工控蜜罐的优势有什么

工控蜜罐的优势有：

• 工控蜜罐能更好地适应工控环境，不会对工控现有环境造成任何影响。工业控制系统安全方案中，生产系统的可持续性要求要高于IT安全的方案。对一些大型工业控制系统，停一次机的损失就得几千万人民币，生产部门对于由于安全方案需要的停机就特别反感，尤其是在没有现实威胁的情况下，很难去做大规模的停机升级。因此很多针对IT系统安全的方案（比如升级或者补丁等）就不一定合适，何况很多工业控制系统出于系统稳定性的考虑，根本不允许进行补丁升级。而工控蜜罐不会通过串行或者旁路的方式接入网络，也不会以补丁或者探针方式安装到工控系统内部的主机，只需要接入到工控交换机就可以启动诱捕和监测工作。

• 能采用混淆和黏滞的策略形成有效保护。让工控网络中存在较多的诱饵，将使攻击者陷入真假难辨的网络世界，迫使攻击者花费大量的时间来分辨信息的真实性，从而延缓了攻击者的网络攻击，给予防御者更多的响应时间，降低攻击者对真实系统攻击的可能性。工控蜜罐使用了与真实环境相同的网络环境，攻击者无法分辨真假，因此会对诱饵目标发起攻击，采用大量攻击手段、工具和技巧，而防御方可以记录攻击者的行为，从而为防御提供参考。

• 极低的误报率。在正常情况下，蜜罐不会被正常用户访问，若有人触碰了这些诱饵，就表明系统正在受到攻击。

• 能发现新型的网络攻击行为。工控蜜罐作为主动防御的手段，不像防火墙、流量监测或者主机卫士那样需要关联规则库，攻击者发动的任何攻击行为工控蜜罐都可以捕获，因此可以用工控蜜罐发现新型的网络攻击行为。

• 以高仿真生产系统和工业网络为诱饵，主动针对攻击行为进行有效诱捕，达到实施隔离攻击源的效果。

• 以工业蜜罐为抓手，构建高仿真工控蜜网，打造工控网的安全防护体系。