一个蜜罐引来四次零日攻击,这就是工控系统安全性的血淋淋现状,而且这还是全球普遍现象。
近日,为了研究当今工业控制系统面临的安全威胁,研究人员使用了一个由120个高交互性蜜罐组成的虚假工业基础设施网络,部署在22个国家/地区,模仿可编程逻辑控制器(PLC)和远程终端单元。
在13个月的时间内,攻击者与蜜罐进行了80,000次交互(主要是扫描),并且有9次交互恶意使用了工业协议。
虽然这听起来可能是一个小数目,但九次恶意交互中就有四次使用了前所未知的攻击(零日漏洞攻击),其中一种还是首次在野外被使用的概念验证攻击。
蜜罐检测到的攻击类型包括拒绝服务攻击和命令重放攻击已向设备制造商披露。
研究人员说:
尽管这个蜜罐系统的产量很小,但影响却极大,因为这些都是ICS社区以前不知道的高级针对性攻击手段。
这项研究已经发布在在北约支持的网络安全会议上(论文地址在文末)。
Industrial Defenica的工业安全研究员Mikael Vingaard也是该研究的作者之一,他说该蜜罐采集的数据是迄今为止在安全学术研究中使用最多的数据集,其暴露的零日漏洞的数量表明这些蜜罐高度“仿真”和可信。
另一位作者,剑桥大学计算机科学与技术系的迈克尔·道森(Michael Dodson)指出,如果这些攻击针对真实工控系统设备而不是蜜罐,那么拒绝服务攻击将在攻击过程中完全关闭工控设备,或者导致其无法通过网络进行通信。
但与拒绝服务攻击相比,重放攻击更加可怕。
如果攻击者可以重放命令以更改设备状态或写入寄存器,那么攻击者就可以完全控制设备的行为,因此可以完全控制设备的控制过程。
参考资料
使用全球蜜罐网络检测针对性工控系统攻击:
https://ccdcoe.org/uploads/2020/05/CyCon_2020_15_Dodson_Beresford_Vingaard.pdf