安全实践-陶耀东-数据驱动的工业互联网自适应防护框架

数据驱动的工业互联网自适应防护框架博士研究员360博士研究员360网神沈阳研发中心总经理常见应对策略与局限最新趋势数据驱动的工业互联网自适应防护架构360在工业互联网的安全实践设备、网络、控制、应用、数据、人员、APT工业互联网是互联网和新一代信息技术与工业系统全方位深度融合所形成的产业和应用生态，是提升工业系统智能化能力的关键信息基础设施。工业互联网=商业网络+工业网络人员管理数据层应用层控制层常见应对策略与局限1.终端防御（审计、白名单等）2.纵深防御-安全分区、网络专用-横向隔离、纵向认证3.边界防御-工业防火墙、网闸等4.安全远程访问（VPN等）-漏洞扫描-部分补丁碰运气高级攻击：宝石大盗，攻击特点：Oday漏洞、免杀、首次出现、难以检测、长期被动防御守株待兔海量样本无法收集样本分析海量样本无法收集安全信息未知威胁无法分享无法检测工业互联网安全的最新趋势•持续监测收集信息•增强检测和响应能力•态势感知•威胁情报云端•云端外链URL!!外链URL!!恶意IP•工业大数据异常发现恶意IP•用户与实体行为分析（UEBA）恶意域名行业覆盖度 恶意域名行业覆盖度样本MD5活跃程度分析平台样本MD5活跃程度分析平台•安全即服务数据驱动的自适应防护架构人在回路的回溯、决策、部署、优化、响应，实现人在回路的回溯、决策、部署、优化、响应，实现感知工业现场（压力、摩擦、振动、温度、电流等）物理量数字化、资产信息感知数据汇集（Connection)认知预测转化分析认知预测转化分析工业数据跨层汇集建立（安全数据仓库） 人在回路对规律、异常、目标、态势、背景等完成认知，发现看不见威胁机理、环境、群体、操作、威胁情报有机结通过云端大数据关联与挖掘，发现威胁情报，包含域名通过云端大数据关联与挖掘，发现威胁情报，包含域名运营全球最大云安全系统技术特点运营全球最大云安全系统技术特点•2万台云安全服务器，每日2000亿次查询每天计算任务20000个，每天计算处理数每日发现近80万种，600万个木马，覆盖5亿PC用户和6亿手机用户2016年3月，率先披露了长期对亚洲国家的能源、交通等基础行业进行网络渗透和情报窃取的APT组织——“洋葱狗”（OnionDo于震网（Stuxnet），攻击能力和技术水准最高的一个 目PerceptionPerceptionResponseCognition漏洞扫描ResponseCognition漏洞扫描更新补丁结束进程隔离文件取证保存隔离终端访问策略Connection企业安全运维中心（SOC）ConversionConversion大分析平台大分析平台OS、软件、漏洞、文OS、软件、漏洞、文件、日志、工况……Cyber收集数据目标收集数据目标基于大数据，构筑工业互联网系统“安全白环境”整体防护体系•持续监控收集，实时探测，云端判断、取证、溯源、修复；•被动解决方案，不影响工控系统的“可用性”和“稳定性”•工控协议深度解析技术，具备高安全性，低时延影响；构建白名单•可信任的设备才能接入控制网络•可信任的信息才能在网络上传输•可信任的软件才允许被执行应用服务器云端+本地，获得“可信网络白环境”和“工业互联网软件白名单”构建白名单•可信任的设备才能接入控制网络•可信任的信息才能在网络上传输•可信任的软件才允许被执行应用服务器安全是一种可以采购的服务安全是一种可以采购的服务安全咨询与运维服务信息安全咨询服务安全技术服务本地安全运维服务技术专家应急响应服务测预警服务（面）大数据网络安全监测预警平台基础服务安全运行监测预警服务（点）漏洞监测篡改、挂马暗链监测目标协同防御：构建工业互联网企业安全共同体安全中心体安系全建管设理安全运维应急响应云计算中心安全防护本地云防护本地云监测专家服务人员培训体安系全建管设理安全运维应急响应云计算中心安全防护本地云防护本地云监测专家服务人员培训城市本地全数据驱动安全360在工业互联网的安全实践安全实践：威胁看的见，••国内率先运用大数据技术发现未知威胁的厂商••••2016年3月，率先披露了长期对亚洲国家的能源、交通等基础行业进行网络渗透和情报窃取的APT组织——“洋葱狗”（OnionDog）••国内权威第三方漏洞收集、安全评估众筹•建立一个对各方都有益的企业安全生态系统漏洞，最大程度避免工业企业由于安全漏洞遭受•拥有中国一半以上的顶级安全专家，号称东半球最强的白帽子军团•拥有漏洞分析、网络攻防、网络安全研究等多个实验室•拥有协议与逆向分析、IOS安