隨著科學(xué)技術(shù)的不斷發(fā)展,,工業(yè)控制系統(tǒng)逐漸接入互聯(lián)網(wǎng),,由于工業(yè)控制網(wǎng)絡(luò)的開(kāi)放性,,攻擊者可采取多種手段攻擊該網(wǎng)絡(luò),,直接影響著工業(yè)控制系統(tǒng)的安全,工控系統(tǒng)面臨的安全形勢(shì)也越來(lái)越嚴(yán)重,。2010年的伊朗震網(wǎng)病毒事件,、2011年的duqu木馬事件,、2014年的Havex、2015年的烏克蘭電力事件都用事實(shí)證明了工控系統(tǒng)安全形勢(shì)的嚴(yán)峻性,。
為了增強(qiáng)工業(yè)控制網(wǎng)絡(luò)安全,,很多研究人員都采用蜜罐技術(shù)對(duì)系統(tǒng)進(jìn)行防護(hù),。工業(yè)蜜罐作為一種主動(dòng)防御技術(shù)可以吸引攻擊,,分析攻擊,推測(cè)攻擊意圖,,并將結(jié)果補(bǔ)充到防火墻,、IDS以及IPS等威脅阻斷技術(shù)。
蜜罐作為一種典型的主動(dòng)安全防御技術(shù),,對(duì)攻擊方進(jìn)行欺騙,,通過(guò)引誘、監(jiān)視和記錄黑客與蜜罐進(jìn)行交互的所有攻擊行為數(shù)據(jù),。它與傳統(tǒng)蜜罐技術(shù)的區(qū)別在于工業(yè)蜜罐支持工業(yè)設(shè)備和工業(yè)控制系統(tǒng)的偽裝模擬,,支持工控協(xié)議的仿真,。利用影子系統(tǒng)及虛擬仿真技術(shù),模擬真實(shí)的工控系統(tǒng),,誘捕攻擊者進(jìn)行攻擊,,捕獲和分析網(wǎng)絡(luò)空間中針對(duì)工控設(shè)備的攻擊流量數(shù)據(jù),分析攻擊者行為動(dòng)機(jī),,溯源攻擊者的真實(shí)身份,,并了解攻擊者的行為動(dòng)機(jī)和目的,學(xué)習(xí)攻擊者所使用的攻擊方法和模式,,從而達(dá)到主動(dòng)防御攻擊者的目的。這種主動(dòng)安全防御技術(shù)可以廣泛運(yùn)用于石油,、石化,、冶金,、電力、燃?xì)?、煤礦,、煙草以及市政等領(lǐng)域,,用于控制關(guān)鍵生產(chǎn)設(shè)備的運(yùn)行。
為提升安全防御技術(shù)能力,,山東云天安全技術(shù)有限公司自主研發(fā)了一款基于工控環(huán)境的主動(dòng)欺騙防御型產(chǎn)品——昊天工控蜜罐系統(tǒng),。該產(chǎn)品采用仿真模擬技術(shù)和動(dòng)態(tài)取證分析技術(shù),,內(nèi)置多種類(lèi)型誘餌探針,,能夠迷惑黑客、誘導(dǎo)攻擊,、及時(shí)發(fā)現(xiàn)告警并進(jìn)行黑客畫(huà)像分析,,可廣泛應(yīng)用于石油化工,、能源,、交通,、水務(wù),、市政等關(guān)鍵基礎(chǔ)設(shè)施行業(yè),,能夠起到有效預(yù)警,、對(duì)抗APT攻擊,、零日攻擊、延緩攻擊時(shí)效,,攻擊意圖溯源等作用,,包括:
1,、工控資產(chǎn)與協(xié)議仿真,虛實(shí)結(jié)合,、高低交互,;
2、工控場(chǎng)景動(dòng)態(tài)定制,,可插拔硬件設(shè)計(jì),;
3、影子蜜網(wǎng),,可跨網(wǎng)段部署,,方便靈活;
4,、零誤報(bào)威脅預(yù)警,,工業(yè)協(xié)議深度解析,攻擊意圖推測(cè),。
昊天工控蜜罐系統(tǒng)其創(chuàng)新性和先進(jìn)性在于:
1、虛實(shí)結(jié)合,,高低交互,,定制硬件
對(duì)工業(yè)場(chǎng)景中常見(jiàn)的工業(yè)及IT協(xié)議進(jìn)行基礎(chǔ)仿真,,滿(mǎn)足低交互功能要求,,對(duì)部分實(shí)體工業(yè)資產(chǎn)進(jìn)行硬件定制,,采用模塊插拔方式進(jìn)行實(shí)體蜜罐仿真,,最大支持3個(gè)槽位的工業(yè)控制資產(chǎn)設(shè)備,,可以通過(guò)外部接口動(dòng)態(tài)擴(kuò)展物理工控設(shè)備,,實(shí)現(xiàn)了工業(yè)協(xié)議層面真正意義上的高交互能力,,極大增加了對(duì)攻擊者的迷惑性。
2,、影子資產(chǎn)部署
通過(guò)部署大量影子蜜餌探針,,在工控網(wǎng)絡(luò)產(chǎn)生大量影子資產(chǎn),。當(dāng)黑客進(jìn)入工業(yè)內(nèi)網(wǎng)后,可延緩黑客內(nèi)網(wǎng)偵查及橫向移動(dòng)時(shí)發(fā)現(xiàn)真實(shí)資產(chǎn)的過(guò)程。當(dāng)蜜餌被訪問(wèn)后及時(shí)觸發(fā)入侵告警,,并誘導(dǎo)攻擊流量轉(zhuǎn)移重定向到蜜網(wǎng)環(huán)境中,,使其進(jìn)入“蜜網(wǎng)黑洞”,,將攻擊行為與真實(shí)網(wǎng)絡(luò)隔離,,為追蹤溯源提供依據(jù),。
3,、跨網(wǎng)絡(luò)動(dòng)態(tài)部署
設(shè)備還可以通過(guò)trunk方式接入工業(yè)現(xiàn)場(chǎng)網(wǎng)絡(luò)交換機(jī),,將影子系統(tǒng)自身根據(jù)客戶(hù)需求動(dòng)態(tài)批量的跨網(wǎng)絡(luò)部署,實(shí)現(xiàn)不同網(wǎng)段內(nèi)按需動(dòng)態(tài)播撒影子蜜餌的能力,。
昊天工控蜜罐系統(tǒng)其價(jià)值在于:
1,、全面的協(xié)議,、設(shè)備、系統(tǒng)模擬偽裝能力
支持多種通用IT協(xié)議和主流工控協(xié)議
支持多種常見(jiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)中間件仿真
支持多種工控設(shè)備及工控系統(tǒng)的偽裝模擬
支持多種安全漏洞的仿真模擬
2,、影子系統(tǒng)虛擬仿真
3,、彈性動(dòng)態(tài)部署
昊天工控蜜罐系統(tǒng)自推出以來(lái),得到了多位業(yè)內(nèi)安全專(zhuān)家和學(xué)者的肯定,,產(chǎn)品已獲得多項(xiàng)資質(zhì)和榮譽(yù),,包括:軟件著作權(quán)證書(shū)、大數(shù)據(jù)產(chǎn)品證書(shū),,授權(quán)發(fā)明專(zhuān)利和實(shí)用新型專(zhuān)利各一項(xiàng),;應(yīng)用技術(shù)“基于蜜罐的工業(yè)互聯(lián)網(wǎng)主動(dòng)防御系統(tǒng)”已通過(guò)山東省信息技術(shù)與信息化科技成果鑒定,,達(dá)到國(guó)內(nèi)領(lǐng)先水平,,并獲得省科學(xué)技術(shù)二等獎(jiǎng),;榮獲山東省工業(yè)軟件開(kāi)發(fā)技術(shù)大賽三等獎(jiǎng),;榮獲青島高新區(qū)藍(lán)貝國(guó)際創(chuàng)新創(chuàng)業(yè)大賽三等獎(jiǎng)及2021年網(wǎng)絡(luò)安全優(yōu)秀創(chuàng)新成果大賽入圍獎(jiǎng)等榮譽(yù)。