本文由雷鋒網(wǎng)專欄作者百度安全兜哥撰寫。雖然低調(diào)，干貨卻不少。

在剛結(jié)束不久的 BlackHat 會(huì)議上，Tripwire 的首席安全研究員特拉維斯·史密斯（Travis Smith）發(fā)布了一款開源的網(wǎng)絡(luò)監(jiān)控軟件Sweet Security。這是本次 Blackhat 上發(fā)布的第一款專門針對(duì) IOT 設(shè)備和工業(yè)控制系統(tǒng)（ICS）的安全軟件。

物聯(lián)網(wǎng) IOT 設(shè)備和工業(yè)控制系統(tǒng) ICS 設(shè)備在底層硬件上有很多許多相似之處，兩者都面臨這兩大安全難題：一方面，因?yàn)橛?jì)算和內(nèi)存資源有限，很難運(yùn)行常見的監(jiān)控軟件，更糟糕的是其操作系統(tǒng)也往往因?yàn)檫^于老舊或者定制開發(fā)的導(dǎo)致常見的安全監(jiān)控軟件甚至無法安裝。另一方面，IOT和ICS的通訊協(xié)議大量使用定制的協(xié)議，比如Modbus和DNP3，現(xiàn)有的開源監(jiān)控軟件很少支持。

基于這樣的現(xiàn)狀，特拉維斯·史密斯開發(fā)了一套基于 Bro 和 ELK 的針對(duì) IOT 和 ICS 的安全監(jiān)控軟件——Sweet Security。它通過開源軟件Bro支持了常見的DNS、HTTP等協(xié)議，同時(shí)支持了工控系統(tǒng)常用的Modbus和DNP3協(xié)議，并且減少開源軟件上不必要的功能以減少資源消耗，讓這套軟件可以在計(jì)算和內(nèi)存資源相對(duì)貧乏的IOT設(shè)備上運(yùn)行。這就很好的解決了上面的兩個(gè)問題。

舉例來說，一個(gè)典型的配置為單核700 MHz 的處理器和512MB的內(nèi)存，這種硬件配置就相當(dāng)于是常見的樹莓派 Raspberry Pi 入門配置，即使這樣的簡單系統(tǒng)也可以運(yùn)行 Sweet Security 系統(tǒng)。

Sweet Security 通過監(jiān)控 IOT 和 ICS 的通訊流量識(shí)別攻擊行為，包括基于 Modbus 和 DNP3 協(xié)議的攻擊。監(jiān)測到的結(jié)果會(huì)保存在本地存儲(chǔ)，并且支持進(jìn)一步發(fā)送給 ELK 或者常見的日志收集系統(tǒng)，比如 SIEM。

Sweet Security支持的操作系統(tǒng)為 Raspbian Jessie、Debian Jessie、Ubuntu 16.04，目前支持的硬件平臺(tái)為RaspberryPi 、x86、x86_64；推薦的硬件配置為ARM, x86, or x86_64 CPU；2GB RAM；8GB Disk Storage；100 MB NIC 。

總體上看，該軟件從架構(gòu)上使用開源的大數(shù)據(jù)處理架構(gòu) Bro和ELK，具有良好的可擴(kuò)展性，并且它針對(duì)IOT和ICS特有協(xié)議的解析，支持檢測通過這些協(xié)議的攻擊行為。它的開源可以很好地促進(jìn)IOT和ICS開源安全產(chǎn)品的發(fā)展。

Sweet Security的下載地址和安裝方法具體如下：

Sweet Security的 GitHub 地址為：https://github.com/TravisFSmith/SweetSecurity

安裝方法為：git clone https://github.com/travisfsmith/sweetsecurity

sudo python setup.py

安裝軟件前建議安裝 Python 和 Java 環(huán)境。

• Python 2.7

• sudo apt install python

• Java 1.8

• sudo apt install default-jre

安裝模式支持三種：

• Full Install: This will install Bro IDS, Critical Stack (optional), Logstash, Elasticsearch, Kibana, Apache, and Sweet Security Client/Server. Choose this option ONLY if you have 2GB of memory or more.

• Sensor Only: This will install Bro IDS, Critical Stack (optional), Logstash, and Sweet Security Client

• Web Server Only: This will install Elasticsearch, Kibana, Apache, and Sweet Security Server

Sweet Security也支持分布式部署，一個(gè)推薦的分布式架構(gòu)包括分別執(zhí)行ARP Spoofing、Network Scans和Bro IDS Inspection的三個(gè)客戶端以及一個(gè)基于Web的服務(wù)器。

• Client: ARP Spoofing

• Client: Network Scans

• Client: Bro IDS Inspection

• Server: Website Hosting 

  
  

  
  

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。