长亭谛听工控蜜罐,安排!

阅读量    127891 |

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

 

长亭谛听(D-Sensor)伪装欺骗系统新增工控蜜罐,应用于电力、烟草、石油和化工等行业,部署在变电站、火电厂、水电厂、新能源电厂生产控制大区网或管理信息大区,诱导攻击者,捕获恶意探测和漏洞利用等网络攻击,保护生产控制大区的关键业务。

谛听(D-Sensor)工控蜜罐诱导示意图

工控系统存在着通信协议种类繁多、安全验证机制不完善、一线从业人员安全防护能力参差不齐等特点,导致系统中的潜在攻击面广泛,如协议漏洞、上位机软件漏洞、工控设备漏洞、服务漏洞等。据《2021年网络安全半年形势分析》报告指出:“工业信息安全漏洞数量下降,但影响类别广泛”

工业企业安全六大挑战

谛听(D-Sensor)工控蜜罐秉承了欺骗伪装的核心思路,通过在攻击者入侵的关键路径上部署工控诱饵和陷阱,诱导攻击者转移攻击目标,进入与真实网络隔离的蜜网,让攻击者在蜜网中攻击“假”目标,获取虚假数据,从而拖延攻击时间,间接保护真实资产。在此过程中,谛听(D-Sensor)能精准发现和定位威胁源,完整记录攻击者行为,捕获高级未知攻击,为防守方提供先人一步的主动防御手段。

 

两大模块全力保障工控网络

伪装欺骗组网模块

通过部署的诱饵和探针,谛听(D-Sensor)将潜在攻击行为诱导至由蜜罐组成的现场控制、过程监控、生产管理蜜网中,蜜网中预置了模拟真实工控协议、工业控制器、工业控制系统的不同种类蜜罐,由蜜罐完成和攻击者的深度交互,从而保护真实网络

 

情报分析模块

在与攻击者的交互过程中,蜜罐会记录全部攻击行为并实时上报到情报分析模块,由情报分析模块汇总和分析攻击者针对工控系统的攻击、横跳等异常行为,最终形成攻击源分析和攻击者画像。

 

三大能力满足工控场景高要求

业务高交互仿真

谛听(D-Sensor)通过部署协议仿真蜜罐伪装工业现场DCS、PLC设备,部署组态软件仿真蜜罐伪装上位机系统,二者产生交互模拟真实业务场景,攻击者掉入蜜罐陷阱后,可以迷惑攻击者,达到保护真实环境甚至是溯源反制的能力。
目前系统支持模拟Modbus/TCP、IEC104、IEC61850、S7、OPCUA 等工控协议,适配Schneider、Rockwell、ABB、Siemens(PLC/DCS)、Omron等控制系统,可根据客户常用环境适配多种工控设备和组态软件。

精准分析预警

谛听(D-Sensor)探针通过监听其部署环境的网络端口状态,能够实现对包括但不限于以下危险行为的预警:扫描器查点、蠕虫病毒扩散、口令爆破、Shell执行、特定漏洞利用、工控PLC数据读取、影响下位机正常工作行为、异常文件上传等。
监测到潜在攻击行为后,谛听(D-Sensor)即可生成告警信息推送,结合伪装服务记录的攻击者行为日志,形成攻击者入侵时间线,完整记录其行为,以便后续研判分析和关键系统加固。

安全可控稳定运行

目前谛听(D-Sensor)已完成与主流国产化操作系统和硬件设备的适配工作。产品自身具备防逃逸预警机制和容器隔离机制,可以最大程度避免安全事故发生,并且保持不会对正常业务系统产生干扰。

此外,谛听(D-Sensor)通过标准API和Syslog接口开放,可实现与其他安全设备的有效联动集成,形成对工控网络的联动防御

 

使用场景案例

某发电厂控制系统分为发电控制系统和网控系统,其内部安全二区和安全三区是单向隔离,网控系统安全一区和安全二区之间网络隔离,在前期规划方案的时候计划部署五套独立的管理节点,分别管理各业务区的探针。蜜罐产生的日志可以通过Syslog的方式和发电厂已有监测装置对接。

谛听(D-Sensor)在不改变原有网络拓扑和对正常业务无干扰的前提下,模拟工控协议和工控设备,结合部分区域单向隔离的特点,对管理信息区域和生产控制区域的有效监测和攻击诱捕,实现“平时无感、用时有为”,有效提升各业务区的威胁感知能力。

长亭科技作为国内首家将欺骗伪装技术商业落地的安全公司,通过6年多的持续技术研究,已经在蜜罐领域占据了国内领先市场地位,并得到了金融、能源、电信等各行业头部客户的技术认可,在产品成熟度和安全性上更得到了市场和技术的充分检验,在历次重大活动网络安全保障工作中表现优异。

识别二维码,申请免费试用,解锁更多谛听(D-Sensor)安全能力

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多