背景現(xiàn)狀

隨著全球網(wǎng)絡(luò)空間安全態(tài)勢的日益緊張，針對關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊頻發(fā)且手段不斷升級，工控系統(tǒng)作為國家經(jīng)濟(jì)命脈的重要組成部分，已經(jīng)成為高級持續(xù)性威脅（APT）的主要目標(biāo)之一。傳統(tǒng)的安全防御體系多側(cè)重于被動防護(hù)，但面對隱蔽性強(qiáng)、定向性強(qiáng)且持久潛伏的APT攻擊，往往顯得力不從心，難以在攻擊初期及時發(fā)現(xiàn)和阻止。

在這種背景下，工控蜜罐技術(shù)成為解決此困境的關(guān)鍵轉(zhuǎn)折點(diǎn)，工控蜜罐技術(shù)突破了以往單純依賴被動防御的局限，通過構(gòu)造精心設(shè)計的誘餌環(huán)境，主動吸引攻擊者進(jìn)入，并在不干擾真實(shí)生產(chǎn)系統(tǒng)運(yùn)行的前提下，對其進(jìn)行監(jiān)控和追蹤，不僅能夠有效地感知潛在的威脅，還能深入了解攻擊者的戰(zhàn)術(shù)、技術(shù)和流程（TTPs），收集第一手的威脅情報，進(jìn)而指導(dǎo)防御策略的調(diào)整與優(yōu)化。

工控蜜罐技術(shù)的產(chǎn)品化應(yīng)用，使得工業(yè)控制系統(tǒng)擁有了主動防御的利器。通過工控蜜網(wǎng)系統(tǒng)獲取的未知攻擊行為可進(jìn)一步為協(xié)同聯(lián)動安全防御體系（AD-XDR）賦能，有效聯(lián)動企業(yè)網(wǎng)絡(luò)側(cè)、終端側(cè)的安全設(shè)備，化“被動防御”為“主動運(yùn)營”，徹底扭轉(zhuǎn)防守方攻防不對稱的局面，有力地增強(qiáng)了我國工業(yè)控制系統(tǒng)乃至關(guān)鍵信息基礎(chǔ)設(shè)施的安全韌性。

產(chǎn)品簡介

博智安全科技股份有限公司（以下簡稱”博智安全”）以“工業(yè)協(xié)議深度仿真、欺騙誘捕以及分布式容器”等技術(shù)為基礎(chǔ)，自主研發(fā)了具有“高甜度、高交互、欺騙性強(qiáng)”的分布式工控蜜網(wǎng)系統(tǒng)，能夠模擬真實(shí)工控網(wǎng)絡(luò)中的設(shè)備、協(xié)議、服務(wù)，誘導(dǎo)攻擊者對蜜罐進(jìn)行攻擊，從而實(shí)現(xiàn)擾亂攻擊對象，遲滯攻擊行動，保護(hù)真實(shí)系統(tǒng)的目標(biāo)；同時基于攻擊者流量分析，刻畫攻擊事件畫像，實(shí)現(xiàn)精準(zhǔn)溯源反制，改變防守方在攻防博弈過程中的弱勢地位，提升系統(tǒng)的主動防御能力，為客戶的關(guān)鍵資產(chǎn)提供最高級別的保護(hù)。

工控協(xié)議仿真

具備對工控協(xié)議的仿真能力，包括S7、DNP3、FINS、Modbus TCP等協(xié)議，且能夠?qū)崿F(xiàn)指令級別的高交互。

威脅誘捕場景

支持構(gòu)建基于業(yè)務(wù)流程的威脅誘捕場景，包括資產(chǎn)、協(xié)議、網(wǎng)絡(luò)拓?fù)洹I(yè)務(wù)數(shù)據(jù)等屬性，提升系統(tǒng)的欺騙/威脅誘捕能力。

攻擊行為分析

支持通過黑客攻擊流量包分析黑客攻擊方法和手段，繪制黑客畫像，溯源黑客信息；系統(tǒng)具備攻擊者組織識別功能，支持入侵規(guī)則提取，對于有流量數(shù)據(jù)的蜜罐系統(tǒng)記錄進(jìn)行分析提取入侵規(guī)則。

攻擊態(tài)勢展示

支持通過大屏的方式可視化展示當(dāng)前網(wǎng)絡(luò)攻擊整體安全態(tài)勢，展示蜜罐攻擊地圖、最近告警信息、入侵事件時間分布、受到入侵的協(xié)議TOP5、發(fā)起入侵的源IP TOP5等實(shí)時監(jiān)控信息。

典型應(yīng)用場景

關(guān)基行業(yè)用戶

如四川某水電站案例，在電力行業(yè)用戶生產(chǎn)指揮中心I區(qū)部署了3臺工控蜜罐設(shè)備，共同構(gòu)成工控蜜網(wǎng)系統(tǒng)，實(shí)現(xiàn)了對水電網(wǎng)絡(luò)安全威脅的監(jiān)測、誘捕及主動防御。

高校/科研院所

以蜜罐技術(shù)為核心，圍繞項(xiàng)目/課題目標(biāo)，開展關(guān)鍵核心技術(shù)研究，輸出研究成果（論文、專利、研究報告等），提供原型系統(tǒng)，支撐項(xiàng)目/課題驗(yàn)收。

（1）基于特定場景的分布式工控蜜網(wǎng)構(gòu)建技術(shù)研究

（2）基于動態(tài)異構(gòu)冗余機(jī)制的工控擬態(tài)蜜罐系統(tǒng)構(gòu)建技術(shù)研究及應(yīng)用

（3）基于攻擊混淆與欺騙偽裝技術(shù)的交互式工控網(wǎng)絡(luò)誘捕及主動防御系統(tǒng)研究及應(yīng)用

用戶價值

延緩攻擊進(jìn)程，保護(hù)真實(shí)網(wǎng)絡(luò)

高交互工控蜜罐具有高甜度，能夠誘使攻擊者耗費(fèi)大量時間攻擊工控蜜罐設(shè)備，工控蜜罐在被攻擊時，向用戶發(fā)出告警，延緩攻擊者攻擊進(jìn)程，爭取應(yīng)急響應(yīng)時間。 

APT 等未知威脅的檢測

傳統(tǒng)的基于規(guī)則、特征碼的方式無法檢測到 APT 等未知威脅攻擊，工控蜜罐能夠?qū)崿F(xiàn)新型未知網(wǎng)絡(luò)威脅、高級持續(xù)性威脅（APT）等高層次網(wǎng)絡(luò)攻擊的檢測。

網(wǎng)絡(luò)攻擊的溯源與取證

能夠全面記錄攻擊者的攻擊過程，對攻擊數(shù)據(jù)可分析，精準(zhǔn)刻畫攻擊者畫像，為溯源反制、取證提供支撐。

主動防御工具

在單位開展網(wǎng)絡(luò)安全專項(xiàng)行動（如護(hù)網(wǎng)行動）中，蜜罐能夠作為主動防御工具支撐防御方，實(shí)現(xiàn)被動防御到主動防御的轉(zhuǎn)變。

產(chǎn)品簡介