感知·诱捕·情报·协作 ⺴络空间⼯控系统威胁情报 [ Kimon@灯塔实验室 ] 关于我们 | [ Kimon@灯塔实验室 ] 王启蒙 Kimon 电话：18500851413 邮箱：kimon@plcscan.org 微信：ameng929 基础威胁情报 VS. 高级威胁情报 信息收集方式 VS. 威胁捕获技术 被动威胁感知架构体系 从威胁数据到威胁情报 [ 灯塔实验室@KCon ] Part. 01 基础威胁情报 VS. ⾼级威胁情报 基础威胁情报 VS. ⾼级威胁情报| [灯塔实验室@KCon ] 基础威胁情报 VS. ⾼级威胁情报| [灯塔实验室@KCon ] 国外针对网络空间的情报收集计划 SHINE计划——Project Shodan Intelligence Extraction X-Plane、Treasure Map、NCR 绘制网络空间地图，构建上帝视角感知能力 基础威胁情报 VS. ⾼级威胁情报| [灯塔实验室@KCon ] 基础威胁情报（数据情报） 流量/文件 BGP/AS/路由/Whois/指纹 Passive DNS/信誉数据 战术威胁情报（数据关联&分析） 机读文件（IoC/TTP） 情报落地、协作联动 战略威胁情报（价值&决策） 可读报告 意图分析、感知预测、决策支撑 基础威胁情报 VS. ⾼级威胁情报| [灯塔实验室@KCon ] 数据情报 数据情报是威胁情报的基础 数据情报需要进一步融合、关联、分析 战略情报将关系上层决策，不容有失 基础威胁情报 VS. ⾼级威胁情报| [灯塔实验室@KCon ] 工控系统威胁情报 国家关键信息基础设施 针对能源、关键制造等行业的威胁加剧 Stuxnet/Duqu/Flame BlackEnergy 针对SCADA系统的威胁加剧 远程可控制SCADA、PLC 遍布互联网的工控资产 针对工控专有协议的探测 针对工控设施的威胁行为更值得研究 全球网络空间“底线” 具备上层战略特征 https://apt.securelist.com Part. 02 信息收集⽅式VS. 威胁诱捕技术 信息收集⽅式 VS. 威胁诱捕技术| [灯塔实验室@KCon ] 开放的互联网设备搜索平台 Shodan Censys ZoomEye ICSfind IVRE Rapid7 shodan.io censys.io zoomeye.org icsfind.org ivre.rocks scan.io 开源扫描器框架 nmap nmap.org zmap masscan zmap.io github.com/robertdavidgraham/masscan 基于指纹识别平台的工控设备信息收集方式 《ICS/SCADA/PLC Google/Shodanhq Cheat Sheet》 http://scadastrangelove.org/ 《Internet connected ICS/SCADA/PLC Cheat Sheet》 http://www.scadaexposure.com/ 信息收集⽅式 VS. 威胁诱捕技术| [灯塔实验室@KCon ] 利用标准且公开/私有的工控协议对工控系统及设备进行识别 信息收集⽅式 VS. 威胁诱捕技术| [灯塔实验室@KCon ] 利用传统服务特征对工控系统及设备进行识别 信息收集⽅式 VS. 威胁诱捕技术| [灯塔实验室@KCon ] 识别工具列举 https://scadahacker.com/resources/msf-scada.html 信息收集⽅式 VS. 威胁诱捕技术| [灯塔实验室@KCon ] 信息情报收集不只是“扫描” Kill Chain至关重要的第一步 踩点、组装、投送、攻击、植入、控制、收割 由点至面 一个暴漏的工控服务 一个正在运转工业生产网络 40亿IPv4空间针对工控设备进行定位 针对工控网络新型渗透模式 PLC Blaster 网络空间设备搜索平台 时间轴设备信息态势 提供互联网“靶标” 信息收集⽅式 VS. 威胁诱捕技术| [灯塔实验室@KCon ] 威胁捕获方式 传统安全防御设备 针对工控系统的蜜罐 思科PLC蜜罐 Digitalbond 趋势科技 Conpot 信息收集⽅式 VS. 威胁诱捕技术| [灯塔实验室@KCon ] 工控蜜罐存在的问题 易被甄别 针对工控协议的仿真交互低 配置繁琐容易留下疏漏 缺少针对工控业务的仿真 难管理 蜜罐部署繁琐 不具备分布式管理机制 难分析 数据日志机制陈旧 数据量增多难以分析 不具备结合威胁情报的能力 信息收集⽅式 VS. 威胁诱捕技术| [灯塔实验室@KCon ] 主动监测国外蜜罐部署情况 信息收集⽅式 VS. 威胁诱捕技术| [灯塔实验室@KCon ] 通过Shodan搜索国外蜜罐案例 Shodan API 信息收集⽅式 VS. 威胁诱捕技术| [灯塔实验室@KCon ] 国外工控组合蜜罐案例