BlackHat 兵器譜新添 IOT 安全武器|安全專家?guī)憧锤韶?/h1>
2017-07-31 09:38:51 來源:雷鋒網(wǎng) 熱度:
在剛結(jié)束不久的 BlackHat 會(huì)議上,Tripwire 的首席安全研究員特拉維斯·史密斯(Travis Smith)發(fā)布了一款開源的網(wǎng)絡(luò)監(jiān)控軟件Sweet Security。這是本次 Blackhat 上發(fā)布的第一款專門針對 IOT 設(shè)備和工業(yè)控制系統(tǒng)(ICS)的安全軟件。
物聯(lián)網(wǎng) IOT 設(shè)備和工業(yè)控制系統(tǒng) ICS 設(shè)備在底層硬件上有很多許多相似之處,兩者都面臨這兩大安全難題:一方面,因?yàn)橛?jì)算和內(nèi)存資源有限,很難運(yùn)行常見的監(jiān)控軟件,更糟糕的是其操作系統(tǒng)也往往因?yàn)檫^于老舊或者定制開發(fā)的導(dǎo)致常見的安全監(jiān)控軟件甚至無法安裝。另一方面,IOT和ICS的通訊協(xié)議大量使用定制的協(xié)議,比如Modbus和DNP3,現(xiàn)有的開源監(jiān)控軟件很少支持。
基于這樣的現(xiàn)狀,特拉維斯·史密斯開發(fā)了一套基于 Bro 和 ELK 的針對 IOT 和 ICS 的安全監(jiān)控軟件——Sweet Security。它通過開源軟件Bro支持了常見的DNS、HTTP等協(xié)議,同時(shí)支持了工控系統(tǒng)常用的Modbus和DNP3協(xié)議,并且減少開源軟件上不必要的功能以減少資源消耗,讓這套軟件可以在計(jì)算和內(nèi)存資源相對貧乏的IOT設(shè)備上運(yùn)行。這就很好的解決了上面的兩個(gè)問題。
舉例來說,一個(gè)典型的配置為單核700 MHz 的處理器和512MB的內(nèi)存,這種硬件配置就相當(dāng)于是常見的樹莓派 Raspberry Pi 入門配置,即使這樣的簡單系統(tǒng)也可以運(yùn)行 Sweet Security 系統(tǒng)。
Sweet Security 通過監(jiān)控 IOT 和 ICS 的通訊流量識別攻擊行為,包括基于 Modbus 和 DNP3 協(xié)議的攻擊。監(jiān)測到的結(jié)果會(huì)保存在本地存儲(chǔ),并且支持進(jìn)一步發(fā)送給 ELK 或者常見的日志收集系統(tǒng),比如 SIEM。
Sweet Security支持的操作系統(tǒng)為 Raspbian Jessie、Debian Jessie、Ubuntu 16.04,目前支持的硬件平臺(tái)為RaspberryPi 、x86、x86_64;推薦的硬件配置為ARM, x86, or x86_64 CPU;2GB RAM;8GB Disk Storage;100 MB NIC 。
總體上看,該軟件從架構(gòu)上使用開源的大數(shù)據(jù)處理架構(gòu) Bro和ELK,具有良好的可擴(kuò)展性,并且它針對IOT和ICS特有協(xié)議的解析,支持檢測通過這些協(xié)議的攻擊行為。它的開源可以很好地促進(jìn)IOT和ICS開源安全產(chǎn)品的發(fā)展。
Sweet Security的下載地址和安裝方法具體如下:
Sweet Security的 GitHub 地址為:https://github.com/TravisFSmith/SweetSecurity
安裝方法為:git clone https://github.com/travisfsmith/sweetsecurity
sudo python setup.py
安裝軟件前建議安裝 Python 和 Java 環(huán)境。
Python 2.7
sudo apt install python
Java 1.8
sudo apt install default-jre
安裝模式支持三種:
Full Install: This will install Bro IDS, Critical Stack (optional), Logstash, Elasticsearch, Kibana, Apache, and Sweet Security Client/Server. Choose this option ONLY if you have 2GB of memory or more.
Sensor Only: This will install Bro IDS, Critical Stack (optional), Logstash, and Sweet Security Client
Web Server Only: This will install Elasticsearch, Kibana, Apache, and Sweet Security Server
Sweet Security也支持分布式部署,一個(gè)推薦的分布式架構(gòu)包括分別執(zhí)行ARP Spoofing、Network Scans和Bro IDS Inspection的三個(gè)客戶端以及一個(gè)基于Web的服務(wù)器。
Client: ARP Spoofing
Client: Network Scans
Client: Bro IDS Inspection
Server: Website Hosting
責(zé)任編輯:朱虹瑾
BlackHat軍械庫展“火力全開” 360IoT Checker率先亮相
高通Pankaj :IoT業(yè)務(wù)獲利已超10億美元
韓國電信1.3億美元投資NB-IoT
IoT布局有“道” 看IC廠商如何化繁為“簡”?