作为专业的审核认证和测试解决方案提供商,TUV南德意志集团在为期八个月的Honey net项目中记录了超过60000次企图闯入虚拟基础设施的尝试。这个被称为Honey net的实验项目将实际硬件和软件与一个模拟的小型自来水厂环境结合。攻击来自世界各地的服务器,有时攻击还利用伪造IP地址。TUV南德的这一实验项目证明,对基础设施及生产设施进行的针对性攻击不再是孤立事件。
作为TUV南德集团的主要负责人之一,Armin Pfoh博士在接受采访时表示,Honey net是一种设计用于吸引攻击的诱饵网络,从而允许对访问及攻击方法进行详细分析。对此项目,TUV南德模拟了德国一个小镇的一个自来水厂的网络。“为此,我们建立了一个高互动Honey net,该Honey net将实际硬件和软件与虚拟网络结合起来。”Pfoh博士解释道。该Honey net的安全措施符合行业的当前水平。为确保该Honey net的系统结构及防护水平与业界一致,TUV南德的专家在开发和实施期间与基础设施行业的代表进行了合作。
这个被称为Honey net的实验项目在互联网上总计部署了八个月。首次访问尝试实际上就发生在其“上线”之时。在项目期内,TUV南德的专家记录了来自逾150个国家的超过60000次访问尝试。TUVSUD工业信息技术安全高级安全专家及团队经理Thomas·Störtkuhl博士说:“这证明即使相对不重要的基础设施也在互联网上吸引注意力并遭到侦测。”访问IP数量占前3的国家分别是中国、美国和韩国。然而,IP地址并非攻击者实际来源的可靠指标。其中一些访问尝试是通过隐藏或伪造IP地址进行的。
除了注意力侦测之外,在本次的实验过程中另一项引人注意的发现是这些访问不仅是通过办公网络的标准通信协议进行的,也通过工业通信协议,如Mod bus TCP或S7Comm,进行。Störtkuhl博士解释道:“尽管通过工业通信协议进行的访问尝试的数量明显较少,但是这些尝试也是来自世界各地。”因此,工业信息技术安全专家确信,潜在攻击者在探索工业控制系统中安全结构的漏洞,潜在攻击包括对若干结构和装置进行的一般攻击及对预先选定系统进行的针对性攻击。
TUV南德集团所推出的Honey net实验项目,其最终的研究结果是为基础设施所有者及其它工业公司提供了一个明确的报警信号。Thomas Störtkuhl博士指出“小型或鲜为人知的公司也因互联网上进行的间谍活动而被发现并被侦测”。因此,一般性攻击期间即便并非特定目标的公司也可能成为受害者。“一旦公司因为成为一般间谍活动的目标,就会吸引潜在攻击者的注意力,针对性的攻击可能随之而来。”TUV南德安全专家解释道。对TUV南德的Honey net进行的尝试攻击也确认了这一说法。
在经过了详细的核实和数据比对后,来自TUV南德的数据分析专家可以精准的确认以下Honey net项目的主要发现:基础设施及生产设施都受到了持续侦测。访问尝试可演化成攻击,从而导致重大损害风险——从窃取商业机密到破坏整个基础设施,从而可能人身伤害和环境破坏。安全防范措施未经相应调整的公司和基础设施的所有者相应面临高风险。如果公司要实际评估其风险并制定有效保护措施,则其中一项先决条件就是针对性监控。根据Honey net项目的结果,监控还需延伸至潜在攻击者了解并使用的工业协议。
