浅析工业控制环境下的网络威胁感知技术

2021-11-18点击量:84


        随着科学技术的不断发展,工业控制系统逐渐接入互联网,由于工业控制网络的开放性,攻击者可采取多种手段攻击该网络,直接影响着工业控制系统的安全,工控系统面临的安全形势也越来越严重。2010年的伊朗震网病毒事件、2011年的duqu木马事件、2014年的Havex、2015年的乌克兰电力事件都用事实证明了工控系统安全形势的严峻性。
        为了增强工业控制网络安全,很多研究人员都采用蜜罐技术对系统进行防护。工业蜜罐作为一种主动防御技术可以吸引攻击,分析攻击,推测攻击意图,并将结果补充到防火墙、IDS以及IPS等威胁阻断技术。
        蜜罐作为一种典型的主动安全防御技术,对攻击方进行欺骗,通过引诱、监视和记录黑客与蜜罐进行交互的所有攻击行为数据。它与传统蜜罐技术的区别在于工业蜜罐支持工业设备和工业控制系统的伪装模拟,支持工控协议的仿真。利用影子系统及虚拟仿真技术,模拟真实的工控系统,诱捕攻击者进行攻击,捕获和分析网络空间中针对工控设备的攻击流量数据,分析攻击者行为动机,溯源攻击者的真实身份,并了解攻击者的行为动机和目的,学习攻击者所使用的攻击方法和模式,从而达到主动防御攻击者的目的。这种主动安全防御技术可以广泛运用于石油、石化、冶金、电力、燃气、煤矿、烟草以及市政等领域,用于控制关键生产设备的运行。
        为提升安全防御技术能力,山东云天安全技术有限公司自主研发了一款基于工控环境的主动欺骗防御型产品——昊天工控蜜罐系统。该产品采用仿真模拟技术和动态取证分析技术,内置多种类型诱饵探针,能够迷惑黑客、诱导攻击、及时发现告警并进行黑客画像分析,可广泛应用于石油化工、能源、交通、水务、市政等关键基础设施行业,能够起到有效预警、对抗APT攻击、零日攻击、延缓攻击时效,攻击意图溯源等作用,包括:
  •         工控资产与协议仿真,虚实结合、高低交互;
  •         工控场景动态定制,可插拔硬件设计;
  •         影子蜜网,可跨网段部署,方便灵活;
  •         零误报威胁预警,工业协议深度解析,攻击意图推测。


昊天工控蜜罐系统其创新性和先进性在于以下方面:

1、虚实结合,高低交互,定制硬件



        对工业场景中常见的工业及IT协议进行基础仿真,满足低交互功能要求,对部分实体工业资产进行硬件定制,采用模块插拔方式进行实体蜜罐仿真,最大支持3个槽位的工业控制资产设备,可以通过外部接口动态扩展物理工控设备,实现了工业协议层面真正意义上的高交互能力,极大增加了对攻击者的迷惑性。

2、影子资产部署

        通过部署大量影子蜜饵探针,在工控网络产生大量影子资产。当黑客进入工业内网后,可延缓黑客内网侦查及横向移动时发现真实资产的过程。当蜜饵被访问后及时触发入侵告警,并诱导攻击流量转移重定向到蜜网环境中,使其进入“蜜网黑洞”,将攻击行为与真实网络隔离,为追踪溯源提供依据。

3、跨网络动态部署

        设备还可以通过trunk方式接入工业现场网络交换机,将影子系统自身根据客户需求动态批量的跨网络部署,实现不同网段内按需动态播撒影子蜜饵的能力。

昊天工控蜜罐系统其价值在于以下方面:

1、全面的协议、设备、系统模拟伪装能力

  •         支持多种通用IT协议和主流工控协议

  •         支持多种常见操作系统和数据库中间件仿真

  •         支持多种工控设备及工控系统的伪装模拟

  •         支持多种安全漏洞的仿真模拟

2、影子系统虚拟仿真

3、弹性动态部署

        昊天工控蜜罐系统自推出以来,得到了多位业内安全专家和学者的肯定,产品已获得多项资质和荣誉,包括:软件著作权、专利证书、软件产品证书、大数据产品证书等;应用技术“基于蜜罐的工业互联网主动防御系统”已通过山东省信息技术与信息化科技成果鉴定,达到国内领先水平,并获得省科学技术二等奖;并且荣获山东省工业软件开发技术大赛三等奖、青岛高新区蓝贝国际创新创业大赛三等奖及2021年网络安全优秀创新成果大赛入围奖等荣誉。

山东云天安全技术有限公司 版权所有 鲁ICP备17007379号-1

鲁公网安备 37010202002190号