安全实践-陶耀东-数据驱动的工业互联网自适应防护框架.docx

数据驱动的工业互联网自适应防护框架

博士研究员360

博士研究员

360网神沈阳研发中心总经理

目录

工业互联网的架构与安全挑战？

常见应对策略与局限必威体育精装版趋势

数据驱动的工业互联网自适应防护架构

360在工业互联网的安全实践

工业互联网的架构与安全挑战？

设备、网络、控制、应用、数据、人员、APT

工业互联网——信息化与工业化融合的基础

工业互联网

是互联网和新一代信息技术与工业系统全方位深度融合所形成的产业和应用生态，是提升工业系统智能化能力的关键信息基础设施。

互联网+工业4.0

互联网+

工业4.0

Internet+IoT+Cloud+BigData=Cyber-Physical-System（CPS）

工业互联网典型组成

工业互联网体系架构（AII）工业互联网典型组成

工业互联网=商业网络+工业网络

APT工业互联网的架构与安全挑战

APT

人员管理

数据层

应用层

控制层

网络层

设备层

攻击入口多、防御剖面大!

常见应对策略与局限

工业互联网安全的常用应对措施

1.终端防御（审计、白名单等）

2.纵深防御

-安全分区、网络专用

-横向隔离、纵向认证-蜜罐等

3.边界防御

-工业防火墙、网闸等

4.安全远程访问（VPN等）

ICS深度防御架构（NISTSP800-82，

ICS深度防御架构（NISTSP800-82，IEC62443）

-漏洞扫描

-部分补丁

工业互联网攻击特点

民用攻击：入室行窃，目的是钱

碰运气

高级攻击：宝石大盗，目的是情报、破坏

不达结果誓不罢休

攻击特点：Oday漏洞、免杀、首次出现、难以检测、长期

常用防御的局限性

被动防御守株待兔

海量样本无法收集样本分析

海量样本无法收集

安全信息未知威胁

无法分享无法检测

工业互联网安全的必威体育精装版趋势

工业互联网安全的必威体育精装版趋势

应急响应

应急响应=持续监测响应

?持续监测收集信息

?增强检测和响应能力

数据驱动安全

数据驱动安全

?态势感知

?威胁情报

攻击背景攻击特点云端大数据?

攻击背景

攻击特点

云端

大数据

外链URL!威胁情报!

外链URL

!

威胁情报

!

建立企业安全运维中心(SOC)

恶意IP?工业大数据异常发现

恶意IP

?用户与实体行为分析（UEBA）

恶意域名行业覆盖度 产业协同：联合防御

恶意域名

行业覆盖度

样本MD5活跃程度分析平台

样本MD5

活跃程度

分析平台

?安全即服务

……

……

数据驱动的自适应防护架构

工业互联网自适应防护架构（

工业互联网自适应防护架构（PC4R）

人在回路的回溯、决策、部署、优化、响应，实现安全防护管理与控制（Management

人在回路的回溯、决策、部署、优化、响应，实现安全防护管理与控制（ManagementControl）

感知工业现场（压力、摩擦、振动、温度、电流等）物理量数字化、资产

信息感知

（Perception）

响应/决策

响应/决策(Response)

数据汇集

（Connection)

PC4R认知预测(Cognition)转化分析(Conversion)

PC4R

认知预测(Cognition)

转化分析

(Conversion)

CNC/PLC、DNC、SCADA、MES、ERP工业数据跨层汇集建立（安全数据仓库）

网络融合(Cyber)

网络融合(Cyber)

优先，可读

人在回路对规律、异常、目标、态势、背景等完成认知，发现看不见威胁

打通IT

打通ITOT

人在回路、数据驱动

机理、环境、群体、操作、威胁情报有机结合内容化（Content）和情景化（Context）

防御技术路线：大数据发现威胁情报

通过云端大数据关联与挖掘，发现威胁情报，包含域名

通过云端大数据关联与挖掘，发现威胁情报，包含域名、IP、木马、MD5等

目

目标

运营全球最大云安全系统技术特点

运营全球最大云安全系统

技术特点

???

?

2万台云安全服务器，每日2000亿次查询总存储数据量200PB+，每天新增1PB

每天计算任务20000个，每天计算处理数据3.5PB

每日发现近80万种，600万个木马，覆盖5亿PC用户和6亿手机用户

威胁情报2016年3月，率先披