在剛結(jié)束不久的 BlackHat 會議上��,Tripwire 的首席安全研究員特拉維斯·史密斯(Travis Smith)發(fā)布了一款開源的網(wǎng)絡(luò)監(jiān)控軟件Sweet Security����。這是本次 Blackhat 上發(fā)布的第一款專門針對 IOT 設(shè)備和工業(yè)控制系統(tǒng)(ICS)的安全軟件���。
物聯(lián)網(wǎng) IOT 設(shè)備和工業(yè)控制系統(tǒng) ICS 設(shè)備在底層硬件上有很多許多相似之處���,兩者都面臨這兩大安全難題:一方面,因為計算和內(nèi)存資源有限�,很難運行常見的監(jiān)控軟件,更糟糕的是其操作系統(tǒng)也往往因為過于老舊或者定制開發(fā)的導(dǎo)致常見的安全監(jiān)控軟件甚至無法安裝�����。另一方面���,IOT和ICS的通訊協(xié)議大量使用定制的協(xié)議�����,比如Modbus和DNP3����,現(xiàn)有的開源監(jiān)控軟件很少支持�����。
基于這樣的現(xiàn)狀����,特拉維斯·史密斯開發(fā)了一套基于 Bro 和 ELK 的針對 IOT 和 ICS 的安全監(jiān)控軟件——Sweet Security��。它通過開源軟件Bro支持了常見的DNS�、HTTP等協(xié)議��,同時支持了工控系統(tǒng)常用的Modbus和DNP3協(xié)議�,并且減少開源軟件上不必要的功能以減少資源消耗,讓這套軟件可以在計算和內(nèi)存資源相對貧乏的IOT設(shè)備上運行��。這就很好的解決了上面的兩個問題���。
舉例來說�����,一個典型的配置為單核700 MHz 的處理器和512MB的內(nèi)存���,這種硬件配置就相當(dāng)于是常見的樹莓派 Raspberry Pi 入門配置,即使這樣的簡單系統(tǒng)也可以運行 Sweet Security 系統(tǒng)����。
Sweet Security 通過監(jiān)控 IOT 和 ICS 的通訊流量識別攻擊行為����,包括基于 Modbus 和 DNP3 協(xié)議的攻擊���。監(jiān)測到的結(jié)果會保存在本地存儲,并且支持進(jìn)一步發(fā)送給 ELK 或者常見的日志收集系統(tǒng)����,比如 SIEM。
Sweet Security支持的操作系統(tǒng)為 Raspbian Jessie����、Debian Jessie、Ubuntu 16.04��,目前支持的硬件平臺為RaspberryPi ����、x86、x86_64��;推薦的硬件配置為ARM, x86, or x86_64 CPU�;2GB RAM;8GB Disk Storage�;100 MB NIC 。
總體上看���,該軟件從架構(gòu)上使用開源的大數(shù)據(jù)處理架構(gòu) Bro和ELK�,具有良好的可擴(kuò)展性,并且它針對IOT和ICS特有協(xié)議的解析����,支持檢測通過這些協(xié)議的攻擊行為。它的開源可以很好地促進(jìn)IOT和ICS開源安全產(chǎn)品的發(fā)展�。
Sweet Security的下載地址和安裝方法具體如下:
Sweet Security的 GitHub 地址為:https://github.com/TravisFSmith/SweetSecurity
安裝方法為:git clone https://github.com/travisfsmith/sweetsecurity
sudo python setup.py
安裝軟件前建議安裝 Python 和 Java 環(huán)境。
Python 2.7
sudo apt install python
Java 1.8
sudo apt install default-jre
安裝模式支持三種:
Full Install: This will install Bro IDS, Critical Stack (optional), Logstash, Elasticsearch, Kibana, Apache, and Sweet Security Client/Server. Choose this option ONLY if you have 2GB of memory or more.
Sensor Only: This will install Bro IDS, Critical Stack (optional), Logstash, and Sweet Security Client
Web Server Only: This will install Elasticsearch, Kibana, Apache, and Sweet Security Server
Sweet Security也支持分布式部署�,一個推薦的分布式架構(gòu)包括分別執(zhí)行ARP Spoofing、Network Scans和Bro IDS Inspection的三個客戶端以及一個基于Web的服務(wù)器���。
Client: ARP Spoofing
Client: Network Scans
Client: Bro IDS Inspection
Server: Website Hosting
微信掃一掃
