本文由雷鋒網(公衆号:雷鋒網)專欄作者百度安全兜哥撰寫。雖然低調,幹貨卻不少。
在剛結束不久的 blackhat 會議上,tripwire 的首席安全研究員特拉維斯·史密斯(travis smith)釋出了一款開源的網絡監控軟體sweet security。這是本次 blackhat 上釋出的第一款專門針對 iot 裝置和工業控制系統(ics)的安全軟體。
物聯網 iot 裝置和工業控制系統 ics 裝置在底層硬體上有很多許多相似之處,兩者都面臨這兩大安全難題:一方面,因為計算和記憶體資源有限,很難運作常見的監控軟體,更糟糕的是其作業系統也往往因為過于老舊或者定制開發的導緻常見的安全監控軟體甚至無法安裝。另一方面,iot和ics的通訊協定大量使用定制的協定,比如modbus和dnp3,現有的開源監控軟體很少支援。
基于這樣的現狀,特拉維斯·史密斯開發了一套基于 bro 和 elk 的針對 iot 和 ics 的安全監控軟體——sweet security。它通過開源軟體bro支援了常見的dns、http等協定,同時支援了工控系統常用的modbus和dnp3協定,并且減少開源軟體上不必要的功能以減少資源消耗,讓這套軟體可以在計算和記憶體資源相對貧乏的iot裝置上運作。這就很好的解決了上面的兩個問題。
舉例來說,一個典型的配置為單核700 mhz 的處理器和512mb的記憶體,這種硬體配置就相當于是常見的樹莓派 raspberry pi 入門配置,即使這樣的簡單系統也可以運作 sweet security 系統。
sweet security 通過監控 iot 和 ics 的通訊流量識别攻擊行為,包括基于 modbus 和 dnp3 協定的攻擊。監測到的結果會儲存在本地存儲,并且支援進一步發送給 elk 或者常見的日志收集系統,比如 siem。
sweet security支援的作業系統為 raspbian jessie、debian jessie、ubuntu 16.04,目前支援的硬體平台為raspberrypi 、x86、x86_64;推薦的硬體配置為arm, x86, or x86_64 cpu;2gb ram;8gb disk storage;100 mb nic 。
總體上看,該軟體從架構上使用開源的大資料處理架構 bro和elk,具有良好的可擴充性,并且它針對iot和ics特有協定的解析,支援檢測通過這些協定的攻擊行為。它的開源可以很好地促進iot和ics開源安全産品的發展。
sweet security的下載下傳位址和安裝方法具體如下:
sweet security的 github 位址為:https://github.com/travisfsmith/sweetsecurity
安裝方法為:git clone https://github.com/travisfsmith/sweetsecurity
sudo python setup.py
安裝軟體前建議安裝 python 和 java 環境。
python 2.7 sudo apt install python java 1.8 sudo apt install default-jre
安裝模式支援三種:
full install: this will install bro ids, critical stack (optional), logstash, elasticsearch, kibana, apache, and sweet security client/server. choose this option only if you have 2gb of memory or more. sensor only: this will install bro ids, critical stack (optional), logstash, and sweet security client web server only: this will install elasticsearch, kibana, apache, and sweet security server
sweet security也支援分布式部署,一個推薦的分布式架構包括分别執行arp spoofing、network scans和bro ids inspection的三個用戶端以及一個基于web的伺服器。
client: arp spoofing client: network scans client: bro ids inspection server: website hostingBlackHat 兵器譜新添 IOT 安全武器|安全專家帶你看幹貨