研究人员称：高达25%的互联网ICS是蜜罐

互联网扫描中发现的许多工业控制系统 (ICS) 实例很可能是蜜罐，而不是真实设备。

挪威约维克科技大学和荷兰代尔夫特理工大学的研究人员进行的分析表明，互联网扫描检测到的工业控制系统 (ICS) 实例中很大一部分实际上是蜜罐。

研究人员使用 Censys 搜索引擎识别暴露在互联网上的工业控制系统 (ICS)。他们瞄准了 17 种广泛使用的工业控制协议，在 175 个国家/地区发现了约 15 万台设备。  

研究人员随后应用了各种标准来确定这些 ICS 实例中有多少是真实的，有多少可能是蜜罐，即旨在吸引威胁行为者的诱饵系统，以获取有关攻击者策略、技术和程序 (TTP) 的有价值信息。

虽然 Censys 用于收集互联网暴露系统的数据，但研究人员指出，他们的方法可以应用于任何源数据，包括 Shodan 和独立扫描。

他们的分析是在 2024 年 1 月至 2025 年 1 月的一年内进行的。2024 年 4 月，他们确定在线看到的 ICS 设备中大约有 15％ 似乎是蜜罐，而到 2025 年 1 月，这一比例上升到 25％。

研究人员尝试根据各种类型的信息来检测蜜罐，每种信息都能让他们评估一个系统是否为具有低、中或高置信度的蜜罐。 

例如，蜜罐软件通常具有特定的签名，这使得研究人员能够高度自信地将运行该软件的系统归类为蜜罐。

另一个可以识别蜜罐的线索是网络类型——真正的工业控制系统 (ICS) 应该位于工业网络上，并且不应该包含与托管服务提供商关联的 IP。这可以用来识别中等可信度的蜜罐。

开放端口也能提供有价值的线索，因为系统中大量开放的端口并不常见。开放的端口越多，系统作为工控系统蜜罐而非真实工业设备的可能性就越大。

研究人员表示：“我们的方法和发现挑战了以往的工控系统研究，这些研究要么部分考虑了蜜罐，要么完全忽略了蜜罐，导致检测到的暴露工控系统设备数量被夸大。它提高了易受攻击的工控系统设备的检测准确性，并使研究人员意识到当前检测方法中的缺陷。”

Censys 首席安全研究员 Emily Austin指出：“确定特定时间段内在线 ICS 蜜罐的准确百分比可能颇具挑战性。这些研究人员使用的方法与我们在 Censys 识别欺骗性服务的方法类似。然而，在方法论上存在一些差异——包括使用网络分类作为指标——这或许可以解释为什么他们报告的 ICS 蜜罐数量高于我们通常观察到的数量。但总的来说，本文概述的蜜罐检测方法似乎非常合理且站得住脚。”

他们观察到的蜜罐在不同协议上的流行程度差异也与我们过去观察到的模式相似。一些 ICS 相关服务比其他服务更容易运行，或者有开源蜜罐可用（例如 ATG），这可能是造成这些差异的原因。她补充道。

论文还提到了 Shodan Honeyscore，这是一款用于检测蜜罐的服务。由于存在错误且结果看似不准确，研究人员决定不再使用它。然而，Shodan 的 John Matherly 称，Honeyscore 多年来一直没有投入使用——它已经被扩展并集成到爬虫程序本身中。 

马瑟利指出，Shodan 现在会自动过滤掉 ICS 蜜罐，使其不会出现在搜索结果中。总的来说，蜜罐的部署在过去几年里有所增加，预计 ICS 领域也会如此。

Shodan 目前显示互联网上暴露的 ICS 实例略超过 100,000 个，过去几年呈略微下降的趋势。