)時(shí)告警。

圖1 技術(shù)架構

3.2　技術(shù)原理

工業(yè)蜜罐基于K8S+docker+KVM等虛擬化技術(shù)，結合SDN技術(shù)構建業(yè)務(wù)高度偽裝蜜罐服務(wù)以及欺騙偽裝蜜網(wǎng)；結合客戶(hù)業(yè)務(wù)特點(diǎn)，在客戶(hù)不同業(yè)務(wù)網(wǎng)絡(luò )區域部署對應蜜罐服務(wù)，迷惑攻擊者的同時(shí)收集蜜罐獲取的攻擊行為相關(guān)日志進(jìn)行集中分析、監控、告警，為企業(yè)提供攻擊行為畫(huà)像、提供溯源分析和攻擊報告^[4]，技術(shù)原理如圖2所示。

圖2 技術(shù)原理

4　工業(yè)蜜罐技術(shù)實(shí)現功能

4.1　仿真能力

· 工業(yè)蜜罐能夠實(shí)現針對應用服務(wù)的仿真包括：（1）web類(lèi):Weblogic、tomcat、thinkphp、wordpress、wiki、wildfly等；（2）數據庫類(lèi):MySql、phpmyadmin等；（3）系統服務(wù)仿真:SSH、Telnet、FTP等等；（4）工業(yè)場(chǎng)景類(lèi):支持真實(shí)工控系統交互仿真、發(fā)電站西門(mén)子控制器交互、變電站測控裝置交互、遠動(dòng)裝置交互、調度OMS系統交互等^[5]。

·能夠實(shí)現針對工業(yè)協(xié)議的仿真，包括針對IEC61850主要仿真變電站的場(chǎng)景，開(kāi)放102端口，記錄連接的打開(kāi)和關(guān)閉；記錄對文件的訪(fǎng)問(wèn)和刪除；關(guān)鍵配置定值PTOC1.Set61.setMag.f的修改；針對104協(xié)議仿真，主要是對電廠(chǎng)中104協(xié)議的服務(wù)仿真模擬，記錄服務(wù)的連接和斷開(kāi)，實(shí)現對各種遙控、遙信等命令動(dòng)作的翻譯和記錄；針對S7協(xié)議主要實(shí)現仿真程序主要記錄了連接的打開(kāi)和斷開(kāi)；系統信息的讀??；數據的寫(xiě)和讀動(dòng)作記錄；塊的操作；CPU的相關(guān)操作等信息。針對Modbus實(shí)現仿真程序主要記錄了（1）連接的建立信息（2）讀線(xiàn)圈寄存器（3）讀離散輸入寄存器（4）讀保持寄存器（5）讀輸入寄存器（6）寫(xiě)單個(gè)保持寄存器。

· 能夠實(shí)現漏洞仿真系統默認集成自身帶有漏洞的高甜度蜜罐，例如Weblogic、Shiro、Struts2等，保障蜜罐的高仿真度和誘捕能力，可定制熱點(diǎn)漏洞的仿真。

4.2　未知威脅檢測

基于工業(yè)蜜罐技術(shù)獨特的行為識別，依靠高仿真業(yè)務(wù)在網(wǎng)絡(luò )中布下的層層陷阱，當攻擊者訪(fǎng)問(wèn)，可對0day及APT等高級攻擊與未知威脅進(jìn)行有效發(fā)現。技術(shù)上進(jìn)行驅動(dòng)層監控，早于入侵者入場(chǎng)，隱藏自身存在，具有先手優(yōu)勢，捕獲關(guān)鍵惡意行為。

4.3　智能分析引擎

基于規則鏈的有限狀態(tài)自動(dòng)機原理，可根據規則鏈從海量進(jìn)程監控數據中分析截取攻擊事件數據。單個(gè)分析引擎可接收多個(gè)仿真系統產(chǎn)生的數據，可根據規則對不同仿真系統的數據進(jìn)行區分隔離和融合，分析引擎預留插件接口，可通過(guò)插件實(shí)現更加復雜和定制化的分析邏輯。

經(jīng)過(guò)智能分析引擎的匹配分析，可從入侵、安裝、控制、意圖四個(gè)階段直觀(guān)展示攻擊鏈的詳細信息。入侵階段包括端口掃描、連接端口、登錄服務(wù)等行為，安裝階段包括注入代碼、下載惡意樣本、設置注冊表自動(dòng)啟動(dòng)、程序自刪除等行為，控制階段包括連接C&C服務(wù)器、黑客遠程攻擊命令輸入等行為，意圖包括使用某些特定家族的樣本實(shí)現數據竊取、勒索等目的的行為。

4.4　威脅感知

工業(yè)蜜罐通過(guò)配置可對網(wǎng)段、多端口的仿真覆蓋，實(shí)現惡意的掃描、探測、攻擊，可實(shí)時(shí)感知并快速上報，對于攻擊第一時(shí)間告警，應用于密級較高的網(wǎng)絡(luò )場(chǎng)景，進(jìn)行主動(dòng)防御防護。

在公開(kāi)的網(wǎng)站中設置虛假信息，在黑客收集信息階段對其造成誤導，使其攻擊目標轉向蜜罐，間接保護其他資產(chǎn)^[3]。

主機誘餌需要提前投放到在真實(shí)環(huán)境中，在其預留一些連接到其他蜜罐的歷史操作指令、放置SSH連接蜜罐過(guò)程中的公鑰記錄或在主機誘餌指向的蜜罐上開(kāi)放有利用價(jià)值的端口，在攻擊者做嗅探時(shí)，可以吸引其入侵并進(jìn)入蜜罐；類(lèi)如攻擊者偏愛(ài)OA、郵件等用戶(hù)量較大的系統，可在重點(diǎn)區域部署此類(lèi)誘餌，并通過(guò)在真實(shí)服務(wù)器偽造虛假的連接記錄誘導攻擊者掉入陷阱，最后將攻擊者的攻擊視線(xiàn)轉移到蜜罐之中。

4.5　溯源反制

攻擊行為進(jìn)入蜜罐后，蜜罐可記錄所有的攻擊數據，包括攻擊報文、攻擊樣本等攻擊過(guò)程數據。攻擊數據可通過(guò)IP、時(shí)間等查詢(xún)，界面可展示攻擊者IP、地理位置、來(lái)源蜜罐以及攻擊的詳細信息。

5 工業(yè)互聯(lián)網(wǎng)場(chǎng)景應用

（1）部署在互聯(lián)網(wǎng)網(wǎng)絡(luò )出口，模擬Web系統和PLC等，造成IT網(wǎng)絡(luò )業(yè)務(wù)系統和生產(chǎn)端暴露在公網(wǎng)的假象，誘惑攻擊者進(jìn)入；

（2）部署企業(yè)內網(wǎng)，仿真OA、ERP等系統，對攻擊者進(jìn)行誘捕，同時(shí)可有效監測惡意代碼擴散等；

（3）部署生產(chǎn)網(wǎng)，仿真PLC等設備，有點(diǎn)監測到惡意代碼的擴散、外部攻擊的進(jìn)入以及第三方運維的惡意掃描等行為，工業(yè)蜜罐部署場(chǎng)景如圖3所示。

圖3 工業(yè)蜜罐部署場(chǎng)景

6　工業(yè)蜜罐價(jià)值

6.1自身安全性

上層架構中，業(yè)務(wù)和管理分離，具有各自獨立的命名空間，并處于不同的邏輯交換機下，網(wǎng)絡(luò )二層隔離，通過(guò)蜜罐的網(wǎng)絡(luò )空間和網(wǎng)絡(luò )空間的權限的隔離，保障系統內部安全。

工業(yè)蜜罐一般具有專(zhuān)有的防逃逸方案，具體如下：

所有運行的蜜罐服務(wù)不以root權限運行，對每個(gè)服務(wù)進(jìn)程的權限進(jìn)行精準控制，蜜網(wǎng)中的服務(wù)限制主動(dòng)外連等多種技術(shù)手段保障防逃逸。

采用自研的代碼框架，各模塊在統一的框架平臺，按照統一的代碼要求進(jìn)行開(kāi)發(fā)，不但保證了代碼的規范，也保證各模塊的開(kāi)發(fā)效率。

對自研框架進(jìn)行持續的維護升級，不斷提升安全性。借由框架的安全性，提升產(chǎn)品的整體安全性，框架的升級對各模塊子功能完全透明。

6.2　低誤報

工業(yè)蜜罐的實(shí)現原理，決定著(zhù)低誤報的特點(diǎn)，正常操作一般不會(huì )進(jìn)入到蜜罐系統，任何觸碰和進(jìn)入蜜罐的行為均被詳細定位和分析，“攻擊即報警，響應即處置”^[6]。

6.3　蜜網(wǎng)組建

工業(yè)蜜罐具有多種蜜網(wǎng)組建方式，可通過(guò)直連和探針兩種模式實(shí)現不同蜜網(wǎng)的設計，探針適用于Linux、Windows、Mac等系統的部署，適用性強。不同組網(wǎng)方式都可實(shí)現網(wǎng)絡(luò )攻擊流量的轉發(fā)和捕獲，形成蜜網(wǎng)，具有高迷惑性，攻擊者一旦進(jìn)入蜜網(wǎng)即會(huì )被拖住，且所有操作行為被記錄，很難逃脫。蜜網(wǎng)功能與高仿真蜜罐相結合，保障其真實(shí)性，進(jìn)行攻擊過(guò)程的有效捕獲。

6.4　誘捕能力

一般工業(yè)企業(yè)核心生產(chǎn)環(huán)節安全防護能力薄弱：企業(yè)安全存在技術(shù)上或管理上的薄弱環(huán)節，例如發(fā)電企業(yè)尤其明顯，電力攻擊隊伍更愿意嘗試從廠(chǎng)站發(fā)起攻擊。廠(chǎng)站突破可能影響主站：部分廠(chǎng)站直連主站，為主站安全防護帶來(lái)壓力，主站安全防護亟需進(jìn)一步提升風(fēng)險主動(dòng)識別能力、攻擊溯源能力，以及誘捕能力。無(wú)論是攻擊隊還是敵對勢力攻擊者均會(huì )更加關(guān)注生產(chǎn)相關(guān)系統及突破口，電力監控系統未來(lái)將會(huì )成為攻擊者眼中最為重要的目標，演練中的攻擊人員更有分寸，通常不會(huì )對生產(chǎn)造成影響，但敵對勢力將會(huì )以破壞生產(chǎn)為最終目的。

電力企業(yè)中生產(chǎn)控制大區設備蜜罐前置到調度三區或者互聯(lián)網(wǎng)大區的廠(chǎng)網(wǎng)業(yè)務(wù)區，通過(guò)“生產(chǎn)環(huán)境前置”的方式欺騙攻擊者，達到真正的保護生產(chǎn)業(yè)務(wù)；可以仿真的變電站監控系統主要包括：監控系統、繼電保護、測控裝置、故障錄波裝置、輔助設備監控等^[7]。

7　結論

工業(yè)蜜罐技術(shù)可以通過(guò)溯源、反制等功能獲取到攻擊者的IP、微信、QQ等社交信息賬號，結合攻擊過(guò)程、攻擊報文等信息可以溯源到攻擊個(gè)人，實(shí)現溯源取證；該技術(shù)具有強大的業(yè)務(wù)高仿真和蜜網(wǎng)組建能力，通過(guò)在入侵者必經(jīng)之路上構造陷阱，混淆攻擊目標，吸引攻擊者進(jìn)入蜜網(wǎng)，拖住攻擊者延緩攻擊，從而保護真實(shí)系統，為應急響應爭取時(shí)間^[8]。工業(yè)蜜罐技術(shù)的低誤報特性決定了數據的準確性，獲取攻擊者的地址、樣本、黑客指紋等信息，可掌握其詳細攻擊路徑、攻擊工具、終端指紋和行為特征，實(shí)現全面取證，精準溯源[6]。同時(shí)可通過(guò)syslog方式將捕獲的數據發(fā)送到第三方平臺，為整體威脅分析提供有效數據，為攻擊研判提供依據。工業(yè)蜜罐部署在企業(yè)邊界與核心PLC/DCS系統網(wǎng)絡(luò )位置，針對用戶(hù)工控網(wǎng)路、生產(chǎn)設備、辦公網(wǎng)絡(luò )同時(shí)進(jìn)行針對性模擬，通過(guò)牽引攻擊行為與重定向攻擊流量，最終達到迷惑攻擊者和誘捕轉移攻擊行為的特性。在誘捕過(guò)程中，充分模擬工控設備的應用、主機、系統、網(wǎng)絡(luò )的指紋，以及通訊、協(xié)議應用等行為過(guò)程，形成海量虛擬設備組成的“仿真系統”區域，保護并隱藏過(guò)程控制系統資產(chǎn)，為控制系統網(wǎng)絡(luò )建立主動(dòng)積極防御的安全屏障，切實(shí)提升電力系統整體的“主動(dòng)防御”、“入侵檢測”、“安全審計”能力提供網(wǎng)絡(luò )安全預警^[9]。

作者簡(jiǎn)介：

卜　鈺（1979-），男，山東濟南人，碩士，現任山東外事服務(wù)保障中心信息化主任，主要從事電子政務(wù)、網(wǎng)絡(luò )安全、保密科技等。

參考文獻：

[1] 青藤云安全. 一種基于欺騙防御的入侵檢測技術(shù)研究[EB/OL]. [2019-09-18].  

[2] CSDN. 逐一解讀Gartner評出的11大信息安全技術(shù)[EB/OL]. [2018-03-05].

[3] 裴辰曄. 網(wǎng)絡(luò )欺騙防御技術(shù)在電廠(chǎng)網(wǎng)絡(luò )安全中的應用[J]. 網(wǎng)絡(luò )安全技術(shù)與應用, 2022 (10) : 110 - 111.

[4] 陳學(xué)亮, 范淵, 黃進(jìn). 蜜罐切換方法、系統、計算機及可讀存儲介質(zhì): CN202110917762.8[P]. 2021 - 11 - 16.

[5] 網(wǎng)御星云. 網(wǎng)御星云工業(yè)蜜罐: 以場(chǎng)景化主動(dòng)安全防御思路破局工控安全難題[EB/OL]. [2021-11-19].

[6] 蔡晶晶, 潘柱廷, 張凱, 等. 以平行仿真技術(shù)為核心的網(wǎng)絡(luò )安全蜜罐技術(shù)路線(xiàn)[J]. 信息技術(shù)與標準化, 2019 (10) : 22 - 26.

[7] 彭志強, 張小易, 袁宇波. 智能變電站間隔層設備仿真系統模塊化設計與實(shí)現[J]. 電氣應用, 2014 (19) : 106 - 110.

[8] 宋波, 李楠, 李雪源, 等. 基于氣象信息化發(fā)展的網(wǎng)絡(luò )安全建設[J]. 網(wǎng)絡(luò )安全技術(shù)與應用, 2022 (10) : 111 - 112.

[9] 數世咨詢(xún). 蜜罐誘捕能力指南[EB/OL]. [2020-12-11].

摘自《自動(dòng)化博覽》2023年8月刊