BlackHat 兵器譜新添 IOT 安全武器

新聞 07-29

本文由雷鋒網專欄作者百度安全兜哥撰寫。雖然低調，乾貨卻不少。

在剛結束不久的 BlackHat 會議上，Tripwire 的首席安全研究員特拉維斯·史密斯（Travis Smith）發布了一款開源的網路監控軟體Sweet Security。這是本次 Blackhat 上發布的第一款專門針對 IOT 設備和工業控制系統（ICS）的安全軟體。

物聯網 IOT 設備和工業控制系統 ICS 設備在底層硬體上有很多許多相似之處，兩者都面臨這兩大安全難題：一方面，因為計算和內存資源有限，很難運行常見的監控軟體，更糟糕的是其操作系統也往往因為過於老舊或者定製開發的導致常見的安全監控軟體甚至無法安裝。另一方面，IOT和ICS的通訊協議大量使用定製的協議，比如Modbus和DNP3，現有的開源監控軟體很少支持。

基於這樣的現狀，特拉維斯·史密斯開發了一套基於 Bro 和 ELK 的針對 IOT 和 ICS 的安全監控軟體——Sweet Security。它通過開源軟體Bro支持了常見的DNS、HTTP等協議，同時支持了工控系統常用的Modbus和DNP3協議，並且減少開源軟體上不必要的功能以減少資源消耗，讓這套軟體可以在計算和內存資源相對貧乏的IOT設備上運行。這就很好的解決了上面的兩個問題。

舉例來說，一個典型的配置為單核700 MHz 的處理器和512MB的內存，這種硬體配置就相當於是常見的樹莓派 Raspberry Pi 入門配置，即使這樣的簡單系統也可以運行 Sweet Security 系統。

Sweet Security 通過監控 IOT 和 ICS 的通訊流量識別攻擊行為，包括基於 Modbus 和 DNP3 協議的攻擊。監測到的結果會保存在本地存儲，並且支持進一步發送給 ELK 或者常見的日誌收集系統，比如 SIEM。

Sweet Security支持的操作系統為 Raspbian Jessie、Debian Jessie、Ubuntu 16.04，目前支持的硬體平台為RaspberryPi 、x86、x86_64；推薦的硬體配置為ARM, x86, or x86_64 CPU；2GB RAM；8GB Disk Storage；100 MB NIC 。

總體上看，該軟體從架構上使用開源的大數據處理架構 Bro和ELK，具有良好的可擴展性，並且它針對IOT和ICS特有協議的解析，支持檢測通過這些協議的攻擊行為。它的開源可以很好地促進IOT和ICS開源安全產品的發展。

Sweet Security的下載地址和安裝方法具體如下：

Sweet Security的 GitHub 地址為：https://github.com/TravisFSmith/SweetSecurity

安裝方法為：git clone https://github.com/travisfsmith/sweetsecurity

sudo python setup.py

安裝軟體前建議安裝 Python 和 Java 環境。

Python 2.7

sudo apt install python

Java 1.8

sudo apt install default-jre

安裝模式支持三種：

Full Install: This will install Bro IDS, Critical Stack (optional), Logstash, Elasticsearch, Kibana, Apache, and Sweet Security Client/Server. Choose this option ONLY if you have 2GB of memory or more.

Sensor Only: This will install Bro IDS, Critical Stack (optional), Logstash, and Sweet Security Client

Web Server Only: This will install Elasticsearch, Kibana, Apache, and Sweet Security Server

Sweet Security也支持分散式部署，一個推薦的分散式架構包括分別執行ARP Spoofing、Network Scans和Bro IDS Inspection的三個客戶端以及一個基於Web的伺服器。

Client: ARP Spoofing

Client: Network Scans

Client: Bro IDS Inspection

Server: Website Hosting