淺析工業(yè)蜜罐技術(shù)在工業(yè)互聯(lián)網(wǎng)場景下應(yīng)用

1引言

工業(yè)蜜罐技術(shù)是工業(yè)企業(yè)防守者得以觀察攻擊者行為的新興網(wǎng)絡(luò)防御戰(zhàn)術(shù)，通過誘騙攻擊者和惡意應(yīng)用暴露自身，以便研究人員能夠設(shè)計出有效的防護措施。工業(yè)蜜罐技術(shù)提供低誤報、高質(zhì)量的監(jiān)測數(shù)據(jù)。因此，工業(yè)企業(yè)安全人員在構(gòu)建自身威脅檢測能力的時候，應(yīng)將工業(yè)蜜罐技術(shù)加入安全防御體系中。在Gartner2018年10大戰(zhàn)略技術(shù)之一的CARTA（持續(xù)自適應(yīng)風(fēng)險與信任評估）中，蜜罐技術(shù)承擔(dān)了重要的角色，作為運行時風(fēng)險與信任評估的重要手段之一。目前蜜罐技術(shù)與理念已經(jīng)被成功運用到安全防護體系中。2需求分析

隨著信息技術(shù)的發(fā)展，工業(yè)企業(yè)已經(jīng)建立了比較完善的信息系統(tǒng)，提供的服務(wù)大大提升了組織的服務(wù)效率、延伸了組織的服務(wù)能力，但同時也面臨黑灰產(chǎn)業(yè)利用和APT組織攻擊、0day漏洞等未知威脅攻擊的風(fēng)險，圍繞著信息系統(tǒng)的安全能力建設(shè)需要更偏向?qū)崙?zhàn)化，在攻防不平衡的現(xiàn)狀下亟需針對威脅提供高效的主動檢測防御技術(shù)能力，優(yōu)化企業(yè)整體安全防御體系。總結(jié)工業(yè)企業(yè)當(dāng)前網(wǎng)絡(luò)安全需求歸納如下：

2.1攻擊延緩需求

攻擊者對工業(yè)企業(yè)進行信息收集到漏洞利用進行攻擊整個鏈條中，工業(yè)企業(yè)需要在不同階段提供迷惑攻擊視線，延緩攻擊進程的能力。讓攻擊者收集虛假信息，進入內(nèi)網(wǎng)虛假蜜網(wǎng)環(huán)境并和虛假服務(wù)器、數(shù)據(jù)庫、業(yè)務(wù)系統(tǒng)進行交互。

2.2未知威脅檢測需求

面對攻擊者的訪問，工業(yè)企業(yè)需要對APT組織攻擊及0day漏洞等未知威脅攻擊進行有效檢測與發(fā)現(xiàn)，缺乏有效的監(jiān)控技術(shù)能力來捕獲關(guān)鍵惡意行為。

2.3攻擊全過程記錄追蹤需求

針對攻擊者從入侵、安裝、控制、意圖四個階段全過程需要進行全面記錄，從資產(chǎn)服務(wù)端口探測、攻擊行為動作、遠程攻擊命令等行為記錄；以攻擊者視角對攻擊提供智能分析、全面剖析且直觀展示攻擊鏈的詳細信息。

2.4威脅快速預(yù)警需求工業(yè)企業(yè)面對已知和未知的威脅需要有快速預(yù)警能力，對威脅進行集中展示，提供多維度展示為企業(yè)防守方進行應(yīng)急響應(yīng)提供有效信息支撐。

2.5精準攻擊溯源需求

針對傳統(tǒng)防御產(chǎn)品無法精準溯源攻擊者身份問題，對溯源攻擊者能力需求，要能精準獲取指紋信息，結(jié)合情報信息準確定位攻擊者位置或身份，達到溯源目的。3工業(yè)蜜罐技術(shù)架構(gòu)及原理

3.1技術(shù)架構(gòu)

工業(yè)蜜罐技術(shù)主要由威脅管理系統(tǒng)與威脅感知傳感器組成，威脅感知傳感器可廣泛應(yīng)用于缺少防護、審計、不便于升級、無法升級改造的工業(yè)控制系統(tǒng)中，傳感器本身極具擴展性，且工業(yè)蜜罐具備分布式、統(tǒng)一威脅管理特性。工業(yè)蜜罐架構(gòu)如圖1所示，傳感器內(nèi)部通過虛擬網(wǎng)絡(luò)仿真模塊可以在專用硬件上虛擬海量工控設(shè)備、服務(wù)、應(yīng)用，作為干擾項目引導(dǎo)攻擊流量，通過對攻擊行為展開實時分析，最終實現(xiàn)對各種可疑的網(wǎng)絡(luò)活動、安全威脅、攻擊事件進行實時告警。圖1技術(shù)架構(gòu)3.2技術(shù)原理

工業(yè)蜜罐基于K8S+docker+KVM等虛擬化技術(shù)，結(jié)合SDN技術(shù)構(gòu)建業(yè)務(wù)高度偽裝蜜罐服務(wù)以及欺騙偽裝蜜網(wǎng)；結(jié)合客戶業(yè)務(wù)特點，在客戶不同業(yè)務(wù)網(wǎng)絡(luò)區(qū)域部署對應(yīng)蜜罐服務(wù)，迷惑攻擊者的同時收集蜜罐獲取的攻擊行為相關(guān)日志進行集中分析、監(jiān)控、告警，為企業(yè)提供攻擊行為畫像、提供溯源分析和攻擊報告，技術(shù)原理如圖2所示。圖2技術(shù)原理4工業(yè)蜜罐技術(shù)實現(xiàn)功能

4.1仿真能力

工業(yè)蜜罐能夠?qū)崿F(xiàn)針對應(yīng)用服務(wù)的仿真包括：（1）web類:Weblogic、tomcat、thinkphp、wordpress、wiki、wildfly等；（2）數(shù)據(jù)庫類:MySql、phpmyadmin等；（3）系統(tǒng)服務(wù)仿真:SSH、Telnet、FTP等等；（4）工業(yè)場景類:支持真實工控系統(tǒng)交互仿真、發(fā)電站西門子控制器交互、變電站測控裝置交互、遠動裝置交互、調(diào)度OMS系統(tǒng)交互等。

能夠?qū)崿F(xiàn)針對工業(yè)協(xié)議的仿真，包括針對IEC61850主要仿真變電站的場景，開放102端口，記錄連接的打開和關(guān)閉；記錄對文件的訪問和刪除；關(guān)鍵配置定值PTOC1.Set61.setMag.f的修改；針對104協(xié)議仿真，主要是對電廠中104協(xié)議的服務(wù)仿真模擬，記錄服務(wù)的連接和斷開，實現(xiàn)對各種遙控、遙信等命令動作的翻譯和記錄；針對S7協(xié)議主要實現(xiàn)仿真程序主要記錄了連接的打開和斷開；系統(tǒng)信息的讀?。粩?shù)據(jù)的寫和讀動作記錄；塊的操作；CPU的相關(guān)操作等信息。針對Modbus實現(xiàn)仿真程序主要記錄了（1）連接的建立信息（2）讀線圈寄存器（3）讀離散輸入寄存器（4）讀保持寄存器（5）讀輸入寄存器（6）寫單個保持寄存器。

能夠?qū)崿F(xiàn)漏洞仿真系統(tǒng)默認集成自身帶有漏洞的高甜度蜜罐，例如Weblogic、Shiro、Struts2等，保障蜜罐的高仿真度和誘捕能力，可定制熱點漏洞的仿真。

4.2未知威脅檢測基于工業(yè)蜜罐技術(shù)獨特的行為識別，依靠高仿真業(yè)務(wù)在網(wǎng)絡(luò)中布下的層層陷阱，當(dāng)攻擊者訪問，可對0day及APT等高級攻擊與未知威脅進行有效發(fā)現(xiàn)。技術(shù)上進行驅(qū)動層監(jiān)控，早于入侵者入場，隱藏自身存在，具有先手優(yōu)勢，捕獲關(guān)鍵惡意行為。

4.3智能分析引擎

基于規(guī)則鏈的有限狀態(tài)自動機原理，可根據(jù)規(guī)則鏈從海量進程監(jiān)控數(shù)據(jù)中分析截取攻擊事件數(shù)據(jù)。單個分析引擎可接收多個仿真系統(tǒng)產(chǎn)生的數(shù)據(jù)，可根據(jù)規(guī)則對不同仿真系統(tǒng)的數(shù)據(jù)進行區(qū)分隔離和融合，分析引擎預(yù)留插件接口，可通過插件實現(xiàn)更加復(fù)雜和定制化的分析邏輯。經(jīng)過智能分析引擎的匹配分析，可從入侵、安裝、控制、意圖四個階段直觀展示攻擊鏈的詳細信息。入侵階段包括端口掃描、連接端口、登錄服務(wù)等行為，安裝階段包括注入代碼、下載惡意樣本、設(shè)置注冊表自動啟動、程序自刪除等行為，控制階段包括連接C&C服務(wù)器、黑客遠程攻擊命令輸入等行為，意圖包括使用某些特定家族的樣本實現(xiàn)數(shù)據(jù)竊取、勒索等目的的行為。

4.4威脅感知

工業(yè)蜜罐通過配置可對網(wǎng)段、多端口的仿真覆蓋，實現(xiàn)惡意的掃描、探測、攻擊，可實時感知并快速上報，對于攻擊第一時間告警，應(yīng)用于密級較高的網(wǎng)絡(luò)場景，進行主動防御防護。在公開的網(wǎng)站中設(shè)置虛假信息，在黑客收集信息階段對其造成誤導(dǎo)，使其攻擊目標轉(zhuǎn)向蜜罐，間接保護其他資產(chǎn)。主機誘餌需要提前投放到在真實環(huán)境中，在其預(yù)留一些連接到其他蜜罐的歷史操作指令、放置SSH連接蜜罐過程中的公鑰記錄或在主機誘餌指向的蜜罐上開放有利用價值的端口，在攻擊者做嗅探時，可以吸引其入侵并進入蜜罐；類如攻擊者偏愛OA、郵件等用戶量較大的系統(tǒng)，可在重點區(qū)域部署此類誘餌，并通過在真實服務(wù)器偽造虛假的連接記錄誘導(dǎo)攻擊者掉入陷阱，最后將攻擊者的攻擊視線轉(zhuǎn)移到蜜罐之中。

4.5溯源反制

攻擊行為進入蜜罐后，蜜罐可記錄所有的攻擊數(shù)據(jù)，包括攻擊報文、攻擊樣本等攻擊過程數(shù)據(jù)。攻擊數(shù)據(jù)可通過IP、時間等查詢，界面可展示攻擊者IP、地理位置、來源蜜罐以及攻擊的詳細信息。5工業(yè)互聯(lián)網(wǎng)場景應(yīng)用

（1）部署在互聯(lián)網(wǎng)網(wǎng)絡(luò)出口，模擬Web系統(tǒng)和PLC等，造成IT網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)和生產(chǎn)端暴露在公網(wǎng)的假象，誘惑攻擊者進入；

（2）部署企業(yè)內(nèi)網(wǎng)，仿真OA、ERP等系統(tǒng)，對攻擊者進行誘捕，同時可有效監(jiān)測惡意代碼擴散等；（3）部署生產(chǎn)網(wǎng)，仿真PLC等設(shè)備，有點監(jiān)測到惡意代碼的擴散、外部攻擊的進入以及第三方運維的惡意掃描等行為，工業(yè)蜜罐部署場景如圖3所示。圖3工業(yè)蜜罐部署場景6工業(yè)蜜罐價值

6.1自身安全性

上層架構(gòu)中，業(yè)務(wù)和管理分離，具有各自獨立的命名空間，并處于不同的邏輯交換機下，網(wǎng)絡(luò)二層隔離，通過蜜罐的網(wǎng)絡(luò)空間和網(wǎng)絡(luò)空間的權(quán)限的隔離，保障系統(tǒng)內(nèi)部安全。工業(yè)蜜罐一般具有專有的防逃逸方案，具體如下：所有運行的蜜罐服務(wù)不以root權(quán)限運行，對每個服務(wù)進程的權(quán)限進行精準控制，蜜網(wǎng)中的服務(wù)限制主動外連等多種技術(shù)手段保障防逃逸。采用自研的代碼框架，各模塊在統(tǒng)一的框架平臺，按照統(tǒng)一的代碼要求進行開發(fā)，不但保證了代碼的規(guī)范，也保證各模塊的開發(fā)效率。對自研框架進行持續(xù)的維護升級，不斷提升安全性。借由框架的安全性，提升產(chǎn)品的整體安全性，框架的升級對各模塊子功能完全透明。

6.2低誤報

工業(yè)蜜罐的實現(xiàn)原理，決定著低誤報的特點，正常操作一般不會進入到蜜罐系統(tǒng)，任何觸碰和進入蜜罐的行為均被詳細定位和分析，“攻擊即報警，響應(yīng)即處置”。

6.3蜜網(wǎng)組建

工業(yè)蜜罐具有多種蜜網(wǎng)組建方式，可通過直連和探針兩種模式實現(xiàn)不同蜜網(wǎng)的設(shè)計，探針適用于Linux、Windows、Mac等系統(tǒng)的部署，適用性強。不同組網(wǎng)方式都可實現(xiàn)網(wǎng)絡(luò)攻擊流量的轉(zhuǎn)發(fā)和捕獲，形成蜜網(wǎng)，具有高迷惑性，攻擊者一旦進入蜜網(wǎng)即會被拖住，且所有操作行為被記錄，很難逃脫。蜜網(wǎng)功能與高仿真蜜罐相結(jié)合，保障其真實性，進行攻擊過程的有效捕獲。

6.4誘捕能力

一般工業(yè)企業(yè)核心生產(chǎn)環(huán)節(jié)安全防護能力薄弱：企業(yè)安全存在技術(shù)上或管理上的薄弱環(huán)節(jié)，例如發(fā)電企業(yè)尤其明顯，電力攻擊隊伍更愿意嘗試從廠站發(fā)起攻擊。廠站突破可能影響主站：部分廠站直連主站，為主站安全防護帶來壓力，主站安全防護亟需進一步提升風(fēng)險主動識別能力、攻擊溯源能力，以及誘捕能力。無論是攻擊隊還是敵對勢力攻擊者均會更加關(guān)注生產(chǎn)相關(guān)系統(tǒng)及突破口，電力監(jiān)控系統(tǒng)未來將會成為攻擊者眼中最為重要的目標，演練中的攻擊人員更有分寸，通常不會對生產(chǎn)造成影響，但敵對勢力將會以破壞生產(chǎn)為最終目的。電力企業(yè)中生產(chǎn)控制大區(qū)設(shè)備蜜罐前置到調(diào)度三區(qū)或者互聯(lián)網(wǎng)大區(qū)的廠網(wǎng)業(yè)務(wù)區(qū)，通過“生產(chǎn)環(huán)境前置”的方式欺騙攻擊者，達到真正的保護生產(chǎn)業(yè)務(wù)；可以仿真的變電站監(jiān)控系統(tǒng)主要包括：監(jiān)控系統(tǒng)、繼電保護、測控裝置、故障錄波裝置、輔助設(shè)備監(jiān)控等。7結(jié)論

工業(yè)蜜罐技術(shù)可以通過溯源、反制等功能獲取到攻擊者的IP、微信、QQ等社交信息賬號，結(jié)合攻擊過程、攻擊報文等信息可以溯源到攻擊個人，實現(xiàn)溯源取證；該技術(shù)具有強大的業(yè)務(wù)高仿真和蜜網(wǎng)組建能力，通過在入侵者必經(jīng)之路上構(gòu)造陷阱，混淆攻擊目標，吸引攻擊者進入蜜網(wǎng)，拖住攻擊者延緩攻擊，從而保護真實系統(tǒng)，為應(yīng)急響應(yīng)爭取時間。工業(yè)蜜罐技術(shù)的低誤報特性決定了數(shù)據(jù)的準確性，獲取攻擊者的地址、樣本、黑客指紋等信息，可掌握其詳細攻擊路徑、攻擊工具、終端指紋和行為特征，實現(xiàn)全面取證，精準溯源。同時可通過syslog方式將捕獲的數(shù)據(jù)發(fā)送到第三方平臺，為整體威脅分析提供有效數(shù)據(jù)，為攻擊研判提供依據(jù)。工業(yè)蜜罐部署在企業(yè)邊界與核心PLC/