蜜罐工厂：欺骗技术在工控安全领域的机遇和挑战

2023年10月13日作者：GoUpSec

Orange Cyberdefense最近发布的Security Navigator报告显示，过去几年针对工业控制系统（ICS）的攻击迅速增加，其中大多数攻击都是针对传统IT系统攻击的溢出。这个调查结果并不令人意外，因为新兴的网络风险管理方法正在导致OT和IT之间的日益融合。

尽管目前的调查数据表明大多数攻击者并未专门针对工业系统（事实上，大多数所谓工控系统攻击都是纯粹的机会主义行为），但这种趋势随时可能逆转。随着工控领域的攻击工具和知识的普及，越来越多的犯罪分子开始尝试工控系统攻击，因为生产停顿往往意味着巨额损失（可以提高赎金额度和支付率）。因此，工控系统OT网络的安全至关重要。

众所周知，欺骗技术是提高威胁检测和响应能力的有效方法，但在工控安全领域的应用仍面临很多挑战，因为工控系统安全在很多方面与传统IT安全迥然不同，例如，两者使用的协议存在根本差异。本文将详细介绍欺骗技术从传统IT转移到工控系统的进展和挑战。

欺骗的价值：夺回主动权

欺骗技术是一种能有效检测恶意活动的主动安全防御方法。一方面，这种策略搭建了一个虚假信息构成的模拟环境来误导对手的判断，使毫无戒心的攻击者陷入陷阱，浪费时间和精力，增加了入侵的复杂性和不确定性。

同时，防御者可以利用欺骗技术收集更全面的攻击日志，部署对策，追踪攻击者的来源并监控其攻击行为。记录所有攻击信息以研究攻击者使用的策略、技术和程序(TTP)，这对安全分析师有很大帮助。

总之，欺骗技术可以帮助防御者夺回网络安全攻防的主动权。

一些欺骗应用，例如蜜罐，可以模拟运行环境和配置，引诱攻击者渗透虚假目标。通过这种方式，防御者将能够获取攻击者投放的有效负载，并通过Web应用程序中的JavaScript获取有关攻击者主机甚至Web浏览器的信息。更重要的是，可以通过JSONP劫持了解攻击者的社交媒体帐户，并通过“蜂蜜文件”反击攻击者。可以预见，未来几年欺骗技术将会更加成熟并得到广泛应用。

欺骗技术在工控安全领域崭露头角

近年来，信息技术与工业生产融合加速，工业互联网、智能制造飞速发展。海量工业网络和设备与IT技术的连接必然导致该领域的安全风险不断增加。

勒索软件、数据泄露、高级持续性威胁等安全事件频发，严重影响工业企业生产经营，威胁数字社会安全。一般来说，这些系统由于其简单的架构、内存和处理性能较低而容易被攻击者利用。

与此同时，保护工控系统免受恶意攻击颇具挑战性，因为工控系统ICS组件往往架构简单，难以进行更新或安装补丁，安装端点保护代理通常也不可行。考虑到这些挑战，欺骗技术有望成为工控安全的重要方法之一。

随着网络安全技术的发展，欺骗已广泛应用于网络、数据库、移动应用程序和物联网等各种环境中，在OT领域，欺骗技术也在一些ICS蜜罐应用中崭露头角。例如，Conpot、XPOT、CryPLH等ICS蜜罐可以模拟Modbus、S7、IEC-104、DNP3等协议。

以下我们简要介绍三个工控安全领域有代表性的欺骗技术应用：

1.Conpot是一款开源低交互蜜罐，支持各种工业协议，包括IEC60870-5-104、楼宇自动化和控制网络（BACnet）、Modbus、s7comm以及HTTP、SNMP和TFTP等其他协议。Conpot易于部署、修改和扩展，因此，Conpot和基于Conpot的蜜罐是研究人员使用的最流行的ICS欺骗应用程序之一。

2.XPOT是一个基于软件的高交互PLC蜜罐。XPOT模拟西门子S7-300系列PLC，并允许攻击者编译、解释PLC程序并将其加载到XPOT上。XPOT支持S7comm和SNMP协议，是第一个高交互性的PLC蜜罐。由于它是基于软件的，因此具有很强的可扩展性，并且支持大型诱饵或传感器网络。XPOT可以连接到模拟的工业流程，以使对手的经验更加全面。

3.CryPLH是一款模拟西门子SimaticS7-300PLC的高交互性虚拟智能电网ICS蜜罐。它在基于Linux的主机上运行，并使用MiniWebHTTP服务器来模拟HTTP(S)、使用Python脚本来模拟Step7ISO-TSAP协议以及自定义SNMP实现。CryPLH的交互能力从模拟ICS协议到ICS环境逐渐增强。

上述蜜罐应用这样的欺骗技术可以弥补未知威胁检测效率低下的问题，对于保障工控网络安全可发挥重要作用，例如：