ICSLure: honeynet PLC-alapú ipari vezérlőrendszerekhez
Az ipari vezérlőrendszerek (ICS) biztonsága elengedhetetlen az ipari folyamatok és a személyzet biztonságának garantálásához. Az IIoT technológiák gyors elterjedése kibővítette a rendszerek funkcionalitását, de egyúttal növelte a támadási felületet is, így az ICS-ek egyre többféle kiberfenyegetésnek vannak kitéve. A honeypotok lehetővé teszik az ilyen fenyegetések észlelését és elemzését a célrendszerek emulálásával és a támadók viselkedésének rögzítésével. A hagyományos ICS honeypotok azonban gyakran egyetlen programozható logikai vezérlő (PLC) szoftveralapú szimulációjára korlátozódnak. Az olaszországi Calabria Egyete kutatói bemutatják az ICSLure nevű moduláris honeynet keretrendszert, amelyet úgy terveztek, hogy valósághű ICS-környezeteket emuláljon.
Az ICSLure integrálja a fizikai PLC-ket, amelyek ipari protokollok, például Modbus és Profinet RTU segítségével interakcióba lépnek az élő adatforrásokkal, valamint a virtualizált hálózati komponenseket, beleértve a routereket, switcheket és távoli terminál egységeket (RTU-k). A rendszer átfogó megfigyelési képességekkel rendelkezik, amelyek segítségével részletes naplókat gyűjt a támadók interakcióiról.
Az ICSLure alapvető módszertana egy moduláris architektúrára épül, amely fizikai és virtuális elemeket ötvöz egy koherens, dinamikus ökoszisztémában. A legfontosabb komponensek a következők:
PLC modul: Ez az ICSLure magas interakciós képességének sarokköve. Szoftveres emulációk helyett valódi fizikai PLC-ket (pl. Siemens S7-1200) használ. Ezek a valódi PLC-k egy transzparens proxy (Nginx segítségével megvalósítva) révén kapcsolódnak a hálózathoz, amely minden hálózati interakciót elfog, a forgalmat naplózza (tcpdump segítségével PCAP formátumban), és a jogos kéréseket módosítás nélkül továbbítja a PLC-nek. Annak érdekében, hogy a PLC úgy viselkedjen, mintha egy valódi ipari folyamathoz lenne csatlakoztatva, egy valós idejű fizikai szimulátorral (pl. Matlab/Simulink vagy OpenModelica) van összekapcsolva. Egy interfész kártya (pl. Raspberry Pi 3 model B+) közvetíti ezt a kapcsolatot, átalakítva a PLC általános célú bemeneti/kimeneti (GPIO) pinek analóg/digitális jeleit a szimulátor számára UDP-n keresztül, és fordítva.
RTU modul: A modern PLC-k gyakran kommunikálnak a terepi hálózat távoli terminál egységeivel (RTU-k). Az ICSLure szimulálhatja ezeket az RTU-kat egy új transzparens proxy telepítésével, amely a PLC parancsokat a fizikai szimulátorra irányítja, lehetővé téve a szimulátor számára, hogy állapotváltozásokat hozzon létre, ezáltal növelve az interaktivitás és a realizmus mértékét.
Munkaállomások és SCADA szerver modulok: Műszeres virtuális gépeket (Windows vagy Linux alapú) telepítenek a mérnöki munkaállomások vagy SCADA szerverek utánozására. Ezeket a virtuális gépeket általános sérülékenységekkel (pl. gyenge hitelesítő adatok, kitett szolgáltatások, mint a NoVNC, TIA Portal) konfigurálják, hogy behatolási pontként szolgáljanak. A felügyeletet operációs rendszer naplóinak monitorozása és a hálózati forgalom transzparens proxyjai biztosítják.
Ipari router és switch modulok: Virtualizált hálózati eszközök, amelyek általában nyílt forráskódú platformokat futtatnak, mint például az OPNsense, integrálva vannak az ipari szintű routerek és switchek emulálásához. Ez a modul konfigurálja az routing táblákat, a VLAN-okat, a tűzfal szabályokat és a NAT-policyket, komplex és szegmentált hálózati topológiákat létrehozásával.
