TUV南德開(kāi)啟Honeynet項目
CTI論壇(ctiforum)9月6日消息(記者 李文杰): 在為期八個(gè)月的 Honeynet 項目中,TUV南德意志集團(以下簡(jiǎn)稱(chēng)“TUV SUD”)記錄了超過(guò)60,000次企圖闖入虛擬基礎設施的嘗試。Honeynet 將實(shí)際硬件和軟件與一個(gè)模擬的小型自來(lái)水廠(chǎng)環(huán)境結合。攻擊來(lái)自世界各地的服務(wù)器,有時(shí)攻擊還利用偽造IP地址。TUV SUD 的 Honeynet項 目證明,對基礎設施及生產(chǎn)設施進(jìn)行的針對性攻擊不再是孤立事件。
工業(yè)4.0使得公司面臨的挑戰性任務(wù)是要自下而上的重新考慮他們的安全策略。數字化和相互連結性的增加使得基礎設施及工業(yè)設施更為脆弱并給潛在誤用(從間諜活動(dòng)到破壞活動(dòng))帶來(lái)了新的“機會(huì )”。TUV SUD 使用一種高互動(dòng) Honeynet 獲得新的認識,這將使所有行業(yè)的公司獲益。
圖中文字:(control server 控制服務(wù)器, log server日志服務(wù)器, network log網(wǎng)絡(luò )日志) 嘗試訪(fǎng)問(wèn)及攻擊的詳情分析
TUV SUD 策略和創(chuàng )新副總裁 Armin Pfoh 博士表示,Honeynet 是一種設計用于吸引攻擊的誘餌網(wǎng)絡(luò ),從而允許對訪(fǎng)問(wèn)及攻擊方法進(jìn)行詳細分析。對此項目,TUV SUD 模擬了德國一個(gè)小鎮的一個(gè)自來(lái)水廠(chǎng)的網(wǎng)絡(luò )。“為此,我們建立了一個(gè)高互動(dòng) Honeynet,該 Honeynet 將實(shí)際硬件和軟件與虛擬網(wǎng)絡(luò )結合起來(lái)。”Pfoh 博士解釋道。該 Honeynet 的安全措施符合行業(yè)的當前水平。為確保該 Honeynet 的系統結構及防護水平與業(yè)界一致, TUV SUD的專(zhuān)家在開(kāi)發(fā)和實(shí)施期間與基礎設施行業(yè)的代表進(jìn)行了合作。
圖中文字:( IP訪(fǎng)問(wèn)的前15國家, 唯一IP地址的數目,中國/香港,美國,韓國,日本,俄羅斯,巴西,德國,意大利,印度,臺灣,英國,加拿大,墨西哥,法國,土耳其)
Honeynet在互聯(lián)網(wǎng)上總計部署了八個(gè)月。首次訪(fǎng)問(wèn)嘗試實(shí)際上就發(fā)生在其“上線(xiàn)”之時(shí)。在項目期內,TUV SUD的專(zhuān)家記錄了來(lái)自逾150個(gè)國家的超過(guò)60,000次訪(fǎng)問(wèn)嘗試。TUV SUD工業(yè)信息技術(shù)安全高級安全專(zhuān)家及團隊經(jīng)理Thomas St?rtkuhl博士說(shuō):“這證明即使相對不重要的基礎設施也在互聯(lián)網(wǎng)上吸引注意力并遭到偵測。”訪(fǎng)問(wèn)IP數量占前3的國家分別是中國、美國和韓國。然而,IP地址并非攻擊者實(shí)際來(lái)源的可靠指標。其中一些訪(fǎng)問(wèn)嘗試是通過(guò)隱藏或偽造IP地址進(jìn)行的。
另一項引人注意的發(fā)現是這些訪(fǎng)問(wèn)不僅是通過(guò)辦公網(wǎng)絡(luò )的標準通信協(xié)議進(jìn)行的,也通過(guò)工業(yè)通信協(xié)議,如Modbus TCP或S7Comm,進(jìn)行。St?rtkuhl博士解釋道:“盡管通過(guò)工業(yè)通信協(xié)議進(jìn)行的訪(fǎng)問(wèn)嘗試的數量明顯較少,但是這些嘗試也是來(lái)自世界各地。”因此,工業(yè)信息技術(shù)安全專(zhuān)家確信,潛在攻擊者在探索工業(yè)控制系統中安全結構的漏洞(使得潛在攻擊可訪(fǎng)問(wèn)這些系統),潛在攻擊包括對若干結構和裝置進(jìn)行的一般攻擊及對預先選定系統進(jìn)行的針對性攻擊。
明確的報警信號
Honeynet 項目的結果是為基礎設施所有者及其它工業(yè)公司提供了一個(gè)明確的報警信號。Thomas St?rtkuhl 博士指出“小型或鮮為人知的公司也因互聯(lián)網(wǎng)上進(jìn)行的間諜活動(dòng)而被發(fā)現并被偵測”。因此,一般性攻擊期間即便并非特定目標的公司也可能成為受害者。“一旦公司因為成為一般間諜活動(dòng)的目標,就會(huì )吸引潛在攻擊者的注意力,針對性的攻擊可能隨之而來(lái)”TUV SUD 安全專(zhuān)家解釋道。對 TUV SUD 的 Honeynet 進(jìn)行的嘗試攻擊(通過(guò)各種通信協(xié)議發(fā)起,一個(gè)全球級別的拒絕服務(wù)攻擊及兩個(gè)通過(guò)兩個(gè)不同工業(yè)通信協(xié)議的針對性嘗試攻擊)也確認了這一說(shuō)法。
監控是制定安全措施的基礎
TUV SUD 的專(zhuān)家確認以下 Honeynet 項目的主要發(fā)現:基礎設施及生產(chǎn)設施(即便德國小鎮上相對不重要的自來(lái)水廠(chǎng)的基礎設施及生產(chǎn)設施)都受到了持續偵測。訪(fǎng)問(wèn)嘗試可演化成攻擊,從而導致重大損害風(fēng)險——從竊取商業(yè)機密到破壞整個(gè)基礎設施,從而可能人身傷害和環(huán)境破壞。安全防范措施未經(jīng)相應調整的公司和基礎設施的所有者相應面臨高風(fēng)險。如果公司要實(shí)際評估其風(fēng)險并制定有效保護措施,則其中一項先決條件就是針對性監控。根據 Honeynet 項目的結果,監控還需延伸至潛在攻擊者了解并使用的工業(yè)協(xié)議。
TUV南德意志集團是一家優(yōu)質(zhì)、安全和可靠的專(zhuān)業(yè)測試、檢驗、審核、認證、培訓和知識服務(wù)解決方案提供商。自1866年起,集團始終致力于保護人類(lèi)、財產(chǎn)和環(huán)境安全,避免新型未知技術(shù)帶來(lái)的風(fēng)險。TUV南德意志集團總部位于德國慕尼黑,在全球超過(guò)800個(gè)地方設立了辦事處。TUV南德意志集團擁有22,000多名活躍于各自領(lǐng)域的權威專(zhuān)家。TUV南德意志集團旨在通過(guò)綜合完善的一站式服務(wù),助全球客戶(hù)提高生產(chǎn)和運營(yíng)效率、降低成本、控制風(fēng)險。
