蜜罐概念

蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。近年来，蜜罐技术广泛应用于工控安全领域，能够有效提升工控系统和网络的安全防御能力。本文将在理清基本概念之上，为工业蜜罐的安全建设提供可行性技术路线。

工业蜜罐

当前大多数工业企业的工控安全建设主要以“防得住”为主，但随着近年来如勒索病毒、跨境入侵等各类安全事件在工业企业的频繁爆发，今后工业企业在面对攻击性更强、专业度更高的复杂攻击手段时，更加需要行之有效的防御技术帮助企业具备“抓得住、找得准”的能力。使用工业蜜罐技术，通过对不同行业（如电力、冶金、化工、制造业等）中工控网络和业务场景进行高交互的伪装和仿真，实现“伪装模拟、场景诱捕、智能分析、追踪溯源”的防护效果，可有效提升工控系统和网络的安全防御能力，工业蜜罐技术的应用前景将十分广阔。

早期工业蜜罐产品/项目

* SCADAHoneyNet项目

此项目开始于2004年，是针对工业控制系统（IndustrialControlSystem,下称ICS系统）构建、开发、实施的第一个工业蜜罐系统，当时的目标是验证模拟ICS系统（如PLC、SCADA）的可行性，但是由于此项目的蜜罐服务是由Python脚本部分实现的，最终被归类为低交互蜜罐。

* Conpot

这是一种低交互性的工业蜜罐系统，默认配置模拟了SiemensS7-200CPU，支持s7comm、Modbus、HTTP和SNMP协议，并且可以由用户自定义的HMI参数模板。

网御星云工业蜜罐技术路线

网御星云工业蜜罐系统包括管理系统和业务仿真系统，系统通过虚拟化技术，集成各类仿真系统（蜜罐），内置电力、冶金、化工、水务等行业场景，通过网络设置将业务仿真系统（仿真PLC、RTU、DCS等工控设备，模拟IT协议和工业协议，仿真SCADA、HMI等工控系统）投放到不同网段，诱骗攻击者，延缓攻击、保护真实网络资产，蜜罐捕获的攻击行为日志和数据上传至管理中心，通过管理中心分析和展示，达到溯源取证目的。管理系统可单独部署在云端，实现仿真系统的升级和管理。

网御星云工业蜜罐的优势

网御工业蜜罐是实现主动防御的工控网络安全系统，通过主动防御体系的建设，具有如下优势：

* 补充现有基于信息保护和特征防御的工控安全防护体系，增强工控环境网络安全防御能力。

* 区别于传统蜜罐，网御工业蜜罐通过与用户生产环境的深度绑定，达到高程度仿真效果，不再“一招走遍天下”，突出用户生产场景的模拟真实性与防护有效性。

* 以网御工业蜜罐为抓手，构建高仿真工控蜜网，打造工控网的安全防护体系。

* 有效针对未知威胁攻击达到抵御效果，如新型蠕虫、木马、APT攻击等。

* 以高仿真生产系统和工业网络为诱饵，主动针对攻击行为进行有效诱捕，达到实施隔离攻击源的效果。

* 网御工业蜜罐能有效获取新型蠕虫、木马、情报等信息赋能到被动安全防御体系，联动工控系统的威胁情报库，可动态持续提高被防护主体的安全防御能力。

应用场景

* 业务系统仿真：工控设备、工业协议、工控场景、IT/OT环境业务系统的仿真；

* 旁路部署：单点部署、分布式部署，不影响工控现场业务；

* 环境适应性强：适应工业互联网、物联网、工业控制网络、办公网等不同网络环境。

工业互联网安全作为网御星云的重要安全业务之一，自2014年起，已实践十余个行业近千个案例。目前公司已具备较为完整、基于行业特点的工业互联网安全产品及服务体系，切实落地实践“业务+安全”的场景化解决方案，打造“懂安全，懂业务”的工业互联网安全运营模式能力，不断满足用户全业务场景的安全需求，更好地助力工业企业数字化转型之路。