信息來源：安全牛

一個(gè)蜜罐引來四次零日攻擊，這就是工控系統(tǒng)安全性的血淋淋現(xiàn)狀，而且這還是全球普遍現(xiàn)象。

近日，為了研究當(dāng)今工業(yè)控制系統(tǒng)面臨的安全威脅，研究人員使用了一個(gè)由120個(gè)高交互性蜜罐組成的虛假工業(yè)基礎(chǔ)設(shè)施網(wǎng)絡(luò)，部署在22個(gè)國(guó)家/地區(qū)，模仿可編程邏輯控制器（PLC）和遠(yuǎn)程終端單元。

在13個(gè)月的時(shí)間內(nèi)，攻擊者與蜜罐進(jìn)行了80,000次交互（主要是掃描），并且有9次交互惡意使用了工業(yè)協(xié)議。

雖然這聽起來可能是一個(gè)小數(shù)目，但九次惡意交互中就有四次使用了前所未知的攻擊（零日漏洞攻擊），其中一種還是首次在野外被使用的概念驗(yàn)證攻擊。

蜜罐檢測(cè)到的攻擊類型包括拒絕服務(wù)攻擊和命令重放攻擊已向設(shè)備制造商披露。

研究人員說：

盡管這個(gè)蜜罐系統(tǒng)的產(chǎn)量很小，但影響卻極大，因?yàn)檫@些都是ICS社區(qū)以前不知道的高級(jí)針對(duì)性攻擊手段。

這項(xiàng)研究已經(jīng)發(fā)布在在北約支持的網(wǎng)絡(luò)安全會(huì)議上（論文地址在文末）。

Industrial Defenica的工業(yè)安全研究員Mikael Vingaard也是該研究的作者之一，他說該蜜罐采集的數(shù)據(jù)是迄今為止在安全學(xué)術(shù)研究中使用最多的數(shù)據(jù)集，其暴露的零日漏洞的數(shù)量表明這些蜜罐高度“仿真”和可信。

另一位作者，劍橋大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)系的邁克爾·道森（Michael Dodson）指出，如果這些攻擊針對(duì)真實(shí)工控系統(tǒng)設(shè)備而不是蜜罐，那么拒絕服務(wù)攻擊將在攻擊過程中完全關(guān)閉工控設(shè)備，或者導(dǎo)致其無法通過網(wǎng)絡(luò)進(jìn)行通信。

但與拒絕服務(wù)攻擊相比，重放攻擊更加可怕。

如果攻擊者可以重放命令以更改設(shè)備狀態(tài)或?qū)懭爰拇嫫?，那么攻擊者就可以完全控制設(shè)備的行為，因此可以完全控制設(shè)備的控制過程。