官網熱線:400-100-0298
工控蜜罐特殊的安全需求 “可靠性”第一:排除一切可能影響工業控制流程的因素,保障設備持續運行 無誤報:任何工控安全事件責任和損害都是巨大的,需要嚴謹的取證和確定安全隱患 現有防御手段的局限性(被動防御) 邊界防護:粗粒度異常阻斷,無法審查工控相關內容 入侵檢測:依賴“白名單”發現已知攻擊,存在一定誤報率 安全審計:無實質性防護功能 漏洞檢測與修補:對工控設備可能造成損害,漏洞發布慢,補丁修補難 工控蜜罐的優勢 無打擾:并聯接入,只進不出 嚴格取證:蜜罐是最有效的攻擊取證工具 抗0day攻擊:工控系統面臨的高危攻擊往往利用0day漏洞進行攻擊,工控蜜罐是為數不多不依賴于“黑名單”的防御工具。
工控蜜罐技術本質上是一種對攻擊方進行欺騙的技術,通過布置一些作為誘餌的主機、網絡服務或者信息,誘使攻擊方對它們實施攻擊,從而可以對攻擊行為進行捕獲和分析,了解攻擊方所使用的工具與方法,推測攻擊意圖和動機,能夠讓防御方清晰地了解他們所面對的安全威脅,并通過技術和管理手段來增強實際系統的安全防護能力。”
工控蜜罐作為一種主動防御技術可以吸引攻擊,分析攻擊,推測攻擊意圖,并將結果補充到防火墻、IDS以及IPS等威脅阻斷技術。 工控蜜罐的發展主要分為三個階段 1.初級階段,蜜罐思想首次被提出,這是蜜罐的形成階段; 2.中期階段,蜜罐工具的大規模開發,比如DTK、honeyd、honeybrid等工具的提出; 3.后期階段,采用虛擬仿真、真實設備、真實系統、IDS、數據解析工具以及數據分析技術等綜合構建的網絡體系進行入侵誘捕。
