關閉選單
  1. Home
  2. NEWS最新消息
顯示分類
2026.02.23
事件與威脅/工控安全
超越蜜罐:OT欺騙如何重塑ICS網路中的主動防禦

在工業與關鍵基礎設施環境中,OT 欺騙已從簡單的蜜罐技術演變為主動防禦的戰略支柱。由於工業控制系統通常缺乏穩健的原生安全性,因此將欺騙技術應用於這些環境需要模擬專用協定(例如 Modbus 或 OPC UA),以創建高保真誘餌,這些誘餌能夠鏡像真實的 PLC(可程式邏輯控制器)、HMI(人機介面)和 SCADA(監控與資料採集)伺服器。根據 CounterCraft 的資料,這些資產必須在不引入安全風險或干擾確定性流程的情況下運作。

Fidelis Security 表示,欺騙技術能將攻擊者的駐留時間從數月減少至數小時,而且具備幾乎零誤報的特性。這種「確定性」指標對優化事件響應至關重要,因為任何與誘餌的交互都被視為確定的惡意活動指示。它使 SOC 團隊能夠避免傳統安全監控帶來的「警報疲勞」,並為零日攻擊或勒索軟體提供更完整的鑑識能見度。

為了有效,欺騙不能孤立存在。透過與資產能見度和網路分段的整合,最大化其影響力——當欺騙誘使攻擊者時,分段限制他們的移動,而能見度工具確保誘餌與生產環境無法區分。

然而,網路防禦者必須意識到欺騙效能中的缺口,例如在快速演化的遺留環境中維護誘餌的複雜性。最後,為工業防禦設定界限很重要;組織必須明確定義界限,以確保主動防禦措施不會演變為操作或安全責任。

為工業操作調整欺騙技術

Industrial Cyber 聯繫了多位工業資安專家,考察 OT(操作技術)環境中欺騙技術在實務上如何不同於 IT 網路中的欺騙,尤其是在安全性、可用性和確定性操作的嚴格要求下。

Richard Springer — Fortinet,OT 解決方案行銷總監

Springer 表示:安全解決方案(包括欺騙)往往沒有針對 OT 設計,特別是缺乏 OT 裝置誘餌與 OT 協定誘餌。由於 OT 網路包含標準 IT OS 基礎的伺服器和獨特的 OT 裝置,因此有效的欺騙工具必須具備所有這些功能。

許多安全解決方案需要架構變更或需要關閉操作才能實施資安防護,而這對許多無法承受停機或生產損失的 OT 組織而言是不可行的。他們需要易於使用且不具侵入性的解決方案。

Daniel dos Santos — Forescout,安全研究主管

Daniel dos Santos 說明基本概念是相同的——部署誘餌系統來吸引攻擊者、研究他們的行為、理解其可能造成的影響,讓他們在網路上追逐虛影,而不是造成實際影響。他指出:

  1. 第一個差異是 OT 系統更難模擬。它們包含不同類型的硬體和軟體,其中一些不容易虛擬化。
  2. 第二個差異是,在 OT 網路中執行的任何操作都必須不對操作造成任何影響。這意味著你不能只是將 IT 欺騙系統插入 OT 環境並希望它運作。但這對任何部署於 OT 的安全控制都是相同的。

Sreenivas Gukal — Acalvio,聯合創辦人暨首席產品長

他描述 OT 環境「可防禦但難以防護」,並表示欺騙技術填補了這種差距,提供高保真且完全被動的檢測,確保對安全性或可用性沒有風險。他進一步指出,在實務上 OT 欺騙與 IT 欺騙不同的三個關鍵層面:

  1. OT 欺騙建立於被動架構:OT 诱餌佔用未使用的 IP 位址且從不主動通信,直到被接觸為止,確保不干擾確定性操作或引入風險。
  2. OT 欺騙依賴輕量級模擬,而非重型虛擬機。誘餌模擬特定控制器標識(例如 Rockwell 或 Siemens 裝置),並使用工業協定進行通信,避免 OS 負擔並維持操作真實性。
  3. 有效的 OT 欺騙需要協定層面的流暢理解與複製,以識別通常會通過通用 IT 安全控制的專用攻擊。在工業環境中,協定層面的可信度對於意義深遠的檢測至關重要。

透過 OT 欺騙簡化事件響應

Springer 認為 OT 組織需要採用假定遭入侵策略,使用能提供 agentless OT/IoT/IT 欺騙層的解決方案,以高保真度檢測網路內的活躍威脅,幾乎沒有誤報。

「欺騙可以無縫與能見度解決方案及事件響應整合,因為解決方案對內部操作員是隱藏的。」他補充。

「為了引誘威脅行為者離開關鍵資產,解決方案必須能夠創建模擬真實資產、真實 OT 協定和憑證的虛假環境,它還必須能夠模擬真實流量以避免提醒壞 actor。」

dos Santos 表示,欺騙系統可提供攻擊者對特定目標的興趣與活動信號,但它不是組織應該首先投資的控制措施。他指出,欺騙需要補充現有解決方案,例如資產清單、威脅偵測及網路分段。

識別欺騙效能中的缺口

Springer 表示,OT 欺騙解決方案包含假工業控制系統、醫療裝置、ATM、量槽表、POS 和物聯網裝置等誘餌資產,並在真實操作系統與服務上運行。這些解決方案還會生成虛假但有限的流量以吸引攻擊者進入假資產並遠離敏感資產。

他提到,這類誘餌在偵察階段最為有效,可理想地分流黑客並阻止他們進一步推進。

Springer 也補充說,當攻擊者與誘餌或虛假令牌(如假憑證)互動時,欺騙解決方案會檢測該活動、產生警報並自動隔離端點。

資料來源:https://industrialcyber.co/features/beyond-the-honeypot-how-ot-deception-is-reshaping-active-defense-in-ics-networks/
 
探討 OT 欺騙技術在 ICS 環境中的演進,分析其如何超越傳統蜜罐,透過高擬真偽裝與偵測機制重塑主動防禦體系,為工業網路提供更精準的威脅情報與攻擊遏止能力。