行業級應用效果顯著 工控蜜罐技術發展前景向好

近年來，隨著

工業網際網路

、智慧製造的發展，新一代資訊科技加速與工業生產領域的融合，海量的工業裝置接入物聯網。但與之同時，工業

資訊保安

領域的

網路安全

風險也不斷加劇，針對工業資訊保安領域發起的攻擊手段也更加智慧化，工業資訊保安事件日趨增多。勒索病毒、APT攻擊、資料洩露等事件頻發，嚴重影響工業企業的生產和業務運營，威脅著社會的穩定。

近日，國家工業資訊保安發展研究中心釋出了《2020年工業資訊保安態勢報告》，報告中提到，近年來，電力、石油石化、智慧裝置、鋼鐵、有色等重點行業已成為網路攻擊的“重災區”，

駭客

組織透過網路攻擊意圖獲得巨大的經濟政治利益。

點選載入圖片

隨著針對工控裝置、物聯網裝置、基礎設施等裝置的掃描和探測行為日漸增多，攻擊者正在不斷提高對工業領域的重視。而傳統的安全技術和手段在工業資訊保安領域的風險識別、威脅發現、安全防護等方面有時難以有效發揮作用。因此在此背景下，作為一種相對主動的安全檢測手段，工控蜜罐技術正在走向更高效、更可靠的深度應用，透過對攻擊行為的捕獲、分析攻擊路徑和方法，推測攻擊者意圖和動機，對預測大規模網路攻擊事件起到了重要的作用。

近年來，隨著工控安全形勢的愈發嚴峻，蜜罐技術被越來越多的應用在工控領域，從協議的模擬做起到工控環境的模擬，互動能力越來越高，結構也日趨複雜。越來越多的研究機構和安全企業將蜜罐技術與工控安全相融合，開展了一系列工控蜜罐技術研究與應用。

工業生產環境中網路安全危機四伏‍

在工控安全領域，由於工業資訊系統更為傳統，其安全建設往往難以緊跟數字化的快速發展。由於工業生產環境對於業務連續性要求極高，一切工作都要圍繞有效保障裝置的持續執行出發，一些業界早已發現或披露過的漏洞，在工業資訊系統中也可能依然存在，為避免干擾裝置生產的執行而無法修復。

而一些傳統的工控裝置甚至都缺乏身份驗證，或者是沿用出廠預設的弱口令，攻擊者輕易既可攻入系統內部透過惡意請求對裝置進行惡意操作或更改，類似攻擊事件一旦發生，即可造成巨大的裝置損失、工業產出損失，甚至威脅社會安全與穩定。

不久前，美國佛羅里達州坦帕市就曾發生了一起駭客攻擊自來水廠控制系統，獲取管理員許可權後企圖透過自來水廠的作業系統，向該自來水廠的蓄水池中加入了大量的、原本用於維持自來水酸鹼度平衡的氫氧化鈉。這種強鹼性、中等毒性的化學物質在極少量新增時並不致命，但在大量新增到自來水中時，就會讓自來水產生較強的腐蝕性。一旦這種自來水被誤飲下肚，可能會造成消化道灼傷、腸胃粘膜糜爛、內出血等情況，甚至可能會出現休克以及死亡。

這座自來水廠的使用者多達1。5萬人，可想而知，一旦有毒的自來水流向城市，造成的後果將不堪設想。

點選載入圖片

工控蜜罐——可有效阻攔攻擊的創新應用‍

蜜罐是一種近年來在網路安全攻防領域中常用的主動防禦技術，透過偽裝成看似有利用價值的裝置、系統等吸引網路駭客對其發起攻擊，經捕獲和分析攻擊行為，瞭解攻擊工具與方法，推測攻擊者意圖和動機。

在傳統網路安全態勢感知領域，蜜罐技術的應用已經取得了顯著的效果，而在工業資訊保安領域，結合工控安全技術特點，將蜜罐技術應用於工控安全態勢感知，將進一步幫助工業企業建立主動防禦網絡，對潛在威脅進行感知與捕獲，實現網路攻擊事件的實時預警與網路安全威脅轉移。

由於工控領域對業務連續性的極高要求和其特殊性，工控蜜罐產品可以以不干擾工業生產裝置執行的方式並聯接入，同時，工控蜜罐產品不依賴於白名單和黑名單的策略，可以更加有效的可以收集分析網際網路上針對工業控制系統發起的惡意行為，在大規模攻擊之前提前感知風險，判斷攻擊趨勢。另一方面，高模擬的工控蜜罐產品，還能夠起到轉移攻擊目標的作用，誘導攻擊者對蜜罐系統發動網路攻擊，從而避免重要的系統受到打擊，甚至還能夠透過分析駭客攻擊手段來發現潛藏的高危0Day漏洞。

工控蜜罐的應用現狀是怎樣的？‍

圍繞蜜罐產品在工控領域的應用，目前國內已經有許多廠商都展開了大量研究。以“平行模擬”技術為優勢的安全廠商永信至誠，也基於對平行模擬技術的沉澱和研究，在以蜜罐為代表的欺騙式防禦等領域做出了大量研究，並在工控蜜罐技術領域也開展了一系列探索和實踐。

以

永信至誠春秋雲陣新一代蜜罐系統

為例，春秋雲陣蜜罐系統基於“欺騙式防禦”理念，利用永信至誠獨有的“平行模擬”技術和全量行為捕獲技術，構建高甜度的蜜罐環境，誘捕攻擊者進入模擬網路環境中，大大延緩攻擊者對實際業務網路的攻擊。

同時，不再依賴特徵庫對流量總的攻擊行為進行甄別，“觸碰蜜罐即報警”、“深入蜜罐即攻擊”保證了蜜罐系統對所有攻擊的“零誤報”特徵。全程記錄的攻擊軌跡和攻擊行為，實現了對攻擊者的快速取證和溯源。在不影響現有網路的安全架構下，利用其低成本、易部署、零誤報的特性，簡化網路安全運維工作的複雜程度，有效增強實際業務網路的安全防護能力。

永信至誠相關專家告訴安全419（anquan419。com），目前春秋雲陣蜜罐已成功在公安、政府、金融、運營商等多個行業實現落地應用，在工業領域覆蓋了電力、水利水電、工業網際網路等客戶，並已經打造了眾多的成功案例。

● 案例一：電力行業——利用工控蜜罐在某電力企業實現對攻擊者的精準溯源

春秋雲陣蜜罐系統憑藉“溯源分析”能力，能夠高隱蔽性地採集蜜罐攻擊者的地址、樣本、行為、駭客指紋等資訊，掌握其詳細攻擊路徑、終端指紋和行為特徵，實現全面取證、精準溯源。

在2020年度大型攻防演練中，某電力企業在網際網路區域部署春秋雲陣蜜罐系統，依託春秋雲陣自有的高甜度偽裝能力、全量威脅捕獲能力、威脅分析溯源能力，支撐客戶方面的安全值守、威脅處置、應急響應以及攻擊溯源等需求。

期間，春秋雲陣蜜罐在實時針對工控網路的攻擊和威脅進行誘捕和監測中，成功獲取到攻擊者的IP、攻擊手段、攻擊路徑與微博ID。經過春秋雲服專業安服人員的層層溯源分析，最終在其微博ID發現攻擊者手機號，透過多途徑搜尋手機號成功匹配出攻擊者姓名，並結合社工庫得到攻擊者的身份證號、家庭住址等資訊，精準溯源到攻擊者。

● 案例二：工業網際網路領域——在國家職業技能一類競賽中模擬演練

在工業網際網路領域最高級別的網路安全大賽-2020年全國工業網際網路安全技術技能大賽總決賽上，蜜罐作為一種有效的防禦方式，開創了以防禦者視角檢驗防禦能力的競賽場景模式。為了讓比賽更加貼近企業現實攻防場景，大賽結合平行模擬技術，特別設計了防禦者視角題目，參賽選手可以透過工業網際網路場景中的春秋雲陣蜜罐做分析和溯源，全面檢驗長期工作在一線的安全人員的防禦意識、內網滲透測試能力、分析能力和溯源能力，整體提升實踐防禦水平。

安全威脅日益複雜 工控蜜罐技術應用前景廣闊‍

隨著工控安全成為國家安全的重要組成部分，在工業數字化轉型和工業網際網路的建設推進工業技術發展的同時，工控安全環境也將面臨更加動態、複雜的網路安全威脅。工業資訊保安領域對蜜罐等主動防禦技術需求也將會更加迫切。因此，複雜的工控安全威脅將會大力推動工業蜜罐技術的應用和發展，工控蜜罐技術的應用前景十分廣闊。

永信至誠安全專家表示，蜜罐產品需要配合專業的安全服務團隊，來形成體系化、層級化的戰法，而高模擬、高甜度，以及精準溯源的能力將是工控蜜罐產品的重要價值所在。

蜜罐建模與效能的要素主要包括：層級、關聯、聚合、場景、甜度、服務等。在現實中要想充分發揮蜜罐的實效，需要綜合考慮蜜罐在工控等領域的部署位置、架構設定、甜度設定、誘餌型別、誘餌投放、元件使用、聯動設定、人員搭配等，形成體系化層級化戰法，“把攻擊限定在蜜網中”。在人員搭配上，企業應該配備專業的安全服務團隊，根據使用者的資訊系統部署情況、網路架構、安全級別等定向設計具有自身特色的部署方案，及時延緩和阻斷攻擊、協助溯源和取證、全面保護企業資訊資產安全，幫助工控企業客戶實現主動防禦。

捕獲精明的“獵物”需要更高階的陷阱，蜜罐實質上是欺騙式防禦技術，只有高模擬、高甜度的蜜罐才能成功欺騙誘導攻擊者，並讓攻擊者陷入“沉浸式”體驗。是否仿得足夠真、場景足夠甜，是選擇蜜罐的首要考量點。

隨著目前工控安全事件的高發，攻擊威脅也呈現出定向精準性提升迅速、技術手段複雜化專業化、攻擊行為組織化的顯著特徵。為應對多層次的攻擊、複雜多變的安全挑戰，實現攻擊規則和威脅情報的有效利用，工控蜜罐技術能夠實現網路攻擊事件第一時間發現、追蹤溯源取證和防止攻擊範圍及危害的進一步擴大，對於工業控制系統的網路安全具有重大價值和意義。