“蜜罐”技術在工控安全檢測中的應用

1.    前言

電力、石化、鋼鐵、軌道交通等行業工業控制系統是國家關鍵資訊基礎設施的重要組成部分，其工業控制系統的運作狀況可直接作用于實體世界，如2015年12月烏克蘭停電事件，黑客攻擊了該國電力公司的主要系統，導緻7個110KV的變電站和23個35KV的變電站出現故障，使22.5萬使用者斷電數小時。

随着兩化融合和“網際網路+”的推進，工業企業在注重控制系統功能安全、環境安全的同時，工控網絡安全也已成為工業領域無法回避的問題。但由于工控行業網絡安全意識較弱以及工控業務對實時性、可靠性、連續性的極高要求，導緻工控安全産品在現階段無法大規模部署和使用（尤其工業防火牆等串聯裝置）。如何在不影響目前業務可靠性及網絡結構的前提下，進行工控安全檢測與響應是目前工控安全廠商的研究熱點。

2.    蜜罐技術

蜜罐技術本質上是一種對攻擊方進行欺騙的技術，通過布置一些作為誘餌的主機、網絡服務或者資訊，誘使攻擊方對它們實施攻擊，進而可以對攻擊行為進行捕獲和分析，了解攻擊方所使用的工具與方法，推測攻擊意圖和動機，能夠讓防禦方清晰地了解他們所面對的安全威脅，并通過技術和管理手段來增強實際系統的安全防護能力。

3.    蜜罐技術在工控安全檢測中的應用

目前工控安全審計檢測類産品大多基于旁路網絡流量和産品自身特征庫等手段進行網絡審計和安全檢測，但由于旁路流量存在丢包以及流量類型不全面、監測位置過于趨向網絡核心層等問題，使旁路檢測類産品難以防範複雜攻擊，且具有較高的誤報率。同時由于工業環境網絡隔離的特性，使産品無法自動更新特征庫，造成攻擊檢測的嚴重滞後。

蜜罐系統憑借其獨立性以及對工控系統的無幹擾性，可有效解決現階段工控安全産品對工控網絡、流量以及實時性的影響，彌補無法在工控裝置、工控主機、工控伺服器内安裝安全代理或安全探針的問題，有效提高安全檢測的精度，降低誤報。

工業企業網絡架構一般可分為管理資訊層、生産管理層、過程監控層、現場控制層以及現場裝置層。管理資訊層為傳統資訊網絡，生産管理層、過程監控層、現場控制層以及現場裝置層為工業生産網絡。現階段工業企業在管理資訊網與工業生産網之間一般采用實體隔離或邏輯隔離的方式進行網絡分層，針對每種隔離方式存在不同的攻擊類型。

• 雙網實體隔離環境

針對管理資訊網與生産網實體隔離的環境，攻擊者一般采用惡意軟體攻擊與跳闆攻擊相結合的方式。惡意軟體攻擊一般借助社會工程學、水坑攻擊、釣魚郵件攻擊等方式将惡意軟體植入受害者辦公主機内。此類工業企業由于在管理資訊網與工業生産網絡之間部署了實體隔離裝置，導緻惡意軟體不能直接進入生産控制網絡，此時惡意軟體會借助移動終端、移動存儲媒體、第三方終端等方式進入工業生産網主機，并以此主機為“據點”進行後續攻擊操作。此類惡意軟體一般具有較高的自動化特性，可根據目标環境進行裝置的自動識别，自動傳播、自動攻擊。

• 雙網邏輯隔離環境

此環境下，工業企業一般在管理資訊網與工業生産網之間部署了防火牆等邏輯隔離裝置，或采用單主機雙方卡的形式實作邏輯隔離。由于邏輯隔離沒有阻斷網絡層的連接配接，極容易導緻攻擊者繞過邏輯隔離裝置進入生産網絡。在此環境下，攻擊者可以采用惡意軟體以及内網反彈的方式直接擷取内網主機的操控權限，此類攻擊具有較強的靈活性。

由于目前的網絡攻擊方式大多基于IT架構，是以工業生産網絡内的各工程師站、操作員站、監控站必然成為惡意軟體以及攻擊者進行“下一步”攻擊的“落腳點”。以蠕蟲病毒為例，其攻擊步驟可分為感染主機à自動掃描à發現漏洞à自動傳播。由于蜜罐系統的開放性以及自身存在較多安全漏洞，再配合良好的部署位置，會成為攻擊者絕佳的“落腳點”，蜜罐系統通過精心構造的安全攻擊與行為跟蹤檢測功能，可以對攻擊行為進行精确記錄、告警，同時與其他安全平台關聯，進而實作網絡攻擊的快速檢測、響應，為工業企業調查驗證提供依據。

4.    蜜罐部署舉例

4.1安全緩沖區

 在管理資訊網與工業生産網絡之間設定安全緩沖區，在此區内設定蜜罐系統，對來自管理資訊網的操作行為進行檢測分析。

4.2生産網絡

在生産網絡内部署蜜罐系統，由于工業生産業務相對固定，蜜罐系統在正常網絡流量下不會被通路操作，但當出現病毒、木馬、黑客攻擊等操作時，蜜罐系統會表現出攻擊特征，并發出告警。