在為期八個(gè)月的 Honeynet 項目中,TUV南德意志集團(以下簡(jiǎn)稱(chēng)“TUV SUD”)記錄了超過(guò)60,000次企圖闖入虛擬基礎設施的嘗試。Honeynet 將實(shí)際硬件和軟件與一個(gè)模擬的小型自來(lái)水廠(chǎng)環(huán)境結合。攻擊來(lái)自世界各地的服務(wù)器,有時(shí)攻擊還利用偽造IP地址。TUV SUD 的 Honeynet項 目證明,對基礎設施及生產(chǎn)設施進(jìn)行的針對性攻擊不再是孤立事件。
圖中文字:(control server 控制服務(wù)器, log server日志服務(wù)器, network log網(wǎng)絡(luò )日志)
工業(yè)4.0使得公司面臨的挑戰性任務(wù)是要自下而上的重新考慮他們的安全策略。數字化和相互連結性的增加使得基礎設施及工業(yè)設施更為脆弱并給潛在誤用(從間諜活動(dòng)到破壞活動(dòng))帶來(lái)了新的“機會(huì )”。TUV SUD 使用一種高互動(dòng) Honeynet 獲得新的認識,這將使所有行業(yè)的公司獲益。
嘗試訪(fǎng)問(wèn)及攻擊的詳情分析
策略和創(chuàng )新副總裁 Armin Pfoh 博士表示,Honeynet 是一種設計用于吸引攻擊的誘餌網(wǎng)絡(luò ),從而允許對訪(fǎng)問(wèn)及攻擊方法進(jìn)行詳細分析。對此項目,TUV SUD 模擬了德國一個(gè)小鎮的一個(gè)自來(lái)水廠(chǎng)的網(wǎng)絡(luò )。“為此,我們建立了一個(gè)高互動(dòng) Honeynet,該 Honeynet 將實(shí)際硬件和軟件與虛擬網(wǎng)絡(luò )結合起來(lái)。”Pfoh 博士解釋道。該 Honeynet 的安全措施符合行業(yè)的當前水平。為確保該 Honeynet 的系統結構及防護水平與業(yè)界一致, TUV SUD的專(zhuān)家在開(kāi)發(fā)和實(shí)施期間與基礎設施行業(yè)的代表進(jìn)行了合作。
圖中文字:( IP訪(fǎng)問(wèn)的前15國家, 唯一IP地址的數目,中國/香港,美國,韓國,日本,俄羅斯,巴西,德國,意大利,印度,臺灣,英國,加拿大,墨西哥,法國,土耳其)
在互聯(lián)網(wǎng)上總計部署了八個(gè)月。首次訪(fǎng)問(wèn)嘗試實(shí)際上就發(fā)生在其“上線(xiàn)”之時(shí)。在項目期內,TUV SUD的專(zhuān)家記錄了來(lái)自逾150個(gè)國家的超過(guò)60,000次訪(fǎng)問(wèn)嘗試。TUV SUD工業(yè)信息技術(shù)安全高級安全專(zhuān)家及團隊經(jīng)理Thomas St?rtkuhl博士說(shuō):“這證明即使相對不重要的基礎設施也在互聯(lián)網(wǎng)上吸引注意力并遭到偵測。”訪(fǎng)問(wèn)IP數量占前3的國家分別是中國、美國和韓國。然而,IP地址并非攻擊者實(shí)際來(lái)源的可靠指標。其中一些訪(fǎng)問(wèn)嘗試是通過(guò)隱藏或偽造IP地址進(jìn)行的。
另一項引人注意的發(fā)現是這些訪(fǎng)問(wèn)不僅是通過(guò)辦公網(wǎng)絡(luò )的標準通信協(xié)議進(jìn)行的,也通過(guò)工業(yè)通信協(xié)議,如Modbus TCP或S7Comm,進(jìn)行。St?rtkuhl博士解釋道:“盡管通過(guò)工業(yè)通信協(xié)議進(jìn)行的訪(fǎng)問(wèn)嘗試的數量明顯較少,但是這些嘗試也是來(lái)自世界各地。”因此,工業(yè)信息技術(shù)安全專(zhuān)家確信,潛在攻擊者在探索工業(yè)控制系統中安全結構的漏洞(使得潛在攻擊可訪(fǎng)問(wèn)這些系統),潛在攻擊包括對若干結構和裝置進(jìn)行的一般攻擊及對預先選定系統進(jìn)行的針對性攻擊。
明確的報警信號
項目的結果是為基礎設施所有者及其它工業(yè)公司提供了一個(gè)明確的報警信號。Thomas St?rtkuhl 博士指出“小型或鮮為人知的公司也因互聯(lián)網(wǎng)上進(jìn)行的間諜活動(dòng)而被發(fā)現并被偵測”。因此,一般性攻擊期間即便并非特定目標的公司也可能成為受害者。“一旦公司因為成為一般間諜活動(dòng)的目標,就會(huì )吸引潛在攻擊者的注意力,針對性的攻擊可能隨之而來(lái)”TUV SUD 安全專(zhuān)家解釋道。對 TUV SUD 的 Honeynet 進(jìn)行的嘗試攻擊(通過(guò)各種通信協(xié)議發(fā)起,一個(gè)全球級別的拒絕服務(wù)攻擊及兩個(gè)通過(guò)兩個(gè)不同工業(yè)通信協(xié)議的針對性嘗試攻擊)也確認了這一說(shuō)法。
監控是制定安全措施的基礎
的專(zhuān)家確認以下 Honeynet 項目的主要發(fā)現:基礎設施及生產(chǎn)設施(即便德國小鎮上相對不重要的自來(lái)水廠(chǎng)的基礎設施及生產(chǎn)設施)都受到了持續偵測。訪(fǎng)問(wèn)嘗試可演化成攻擊,從而導致重大損害風(fēng)險——從竊取商業(yè)機密到破壞整個(gè)基礎設施,從而可能人身傷害和環(huán)境破壞。安全防范措施未經(jīng)相應調整的公司和基礎設施的所有者相應面臨高風(fēng)險。如果公司要實(shí)際評估其風(fēng)險并制定有效保護措施,則其中一項先決條件就是針對性監控。根據 Honeynet 項目的結果,監控還需延伸至潛在攻擊者了解并使用的工業(yè)協(xié)議。
南德意志集團是一家優(yōu)質(zhì)、安全和可靠的專(zhuān)業(yè)測試、檢驗、審核、認證、培訓和知識服務(wù)解決方案提供商。自1866年起,集團始終致力于保護人類(lèi)、財產(chǎn)和環(huán)境安全,避免新型未知技術(shù)帶來(lái)的風(fēng)險。TUV南德意志集團總部位于德國慕尼黑,在全球超過(guò)800個(gè)地方設立了辦事處。TUV南德意志集團擁有22,000多名活躍于各自領(lǐng)域的權威專(zhuān)家。TUV南德意志集團旨在通過(guò)綜合完善的一站式服務(wù),助全球客戶(hù)提高生產(chǎn)和運營(yíng)效率、降低成本、控制風(fēng)險。
