工控蜜罐特殊的安全需求 “可靠性”第一:排除一切可能影响工业控制流程的因素,保障设备持续运行 无误报:任何工控安全事件责任和损害都是巨大的,需要严谨的取证和确定安全隐患 现有防御手段的局限性(被动防御) 边界防护:粗粒度异常阻断,无法审查工控相关内容 入侵检测:依赖“白名单”发现已知攻击,存在一定误报率 安全审计:无实质性防护功能 漏洞检测与修补:对工控设备可能造成损害,漏洞发布慢,补丁修补难 工控蜜罐的优势 无打扰:并联接入,只进不出 严格取证:蜜罐是最有效的攻击取证工具 抗0day攻击:工控系统面临的高危攻击往往利用0day漏洞进行攻击,工控蜜罐是为数不多不依赖于“黑名单”的防御工具。
工控蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。”
工控蜜罐作为一种主动防御技术可以吸引攻击,分析攻击,推测攻击意图,并将结果补充到防火墙、IDS以及IPS等威胁阻断技术。 工控蜜罐的发展主要分为三个阶段 1.初级阶段,蜜罐思想首次被提出,这是蜜罐的形成阶段; 2.中期阶段,蜜罐工具的大规模开发,比如DTK、honeyd、honeybrid等工具的提出; 3.后期阶段,采用虚拟仿真、真实设备、真实系统、IDS、数据解析工具以及数据分析技术等综合构建的网络体系进行入侵诱捕。