在工業控制系統（ICS）日益成為勒索軟體與國家級攻擊的目標之際，傳統的防禦與偵測手法已難以應付複雜且隱匿的威脅。由研究團隊開發的「ICSLure」專案，提出一種嶄新的思維：透過高互動式誘捕網（honeynet），模擬真實工控環境，主動吸引攻擊者並完整記錄其行為。這不僅提升了威脅偵測的深度與準確性，也為企業建立動態防禦與行為分析架構提供了新方向。

傳統工控誘捕網的侷限：低互動、易識破

過去的 ICS 誘捕網多採用低互動架構，僅以軟體模擬 PLC（可程式邏輯控制器）與 SCADA 元件，雖可偵測基本掃描與指令，但對熟練攻擊者而言極易識破。一旦攻擊者察覺自己與「假系統」互動，便會中斷行動，導致防禦方無法收集完整攻擊鏈資料。

這類低互動誘捕網雖具備初步警示功能，但無法揭露攻擊者的真實策略與橫向移動手法，限制了資安團隊的回應能力。

ICSLure 的創新架構：高互動 + 真實硬體 + 模擬流程

ICSLure 採用高互動式架構，結合真實 PLC 硬體與模擬物理流程（如風力渦輪運作），打造出極具真實感的工控環境。攻擊者進入後，會誤以為自己正在操作真實工廠系統，進而展開完整攻擊行動。系統架構包含：

• Siemens PLC 實體設備
• 模擬風力渦輪的數位流程模組
• 虛擬工程工作站與 SCADA 伺服器
• 常見 ICS 通訊協定（如 Modbus、S7）
• 故意設置漏洞的工程端節點

所有互動皆被詳細記錄，包括封包、系統變更與指令執行，並以加密方式儲存於防竄改儲存庫，確保資料具備鑑識價值。

實際案例：30 天公開部署，捕捉完整攻擊鏈

研究團隊將 ICSLure 部署於公開學術網路 30 天，期間收集超過 2GB 的網路流量。雖然大部分為自動化掃描與指紋辨識，但也成功捕捉多起針對性攻擊，包括：

• 利用 Modbus 指令操控風力渦輪參數
• 嘗試滲透工程工作站並取得 SCADA 控制權
• 多階段橫向移動與憑證竊取行為

這些攻擊行為完整呈現了從初始存取到物理流程干擾的攻擊鏈，對於分析 FrostyGoop、Stuxnet 類型的 ICS 惡意程式具有高度參考價值。系統亦內建自動回復機制，透過 Ansible 與 Terraform 快速重建安全狀態，確保實驗環境可重複使用且不受污染。

安全隔離與資料完整性設計

為避免誘捕網成為跳板，ICSLure 採用多層安全隔離架構：

• 獨立 VLAN 與防火牆隔離生產網路
• PLC 僅與模擬流程互動，避免實體破壞
• 所有日誌與封包皆加密簽章並時間戳記
• 雲端部署時採用延遲感知編排與加密通道

這些設計確保誘捕網具備高度安全性與鑑識可信度，適合用於法規遵循與事件調查。

ICSLure 對 ICS 偵測工程的啟示

ICSLure 展現出高互動式誘捕網在 ICS 偵測工程中的價值，具體效益包括：

• 攻擊行為真實性高，有助於建立行為特徵庫
• 可用於測試 SIEM、IDS/IPS 的規則準確性
• 協助 OT 團隊建立事件回應劇本
• 揭露 ICS 網路設計中的弱點與誤配置

BforeAI 執行長 Luigi Lenguito 表示：「ICSLure代表 OT 偵測工程邁向動態誘捕與移動目標防禦的新階段。」他指出，OT 環境高度客製化且缺乏標準化，反而成為部署誘捕網的優勢。

下一步挑戰：擴展、同步與法規整合

研究團隊也指出，若要將 ICSLure 擴展至大型分散式環境，將面臨以下挑戰：

• 多節點同步：需解決 PLC 與模擬器間的時鐘漂移與延遲
• 真實性維持：需模擬路由行為、故障狀況與延遲，避免被識破
• 法規整合：需與工業組織合作，確保誘捕網符合合規與法律框架

團隊計畫與產業夥伴合作，將 ICSLure導入真實工廠環境，並探索其在 NIS2、IEC 62443 等法規下的應用潛力。

結語：工控防禦不再被動，ICSLure開啟主動誘捕新篇章

ICSLure 展現出工控資安防禦的新典範：不再只是被動監控，而是主動誘捕、深入分析、快速回復。對台灣企業而言，導入類似架構不僅能提升 OT 偵測能力，更能強化資安團隊對 ICS 攻擊鏈的理解與應變。在勒索軟體與國家級威脅日益升高的今日，ICSLure 所代表的「高互動式誘捕」策略，值得每一家重視工控安全的企業深入研究與導入。

資料來源：https://www.helpnetsecurity.com/2025/09/17/icslure-ics-threat-detection/