蜜罐工厂：ICS/OT中欺骗技术的应用

Orange Cyber​​defense最近发布的Security Navigator报告显示，过去几年针对工业控制系统（ICS）的攻击迅速增加。仔细观察，大多数攻击似乎都是从传统 IT 溢出的。这是可以预料的，因为此时生产系统通常连接到普通的公司网络。

尽管目前的数据并未表明许多威胁行为者专门针对工业系统（事实上，大多数证据都表明纯粹是机会主义行为），但一旦损害 OT 环境所增加的复杂性有望得到回报，这种趋势随时可能逆转。 。犯罪分子会利用一切机会敲诈受害者，实施敲诈勒索计划，而停止生产可能会造成巨大损失。这可能只是时间问题。因此，运营技术 (OT) 的网络安全至关重要。

欺骗是提高威胁检测和响应能力的有效选择。然而，ICS 安全在几个方面与传统 IT 安全不同。尽管蜜罐等用于防御用途的欺骗技术已经取得了进展，但由于所使用的协议等根本差异，仍然存在挑战。本文旨在详细介绍欺骗技术从传统IT向ICS安全过渡时的进展和挑战。

欺骗的价值：夺回主动权
欺骗技术是一种有效检测恶意活动的主动安全防御方法。一方面，这种策略构建了一个虚假信息和模拟环境来误导对手的判断，使毫无戒心的攻击者陷入陷阱，浪费时间和精力，增加了入侵的复杂性和不确定性。

同时，防御者可以收集更全面的攻击日志，部署对策，追踪攻击者的来源并监控其攻击行为。记录所有内容以研究攻击者使用的策略、技术和程序 (TTP)，这对安全分析师有很大帮助。欺骗技术可以让防守者夺回主动权。

一些欺骗应用，例如蜜罐，可以模拟运行环境和配置，从而引诱攻击者渗透虚假目标。通过这种方式，防御者将能够抓住攻击者投放的有效负载，并通过 Web 应用程序中的 JavaScript 获取有关攻击者主机甚至 Web 浏览器的信息。更重要的是，可以通过 JSONP 劫持了解攻击者的社交媒体帐户，并通过“蜂蜜文件”反击攻击者。可以预见，未来几年欺骗技术将会更加成熟和广泛应用。

近年来，信息技术与工业生产融合加速，工业互联网、智能制造快速发展。海量工业网络和设备与IT技术的连接，必然导致该领域的安全风险不断增加。

生产面临风险
勒索软件、数据泄露、高级持续性威胁等安全事件频发，严重影响工业企业生产经营，威胁数字社会安全。一般来说，这些系统由于其简单的架构、使用较低的处理能力和内存而容易被攻击者利用。保护 ICS 免受恶意活动的攻击具有挑战性，因为 ICS 的组件由于其简单的架构而不太可能进行任何更新或补丁。安装端点保护代理通常也是不可能的。考虑到这些挑战，欺骗可能是安全方法的重要组成部分。

Conpot是一款开源低交互蜜罐，支持各种工业协议，包括IEC 60870-5-104、楼宇自动化和控制网络（BACnet）、Modbus、s7comm以及HTTP、SNMP和TFTP等其他协议。它被设计为易于部署、修改和扩展。Conpot 和基于 Conpot 的蜜罐是研究人员使用的最流行的 ICS 欺骗应用程序之一。
XPOT是一个基于软件的高交互PLC蜜罐，可以运行程序。它模拟西门子S7-300系列PLC，并允许攻击者编译、解释PLC程序并将其加载到XPOT上。XPOT支持S7comm和SNMP协议，是第一个高交互性的PLC蜜罐。由于它是基于软件的，因此具有很强的可扩展性，并且支持大型诱饵或传感器网络。XPOT 可以连接到模拟的工业流程，以使对手的经验更加全面。

CryPLH是一款模拟西门子 Simatic S7-300 PLC 的高交互性虚拟智能电网 ICS 蜜罐。它在基于 Linux 的主机上运行，​​并使用 MiniWeb HTTP 服务器来模拟 HTTP(S)、使用 Python 脚本来模拟 Step 7 ISO-TSAP 协议以及自定义 SNMP 实现。CryPLH的交互能力从模拟ICS协议到ICS环境逐渐增强。
随着网络安全技术的发展，欺骗已应用于网络、数据库、移动应用程序和物联网等各种环境中。欺骗技术已经体现在OT领域的一些ICS蜜罐应用中。例如，Conpot、XPOT、CryPLH等ICS蜜罐可以模拟Modbus、S7、IEC-104、DNP3等协议。

因此，像上述蜜罐应用这样的欺骗技术可以弥补未知威胁检测系统效率低下的问题，对于保障工控网络的安全可以发挥重要作用。这些应用程序可以帮助检测对工业控制系统的网络攻击并显示总体风险趋势。可以捕获攻击者实际利用的 OT 漏洞并将其发送给安全分析师，从而及时提供补丁和情报。除此之外，还可以在勒索软件爆发之前收到及时警报，避免大规模损失和生产停止。

挑战
然而，这并不是“灵丹妙药”。与传统IT安全中复杂的欺骗相比，ICS中的欺骗仍然面临一些挑战。

首先，工业控制设备和协议种类繁多，而且许多协议是专有的。几乎不可能有一种欺骗技术可以应用于所有的工业控制设备。因此，蜜罐等应用往往需要定制来模拟不同的协议，这给某些环境下的实现带来了较高的门槛。

第二个问题是纯虚拟工控蜜罐的模拟能力仍然有限，容易被黑客识别。目前纯虚拟ICS蜜罐的开发和应用仅允许底层模拟工业控制协议，并且大多数已经开源，可以直接通过Shodan或Zoomeye等搜索引擎找到。收集足够的攻击数据并提高ICS蜜罐的模拟能力对于安全研究人员来说仍然是一个挑战。

最后，高交互工控蜜罐消耗大量资源，维护成本高。显然，蜜罐往往需要引入物理系统或设备来构建真实运行的模拟环境。然而，工业控制系统和设备成本高昂、难以重复使用且维护困难。即使看似相似的 ICS 设备在功能、协议和指令方面也往往非常不同。

欺骗技术的价值
基于以上讨论，ICS欺骗技术应考虑与新技术相结合。模拟模拟环境并与之交互的能力增强了防御技术。而且，欺骗应用捕获的攻击日志具有很大的价值。通过人工智能或大数据工具进行分析，有助于深入了解ICS现场情报。

综上所述，欺骗技术对于ICS网络安全的快速发展、提高智能化和防御能力发挥着至关重要的作用。但该技术仍面临挑战，亟待突破。