Blackhat 兵器谱新添 IOT 安全武器｜安全专家带你看干货

本篇文章1506字，读完约4分钟

这篇文章是由雷锋专栏作家百度安全博客撰写的。虽然低调，但还是有很多干货。

在最近结束的blackhat会议上，tripwire首席安全研究员特拉维斯·史密斯发布了一个开源网络监控软件sweet security。这是blackhat上发布的第一款专门针对物联网设备和工业控制系统(IC)的安全软件。

物联网的物联网设备和工业控制系统的集成电路设备在底层硬件上有很多相似之处。他们都面临着这两个安全问题:一方面，由于有限的计算和内存资源，很难运行普通的监控软件，更糟糕的是，他们的操作系统往往太旧或定制，使普通的安全监控软件甚至不能安装。另一方面，物联网和IC的通信协议使用了许多定制的协议，如modbus和dnp3，这些协议很少得到现有开源监控软件的支持。

基于这种情况，Travis Smith开发了一套基于bro和elk的物联网和集成电路安全监控软件& Sweet Security。它通过开源软件bro支持常见的dns、http等协议，也支持工业控制系统中常用的modbus和dnp3协议，并减少开源软件上不必要的功能以减少资源消耗，使该软件可以在计算和内存资源相对较差的物联网设备上运行。这是解决上述两个问题的好办法。

例如，典型配置是一个700 mhz单核处理器和512mb内存。这种硬件配置相当于普通的覆盆子pi入口配置。即使如此简单的系统也能运行甜蜜的安全系统。

Sweet security通过监控物联网和ic之间的通信流量来识别攻击，包括基于modbus和dnp3协议的攻击。监测结果将存储在本地，并可进一步发送到麋鹿或普通日志收集系统，如siem。

sweet security支持的操作系统有raspbian jessie、debian jessie和ubuntu 16.04，目前支持的硬件平台有raspberrypi、x86和x86 _ 64。推荐的硬件配置是arm、x86或x86 _ 64 cpu。2gb ram8gb磁盘存储；100 mb网卡.

一般来说，该软件采用开源大数据处理架构bro和elk，具有良好的可扩展性，并分析了物联网和ic的具体协议，支持通过这些协议检测攻击。其开源可以促进物联网和ics开源安全产品的发展。

sweet security的下载地址和安装方法如下:

甜密的Github地址是github/travisfsmith/甜密

安装方法是git clone github/Travis FSSmith/sweet security

sudo python setup.py

建议在安装软件之前安装python和java环境。

python 2.7

sudo apt安装python

java 1.8

sudo apt install default-jre

支持三种安装模式:

完整安装:这将安装bro ids、关键堆栈(可选)、logstash、elasticsearch、kibana、apache和sweet security client/server。仅当您有2gb或更多内存时，才选择此选项。

仅传感器:这将安装bro ids、关键堆栈(可选)、logstash和sweet安全客户端

仅web服务器:这将安装弹性搜索、kibana、apache和sweet安全服务器

Sweet安全还支持分布式部署。推荐的分布式体系结构包括三个客户端和一个基于网络的服务器，分别执行arp欺骗、网络扫描和bro ids检查。

客户端:arp欺骗

客户端:网络扫描

客户:兄弟身份证检查

服务器:网站托管

雷锋原创文章。严禁擅自转载。详情请参考转载说明。