《工業(yè)互聯(lián)網(wǎng)安全技術(shù)基礎(chǔ)》課件- 34-工業(yè)蜜罐技術(shù)

IndustrialInternetsecuritytechnologyfoundation工業(yè)互聯(lián)網(wǎng)安全技術(shù)基礎(chǔ)《工業(yè)互聯(lián)網(wǎng)安全技術(shù)基礎(chǔ)》課程組第4章工控網(wǎng)絡(luò)安全技術(shù)工控蜜罐技術(shù)1010203工業(yè)蜜罐技術(shù)工業(yè)蜜罐分類主流工控蜜罐介紹目錄04蜜罐識(shí)別技術(shù)一、工業(yè)蜜罐技術(shù)

蜜罐技術(shù)（HoneypotTechnology）是一種對(duì)攻擊方進(jìn)行欺騙的技術(shù)。在工業(yè)控制領(lǐng)域還有一個(gè)名稱叫做威脅誘捕技術(shù)，其應(yīng)用更多的是故意想要被人探測(cè)、發(fā)現(xiàn)和攻擊?；驹硎枪室鈧窝b成有安全漏洞的網(wǎng)絡(luò)系統(tǒng)，誘使黑客對(duì)其進(jìn)行攻擊，

在攻擊者不知道的情況下，

對(duì)其行為進(jìn)行監(jiān)視并記錄。攻擊惡意服務(wù)器大約有3700臺(tái)西門子S7PLC連接到互聯(lián)網(wǎng)，其中至少230個(gè)蜜罐可以被輕易地識(shí)別。一組數(shù)據(jù)二、工業(yè)蜜罐分類不同于普通蜜罐只模擬特定的軟件，工業(yè)控制系統(tǒng)是通用的計(jì)算設(shè)備。工控蜜罐允許單獨(dú)與系統(tǒng)及其加載的程序交互。我們擴(kuò)展了傳統(tǒng)的蜜罐分類來(lái)說(shuō)明：

低交互對(duì)手只能與主機(jī)交互中等交互對(duì)手只能與主機(jī)和程序交互高交互對(duì)手在中等交互之上能讀寫程序二、工業(yè)蜜罐分類舉例低交互中等交互高交互TCP/IP堆棧欺騙讀取系統(tǒng)狀態(tài)列表HTTPSNMP列塊讀取存儲(chǔ)寫入存儲(chǔ)開始/暫停CPU上傳/下載塊執(zhí)行程序Conpot–√–––––––Snap7–√–(√)(√)(√)(√)––CryPLH2(√)√√√√√√√–XPOT√√SNMP√√√√√√二、工業(yè)蜜罐分類三、主流工控蜜罐介紹Conpot是一個(gè)部署在服務(wù)端的低交互ICS蜜罐，能夠快速地部署、修改和拓展。開發(fā)者通過(guò)提供一系列的通用工控協(xié)議，使得我們能夠非常快速地在我們的系統(tǒng)上構(gòu)建一套復(fù)雜的工控基礎(chǔ)設(shè)施用于欺騙未知的攻擊者。低交互ICS蜜罐——Conpot三、主流工控蜜罐介紹支持協(xié)議協(xié)議介紹bacnet用于智能建筑的通信協(xié)議enip基于通用工業(yè)協(xié)議ipmi智能平臺(tái)管理接口，可以智能地監(jiān)視、控制和自動(dòng)回報(bào)大量服務(wù)器的運(yùn)作狀況modbus一種串行通信協(xié)議s7comm西門子S7通訊協(xié)議簇里的一種http超文本傳輸協(xié)議snmp簡(jiǎn)單的網(wǎng)絡(luò)管理協(xié)議三、主流工控蜜罐介紹PLC中交蜜罐——SNAP7Snap7是一個(gè)基于以太網(wǎng)與西門子S7系列PLC通信的開源庫(kù)，在工控領(lǐng)域應(yīng)用很廣。主要用于將PC站點(diǎn)與PLC網(wǎng)路完全連接到一起。具有三個(gè)對(duì)象組件，分別是客戶端、服務(wù)器和協(xié)作者，這三個(gè)對(duì)象可以同時(shí)應(yīng)用，下圖描述了這三個(gè)對(duì)象之間的聯(lián)系：服務(wù)器協(xié)作者客戶端

PLC中交蜜罐——SNAP7首個(gè)高交互工控蜜罐——XPOT三、主流工控蜜罐介紹XPOT是首個(gè)高交互，而且能夠用來(lái)分散和分析高級(jí)對(duì)手的PLC蜜罐。由于它是一個(gè)基于軟件能夠運(yùn)行程序的高交互PLC蜜罐?？蓴U(kuò)展性強(qiáng)，并允許大型誘餌或傳感器網(wǎng)絡(luò)。一個(gè)可編程的PLC蜜罐可修改的存儲(chǔ)器區(qū)域可通過(guò)監(jiān)控模式調(diào)試可編程的公共IDE執(zhí)行程序，支持編譯和解釋欺騙的TCP/IP堆棧模仿操作系統(tǒng)指紋及特征首個(gè)高交互工控蜜罐——XPOT(1)IP地址識(shí)別

通過(guò)查詢IP地址對(duì)應(yīng)的ISP，既服務(wù)提供運(yùn)營(yíng)商，來(lái)判斷所述IP是否屬于云服務(wù)器提供商的IP地址。查詢IP地址對(duì)應(yīng)的ISP當(dāng)所述IP屬于云服務(wù)器，并且開放了PLC的工控協(xié)議服務(wù)如modbus、s7等可判定IP為工控蜜罐四、蜜罐識(shí)別技術(shù)(2)操作系統(tǒng)及MAC廠商指紋識(shí)別四、蜜罐識(shí)別技術(shù)

操作系統(tǒng)識(shí)別可以使用Nmap和Xprobe2的掃描工具，Nmap是一種開源的工業(yè)級(jí)掃描工具，Xprobe2是一種操作系統(tǒng)掃描工具。

設(shè)備MAC地址會(huì)根據(jù)不同的設(shè)備廠商分配不同的段，工控設(shè)備廠商大多也可以從MAC地址來(lái)區(qū)分。下圖MAC為西門子廠商S7300PLC真實(shí)設(shè)備下圖MAC為施耐德廠商M580PLC真實(shí)設(shè)備一般工控蜜罐，如服務(wù)蜜罐大多部署在linuxvmware及docker容器里面，而仿真服務(wù)部署在windows系統(tǒng)上面。下圖為modbus協(xié)議PLC使用vmware，可判斷為蜜罐服務(wù)。四、蜜罐識(shí)別技術(shù)四、蜜罐識(shí)別技術(shù)(3)指紋特征識(shí)別這里可以利用nmap掃描工具對(duì)目標(biāo)設(shè)備開放的端口和服務(wù)進(jìn)行掃描識(shí)別，可以發(fā)現(xiàn)openplc默認(rèn)開放了http8080端口，瀏覽器訪問(wèn)http://ip:8080查看plc管理頁(yè)面發(fā)現(xiàn)與真實(shí)工控plc設(shè)備不一樣第4章工控網(wǎng)絡(luò)安全技術(shù)工控蜜罐技術(shù)2010203工業(yè)蜜罐數(shù)據(jù)采集常見工控蜜罐的組成常見工控蜜罐的應(yīng)用目錄04工控蜜罐實(shí)例主機(jī)采集網(wǎng)絡(luò)采集數(shù)據(jù)采集方式記錄主機(jī)中的各類信息記錄網(wǎng)路中的通信數(shù)據(jù)一、工業(yè)蜜罐數(shù)據(jù)采集方式工業(yè)控制系統(tǒng)蜜罐的數(shù)據(jù)采集一般有兩種方式，分別為主機(jī)采集和網(wǎng)絡(luò)采集，主機(jī)采集部署于蜜罐主機(jī)中，用于記錄主機(jī)中的各類信息。網(wǎng)絡(luò)采集部署于系統(tǒng)網(wǎng)絡(luò)中，用于記錄網(wǎng)絡(luò)中的全部通信數(shù)據(jù)，一般為旁路監(jiān)聽的狀態(tài)。一、工業(yè)蜜罐數(shù)據(jù)采集方式數(shù)據(jù)采集內(nèi)容包含蜜罐主機(jī)鍵盤輸入、網(wǎng)絡(luò)通信端口、系統(tǒng)日志、主機(jī)文件變化、網(wǎng)絡(luò)通信數(shù)據(jù)包、PLC運(yùn)行狀態(tài)和遠(yuǎn)程操作日志。一、工業(yè)蜜罐數(shù)據(jù)采集工業(yè)蜜罐主要關(guān)注的采集內(nèi)容包括:主機(jī)鍵盤輸入網(wǎng)絡(luò)通信端口系統(tǒng)日志主機(jī)文件變化網(wǎng)絡(luò)通信數(shù)據(jù)包……蜜罐主機(jī)模塊旁路檢測(cè)模塊工業(yè)控制系統(tǒng)狀態(tài)監(jiān)控模塊安全操作員模塊工業(yè)控制環(huán)境模塊常見的工控蜜罐主要由右圖五個(gè)模塊構(gòu)成；其中工業(yè)控制系統(tǒng)狀態(tài)監(jiān)控模塊包括：數(shù)據(jù)篡改/工藝篡改檢測(cè)工控系統(tǒng)崩潰檢測(cè)工控系統(tǒng)部署工業(yè)控制環(huán)境模塊包括：虛擬仿真真實(shí)系統(tǒng)二、常見工控蜜罐的組成三、常見工控蜜罐的應(yīng)用蜜罐部署舉例安全緩沖區(qū)

在管理信息網(wǎng)與工業(yè)生產(chǎn)網(wǎng)絡(luò)之間設(shè)置安全緩沖區(qū)，在此區(qū)內(nèi)設(shè)置蜜罐系統(tǒng)，對(duì)來(lái)自管理信息網(wǎng)的操作行為進(jìn)行檢測(cè)分析。管理信息網(wǎng)工業(yè)生產(chǎn)網(wǎng)安全緩沖區(qū)生產(chǎn)網(wǎng)絡(luò)在生產(chǎn)網(wǎng)絡(luò)內(nèi)部署蜜罐系統(tǒng)，由于工業(yè)生產(chǎn)業(yè)務(wù)相對(duì)固定，蜜罐系統(tǒng)在正常網(wǎng)絡(luò)流量下不會(huì)被訪問(wèn)操作，但當(dāng)出現(xiàn)病毒、木馬、黑客攻擊等操作時(shí)，蜜罐系統(tǒng)會(huì)表現(xiàn)出攻擊特征，并發(fā)出告警。三、常見工控蜜罐的應(yīng)用蜜罐部署舉例三、常見工控蜜罐的應(yīng)用蜜罐部署位置此圖展示了幾個(gè)常見蜜罐部署的位置現(xiàn)場(chǎng)蜜罐

工控系統(tǒng)現(xiàn)場(chǎng)設(shè)備和控制器的形式部署，例如PLC、RTU、工業(yè)路由器等。DMZ區(qū)域

以一個(gè)外部應(yīng)用的方式進(jìn)行部署，例如Web、FTP、Email、OA、ERP等。三、常見工控蜜罐的應(yīng)用蜜罐部署位置三、常見工控蜜罐的應(yīng)用互聯(lián)網(wǎng)出口

直接以邊界網(wǎng)關(guān)的形式進(jìn)行部署。內(nèi)網(wǎng)蜜罐

可以設(shè)置在內(nèi)網(wǎng)任意可能被訪問(wèn)到的位置，例如無(wú)線網(wǎng)關(guān)、打印機(jī)、研發(fā)PC、辦公主機(jī)等。數(shù)據(jù)區(qū)蜜罐蜜罐部署位置四、工控蜜罐實(shí)例SCADA系統(tǒng)結(jié)構(gòu)概述SCADA系統(tǒng)的結(jié)構(gòu)如圖所示，主要包括人機(jī)界面（HumanMachineInterface,HMI）、SCADA控制器和數(shù)據(jù)庫(kù)系統(tǒng)、可編程邏輯控制器（ProgrammableLogicController,PLC）組或遠(yuǎn)程終端單元（RemoteTerminalUnit,RTU）組、智能電子器件（IntelligentElectronicDevice,IED）四大部分。四、工控蜜罐實(shí)例SCADA系統(tǒng)結(jié)構(gòu)概述其中，PLC和RTU負(fù)責(zé)：收集IED產(chǎn)生的數(shù)據(jù)并將其傳送給SCADA數(shù)據(jù)庫(kù)系統(tǒng)；接收來(lái)自HMI的操作員指令并向IED執(zhí)行。人機(jī)界面控制器和數(shù)據(jù)庫(kù)系統(tǒng)可編程邏輯控制器遠(yuǎn)程終端單元智能電子器件安全防護(hù)解決方案：SCADA+