数据驱动的工业互联网自适应防护框架 陶耀东 博士 研究员 360网神沈阳研发中心 总经理 目录 工业互联网的架构与安全挑战？ 常见应对策略与局限 最新趋势 数据驱动的工业互联网自适应防护架构 360在工业互联网的安全实践 工业互联网的架构与安全挑战？ 设备、网络、控制、应用、数据、人员、APT 工业互联网——信息化与工业化融合的基础 工业互联网 是互联网和新一代信息技术与工业系统全方位深度融合所形成的产业和 应用生态，是提升工业系统智能化能力的关键信息基础设施。 工业互联网 工业 4.0 互联网+ Internet + IoT + Cloud + BigData => Cyber-Physical-System（CPS） 工业互联网典型组成 工业互联网体系架构（AII） 工业互联网 = 商业网络 + 工业网络 工业互联网典型组成 工业互联网的架构与安全挑战 APT 人员管理 数据层 应用层 控制层 网络层 设备层 攻击入口多、防御剖面大! 常见应对策略与局限 工业互联网安全的常用应对措施 1. 终端防御（审计、白名单等） 2. 纵深防御 - 安全分区、网络专用 - 横向隔离、纵向认证 - 蜜罐等 3. 边界防御 - 工业防火墙、网闸等 4. 安全远程访问（VPN等） 5. 漏洞和补丁管理 - 漏洞扫描 - 部分补丁 ICS深度防御架构（NIST SP 800-82，IEC62443） 工业互联网攻击特点 民用攻击：入室行窃，目的是钱 碰运气 高级攻击：宝石大盗， 目的是情报、破坏 不达结果誓不罢休 攻击特点：Oday漏洞、免杀、首次出现、难以检测、长期 常用防御的局限性 被动防御 守株待兔 海量样本 样本分析 无法收集 人力不足 安全信息 未知威胁 无法分享 无法检测 工业互联网安全的最新趋势 工业互联网安全的最新趋势 应急响应 =>持续监测响应 • 持续监测收集信息 • 增强检测和响应能力 数据驱动安全 • 态势感知 • 威胁情报 • 威胁追踪溯源 建立企业安全运维中心(SOC) 攻击特点 外链URL 云端 大数据 攻击背景 攻击组织者 • 工业大数据异常发现 恶意IP • 用户与实体行为分析（UEBA） 产业协同：联合防御 恶意域名 • 供应链安全 • 安全即服务 威胁情报 样本MD5 …… 攻击目的 行业覆盖度 活跃程度 天眼 分析平台 …… 数据驱动的自适应防护架构 工业互联网自适应防护架构（PC4R） 信息感知 （Perception） 响应/决策 人在回路的回溯、决策、部署、优化、响应，实现 安全防护管理与控制（Management & Control） 数据汇集 (Response) （Connection) 感知工业现场（压力、摩擦、振动、温 度、电流等）物理量数字化、资产 PC4R CNC/PLC、DNC、SCADA、MES、ERP 工业数据跨层汇集建立（安全数据仓库） 认知预测 转化分析 (Cognition) (Conversion) 网络融合 (Cyber) 打通IT & OT 人在回路、数据驱动 人在回路对规律、异常、目标、态势、背景 等完成认知，发现看不见威胁 数据特征提取、筛选、分类、优先，可读 机理、环境、群体、操作、威胁情报有机结 合内容化（Content）和情景化（Context） 防御技术路线：大数据发现威胁情报 目标 通过云端大数据关联与挖掘，发现威胁情报，包含域名、IP、木马、MD5等 运营全球最大云安全系统 技术特点 • 2万台云安全服务器，每日2000亿次查询 • 总存储数据量200PB+，每天新增1PB • 每天计算任务20000个，每天计算处理数 据3.5PB • 每日发现近80万种，600万个木马，覆盖5 亿PC用户和6亿手机用户 2016年3月，率先披露了长期对亚洲国家的能源、交通等基础行业进行网络渗透和情 报窃取的APT组织——“洋葱狗”（OnionDog） 2016年8月，APT组织“索伦之眼”Sauron，针对水利、海洋行业，综合能力不弱 于震网（Stuxnet），攻击能力和技术水准最高的一个 威胁 情报 防御技术路线：建立企业本地安全运维中心 云 + 端 纵深防御的自动响应 目标 威胁情报、安全通报、自定义IOC Perception 企业安全运维中心（SOC） Response 搜索 筛选 关联 检测 评估 PC4R 任务 大数据存储/分析平台 Cognition 实时信息 物理量、进程、网络连 接、执行的文件 …… Connection 处置 Conversion 漏洞扫描 更新补丁 结束进程 隔离文件 取证保存 隔离终端 访问策略 …… Cyber 历史信息 OS、软件、漏洞、文 件、日志、工况…… 安全 技术 防御技术路线：构建工控系统安全白环境 目标 • • • 构 建 白 名 单 基于大数据，构筑工业互联网系统“安全白环境”整体防护体系 持续监控收集，实时探测，云端判断、取证、溯源、修复； 被动解决方案，不影响工控系统的“可用性”和“稳定性” 工控协议深度解析技术，具备高安全性，低时延影响； 收 集 数 据 云端+本地，获得“可信网络白环境”和“工业互联网软件白名单” • 可信任的设备才能接入控制网络 安全 技术 • 可信任的信息才能在网络上传输 • 可信任的软件才允许被执行 系统进程 应用进程 应用服务器 恶意进程 防御技术路线：安全即服务 安全是一种可以采购的服务 目标 信息安全咨询服务 安全咨询与 运维服务 安全技术服务 本地安全运维服务 技术专家应急响应服务 网络安全监 大数据网络安全监测预警 测预警服务 平台基础服务 （面） 网站与应用 安全运行监 测预警服务 （点） 漏洞监测 篡改、挂马暗链监测 网站运维云监控 以按需、易扩展的方式获得所需安全服务 安全 服务 防御技术路线：多级安全服务体系 协同防御：构建工业互联网企业安全共同体 目标 互联网威胁情报中心 互联网 安全中心 全国安全监测与响应中心 体安 系全 建管 设理 区域安全监测与响应中心 安全运维 云计算中心 安全防护 工业互联网 企业1(SOC） 应急响应 本地 云防护 工业互联网 企业2(SOC） 本地 云监测 …… 专 家 服 务 人 员 培 训 工业互联网 企业n(SOC） 城 市 本 地 安全 服务 工业互联网安全展望 威胁 安全 安全 情报 技术 服务 数据驱动安全 工业互 联网安 全