在為期八個月的Honeynet項目中，TUV南德意志集團（以下簡稱“TUVSUD”）記錄了超過60,000次企圖闖入虛擬基礎設施的嘗試。Honeynet將實際硬件和軟件與一個模擬的小型自來水廠環境結合。攻擊來自世界各地的服務器，有時攻擊還利用偽造IP地址。TUVSUD的Honeynet項目證明，對基礎設施及生產設施進行的針對性攻擊不再是孤立事件。

工業4.0使得公司面臨的挑戰性任務是要自下而上的重新考慮他們的安全策略。數字化和相互連結性的增加使得基礎設施及工業設施更為脆弱并給潛在誤用（從間諜活動到破壞活動）帶來了新的“機會”。TUVSUD使用一種高互動Honeynet獲得新的認識，這將使所有行業的公司獲益。

圖中文字：(controlserver控制服務器,logserver日志服務器,networklog網絡日志)

嘗試訪問及攻擊的詳情分析

TUVSUD策略和創新副總裁ArminPfoh博士表示，Honeynet是一種設計用于吸引攻擊的誘餌網絡，從而允許對訪問及攻擊方法進行詳細分析。對此項目，TUVSUD模擬了德國一個小鎮的一個自來水廠的網絡。“為此，我們建立了一個高互動Honeynet，該Honeynet將實際硬件和軟件與虛擬網絡結合起來。”Pfoh博士解釋道。該Honeynet的安全措施符合行業的當前水平。為確保該Honeynet的系統結構及防護水平與業界一致，TUVSUD的專家在開發和實施期間與基礎設施行業的代表進行了合作。

圖中文字：（IP訪問的前15國家,唯一IP地址的數目，中國/香港，美國，韓國，日本，俄羅斯，巴西，德國，意大利，印度，臺灣，英國，加拿大，墨西哥，法國，土耳其）

Honeynet在互聯網上總計部署了八個月。首次訪問嘗試實際上就發生在其“上線”之時。在項目期內，TUVSUD的專家記錄了來自逾150個國家的超過60,000次訪問嘗試。TUVSUD工業信息技術安全高級安全專家及團隊經理ThomasStrtkuhl博士說：“這證明即使相對不重要的基礎設施也在互聯網上吸引注意力并遭到偵測。”訪問IP數量占前3的國家分別是中國、美國和韓國。然而，IP地址并非攻擊者實際來源的可靠指標。其中一些訪問嘗試是通過隱藏或偽造IP地址進行的。

另一項引人注意的發現是這些訪問不僅是通過辦公網絡的標準通信協議進行的，也通過工業通信協議，如ModbusTCP或S7Comm，進行。Strtkuhl博士解釋道：“盡管通過工業通信協議進行的訪問嘗試的數量明顯較少，但是這些嘗試也是來自世界各地。”因此，工業信息技術安全專家確信，潛在攻擊者在探索工業控制系統中安全結構的漏洞（使得潛在攻擊可訪問這些系統），潛在攻擊包括對若干結構和裝置進行的一般攻擊及對預先選定系統進行的針對性攻擊。

明確的報警信號

Honeynet項目的結果是為基礎設施所有者及其它工業公司提供了一個明確的報警信號。ThomasStrtkuhl博士指出“小型或鮮為人知的公司也因互聯網上進行的間諜活動而被發現并被偵測”。因此，一般性攻擊期間即便并非特定目標的公司也可能成為受害者。“一旦公司因為成為一般間諜活動的目標，就會吸引潛在攻擊者的注意力，針對性的攻擊可能隨之而來”TUVSUD安全專家解釋道。對TUVSUD的Honeynet進行的嘗試攻擊（通過各種通信協議發起，一個全球級別的拒絕服務攻擊及兩個通過兩個不同工業通信協議的針對性嘗試攻擊）也確認了這一說法。

監控是制定安全措施的基礎

TUVSUD的專家確認以下Honeynet項目的主要發現：基礎設施及生產設施（即便德國小鎮上相對不重要的自來水廠的基礎設施及生產設施）都受到了持續偵測。訪問嘗試可演化成攻擊，從而導致重大損害風險——從竊取商業機密到破壞整個基礎設施，從而可能人身傷害和環境破壞。安全防范措施未經相應調整的公司和基礎設施的所有者相應面臨高風險。如果公司要實際評估其風險并制定有效保護措施，則其中一項先決條件就是針對性監控。根據Honeynet項目的結果，監控還需延伸至潛在攻擊者了解并使用的工業協議。

更多資訊請關注工業安全頻道