陶耀東-數(shù)據(jù)驅(qū)動(dòng)的工業(yè)互聯(lián)網(wǎng)自適應(yīng)防護(hù)框架

數(shù)據(jù)驅(qū)動(dòng)的工業(yè)互聯(lián)網(wǎng)自適應(yīng)防護(hù)框架博士研究員360網(wǎng)神沈陽(yáng)研發(fā)中心總經(jīng)理常見(jiàn)應(yīng)對(duì)策略與局限最新趨勢(shì)數(shù)據(jù)驅(qū)動(dòng)的工業(yè)互聯(lián)網(wǎng)自適應(yīng)防護(hù)架構(gòu)360在工業(yè)互聯(lián)網(wǎng)的安全實(shí)踐設(shè)備、網(wǎng)絡(luò)、控制、應(yīng)用、數(shù)據(jù)、人員、APT工業(yè)化融合的基礎(chǔ)工業(yè)互聯(lián)網(wǎng)是互聯(lián)網(wǎng)和新一代信息技術(shù)與工業(yè)系統(tǒng)全方位深度融合所形成的產(chǎn)業(yè)和應(yīng)用生態(tài)，是提升工業(yè)系統(tǒng)智能化能力的關(guān)鍵信息基礎(chǔ)設(shè)施。Internet+IoTInternet+IoT=>Cyber-Physical-System(CPS)工業(yè)互聯(lián)網(wǎng)體系架構(gòu)(AII)工業(yè)互聯(lián)網(wǎng)典型組成工業(yè)互聯(lián)網(wǎng)=商業(yè)網(wǎng)絡(luò)+工業(yè)網(wǎng)絡(luò)架構(gòu)與安全挑戰(zhàn)人員管理數(shù)據(jù)層應(yīng)用層應(yīng)用層控制層控制層備層、防御剖面大!常見(jiàn)應(yīng)對(duì)策略與局限對(duì)措施1.終端防御(審計(jì)、白名單等)2.縱深防御-安全分區(qū)、網(wǎng)絡(luò)專(zhuān)用-橫向隔離、縱向認(rèn)證蜜罐等3.邊界防御-工業(yè)防火墻、網(wǎng)閘等4.安全遠(yuǎn)程訪問(wèn)(VPN等)5.漏洞和補(bǔ)丁管理-漏洞掃描-部分補(bǔ)丁IEC碰運(yùn)氣高級(jí)攻擊：寶石大盜，結(jié)果誓不罷休攻擊特點(diǎn)：Oday漏洞、免殺、首次出現(xiàn)、難以檢測(cè)、長(zhǎng)期被動(dòng)防御守株待兔海量樣本無(wú)法收集樣海量樣本無(wú)法收集安全信息未知威脅安全信息無(wú)法分享無(wú)法檢測(cè)工業(yè)互聯(lián)網(wǎng)安全的最新趨勢(shì)云端大數(shù)據(jù)外鏈URL攻擊組織者脅情報(bào)惡意域名行業(yè)覆蓋度樣本云端大數(shù)據(jù)外鏈URL攻擊組織者脅情報(bào)惡意域名行業(yè)覆蓋度樣本MD5活躍程度分析平臺(tái)應(yīng)急響應(yīng)=>持續(xù)監(jiān)測(cè)響應(yīng)?持續(xù)監(jiān)測(cè)收集信息?增強(qiáng)檢測(cè)和響應(yīng)能力數(shù)據(jù)驅(qū)動(dòng)安全?態(tài)勢(shì)感知?威脅情報(bào)?威脅追蹤溯源建立企業(yè)安全運(yùn)維中心(SOC)?工業(yè)大數(shù)據(jù)異常發(fā)現(xiàn)攻擊目的惡意IP?用戶與實(shí)體行為分析(攻擊目的惡意IP產(chǎn)業(yè)協(xié)同：聯(lián)合防御?供應(yīng)鏈安全?安全即服務(wù)數(shù)據(jù)驅(qū)動(dòng)的自適應(yīng)防護(hù)架構(gòu)人在回路的回溯、決策、部署、優(yōu)化、響應(yīng)，實(shí)現(xiàn)安全防護(hù)管理與控制(Management&Control)數(shù)據(jù)匯集 (Connection)響應(yīng)/決策(Response)感知工業(yè)現(xiàn)場(chǎng)(壓力、摩擦、振動(dòng)、溫人在回路的回溯、決策、部署、優(yōu)化、響應(yīng)，實(shí)現(xiàn)安全防護(hù)管理與控制(Management&Control)數(shù)據(jù)匯集 (Connection)響應(yīng)/決策(Response)感知工業(yè)現(xiàn)場(chǎng)(壓力、摩擦、振動(dòng)、溫度、電流等)物理量數(shù)字化、資產(chǎn)工業(yè)數(shù)據(jù)跨層匯集建立(安全數(shù)據(jù)倉(cāng)庫(kù))轉(zhuǎn)化分析(Conversion)認(rèn)知預(yù)測(cè)(Cognition)網(wǎng)絡(luò)融合(Cyber)人在回路對(duì)規(guī)律、異常、目標(biāo)、態(tài)勢(shì)、背景等完成認(rèn)知，發(fā)現(xiàn)看不見(jiàn)威脅信息感知 (Perception)工業(yè)互聯(lián)網(wǎng)自適應(yīng)防護(hù)架構(gòu)(PC4R)機(jī)理、環(huán)境、群體、操作、威脅情報(bào)有機(jī)結(jié)合內(nèi)容化(Content)和情景化(機(jī)理、環(huán)境、群體、操作、威脅情報(bào)有機(jī)結(jié)合內(nèi)容化(Content)和情景化(Context)據(jù)驅(qū)動(dòng)運(yùn)營(yíng)全球最大云安全系統(tǒng)運(yùn)營(yíng)全球最大云安全系統(tǒng)技術(shù)特點(diǎn)?每天計(jì)算任務(wù)20000個(gè)，每天計(jì)算處理數(shù)5PB億PC用戶和6億手機(jī)用戶2016年3月，率先披露了長(zhǎng)期對(duì)亞洲國(guó)家的能源、交通等基礎(chǔ)行業(yè)進(jìn)行網(wǎng)絡(luò)滲透和情報(bào)竊取的APT組織——“洋蔥狗”(OnionDog)于震網(wǎng)(Stuxnet)，攻擊能力和技術(shù)水準(zhǔn)最高的一個(gè)云+端縱深防御的自動(dòng)響應(yīng)標(biāo)漏洞掃描更新補(bǔ)丁結(jié)束進(jìn)程取證保存訪問(wèn)策略ConnectionResponseConversionCognitionCyber歷史信息OS、軟件、漏洞、文件、日志、工況……企業(yè)安全運(yùn)維中心(SOC)選估數(shù)據(jù)存儲(chǔ)/分析平臺(tái)云+端縱深防御的自動(dòng)響應(yīng)標(biāo)漏洞掃描更新補(bǔ)丁結(jié)束進(jìn)程取證保存訪問(wèn)策略ConnectionResponseConversionCognitionCyber歷史信息OS、軟件、漏洞、文件、日志、工況……企業(yè)安全運(yùn)維中心(SOC)選估數(shù)據(jù)存儲(chǔ)/分析平臺(tái)索務(wù)測(cè)大目目Perception報(bào)、安全通報(bào)、自定義IOCPerception物理量、進(jìn)程、網(wǎng)絡(luò)連接、執(zhí)行的文件……?持續(xù)監(jiān)控收集，實(shí)時(shí)探測(cè)，云端判斷、取證、溯源、修復(fù)；?被動(dòng)解決方案，不影響工控系統(tǒng)的“可用性”和“穩(wěn)定性”?工控協(xié)議深度解析技術(shù)，具備高安全性，低時(shí)延影響；程程程?持續(xù)監(jiān)控收集，實(shí)時(shí)探測(cè)，云端判斷、取證、溯源、修復(fù)；?被動(dòng)解決方案，不影響工控系統(tǒng)的“可用性”和“穩(wěn)定性”?工控協(xié)議深度解析技術(shù)，具備高安全性，低時(shí)延影響；程程程基于大數(shù)據(jù)，構(gòu)筑工業(yè)互聯(lián)網(wǎng)系統(tǒng)“安全白環(huán)境”整體防護(hù)體系收集數(shù)據(jù)收集數(shù)據(jù)構(gòu)建白名單云端+本地，獲得“可信網(wǎng)絡(luò)白環(huán)境構(gòu)建白名單?可信任的設(shè)備才能接入控制網(wǎng)絡(luò)?可信任的信息才能在網(wǎng)絡(luò)上傳輸?可信任的軟件才允許被執(zhí)行應(yīng)用服務(wù)器安全是一種可以采購(gòu)的服務(wù)安全是一種可以采購(gòu)的服務(wù)安全咨詢與運(yùn)維服務(wù)信息安全咨詢服務(wù)安全技術(shù)服務(wù)本地安全運(yùn)維服務(wù)技術(shù)專(zhuān)家應(yīng)急響應(yīng)服務(wù)測(cè)預(yù)警服務(wù) (面)大數(shù)據(jù)網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警平臺(tái)基礎(chǔ)服務(wù)安全運(yùn)行監(jiān)測(cè)預(yù)警服務(wù) (點(diǎn))漏洞監(jiān)測(cè)篡改、掛馬暗鏈監(jiān)測(cè)所需安全服務(wù)目目標(biāo)協(xié)同防御：構(gòu)建工業(yè)互聯(lián)網(wǎng)企業(yè)安全共同體互聯(lián)網(wǎng)威脅情報(bào)中心互聯(lián)網(wǎng)威脅情報(bào)中心測(cè)與響應(yīng)中心安全中心互聯(lián)網(wǎng)企業(yè)1(SOC)互聯(lián)網(wǎng)企業(yè)2(SOC)安全運(yùn)維云計(jì)算中心安全防護(hù)體系建設(shè)應(yīng)急響應(yīng)本地互聯(lián)網(wǎng)企業(yè)1(SOC)互聯(lián)網(wǎng)企業(yè)2(SOC)安全運(yùn)維云計(jì)算中心安全防護(hù)體系建設(shè)應(yīng)急響應(yīng)本地云監(jiān)測(cè)本地云防護(hù)互聯(lián)網(wǎng)互聯(lián)網(wǎng)企業(yè)n(SOC)全數(shù)據(jù)驅(qū)動(dòng)安全360在工業(yè)互聯(lián)網(wǎng)的安全實(shí)踐ATP檢測(cè)防御系統(tǒng)?國(guó)內(nèi)率先運(yùn)用大數(shù)據(jù)技術(shù)發(fā)現(xiàn)未知威脅的廠商測(cè)到各類(lèi)APT攻擊事件數(shù)萬(wàn)次APT29個(gè)，其中14個(gè)為3602016年3月，率先披露了長(zhǎng)期對(duì)亞洲國(guó)家的能源、交通等基礎(chǔ)行業(yè)進(jìn)行網(wǎng)絡(luò)滲透和情報(bào)竊取的APT組織——“洋蔥狗”(OnionDog)響應(yīng)平臺(tái)?國(guó)內(nèi)權(quán)威第三方漏洞收集、安全評(píng)估眾籌?響應(yīng)平臺(tái)?國(guó)內(nèi)權(quán)威第三方漏洞收集、安全評(píng)估眾籌?建立一個(gè)對(duì)各方都有益的企業(yè)安全生態(tài)系統(tǒng)IT洞，最大程度避免工業(yè)企業(yè)由于安全漏洞遭受損失頂級(jí)的系統(tǒng)漏洞研究能力?擁有中國(guó)一半以上的頂級(jí)安全專(zhuān)家，號(hào)稱(chēng)東半球最強(qiáng)的白帽子軍團(tuán)?擁有漏洞分析、網(wǎng)絡(luò)攻防、網(wǎng)絡(luò)安全研究等多個(gè)實(shí)驗(yàn)室?擁有協(xié)議與逆向分析、I