1. 前言
電力、石化、鋼鐵、軌道交通等行業工業控制系統是國家關鍵信息基礎設施的重要組成部分,其工業控制系統的運行狀況可直接作用於物理世界,如2015年12月烏克蘭停電事件,黑客攻擊了該國電力公司的主控系統,導致7個110KV的變電站和23個35KV的變電站出現故障,使22.5萬用戶斷電數小時。
隨着兩化融合和“互聯網+”的推進,工業企業在注重控制系統功能安全、環境安全的同時,工控網絡安全也已成為工業領域無法回避的問題。但由於工控行業網絡安全意識較弱以及工控業務對實時性、可靠性、連續性的極高要求,導致工控安全產品在現階段無法大規模部署和使用(尤其工業防火牆等串聯設備)。如何在不影響當前業務可靠性及網絡結構的前提下,進行工控安全檢測與響應是當前工控安全廠商的研究熱點。
2. 蜜罐技術
蜜罐技術本質上是一種對攻擊方進行欺騙的技術,通過布置一些作為誘餌的主機、網絡服務或者信息,誘使攻擊方對它們實施攻擊,從而可以對攻擊行為進行捕獲和分析,了解攻擊方所使用的工具與方法,推測攻擊意圖和動機,能夠讓防御方清晰地了解他們所面對的安全威脅,並通過技術和管理手段來增強實際系統的安全防護能力。
3. 蜜罐技術在工控安全檢測中的應用
目前工控安全審計檢測類產品大多基於旁路網絡流量和產品自身特征庫等手段進行網絡審計和安全檢測,但由於旁路流量存在丟包以及流量類型不全面、監測位置過於趨向網絡核心層等問題,使旁路檢測類產品難以防范復雜攻擊,且具有較高的誤報率。同時由於工業環境網絡隔離的特性,使產品無法自動更新特征庫,造成攻擊檢測的嚴重滯后。
蜜罐系統憑借其獨立性以及對工控系統的無干擾性,可有效解決現階段工控安全產品對工控網絡、流量以及實時性的影響,彌補無法在工控設備、工控主機、工控服務器內安裝安全代理或安全探針的問題,有效提高安全檢測的精度,降低誤報。
工業企業網絡架構一般可分為管理信息層、生產管理層、過程監控層、現場控制層以及現場設備層。管理信息層為傳統信息網絡,生產管理層、過程監控層、現場控制層以及現場設備層為工業生產網絡。現階段工業企業在管理信息網與工業生產網之間一般采用物理隔離或邏輯隔離的方式進行網絡分層,針對每種隔離方式存在不同的攻擊類型。
- 雙網物理隔離環境
針對管理信息網與生產網物理隔離的環境,攻擊者一般采用惡意軟件攻擊與跳板攻擊相結合的方式。惡意軟件攻擊一般借助社會工程學、水坑攻擊、釣魚郵件攻擊等方式將惡意軟件植入受害者辦公主機內。此類工業企業由於在管理信息網與工業生產網絡之間部署了物理隔離設備,導致惡意軟件不能直接進入生產控制網絡,此時惡意軟件會借助移動終端、移動存儲介質、第三方終端等方式進入工業生產網主機,並以此主機為“據點”進行后續攻擊操作。此類惡意軟件一般具有較高的自動化特性,可根據目標環境進行設備的自動識別,自動傳播、自動攻擊。
- 雙網邏輯隔離環境
此環境下,工業企業一般在管理信息網與工業生產網之間部署了防火牆等邏輯隔離設備,或采用單主機雙方卡的形式實現邏輯隔離。由於邏輯隔離沒有阻斷網絡層的連接,極容易導致攻擊者繞過邏輯隔離設備進入生產網絡。在此環境下,攻擊者可以采用惡意軟件以及內網反彈的方式直接獲取內網主機的操控權限,此類攻擊具有較強的靈活性。
由於目前的網絡攻擊方式大多基於IT架構,因此工業生產網絡內的各工程師站、操作員站、監控站必然成為惡意軟件以及攻擊者進行“下一步”攻擊的“落腳點”。以蠕蟲病毒為例,其攻擊步驟可分為感染主機à自動掃描à發現漏洞à自動傳播。由於蜜罐系統的開放性以及自身存在較多安全漏洞,再配合良好的部署位置,會成為攻擊者絕佳的“落腳點”,蜜罐系統通過精心構造的安全攻擊與行為跟蹤檢測功能,可以對攻擊行為進行精確記錄、告警,同時與其他安全平台聯動,從而實現網絡攻擊的快速檢測、響應,為工業企業調查取證提供依據。
4. 蜜罐部署舉例
4.1安全緩沖區
在管理信息網與工業生產網絡之間設置安全緩沖區,在此區內設置蜜罐系統,對來自管理信息網的操作行為進行檢測分析。
4.2生產網絡
在生產網絡內部署蜜罐系統,由於工業生產業務相對固定,蜜罐系統在正常網絡流量下不會被訪問操作,但當出現病毒、木馬、黑客攻擊等操作時,蜜罐系統會表現出攻擊特征,並發出告警。