德國慕尼黑2015年9月2日電 /美通社/ -- 在為期八個月的 Honeynet 項目中,TUV南德意志集團(以下簡稱“TUV SUD”)記錄了超過60,000次企圖闖入虛擬基礎設施的嘗試��。Honeynet 將實際硬件和軟件與一個模擬的小型自來水廠環(huán)境結合�����。攻擊來自世界各地的服務器���,有時攻擊還利用偽造IP地址。TUV SUD 的 Honeynet項 目證明�,對基礎設施及生產(chǎn)設施進行的針對性攻擊不再是孤立事件。
工業(yè)4.0使得公司面臨的挑戰(zhàn)性任務是要自下而上的重新考慮他們的安全策略��。數(shù)字化和相互連結性的增加使得基礎設施及工業(yè)設施更為脆弱并給潛在誤用(從間諜活動到破壞活動)帶來了新的“機會”����。TUV SUD 使用一種高互動 Honeynet 獲得新的認識���,這將使所有行業(yè)的公司獲益。
圖中文字:(control server 控制服務器, log server日志服務器, network log網(wǎng)絡日志)
嘗試訪問及攻擊的詳情分析
TUV SUD 策略和創(chuàng)新副總裁 Armin Pfoh 博士表示�����,Honeynet 是一種設計用于吸引攻擊的誘餌網(wǎng)絡�����,從而允許對訪問及攻擊方法進行詳細分析���。對此項目��,TUV SUD 模擬了德國一個小鎮(zhèn)的一個自來水廠的網(wǎng)絡���?��!盀榇?����,我們建立了一個高互動 Honeynet��,該 Honeynet 將實際硬件和軟件與虛擬網(wǎng)絡結合起來�。”Pfoh 博士解釋道�。該 Honeynet 的安全措施符合行業(yè)的當前水平。為確保該 Honeynet 的系統(tǒng)結構及防護水平與業(yè)界一致���, TUV SUD的專家在開發(fā)和實施期間與基礎設施行業(yè)的代表進行了合作��。
圖中文字:( IP訪問的前15國家, 唯一IP地址的數(shù)目,中國/香港��,美國����,韓國,日本�����,俄羅斯�,巴西,德國�����,意大利���,印度����,臺灣�����,英國��,加拿大�,墨西哥,法國�,土耳其)
Honeynet在互聯(lián)網(wǎng)上總計部署了八個月。首次訪問嘗試實際上就發(fā)生在其“上線”之時��。在項目期內(nèi)��,TUV SUD的專家記錄了來自逾150個國家的超過60,000次訪問嘗試�����。TUV SUD工業(yè)信息技術安全高級安全專家及團隊經(jīng)理Thomas Störtkuhl博士說:“這證明即使相對不重要的基礎設施也在互聯(lián)網(wǎng)上吸引注意力并遭到偵測����。”訪問IP數(shù)量占前3的國家分別是中國���、美國和韓國����。然而,IP地址并非攻擊者實際來源的可靠指標�。其中一些訪問嘗試是通過隱藏或偽造IP地址進行的。
另一項引人注意的發(fā)現(xiàn)是這些訪問不僅是通過辦公網(wǎng)絡的標準通信協(xié)議進行的�,也通過工業(yè)通信協(xié)議,如Modbus TCP或S7Comm��,進行�����。Störtkuhl博士解釋道:“盡管通過工業(yè)通信協(xié)議進行的訪問嘗試的數(shù)量明顯較少�,但是這些嘗試也是來自世界各地?��!币虼?,工業(yè)信息技術安全專家確信����,潛在攻擊者在探索工業(yè)控制系統(tǒng)中安全結構的漏洞(使得潛在攻擊可訪問這些系統(tǒng)),潛在攻擊包括對若干結構和裝置進行的一般攻擊及對預先選定系統(tǒng)進行的針對性攻擊���。
明確的報警信號
Honeynet 項目的結果是為基礎設施所有者及其它工業(yè)公司提供了一個明確的報警信號����。Thomas Störtkuhl 博士指出“小型或鮮為人知的公司也因互聯(lián)網(wǎng)上進行的間諜活動而被發(fā)現(xiàn)并被偵測”。因此���,一般性攻擊期間即便并非特定目標的公司也可能成為受害者����?!耙坏┕疽驗槌蔀橐话汩g諜活動的目標�����,就會吸引潛在攻擊者的注意力���,針對性的攻擊可能隨之而來”TUV SUD 安全專家解釋道���。對 TUV SUD 的 Honeynet 進行的嘗試攻擊(通過各種通信協(xié)議發(fā)起,一個全球級別的拒絕服務攻擊及兩個通過兩個不同工業(yè)通信協(xié)議的針對性嘗試攻擊)也確認了這一說法��。
監(jiān)控是制定安全措施的基礎
TUV SUD 的專家確認以下 Honeynet 項目的主要發(fā)現(xiàn):基礎設施及生產(chǎn)設施(即便德國小鎮(zhèn)上相對不重要的自來水廠的基礎設施及生產(chǎn)設施)都受到了持續(xù)偵測����。訪問嘗試可演化成攻擊,從而導致重大損害風險——從竊取商業(yè)機密到破壞整個基礎設施��,從而可能人身傷害和環(huán)境破壞。安全防范措施未經(jīng)相應調(diào)整的公司和基礎設施的所有者相應面臨高風險�。如果公司要實際評估其風險并制定有效保護措施,則其中一項先決條件就是針對性監(jiān)控�。根據(jù) Honeynet 項目的結果,監(jiān)控還需延伸至潛在攻擊者了解并使用的工業(yè)協(xié)議�����。
更多有關 TUV SUD 工業(yè)信息技術安全的服務的信息可登陸:http://www.tuv-sud.com/activity/focus-topics/digital-service 及 http://www.tuv-sud.com/activity/focus-topics/embedded-systems.
編輯人員注意:可從 www.tuv-sud.com/pressphotos 的“媒體照片”分類下載高分辨率圖片�����。
圖片- http://photos.prnasia.com/prnh/20150901/0861508195-a
圖片- http://photos.prnasia.com/prnh/20150901/0861508195-b
圖標 - http://photos.prnasia.com/prnh/20150824/0861507871LOGO
