一种关键的IIoT安保手腕 工业物联网蜜罐 蜜网
1、工业物联网及相似定义
工业物联网(IIoT, Industrial Internet of Things)的定义是应用工业通讯技术将物联网技术运行到智能化畛域[1]。与之相似的有两个概念:物联网和消息物理系统。
1.1 工业物联网与物联网
物联网(IoT, Internet of Things)是一个由互联网衔接的设备组成的网络,如传感器、口头器和其余能够搜集数据和启动通讯的嵌入式设备。
依据定义,IIoT是IoT应用工业通讯技术在智能化畛域的运行,而物联网IoT作为工业物联网IIoT的基础,其运行深化咱们生存的每个角落。传感器、口头器、可穿戴设备、嵌入式设备和许多其余IoT设备随处可见,修建、市区、交通、汽车、制作业、关键(核反响堆、发电厂、炼油厂等)和非关键基础设备以及农业等各种环境中都有IoT的运行。
1.2 消息物理系统
消息物理系统(CPS, Cyber-Physical System)是由传感器、口头器、可编程逻辑控制器PLC、远程终端单元RTU、智能电子设备IED和其余嵌入式设备组成的网络,用于监测和控制关键和非关键运行畛域中的物理环节。
CPS的运行场景包括但不限于工业控制系统ICS、智能电网、其余智能基础设备(如水、煤气、修建智能化)、医疗设备和智能汽车[2], [3]。总的来说,IIoT因其上班环境的不凡性(敞开系统)而与CPS密无法分。
从定义上看,IoT、CPS和IIoT三个概念其实十分相似,并无太大区别。NIST的一份特意报告中指出,IoT和CPS的不同之处在于,IoT更强调物理环球中的消息与网络关系技术,而CPS更贴近于一种敞开系统成功,更并重于感知和消息替换控制[4]。在上述基础上,IIoT因同时具备两者的特色而进一步衔接了IoT和CPS的定义。
2、工业物联网蜜罐、蜜网
2.1 经常出现的工业物联网安保机制
为了包全IIoT环境下的工业设备,在工业网络中常驳回多种网络进攻手腕,如明码学加密、经常使用防火墙、搭载入侵检测系统IDS和入侵进攻系统IPS、驳回防病毒和反恶意软件处置打算等。我国现行的工业无线网络规范国度规范定义的工业网络协定蕴含3层:物理层、链路层和运行层,它在安保治理上也驳回了多种安保机制,如CCM*加密形式(宽泛运行于IEEE 802.x协定和BLE协定),性能基于期间戳和nonce的防重放攻打手腕等安保机制[5]。
2.2 传统工业物联网安保机制面临的应战
因IIoT环境的不凡性,对各设备在资源限度、网络寿命和QoS等方面有着共同要求,这也对IIoT环境的安保进攻才干收回了渺小的应战。IoT是IIoT的基础,IoT设备通常具备有限的电源、存储、计算和通讯资源,这尤其在IIoT应用工业通讯设备在智能化畛域部署这一上班环境下,对其能驳回的安保机制有着相当的限度。而另一方面,IIoT环境中经常使用的设备设计之初并没有思考安保性。举例来说,在工业消费中,工业网络通常须要满足低时延、低功耗、高牢靠性和高稳固性等要求,在这样的前提下,IIoT/CPS的运行环境都被以为是自动安保且孤立的。这种含糊的安保假定在2010年被广为人知的“震网”病毒冲破。这个例子说明传统静态的“隐式信赖”模型亟需重构改造,“零信赖”在网络实施中的外围理想——去除隐式信赖也雷同是为处置这类疑问而生。思考到零信赖关系技术、规范并未开展成熟,且本文关键对IIoT蜜罐和蜜网启动引见,这里不对零信赖准则过多赘述。随着越来越多的工业环境被衔接到互联网,数十年不会改换的工业设备其安保机制的降级也已成为重大疑问。
2.3 蜜罐、蜜网及其在工业物联网的运行
传统的IIoT安保机制对安保钻研人员发现并剖析攻打者攻打形式(以及进攻应答)并不透明。蜜罐用以吸引攻打者并诈骗其以为自己已取得了对实在系统的访问,是一种以被攻打和或者被破坏为目的而经常使用的工具,而在一个系统上成功的两个或多个蜜罐组成一个蜜网[6], [7]。蜜罐可以与防火墙和IDS集成为IPS,以捕捉攻打者的无关消息,钻研他们的一切行为,并开发可以防止未来或者的攻打的安保打算。
实践经常使用时,蜜罐和蜜网可以部署在不同的位置,例如云计算环境、企业网络的隔离区 (DMZ区)、实践运行程序/消费环境(在IoT、IIoT或CPS网络中)以及具备公共 IP 地址的私有部署环境中,其基础蜜网架构如图1所示[8]。不同环境的选项有其自身的优势和缺陷;此外,部署环境不同,最适宜该环境的蜜罐或蜜网类型也不同。
图1 基础蜜网架构
IIoT的部署环境十分宽泛,Javier等的钻研将蜜网在IIoT的运行环境分为了6个大局部,区分为工业控制系统ICS、智能电网、水系统、燃气线路、楼宇智能化系统和综合IIoT蜜网,并从技术开展上对其启动了分类,图2是实用IIoT的蜜罐、蜜网分类,图3则描画了IIoT蜜罐、蜜网的开展历史[8]。作为现有蜜罐的关键指标运行畛域之一,一半以上的IIoT蜜罐都是针对ICS环境而设计。虽然针对特定IIoT运行的饵较少(大少数钻研是针对ICS的),但相似的工业设备(如PLC)仍被ICS和智能基础设备(如电网、水、自然气)所经常使用。
图2 实用IIoT的蜜罐、蜜网分类
图3 IIoT蜜罐、蜜网的开展
IIoT蜜网始于2004年思科的SCADA HoneyNet名目。SCADA HoneyNet是基于Honeyd的开源蜜罐框架,是一个低交互蜜网,支持模拟在PLC上运转的Modbus/TCP、FTP、Telnet和HTTP服务。Berman在美国空军技术钻研所颁布的2012年的论文是在文献中针对IIoT蜜罐、蜜网启动的第一个钻研,次年第二篇该畛域论文雷同是在美国空军技术钻研所颁布,而这两篇论文的颁布期间正好对应于震网病毒的时代。2013年,史上最受欢迎的ICS蜜罐Conpot开源名目成功,Trend Micro Research的Wilhoit颁布了他们的低交互ICS蜜罐白皮书,这也为起初少量的IIoT/CPS方向的蜜罐、蜜网钻研通常注入了新的动力。
IIoT低交互蜜罐可以提供扫描、指标协定、攻打源和暴力尝试无关的有价值消息。另一方面,只要经过中/高交互蜜罐,才有或者发现并剖析其余更初级的攻打、对详细工业协定及流程的攻打。IIoT高交互蜜罐准许攻打者对系统启动破坏,或应用蜜罐启动一些其余攻打行为,所以部署高交互蜜罐是一个很风险的行为,尤其是在IIoT这种具备不凡要求的环境,更不用说工业设备的高老本是IIoT蜜罐经常使用虚构资源而非物理设备的最大驱动起因之一。
IIoT环境因其共同的要求和性能,使得包括蜜罐在内的安保工具,即使有着很先进前沿的钻研,却一直难以在这些畛域踊跃部署运行。就蜜罐的用途而言,大少数蜜罐和蜜网都只要着钻研目的而没有消费目的。SCADA设备须要延续上班,能够终止和停机的状况少之又少。除此之外,工业设备普通有高度的时效限度,须要严厉保障照应期间。因此,在未部署蜜罐的ICS消费环境中拔出蜜罐,或对已被淘汰或版本落后的蜜罐启动降级是十分艰巨的,这些行为极大或者影响ICS通讯,并对系统有破坏风险(高交互蜜罐)。
最常被用于在IIoT蜜罐、蜜网中检测/测试的攻打是扫描(scanning)攻打。大少数钻研都对扫描攻打启动了不同期间周期的测试,这些蜜罐能统计扫描次数、启动流量剖析、借助现有库判别扫描源非法性等。除了DoS和DDoS,SSH、暴力尝试和两边人攻打也是特定的蜜罐和蜜网环境中的重点检测对象。一些虽然没有上述攻打那么经常出现的,像敲诈软件、挖矿后盾等恶意软件和一些针对ICS的特定攻打,例如HAVEX RAT、PLC Blaster和tank overflow攻打也是防护重点。
Linux是蜜罐和蜜网干流的操作系统环境,除此之外还有FreeBSD。编程言语上,Python最为盛行,C/C++和Java也有经常使用。这应该与这些言语有支持工业协定的库无关,例如Python有Modbustk、pymodbus和cpppo EtherNet/IP库;C/C++有libiec61850和OpenDNP3库;Java有JAMOD Modbus库[8]。Conpot蜜罐作为最盛行的IIoT/CPS开源蜜罐,也是用Python编写的。
2.4 总结与启示
IIoT环境十分不凡,任何蜜罐/蜜网在开发之初,招思考其指标运行畛域、目的、老本、部署环境、所提供/模拟的服务、与攻打者预期交互水平、所消耗资源、所需工具、指纹识别性以及或者发生的实践责任疑问等。此外,IIoT的蜜罐/蜜网从运行到部署,也须要事行启动多方面考量:例如对哪些详细运行、详细工业协定、部署在网络的位置、资源调配(如何保障工业消费通讯、控制资源)等。
IIoT蜜罐/蜜网是一种关键的安保手腕,该畛域不时以来也是十分生动的钻研畛域,如何将现有的前沿钻研实践运行至消费环境,与其余安保手腕配合,起到更好包全IIoT环境的作用,则是咱们未来更需关注的局部。
(本文局部内容翻译修正自A Survey of Honeypots and Honeynets for Internet of Things, Industrial Internet of Things, and Cyber-Physical Systems (J. Franco et al. 2021))
参考文献
[1] E. Sisinni, A. Saifullah, S. Han, U. Jennehag, M. Gidlund[C]. Industrial Internet of Things: Challenges, opportunities, and directions. IEEE Trans. Ind. Informat.. 2018(4), vol. 14, no. 11, pp. 4724-4734.
[2] B. Bordel, R. Alcarria, T. Robles, D. Martín[C]. Cyber–physical systems: Extending pervasive sensing from control theory to the Internet of Things. Pervasive Mobile Comput. 2017, vol. 40, pp. 156-184.
[3] A. Humayed, J. Lin, F. Li, B. Luo[C]. Cyber-physical systems security—A survey. IEEE Internet Things J. 2017, vol. 4, no. 6, pp. 1802-1831.
[4] C. Greer, M. Burns, D. Wollman, E. Griffor[DB/OL]. Cyberphysical systems and Internet of Things. NIST, Gaithersburg, MD, USA. 2019, Rep. 1900-202.
[5] GB/T 26790, 工业无线网络WIA规范[S].
[6] L. Spitzner[DB/OL]. The Value of Honeypots, Part One:Definitions and Values of Honeypots.Apr. 14, 2020.
[7] P. Kumar, R. Verma[J]. A review on recent advances & future trends of security in honeypot. Int. J. Adv. Res. Comput. Sci.. 2017, vol. 8, no. 3, pp. 1108-1113.
[8] J. Franco, A. Aris, B. Canberk, A. S. Uluagac[C]. A Survey of Honeypots and Honeynets for Internet of Things, Industrial Internet of Things, and Cyber-Physical Systems. IEEE Communications Surveys & Tutorials. 2021, vol. 23, no. 4, pp. 2351-2383.