Blackhat兵器譜新添IOT安全武器

在目前召開的BlackHat會議上，Tripwire的首席安全研究員特拉維斯·史密斯（Travis Smith）發布一款開源的網路監控軟體Sweet Security。這是第一次在Blackhat上發布的專門針對IOT設備和工業控制系統（ICS）的安全軟體。

物聯網IOT設備和工業控制系統ICS設備在底層硬體上有很多許多相似之處，兩者都面臨這兩大安全難題：一方面，因為計算和內存資源有限，很難運行常見的監控軟體，更糟糕的是其操作系統也往往因為過於老舊或者定製開發的導致常見的安全監控軟體甚至無法安裝。另一方面，IOT和ICS的通訊協議大量使用定製的協議，比如Modbus和DNP3，現有的開源監控軟體很少支持。

基於這樣的現狀，特拉維斯·史密斯開發了一套基於Bro和ELK的針對IOT和ICS的安全監控軟體——Sweet Security。它通過開源軟體Bro支持了常見的DNS、HTTP等協議，同時支持了工控系統常用的Modbus和DNP3協議，並且減少開源軟體上不必要的功能以減少資源消耗，讓這套軟體可以在計算和內存資源相對貧乏的IOT設備上運行。這就很好的解決了上面的兩個問題。

舉例來說，一個典型的配置為單核700 MHz 的處理器和512MB的內存，這種硬體配置就相當於是常見的樹莓派Raspberry Pi 入門配置，即使這樣的簡單系統也可以運行Sweet Security系統。

Sweet Security通過監控IOT和ICS的通訊流量識別攻擊行為，包括基於Modbus和DNP3協議的攻擊。監測到的結果會保存在本地存儲，並且支持進一步發送給ELK或者常見的日誌收集系統，比如SIEM。

Sweet Security支持的操作系統為Raspbian Jessie、Debian Jessie、Ubuntu 16.04，目前支持的硬體平台為RaspberryPi 、x86、x86_64；推薦的硬體配置為ARM, x86, or x86_64 CPU；2GB RAM；8GB Disk Storage；100 MB NIC 。

總體上看，該軟體從架構上使用開源的大數據處理架構 Bro和ELK，具有良好的可擴展性，並且它針對IOT和ICS特有協議的解析，支持檢測通過這些協議的攻擊行為。它的開源可以很好地促進IOT和ICS開源安全產品的發展。

Sweet Security的下載地址和安裝方法，兜哥在這裡安利給你，具體如下：

Sweet Security的GitHub地址為：

https://github.com/TravisFSmith/SweetSecurity

安裝方法為：

git clone https://github.com/travisfsmith/sweetsecurity

sudo python setup.py

安裝軟體前建議安裝Python和Java環境。

• Python 2.7

sudo apt install python

• Java 1.8

sudo apt install default-jre

安裝模式支持三種：

• Full Install: This will install Bro IDS,
  Critical Stack (optional), Logstash, Elasticsearch, Kibana, Apache, and Sweet
  Security Client/Server. Choose this option ONLY if you have 2GB of memory or
  more.
• Sensor Only: This will install Bro IDS,

  Critical Stack (optional), Logstash, and Sweet Security Client

• Web Server Only: This will install
  Elasticsearch, Kibana, Apache, and Sweet Security Server

Sweet Security也支持分散式部署，一個推薦的分散式架構包括分別執行ARP Spoofing、Network Scans和Bro IDS Inspection的三個客戶端以及一個基於Web的伺服器。

• Client: ARP Spoofing
• Client: Network Scans
• Client: Bro IDS Inspection
• Server: Website Hosting