安全實踐-陶耀東-數(shù)據(jù)驅(qū)動的工業(yè)互聯(lián)網(wǎng)自適應(yīng)防護框架

數(shù)據(jù)驅(qū)動的工業(yè)互聯(lián)網(wǎng)自適應(yīng)防護框架博士研究員360博士研究員360網(wǎng)神沈陽研發(fā)中心總經(jīng)理常見應(yīng)對策略與局限最新趨勢數(shù)據(jù)驅(qū)動的工業(yè)互聯(lián)網(wǎng)自適應(yīng)防護架構(gòu)360在工業(yè)互聯(lián)網(wǎng)的安全實踐設(shè)備、網(wǎng)絡(luò)、控制、應(yīng)用、數(shù)據(jù)、人員、APT工業(yè)互聯(lián)網(wǎng)是互聯(lián)網(wǎng)和新一代信息技術(shù)與工業(yè)系統(tǒng)全方位深度融合所形成的產(chǎn)業(yè)和應(yīng)用生態(tài)，是提升工業(yè)系統(tǒng)智能化能力的關(guān)鍵信息基礎(chǔ)設(shè)施。工業(yè)互聯(lián)網(wǎng)=商業(yè)網(wǎng)絡(luò)+工業(yè)網(wǎng)絡(luò)人員管理數(shù)據(jù)層應(yīng)用層控制層常見應(yīng)對策略與局限1.終端防御（審計、白名單等）2.縱深防御-安全分區(qū)、網(wǎng)絡(luò)專用-橫向隔離、縱向認證3.邊界防御-工業(yè)防火墻、網(wǎng)閘等4.安全遠程訪問（VPN等）-漏洞掃描-部分補丁碰運氣高級攻擊：寶石大盜，攻擊特點：Oday漏洞、免殺、首次出現(xiàn)、難以檢測、長期被動防御守株待兔海量樣本無法收集樣本分析海量樣本無法收集安全信息未知威脅無法分享無法檢測工業(yè)互聯(lián)網(wǎng)安全的最新趨勢?持續(xù)監(jiān)測收集信息?增強檢測和響應(yīng)能力?態(tài)勢感知?威脅情報云端?云端外鏈URL!!外鏈URL!!惡意IP?工業(yè)大數(shù)據(jù)異常發(fā)現(xiàn)惡意IP?用戶與實體行為分析（UEBA）惡意域名行業(yè)覆蓋度 惡意域名行業(yè)覆蓋度樣本MD5活躍程度分析平臺樣本MD5活躍程度分析平臺?安全即服務(wù)數(shù)據(jù)驅(qū)動的自適應(yīng)防護架構(gòu)人在回路的回溯、決策、部署、優(yōu)化、響應(yīng)，實現(xiàn)人在回路的回溯、決策、部署、優(yōu)化、響應(yīng)，實現(xiàn)感知工業(yè)現(xiàn)場（壓力、摩擦、振動、溫度、電流等）物理量數(shù)字化、資產(chǎn)信息感知數(shù)據(jù)匯集（Connection)認知預(yù)測轉(zhuǎn)化分析認知預(yù)測轉(zhuǎn)化分析工業(yè)數(shù)據(jù)跨層匯集建立（安全數(shù)據(jù)倉庫） 人在回路對規(guī)律、異常、目標、態(tài)勢、背景等完成認知，發(fā)現(xiàn)看不見威脅機理、環(huán)境、群體、操作、威脅情報有機結(jié)通過云端大數(shù)據(jù)關(guān)聯(lián)與挖掘，發(fā)現(xiàn)威脅情報，包含域名通過云端大數(shù)據(jù)關(guān)聯(lián)與挖掘，發(fā)現(xiàn)威脅情報，包含域名運營全球最大云安全系統(tǒng)技術(shù)特點運營全球最大云安全系統(tǒng)技術(shù)特點?2萬臺云安全服務(wù)器，每日2000億次查詢每天計算任務(wù)20000個，每天計算處理數(shù)每日發(fā)現(xiàn)近80萬種，600萬個木馬，覆蓋5億PC用戶和6億手機用戶2016年3月，率先披露了長期對亞洲國家的能源、交通等基礎(chǔ)行業(yè)進行網(wǎng)絡(luò)滲透和情報竊取的APT組織——“洋蔥狗”（OnionDo于震網(wǎng)（Stuxnet），攻擊能力和技術(shù)水準最高的一個 目PerceptionPerceptionResponseCognition漏洞掃描ResponseCognition漏洞掃描更新補丁結(jié)束進程隔離文件取證保存隔離終端訪問策略Connection企業(yè)安全運維中心（SOC）ConversionConversion大分析平臺大分析平臺OS、軟件、漏洞、文OS、軟件、漏洞、文件、日志、工況……Cyber收集數(shù)據(jù)目標收集數(shù)據(jù)目標基于大數(shù)據(jù)，構(gòu)筑工業(yè)互聯(lián)網(wǎng)系統(tǒng)“安全白環(huán)境”整體防護體系?持續(xù)監(jiān)控收集，實時探測，云端判斷、取證、溯源、修復(fù)；?被動解決方案，不影響工控系統(tǒng)的“可用性”和“穩(wěn)定性”?工控協(xié)議深度解析技術(shù)，具備高安全性，低時延影響；構(gòu)建白名單?可信任的設(shè)備才能接入控制網(wǎng)絡(luò)?可信任的信息才能在網(wǎng)絡(luò)上傳輸?可信任的軟件才允許被執(zhí)行應(yīng)用服務(wù)器云端+本地，獲得“可信網(wǎng)絡(luò)白環(huán)境”和“工業(yè)互聯(lián)網(wǎng)軟件白名單”構(gòu)建白名單?可信任的設(shè)備才能接入控制網(wǎng)絡(luò)?可信任的信息才能在網(wǎng)絡(luò)上傳輸?可信任的軟件才允許被執(zhí)行應(yīng)用服務(wù)器安全是一種可以采購的服務(wù)安全是一種可以采購的服務(wù)安全咨詢與運維服務(wù)信息安全咨詢服務(wù)安全技術(shù)服務(wù)本地安全運維服務(wù)技術(shù)專家應(yīng)急響應(yīng)服務(wù)測預(yù)警服務(wù)（面）大數(shù)據(jù)網(wǎng)絡(luò)安全監(jiān)測預(yù)警平臺基礎(chǔ)服務(wù)安全運行監(jiān)測預(yù)警服務(wù)（點）漏洞監(jiān)測篡改、掛馬暗鏈監(jiān)測目標協(xié)同防御：構(gòu)建工業(yè)互聯(lián)網(wǎng)企業(yè)安全共同體安全中心體安系全建管設(shè)理安全運維應(yīng)急響應(yīng)云計算中心安全防護本地云防護本地云監(jiān)測專家服務(wù)人員培訓(xùn)體安系全建管設(shè)理安全運維應(yīng)急響應(yīng)云計算中心安全防護本地云防護本地云監(jiān)測專家服務(wù)人員培訓(xùn)城市本地全數(shù)據(jù)驅(qū)動安全360在工業(yè)互聯(lián)網(wǎng)的安全實踐安全實踐：威脅看的見，??國內(nèi)率先運用大數(shù)據(jù)技術(shù)發(fā)現(xiàn)未知威脅的廠商????2016年3月，率先披露了長期對亞洲國家的能源、交通等基礎(chǔ)行業(yè)進行網(wǎng)絡(luò)滲透和情報竊取的APT組織——“洋蔥狗”（OnionDog）??國內(nèi)權(quán)威第三方漏洞收集、安全評估眾籌?建立一個對各方都有益的企業(yè)安全生態(tài)系統(tǒng)漏洞，最大程度避免工業(yè)企業(yè)由于安全漏洞遭受?擁有中國一半以上的頂級安全專家，號稱東半球最強的白帽子軍團?擁有漏洞分析、網(wǎng)絡(luò)攻防、網(wǎng)絡(luò)安全研究等多個實驗室?擁有協(xié)議與逆向分析、IOS安