安全實(shí)踐-陶耀東-數(shù)據(jù)驅(qū)動(dòng)的工業(yè)互聯(lián)網(wǎng)自適應(yīng)防護(hù)框架

數(shù)據(jù)驅(qū)動(dòng)的工業(yè)互聯(lián)網(wǎng)自適應(yīng)防護(hù)框架博士研究員360博士研究員360網(wǎng)神沈陽研發(fā)中心總經(jīng)理常見應(yīng)對(duì)策略與局限最新趨勢(shì)數(shù)據(jù)驅(qū)動(dòng)的工業(yè)互聯(lián)網(wǎng)自適應(yīng)防護(hù)架構(gòu)360在工業(yè)互聯(lián)網(wǎng)的安全實(shí)踐設(shè)備、網(wǎng)絡(luò)、控制、應(yīng)用、數(shù)據(jù)、人員、APT工業(yè)互聯(lián)網(wǎng)是互聯(lián)網(wǎng)和新一代信息技術(shù)與工業(yè)系統(tǒng)全方位深度融合所形成的產(chǎn)業(yè)和應(yīng)用生態(tài)，是提升工業(yè)系統(tǒng)智能化能力的關(guān)鍵信息基礎(chǔ)設(shè)施。工業(yè)互聯(lián)網(wǎng)=商業(yè)網(wǎng)絡(luò)+工業(yè)網(wǎng)絡(luò)人員管理數(shù)據(jù)層應(yīng)用層控制層常見應(yīng)對(duì)策略與局限1.終端防御（審計(jì)、白名單等）2.縱深防御-安全分區(qū)、網(wǎng)絡(luò)專用-橫向隔離、縱向認(rèn)證3.邊界防御-工業(yè)防火墻、網(wǎng)閘等4.安全遠(yuǎn)程訪問（VPN等）-漏洞掃描-部分補(bǔ)丁碰運(yùn)氣高級(jí)攻擊：寶石大盜，攻擊特點(diǎn)：Oday漏洞、免殺、首次出現(xiàn)、難以檢測(cè)、長(zhǎng)期被動(dòng)防御守株待兔海量樣本無法收集樣本分析海量樣本無法收集安全信息未知威脅無法分享無法檢測(cè)工業(yè)互聯(lián)網(wǎng)安全的最新趨勢(shì)?持續(xù)監(jiān)測(cè)收集信息?增強(qiáng)檢測(cè)和響應(yīng)能力?態(tài)勢(shì)感知?威脅情報(bào)云端?云端外鏈URL!!外鏈URL!!惡意IP?工業(yè)大數(shù)據(jù)異常發(fā)現(xiàn)惡意IP?用戶與實(shí)體行為分析（UEBA）惡意域名行業(yè)覆蓋度 惡意域名行業(yè)覆蓋度樣本MD5活躍程度分析平臺(tái)樣本MD5活躍程度分析平臺(tái)?安全即服務(wù)數(shù)據(jù)驅(qū)動(dòng)的自適應(yīng)防護(hù)架構(gòu)人在回路的回溯、決策、部署、優(yōu)化、響應(yīng)，實(shí)現(xiàn)人在回路的回溯、決策、部署、優(yōu)化、響應(yīng)，實(shí)現(xiàn)感知工業(yè)現(xiàn)場(chǎng)（壓力、摩擦、振動(dòng)、溫度、電流等）物理量數(shù)字化、資產(chǎn)信息感知數(shù)據(jù)匯集（Connection)認(rèn)知預(yù)測(cè)轉(zhuǎn)化分析認(rèn)知預(yù)測(cè)轉(zhuǎn)化分析工業(yè)數(shù)據(jù)跨層匯集建立（安全數(shù)據(jù)倉(cāng)庫(kù)） 人在回路對(duì)規(guī)律、異常、目標(biāo)、態(tài)勢(shì)、背景等完成認(rèn)知，發(fā)現(xiàn)看不見威脅機(jī)理、環(huán)境、群體、操作、威脅情報(bào)有機(jī)結(jié)通過云端大數(shù)據(jù)關(guān)聯(lián)與挖掘，發(fā)現(xiàn)威脅情報(bào)，包含域名通過云端大數(shù)據(jù)關(guān)聯(lián)與挖掘，發(fā)現(xiàn)威脅情報(bào)，包含域名運(yùn)營(yíng)全球最大云安全系統(tǒng)技術(shù)特點(diǎn)運(yùn)營(yíng)全球最大云安全系統(tǒng)技術(shù)特點(diǎn)?2萬臺(tái)云安全服務(wù)器，每日2000億次查詢每天計(jì)算任務(wù)20000個(gè)，每天計(jì)算處理數(shù)每日發(fā)現(xiàn)近80萬種，600萬個(gè)木馬，覆蓋5億PC用戶和6億手機(jī)用戶2016年3月，率先披露了長(zhǎng)期對(duì)亞洲國(guó)家的能源、交通等基礎(chǔ)行業(yè)進(jìn)行網(wǎng)絡(luò)滲透和情報(bào)竊取的APT組織——“洋蔥狗”（OnionDo于震網(wǎng)（Stuxnet），攻擊能力和技術(shù)水準(zhǔn)最高的一個(gè) 目PerceptionPerceptionResponseCognition漏洞掃描ResponseCognition漏洞掃描更新補(bǔ)丁結(jié)束進(jìn)程隔離文件取證保存隔離終端訪問策略Connection企業(yè)安全運(yùn)維中心（SOC）ConversionConversion大分析平臺(tái)大分析平臺(tái)OS、軟件、漏洞、文OS、軟件、漏洞、文件、日志、工況……Cyber收集數(shù)據(jù)目標(biāo)收集數(shù)據(jù)目標(biāo)基于大數(shù)據(jù)，構(gòu)筑工業(yè)互聯(lián)網(wǎng)系統(tǒng)“安全白環(huán)境”整體防護(hù)體系?持續(xù)監(jiān)控收集，實(shí)時(shí)探測(cè)，云端判斷、取證、溯源、修復(fù)；?被動(dòng)解決方案，不影響工控系統(tǒng)的“可用性”和“穩(wěn)定性”?工控協(xié)議深度解析技術(shù)，具備高安全性，低時(shí)延影響；構(gòu)建白名單?可信任的設(shè)備才能接入控制網(wǎng)絡(luò)?可信任的信息才能在網(wǎng)絡(luò)上傳輸?可信任的軟件才允許被執(zhí)行應(yīng)用服務(wù)器云端+本地，獲得“可信網(wǎng)絡(luò)白環(huán)境”和“工業(yè)互聯(lián)網(wǎng)軟件白名單”構(gòu)建白名單?可信任的設(shè)備才能接入控制網(wǎng)絡(luò)?可信任的信息才能在網(wǎng)絡(luò)上傳輸?可信任的軟件才允許被執(zhí)行應(yīng)用服務(wù)器安全是一種可以采購(gòu)的服務(wù)安全是一種可以采購(gòu)的服務(wù)安全咨詢與運(yùn)維服務(wù)信息安全咨詢服務(wù)安全技術(shù)服務(wù)本地安全運(yùn)維服務(wù)技術(shù)專家應(yīng)急響應(yīng)服務(wù)測(cè)預(yù)警服務(wù)（面）大數(shù)據(jù)網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警平臺(tái)基礎(chǔ)服務(wù)安全運(yùn)行監(jiān)測(cè)預(yù)警服務(wù)（點(diǎn)）漏洞監(jiān)測(cè)篡改、掛馬暗鏈監(jiān)測(cè)目標(biāo)協(xié)同防御：構(gòu)建工業(yè)互聯(lián)網(wǎng)企業(yè)安全共同體安全中心體安系全建管設(shè)理安全運(yùn)維應(yīng)急響應(yīng)云計(jì)算中心安全防護(hù)本地云防護(hù)本地云監(jiān)測(cè)專家服務(wù)人員培訓(xùn)體安系全建管設(shè)理安全運(yùn)維應(yīng)急響應(yīng)云計(jì)算中心安全防護(hù)本地云防護(hù)本地云監(jiān)測(cè)專家服務(wù)人員培訓(xùn)城市本地全數(shù)據(jù)驅(qū)動(dòng)安全360在工業(yè)互聯(lián)網(wǎng)的安全實(shí)踐安全實(shí)踐：威脅看的見，??國(guó)內(nèi)率先運(yùn)用大數(shù)據(jù)技術(shù)發(fā)現(xiàn)未知威脅的廠商????2016年3月，率先披露了長(zhǎng)期對(duì)亞洲國(guó)家的能源、交通等基礎(chǔ)行業(yè)進(jìn)行網(wǎng)絡(luò)滲透和情報(bào)竊取的APT組織——“洋蔥狗”（OnionDog）??國(guó)內(nèi)權(quán)威第三方漏洞收集、安全評(píng)估眾籌?建立一個(gè)對(duì)各方都有益的企業(yè)安全生態(tài)系統(tǒng)漏洞，最大程度避免工業(yè)企業(yè)由于安全漏洞遭受?擁有中國(guó)一半以上的頂級(jí)安全專家，號(hào)稱東半球最強(qiáng)的白帽子軍團(tuán)?擁有漏洞分析、網(wǎng)絡(luò)攻防、網(wǎng)絡(luò)安全研究等多個(gè)實(shí)驗(yàn)室?擁有協(xié)議與逆向分析、IOS安