假 ICS 網路如何揭露真正的網路攻擊駭客協助論壇網來自暗網的黑客技術服務

假 ICS 網路如何揭露真正的網路攻擊

研究人員介紹了一種研究和防禦ICS 威脅的新方法。他們的計畫名為 ICSLure，是一個緊密模擬真實工業環境的蜜網。

傳統蜜罐為何不盡人意

蜜罐是一種旨在吸引攻擊者的系統，以便安全團隊能夠在不危及生產設備的情況下研究其行為。目前，大多數 ICS 蜜罐都屬於低互動型系統，使用軟體模擬可程式邏輯控制器 (PLC) 等裝置。

這些設定對於偵測基本威脅很有用，但對於經驗豐富的攻擊者來說卻很容易辨識。一旦攻擊者意識到自己正在與誘餌互動，他們就會停止透露自己的策略。這限制了防御者能夠收集的數據。

高互動環境

ICSLure 採用了不同的方法。它將真實的 PLC 硬體與物理過程的真實模擬（例如工廠車間機器的運動）相結合。這創造了研究人員所說的「超高互動性環境」。

對攻擊者來說，ICSLure 就像一個即時的工業網路。而對於防禦者來說，它能夠提供更精準的數據，了解攻擊者在 ICS 環境中的行動方式，以及他們用於破壞營運的技術。

ICSLure 的研究人員之一Angelo Furfaro告訴 Help Net Security，安全部署此類環境需要精心規劃。「蜜罐基礎設施必須透過專用 VLAN、防火牆和非軍事區與任何生產網路完全隔離，確保惡意活動不會蔓延到關鍵操作，」他說。 “PLC 應該只與模擬工廠或數位孿生交互，從而消除對物理過程執行有害命令的可能性。”

ICS威脅偵測

ICSLure 模組化架構範例

建立令人信服的目標

研究人員將 ICSLure 設計為一個模組化系統，可以根據不同類型的設施進行客製化。

在他們的概念驗證中，他們模擬了一個風力發電場，其中包括一個連接到軟體中運行的風力渦輪機模擬系統的西門子 PLC，以及虛擬工作站、路由器和 SCADA 伺服器。

為了使該設定更具說服力，他們暴露了 Modbus 和 S7 等常見的 ICS 服務，並包含一個易受攻擊的工程工作站。這些元素為攻擊者提供了入侵網路的實際途徑。

每個動作都會被記錄下來，詳細捕捉網路流量和系統變化以供日後研究。

Furfaro 解釋說，資料完整性也是他們設計中的優先事項。「所有遙測、日誌和資料包擷取都應進行加密簽章和時間戳，並儲存在防篡改儲存庫中，以確保其在取證分析中具有證據價值。」他補充道。對於雲端部署，他補充道，加密通道和延遲感知編排是確保真實性並防止資料外洩的關鍵。

捕捉完整的攻擊鏈

該團隊在公共學術網路上部署了 ICSLure，並對其進行了為期 30 天的測試。在此期間，他們收集了超過 2 GB 的網路流量。

大部分活動都是自動掃描和指紋識別，但該系統也記錄了研究人員自行發起的針對性攻擊，包括嘗試透過 Modbus 命令操縱渦輪機控制器以及接管工程工作站。

結果表明，ICSLure 能夠捕獲完整的多階段攻擊，從初始存取到實體處理中斷。此功能對於理解 FrostyGoop 等 ICS 惡意軟體或類似 Stuxnet 的複雜威脅至關重要。

Furfaro 表示：“需要沙盒、速率限制和自動入侵節流等事件遏制機制，以防止攻擊者利用 ICSLure 作為進一步攻擊的跳板。由於整個系統使用 Ansible 和 Terraform 備份到一致狀態，因此可以在事件發生後快速恢復到安全配置，這也有助於安全地重複實驗。”

ICSLure 揭示了現實世界的威脅

ICSLure 展示了逼真的蜜網如何幫助防禦者深入了解 ICS 威脅。透過研究攻擊者如何與可信任環境互動，安全團隊可以改善偵測規則、完善事件回應方案，並發現網路設計中的弱點。

BforeAI 創辦人兼執行長Luigi Lenguito表示，ICSLure 標誌著防禦者在 ICS 安全防護方式上的重大轉變。 “ICSLure 代表著我們邁出了一大步，我們正以一種更具動態性、基於欺騙和移動目標的方法，為 OT 網路的現代化檢測工程帶來新的突破。”

Lenguito 指出，OT 環境通常高度客製化，缺乏標準化，這增加了攻擊者的複雜性。「這給攻擊者帶來了巨大的挑戰，他們必須投入大量時間和資源來探索環境並識別潛在的入口點，」他解釋道。 “部署誘餌和蜜罐可以利用這種複雜性，提供一種有效的方法，以便及早發現異常活動並洞察潛在的攻擊。”

他補充說，下一個挑戰是如何將這些洞察轉化為可操作的情報。「挑戰在於數量，因為如今的OT在很多方面都與15年前的IT類似，」Lenguito說。共享和關聯這些數據點以產生情報並記錄對手的TTP（戰術、技術、流程和方法）是下一個重要步驟。

讓 ICSLure 超越概念驗證

這項研究也強調了暴露的工業控制系統 (ICS) 設備的危險性。在工作過程中，團隊透過簡單的搜尋工具在網路上發現了許多易受攻擊的 PLC。這進一步強調了隔離和嚴格存取控制的必要性。

將 ICSLure 擴展至更大規模的分散式環境將帶來新的挑戰。「首要問題是跨分散式元件的同步，」Furfaro 說。 “在廣域網路上保持實體 PLC 與多個模擬器之間的即時一致性並非易事，尤其是在考慮時脈漂移、可變延遲和抖動的情況下。”

他也指出，讓這些網路在攻擊者眼中顯得真實存在著困難。「必須逼真地模擬真實的傳播延遲、路由行為和故障情況，同時又不能暴露蜜罐的虛假本質，」他解釋道。

研究人員計劃與工業組織合作，在現實環境中測試 ICSLure。他們還希望探索如何將其融入法律和監管框架。 Furfaro 表示：“此類合作和監管評估不僅將增強 ICSLure 的實際應用價值，還將彌合實驗研究與可部署的工業級安全解決方案之間的差距。”