★山東外事服務(wù)保障中心卜鈺

關(guān)鍵詞：蜜罐;工業(yè)互聯(lián)網(wǎng);網(wǎng)絡(luò)安全

1　引言

工業(yè)蜜罐技術(shù)是工業(yè)企業(yè)防守者得以觀察攻擊者行為的新興網(wǎng)絡(luò)防御戰(zhàn)術(shù)，通過(guò)誘騙攻擊者和惡意應(yīng)用暴露自身，以便研究人員能夠設(shè)計(jì)出有效的防護(hù)措施。工業(yè)蜜罐技術(shù)提供低誤報(bào)、高質(zhì)量的監(jiān)測(cè)數(shù)據(jù)。因此，工業(yè)企業(yè)安全人員在構(gòu)建自身威脅檢測(cè)能力的時(shí)候，應(yīng)將工業(yè)蜜罐技術(shù)加入安全防御體系中^[1]。

在Gartner2018年10大戰(zhàn)略技術(shù)之一的CARTA（持續(xù)自適應(yīng)風(fēng)險(xiǎn)與信任評(píng)估）中，蜜罐技術(shù)承擔(dān)了重要的角色，作為運(yùn)行時(shí)風(fēng)險(xiǎn)與信任評(píng)估的重要手段之一。目前蜜罐技術(shù)與理念已經(jīng)被成功運(yùn)用到安全防護(hù)體系中^[2]。

2　需求分析

隨著信息技術(shù)的發(fā)展，工業(yè)企業(yè)已經(jīng)建立了比較完善的信息系統(tǒng)，提供的服務(wù)大大提升了組織的服務(wù)效率、延伸了組織的服務(wù)能力，但同時(shí)也面臨黑灰產(chǎn)業(yè)利用和APT組織攻擊、0day漏洞等未知威脅攻擊的風(fēng)險(xiǎn)，圍繞著信息系統(tǒng)的安全能力建設(shè)需要更偏向?qū)崙?zhàn)化，在攻防不平衡的現(xiàn)狀下亟需針對(duì)威脅提供高效的主動(dòng)檢測(cè)防御技術(shù)能力，優(yōu)化企業(yè)整體安全防御體系。總結(jié)工業(yè)企業(yè)當(dāng)前網(wǎng)絡(luò)安全需求歸納如下：

2.1　攻擊延緩需求

攻擊者對(duì)工業(yè)企業(yè)進(jìn)行信息收集到漏洞利用進(jìn)行攻擊整個(gè)鏈條中，工業(yè)企業(yè)需要在不同階段提供迷惑攻擊視線，延緩攻擊進(jìn)程的能力。讓攻擊者收集虛假信息，進(jìn)入內(nèi)網(wǎng)虛假蜜網(wǎng)環(huán)境并和虛假服務(wù)器、數(shù)據(jù)庫(kù)、業(yè)務(wù)系統(tǒng)進(jìn)行交互。

2.2　未知威脅檢測(cè)需求

面對(duì)攻擊者的訪問(wèn)，工業(yè)企業(yè)需要對(duì)APT組織攻擊及0day漏洞等未知威脅攻擊進(jìn)行有效檢測(cè)與發(fā)現(xiàn)，缺乏有效的監(jiān)控技術(shù)能力來(lái)捕獲關(guān)鍵惡意行為。

2.3　攻擊全過(guò)程記錄追蹤需求

針對(duì)攻擊者從入侵、安裝、控制、意圖四個(gè)階段全過(guò)程需要進(jìn)行全面記錄，從資產(chǎn)服務(wù)端口探測(cè)、攻擊行為動(dòng)作、遠(yuǎn)程攻擊命令等行為記錄；以攻擊者視角對(duì)攻擊提供智能分析、全面剖析且直觀展示攻擊鏈的詳細(xì)信息。

2.4　威脅快速預(yù)警需求

工業(yè)企業(yè)面對(duì)已知和未知的威脅需要有快速預(yù)警能力，對(duì)威脅進(jìn)行集中展示，提供多維度展示為企業(yè)防守方進(jìn)行應(yīng)急響應(yīng)提供有效信息支撐。

2.5　精準(zhǔn)攻擊溯源需求

針對(duì)傳統(tǒng)防御產(chǎn)品無(wú)法精準(zhǔn)溯源攻擊者身份問(wèn)題，對(duì)溯源攻擊者能力需求，要能精準(zhǔn)獲取指紋信息，結(jié)合情報(bào)信息準(zhǔn)確定位攻擊者位置或身份，達(dá)到溯源目的^[3]。

3　工業(yè)蜜罐技術(shù)架構(gòu)及原理

3.1　技術(shù)架構(gòu)

工業(yè)蜜罐技術(shù)主要由威脅管理系統(tǒng)與威脅感知傳感器組成，威脅感知傳感器可廣泛應(yīng)用于缺少防護(hù)、審計(jì)、不便于升級(jí)、無(wú)法升級(jí)改造的工業(yè)控制系統(tǒng)中，傳感器本身極具擴(kuò)展性，且工業(yè)蜜罐具備分布式、統(tǒng)一威脅管理特性。工業(yè)蜜罐架構(gòu)如圖1所示，傳感器內(nèi)部通過(guò)虛擬網(wǎng)絡(luò)仿真模塊可以在專用硬件上虛擬海量工控設(shè)備、服務(wù)、應(yīng)用，作為干擾項(xiàng)目引導(dǎo)攻擊流量，通過(guò)對(duì)攻擊行為展開(kāi)實(shí)時(shí)分析，最終實(shí)現(xiàn)對(duì)各種可疑的網(wǎng)絡(luò)活動(dòng)、安全威脅、攻擊事件進(jìn)行實(shí)時(shí)告警。

圖1 技術(shù)架構(gòu)

3.2　技術(shù)原理

工業(yè)蜜罐基于K8S+docker+KVM等虛擬化技術(shù)，結(jié)合SDN技術(shù)構(gòu)建業(yè)務(wù)高度偽裝蜜罐服務(wù)以及欺騙偽裝蜜網(wǎng)；結(jié)合客戶業(yè)務(wù)特點(diǎn)，在客戶不同業(yè)務(wù)網(wǎng)絡(luò)區(qū)域部署對(duì)應(yīng)蜜罐服務(wù)，迷惑攻擊者的同時(shí)收集蜜罐獲取的攻擊行為相關(guān)日志進(jìn)行集中分析、監(jiān)控、告警，為企業(yè)提供攻擊行為畫(huà)像、提供溯源分析和攻擊報(bào)告^[4]，技術(shù)原理如圖2所示。

圖2 技術(shù)原理

4　工業(yè)蜜罐技術(shù)實(shí)現(xiàn)功能

4.1　仿真能力

· 工業(yè)蜜罐能夠?qū)崿F(xiàn)針對(duì)應(yīng)用服務(wù)的仿真包括：（1）web類:Weblogic、tomcat、thinkphp、wordpress、wiki、wildfly等；（2）數(shù)據(jù)庫(kù)類:MySql、phpmyadmin等；（3）系統(tǒng)服務(wù)仿真:SSH、Telnet、FTP等等；（4）工業(yè)場(chǎng)景類:支持真實(shí)工控系統(tǒng)交互仿真、發(fā)電站西門(mén)子控制器交互、變電站測(cè)控裝置交互、遠(yuǎn)動(dòng)裝置交互、調(diào)度OMS系統(tǒng)交互等^[5]。

·能夠?qū)崿F(xiàn)針對(duì)工業(yè)協(xié)議的仿真，包括針對(duì)IEC61850主要仿真變電站的場(chǎng)景，開(kāi)放102端口，記錄連接的打開(kāi)和關(guān)閉；記錄對(duì)文件的訪問(wèn)和刪除；關(guān)鍵配置定值PTOC1.Set61.setMag.f的修改；針對(duì)104協(xié)議仿真，主要是對(duì)電廠中104協(xié)議的服務(wù)仿真模擬，記錄服務(wù)的連接和斷開(kāi)，實(shí)現(xiàn)對(duì)各種遙控、遙信等命令動(dòng)作的翻譯和記錄；針對(duì)S7協(xié)議主要實(shí)現(xiàn)仿真程序主要記錄了連接的打開(kāi)和斷開(kāi)；系統(tǒng)信息的讀取；數(shù)據(jù)的寫(xiě)和讀動(dòng)作記錄；塊的操作；CPU的相關(guān)操作等信息。針對(duì)Modbus實(shí)現(xiàn)仿真程序主要記錄了（1）連接的建立信息（2）讀線圈寄存器（3）讀離散輸入寄存器（4）讀保持寄存器（5）讀輸入寄存器（6）寫(xiě)單個(gè)保持寄存器。

· 能夠?qū)崿F(xiàn)漏洞仿真系統(tǒng)默認(rèn)集成自身帶有漏洞的高甜度蜜罐，例如Weblogic、Shiro、Struts2等，保障蜜罐的高仿真度和誘捕能力，可定制熱點(diǎn)漏洞的仿真。

4.2　未知威脅檢測(cè)

基于工業(yè)蜜罐技術(shù)獨(dú)特的行為識(shí)別，依靠高仿真業(yè)務(wù)在網(wǎng)絡(luò)中布下的層層陷阱，當(dāng)攻擊者訪問(wèn)，可對(duì)0day及APT等高級(jí)攻擊與未知威脅進(jìn)行有效發(fā)現(xiàn)。技術(shù)上進(jìn)行驅(qū)動(dòng)層監(jiān)控，早于入侵者入場(chǎng)，隱藏自身存在，具有先手優(yōu)勢(shì)，捕獲關(guān)鍵惡意行為。

4.3　智能分析引擎

基于規(guī)則鏈的有限狀態(tài)自動(dòng)機(jī)原理，可根據(jù)規(guī)則鏈從海量進(jìn)程監(jiān)控?cái)?shù)據(jù)中分析截取攻擊事件數(shù)據(jù)。單個(gè)分析引擎可接收多個(gè)仿真系統(tǒng)產(chǎn)生的數(shù)據(jù)，可根據(jù)規(guī)則對(duì)不同仿真系統(tǒng)的數(shù)據(jù)進(jìn)行區(qū)分隔離和融合，分析引擎預(yù)留插件接口，可通過(guò)插件實(shí)現(xiàn)更加復(fù)雜和定制化的分析邏輯。

經(jīng)過(guò)智能分析引擎的匹配分析，可從入侵、安裝、控制、意圖四個(gè)階段直觀展示攻擊鏈的詳細(xì)信息。入侵階段包括端口掃描、連接端口、登錄服務(wù)等行為，安裝階段包括注入代碼、下載惡意樣本、設(shè)置注冊(cè)表自動(dòng)啟動(dòng)、程序自刪除等行為，控制階段包括連接C&C服務(wù)器、黑客遠(yuǎn)程攻擊命令輸入等行為，意圖包括使用某些特定家族的樣本實(shí)現(xiàn)數(shù)據(jù)竊取、勒索等目的的行為。

4.4　威脅感知

工業(yè)蜜罐通過(guò)配置可對(duì)網(wǎng)段、多端口的仿真覆蓋，實(shí)現(xiàn)惡意的掃描、探測(cè)、攻擊，可實(shí)時(shí)感知并快速上報(bào)，對(duì)于攻擊第一時(shí)間告警，應(yīng)用于密級(jí)較高的網(wǎng)絡(luò)場(chǎng)景，進(jìn)行主動(dòng)防御防護(hù)。

在公開(kāi)的網(wǎng)站中設(shè)置虛假信息，在黑客收集信息階段對(duì)其造成誤導(dǎo)，使其攻擊目標(biāo)轉(zhuǎn)向蜜罐，間接保護(hù)其他資產(chǎn)^[3]。

主機(jī)誘餌需要提前投放到在真實(shí)環(huán)境中，在其預(yù)留一些連接到其他蜜罐的歷史操作指令、放置SSH連接蜜罐過(guò)程中的公鑰記錄或在主機(jī)誘餌指向的蜜罐上開(kāi)放有利用價(jià)值的端口，在攻擊者做嗅探時(shí)，可以吸引其入侵并進(jìn)入蜜罐；類如攻擊者偏愛(ài)OA、郵件等用戶量較大的系統(tǒng)，可在重點(diǎn)區(qū)域部署此類誘餌，并通過(guò)在真實(shí)服務(wù)器偽造虛假的連接記錄誘導(dǎo)攻擊者掉入陷阱，最后將攻擊者的攻擊視線轉(zhuǎn)移到蜜罐之中。

4.5　溯源反制

攻擊行為進(jìn)入蜜罐后，蜜罐可記錄所有的攻擊數(shù)據(jù)，包括攻擊報(bào)文、攻擊樣本等攻擊過(guò)程數(shù)據(jù)。攻擊數(shù)據(jù)可通過(guò)IP、時(shí)間等查詢，界面可展示攻擊者IP、地理位置、來(lái)源蜜罐以及攻擊的詳細(xì)信息。

5 工業(yè)互聯(lián)網(wǎng)場(chǎng)景應(yīng)用

（1）部署在互聯(lián)網(wǎng)網(wǎng)絡(luò)出口，模擬Web系統(tǒng)和PLC等，造成IT網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)和生產(chǎn)端暴露在公網(wǎng)的假象，誘惑攻擊者進(jìn)入；

（2）部署企業(yè)內(nèi)網(wǎng)，仿真OA、ERP等系統(tǒng)，對(duì)攻擊者進(jìn)行誘捕，同時(shí)可有效監(jiān)測(cè)惡意代碼擴(kuò)散等；

（3）部署生產(chǎn)網(wǎng)，仿真PLC等設(shè)備，有點(diǎn)監(jiān)測(cè)到惡意代碼的擴(kuò)散、外部攻擊的進(jìn)入以及第三方運(yùn)維的惡意掃描等行為，工業(yè)蜜罐部署場(chǎng)景如圖3所示。

圖3 工業(yè)蜜罐部署場(chǎng)景

6　工業(yè)蜜罐價(jià)值

6.1自身安全性

上層架構(gòu)中，業(yè)務(wù)和管理分離，具有各自獨(dú)立的命名空間，并處于不同的邏輯交換機(jī)下，網(wǎng)絡(luò)二層隔離，通過(guò)蜜罐的網(wǎng)絡(luò)空間和網(wǎng)絡(luò)空間的權(quán)限的隔離，保障系統(tǒng)內(nèi)部安全。

工業(yè)蜜罐一般具有專有的防逃逸方案，具體如下：

所有運(yùn)行的蜜罐服務(wù)不以root權(quán)限運(yùn)行，對(duì)每個(gè)服務(wù)進(jìn)程的權(quán)限進(jìn)行精準(zhǔn)控制，蜜網(wǎng)中的服務(wù)限制主動(dòng)外連等多種技術(shù)手段保障防逃逸。

采用自研的代碼框架，各模塊在統(tǒng)一的框架平臺(tái)，按照統(tǒng)一的代碼要求進(jìn)行開(kāi)發(fā)，不但保證了代碼的規(guī)范，也保證各模塊的開(kāi)發(fā)效率。

對(duì)自研框架進(jìn)行持續(xù)的維護(hù)升級(jí)，不斷提升安全性。借由框架的安全性，提升產(chǎn)品的整體安全性，框架的升級(jí)對(duì)各模塊子功能完全透明。

6.2　低誤報(bào)

工業(yè)蜜罐的實(shí)現(xiàn)原理，決定著低誤報(bào)的特點(diǎn)，正常操作一般不會(huì)進(jìn)入到蜜罐系統(tǒng)，任何觸碰和進(jìn)入蜜罐的行為均被詳細(xì)定位和分析，“攻擊即報(bào)警，響應(yīng)即處置”^[6]。

6.3　蜜網(wǎng)組建

工業(yè)蜜罐具有多種蜜網(wǎng)組建方式，可通過(guò)直連和探針兩種模式實(shí)現(xiàn)不同蜜網(wǎng)的設(shè)計(jì)，探針適用于Linux、Windows、Mac等系統(tǒng)的部署，適用性強(qiáng)。不同組網(wǎng)方式都可實(shí)現(xiàn)網(wǎng)絡(luò)攻擊流量的轉(zhuǎn)發(fā)和捕獲，形成蜜網(wǎng)，具有高迷惑性，攻擊者一旦進(jìn)入蜜網(wǎng)即會(huì)被拖住，且所有操作行為被記錄，很難逃脫。蜜網(wǎng)功能與高仿真蜜罐相結(jié)合，保障其真實(shí)性，進(jìn)行攻擊過(guò)程的有效捕獲。

6.4　誘捕能力

一般工業(yè)企業(yè)核心生產(chǎn)環(huán)節(jié)安全防護(hù)能力薄弱：企業(yè)安全存在技術(shù)上或管理上的薄弱環(huán)節(jié)，例如發(fā)電企業(yè)尤其明顯，電力攻擊隊(duì)伍更愿意嘗試從廠站發(fā)起攻擊。廠站突破可能影響主站：部分廠站直連主站，為主站安全防護(hù)帶來(lái)壓力，主站安全防護(hù)亟需進(jìn)一步提升風(fēng)險(xiǎn)主動(dòng)識(shí)別能力、攻擊溯源能力，以及誘捕能力。無(wú)論是攻擊隊(duì)還是敵對(duì)勢(shì)力攻擊者均會(huì)更加關(guān)注生產(chǎn)相關(guān)系統(tǒng)及突破口，電力監(jiān)控系統(tǒng)未來(lái)將會(huì)成為攻擊者眼中最為重要的目標(biāo)，演練中的攻擊人員更有分寸，通常不會(huì)對(duì)生產(chǎn)造成影響，但敵對(duì)勢(shì)力將會(huì)以破壞生產(chǎn)為最終目的。

電力企業(yè)中生產(chǎn)控制大區(qū)設(shè)備蜜罐前置到調(diào)度三區(qū)或者互聯(lián)網(wǎng)大區(qū)的廠網(wǎng)業(yè)務(wù)區(qū)，通過(guò)“生產(chǎn)環(huán)境前置”的方式欺騙攻擊者，達(dá)到真正的保護(hù)生產(chǎn)業(yè)務(wù)；可以仿真的變電站監(jiān)控系統(tǒng)主要包括：監(jiān)控系統(tǒng)、繼電保護(hù)、測(cè)控裝置、故障錄波裝置、輔助設(shè)備監(jiān)控等^[7]。

7　結(jié)論

工業(yè)蜜罐技術(shù)可以通過(guò)溯源、反制等功能獲取到攻擊者的IP、微信、QQ等社交信息賬號(hào)，結(jié)合攻擊過(guò)程、攻擊報(bào)文等信息可以溯源到攻擊個(gè)人，實(shí)現(xiàn)溯源取證；該技術(shù)具有強(qiáng)大的業(yè)務(wù)高仿真和蜜網(wǎng)組建能力，通過(guò)在入侵者必經(jīng)之路上構(gòu)造陷阱，混淆攻擊目標(biāo)，吸引攻擊者進(jìn)入蜜網(wǎng)，拖住攻擊者延緩攻擊，從而保護(hù)真實(shí)系統(tǒng)，為應(yīng)急響應(yīng)爭(zhēng)取時(shí)間^[8]。工業(yè)蜜罐技術(shù)的低誤報(bào)特性決定了數(shù)據(jù)的準(zhǔn)確性，獲取攻擊者的地址、樣本、黑客指紋等信息，可掌握其詳細(xì)攻擊路徑、攻擊工具、終端指紋和行為特征，實(shí)現(xiàn)全面取證，精準(zhǔn)溯源[6]。同時(shí)可通過(guò)syslog方式將捕獲的數(shù)據(jù)發(fā)送到第三方平臺(tái)，為整體威脅分析提供有效數(shù)據(jù)，為攻擊研判提供依據(jù)。工業(yè)蜜罐部署在企業(yè)邊界與核心PLC/DCS系統(tǒng)網(wǎng)絡(luò)位置，針對(duì)用戶工控網(wǎng)路、生產(chǎn)設(shè)備、辦公網(wǎng)絡(luò)同時(shí)進(jìn)行針對(duì)性模擬，通過(guò)牽引攻擊行為與重定向攻擊流量，最終達(dá)到迷惑攻擊者和誘捕轉(zhuǎn)移攻擊行為的特性。在誘捕過(guò)程中，充分模擬工控設(shè)備的應(yīng)用、主機(jī)、系統(tǒng)、網(wǎng)絡(luò)的指紋，以及通訊、協(xié)議應(yīng)用等行為過(guò)程，形成海量虛擬設(shè)備組成的“仿真系統(tǒng)”區(qū)域，保護(hù)并隱藏過(guò)程控制系統(tǒng)資產(chǎn)，為控制系統(tǒng)網(wǎng)絡(luò)建立主動(dòng)積極防御的安全屏障，切實(shí)提升電力系統(tǒng)整體的“主動(dòng)防御”、“入侵檢測(cè)”、“安全審計(jì)”能力提供網(wǎng)絡(luò)安全預(yù)警^[9]。

作者簡(jiǎn)介：

卜　鈺（1979-），男，山東濟(jì)南人，碩士，現(xiàn)任山東外事服務(wù)保障中心信息化主任，主要從事電子政務(wù)、網(wǎng)絡(luò)安全、保密科技等。

參考文獻(xiàn)：

[1] 青藤云安全. 一種基于欺騙防御的入侵檢測(cè)技術(shù)研究[EB/OL]. [2019-09-18].  

[2] CSDN. 逐一解讀Gartner評(píng)出的11大信息安全技術(shù)[EB/OL]. [2018-03-05].

[3] 裴辰曄. 網(wǎng)絡(luò)欺騙防御技術(shù)在電廠網(wǎng)絡(luò)安全中的應(yīng)用[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2022 (10) : 110 - 111.

[4] 陳學(xué)亮, 范淵, 黃進(jìn). 蜜罐切換方法、系統(tǒng)、計(jì)算機(jī)及可讀存儲(chǔ)介質(zhì): CN202110917762.8[P]. 2021 - 11 - 16.

[5] 網(wǎng)御星云. 網(wǎng)御星云工業(yè)蜜罐: 以場(chǎng)景化主動(dòng)安全防御思路破局工控安全難題[EB/OL]. [2021-11-19].

[6] 蔡晶晶, 潘柱廷, 張凱, 等. 以平行仿真技術(shù)為核心的網(wǎng)絡(luò)安全蜜罐技術(shù)路線[J]. 信息技術(shù)與標(biāo)準(zhǔn)化, 2019 (10) : 22 - 26.

[7] 彭志強(qiáng), 張小易, 袁宇波. 智能變電站間隔層設(shè)備仿真系統(tǒng)模塊化設(shè)計(jì)與實(shí)現(xiàn)[J]. 電氣應(yīng)用, 2014 (19) : 106 - 110.

[8] 宋波, 李楠, 李雪源, 等. 基于氣象信息化發(fā)展的網(wǎng)絡(luò)安全建設(shè)[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2022 (10) : 111 - 112.

[9] 數(shù)世咨詢. 蜜罐誘捕能力指南[EB/OL]. [2020-12-11].

摘自《自動(dòng)化博覽》2023年8月刊