1. 前言
电力、石化、钢铁、轨道交通等行业工业控制系统是国家关键信息基础设施的重要组成部分,其工业控制系统的运行状况可直接作用于物理世界,如2015年12月乌克兰停电事件,黑客攻击了该国电力公司的主控系统,导致7个110KV的变电站和23个35KV的变电站出现故障,使22.5万用户断电数小时。
随着两化融合和“互联网+”的推进,工业企业在注重控制系统功能安全、环境安全的同时,工控网络安全也已成为工业领域无法回避的问题。但由于工控行业网络安全意识较弱以及工控业务对实时性、可靠性、连续性的极高要求,导致工控安全产品在现阶段无法大规模部署和使用(尤其工业防火墙等串联设备)。如何在不影响当前业务可靠性及网络结构的前提下,进行工控安全检测与响应是当前工控安全厂商的研究热点。
2. 蜜罐技术
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
3. 蜜罐技术在工控安全检测中的应用
目前工控安全审计检测类产品大多基于旁路网络流量和产品自身特征库等手段进行网络审计和安全检测,但由于旁路流量存在丢包以及流量类型不全面、监测位置过于趋向网络核心层等问题,使旁路检测类产品难以防范复杂攻击,且具有较高的误报率。同时由于工业环境网络隔离的特性,使产品无法自动更新特征库,造成攻击检测的严重滞后。
蜜罐系统凭借其独立性以及对工控系统的无干扰性,可有效解决现阶段工控安全产品对工控网络、流量以及实时性的影响,弥补无法在工控设备、工控主机、工控服务器内安装安全代理或安全探针的问题,有效提高安全检测的精度,降低误报。
工业企业网络架构一般可分为管理信息层、生产管理层、过程监控层、现场控制层以及现场设备层。管理信息层为传统信息网络,生产管理层、过程监控层、现场控制层以及现场设备层为工业生产网络。现阶段工业企业在管理信息网与工业生产网之间一般采用物理隔离或逻辑隔离的方式进行网络分层,针对每种隔离方式存在不同的攻击类型。
- 双网物理隔离环境
针对管理信息网与生产网物理隔离的环境,攻击者一般采用恶意软件攻击与跳板攻击相结合的方式。恶意软件攻击一般借助社会工程学、水坑攻击、钓鱼邮件攻击等方式将恶意软件植入受害者办公主机内。此类工业企业由于在管理信息网与工业生产网络之间部署了物理隔离设备,导致恶意软件不能直接进入生产控制网络,此时恶意软件会借助移动终端、移动存储介质、第三方终端等方式进入工业生产网主机,并以此主机为“据点”进行后续攻击操作。此类恶意软件一般具有较高的自动化特性,可根据目标环境进行设备的自动识别,自动传播、自动攻击。
- 双网逻辑隔离环境
此环境下,工业企业一般在管理信息网与工业生产网之间部署了防火墙等逻辑隔离设备,或采用单主机双方卡的形式实现逻辑隔离。由于逻辑隔离没有阻断网络层的连接,极容易导致攻击者绕过逻辑隔离设备进入生产网络。在此环境下,攻击者可以采用恶意软件以及内网反弹的方式直接获取内网主机的操控权限,此类攻击具有较强的灵活性。
由于目前的网络攻击方式大多基于IT架构,因此工业生产网络内的各工程师站、操作员站、监控站必然成为恶意软件以及攻击者进行“下一步”攻击的“落脚点”。以蠕虫病毒为例,其攻击步骤可分为感染主机à自动扫描à发现漏洞à自动传播。由于蜜罐系统的开放性以及自身存在较多安全漏洞,再配合良好的部署位置,会成为攻击者绝佳的“落脚点”,蜜罐系统通过精心构造的安全攻击与行为跟踪检测功能,可以对攻击行为进行精确记录、告警,同时与其他安全平台联动,从而实现网络攻击的快速检测、响应,为工业企业调查取证提供依据。
4. 蜜罐部署举例
4.1安全缓冲区
在管理信息网与工业生产网络之间设置安全缓冲区,在此区内设置蜜罐系统,对来自管理信息网的操作行为进行检测分析。
4.2生产网络
在生产网络内部署蜜罐系统,由于工业生产业务相对固定,蜜罐系统在正常网络流量下不会被访问操作,但当出现病毒、木马、黑客攻击等操作时,蜜罐系统会表现出攻击特征,并发出告警。