飞象网讯 “2017工业互联网峰会”于2017年2月20日-21日在北京国际会议中心举办。飞象网作为直播媒体将对会议做全程报道。直播内容:
360沈阳研发中心总经理 陶耀东
陶耀东:各位专家,各位国内外的朋友,我是来自360企业安全集团的沈阳研发中心的陶耀东。360企业安全集团是我们把360的安全能力服务于政府和企业客户的专门的集团,我们今天跟大家一起分享的就是我们关于工业互联网安全防护的一些实践和体会,这里面也有一些是我们真正在服务一些大量的企业客户所得到的一些对现状的了解,后面我有一些数据跟大家分享。
我的题目叫数据驱动的工业互联网安全防护,我们所了解的工业互联网,大家知道一旦它打开了,它应该会有很多安全的问题,安全的问题可能会在哪里。这个图是我们联盟的架构图,把数据、网络、安全分成三大支柱,而且在上午秘书长在介绍的时候,其实我们的安全是放在前提这个条件,没有安全,连通以后其实风险是更大的。在安全的角度来说,我们联盟的架构里区分了设备安全、网络安全、控制安全还有数据安全和应用安全,设备安全可能涉及到我们现场的机器人,我们的机床等等,网络安全有可能是我们内外的网络,一旦到控制安全,可能是我们的DCS等等,到数据这就更关键了,包括我们自己的生产数据,我们的商业数据,我们的客户数据等等。这些安全的问题再到上面是应用的安全,工业互联网已经打开,我们在智能化生产、网络化协同个性化定制和服务化延伸这些方面的应用会批量的出来,这里面应用的安全也会带来很多的挑战。针对这些我们可以看到在设备、网络、控制以及应用还有数据这些安全之上,它们都离不开人的安全,也就是说人员管理还有制度上的一些设施一定要跟得上。这些如果组合起来来攻击一个企业,可能他还会面对的是一个高级的威胁。总体来看,我们会发现工业互联网打开以后,它的攻击路口变得非常多,攻击抛面会变得非常大,这对大家是一个挑战。
我们现在的工业互联网的现状是什么样的,我这里有点数据,这是截止到2017年1月份,我们联盟大概有将近300个企业,我们把里面的工业企业还有里面的通讯企业拿出来,在我们自己的白帽子的漏洞通报平台上查了一下,在82%的工业企业里有28.05%近三年内出现过安全漏洞,就只是把他现在的门户网站这一件事情。这些漏洞里82%的企业有23%的是有高危漏洞。在通讯企业有23%的企业有漏洞,在17.6%有高危漏洞,达到了将近1/5,这些是来自我们360的安全播报平台。各位在座的企业有兴趣可以到这个平台上,以你们企业的名字去搜一搜,也许会发现你可能也曝过漏洞,可能你到现在也没有修复它。
再来看结合我们服务过的众多的政企客户,我们做了一个统计,其实发现一个非常严峻的现状,也就是说很多企业不知道自己是否出现过网络安全问题,甚至他是出现问题以后才发现我遭到了攻击。我们发现我们服务的客户里68.5%是因为外面告诉他你被攻击了,你出现了网络安全的问题,还有的企业是他自己发现他丢了东西,他的系统不能正常运转了才发现。只有不到5%的企业是通过自己的定期巡检才发现问题。大家看到95%以上的企业只能通过外部或者看得见的明显损失才知道自己被攻击了。总结一下,基本上现在的企业都普遍缺乏安全的监测能力,另外普遍缺乏主动发现隐蔽性较好的攻击的能力。在我们服务的案例当中有一个地方政府的网站,最后他出了问题请我们去做安全服务的时候,发现他前后已经发生过七次被拖库的事件,其实他最后一次出现大问题的时候,他们才发现原来这里面有这么多问题。
综合一下,我们工业互联网企业可能会面临着三方面的困境。一是检测能力的困境,从我们自己现在有的病毒样本库来说已经有一百亿了,你说企业或者通用的杀毒软件等等,要发现这么多的病毒样本库,他本身要有多大,所以企业有一个检测的困境。另外在响应方面,由于边界扩大,他所面临的问题层次也特别多,他一个安全团队如何有这么多的安全能力来做这么多事情,响应不同的问题,很多企业会面临缺兵少将的问题。还有应用安全,由于我们四个方面的服务打通,应用层出不穷,另外供应商特别多,这些应用有可能也存在一些漏洞或者风险,对于一个企业来说,可能这些漏洞对他来说他看到的是一个筛子,但是对于攻击者来说,只要从一个洞里进来,对于企业的安全可能他就被攻破了,这是攻防不对称的问题。还有些企业就像其中一片叶子,只能看到他自己的状态,整个行业是什么样子的,他自己并不知道,所以整个态势也并不清楚。
如何来应对这些问题,我们从现在美国RSA大会近三年的主题,我们发现一个技术趋势,2015年叫变革,是面对失败的防御,主题是基于数据与情报来加强检测能力。2016年变成连接,要基于协同,加强检测和响应能力。到今年是机会的力量,基于联合与分享安全共同体,要大家要一起来协同防御。如果聚焦到工业互联网的安全趋势来说,刚才说我们可能面对的是一个未知的拼图,工业互联网的安全防御应该怎么做,我们假设我们不是工不破的,是可能被攻破,所以要从应急响应变成持续的监测响应,第二是要数据驱动,首先是态势感知,第二要有威胁情报,要了解现在都在发生什么样的安全事件,比如最近这个行业的勒索软件爆发等等,第三是威胁追踪溯源,一般对企业的攻击是不达目标不甘休的,所以要找到源头,知道他为什么要做这个事。第三是建立企业安全运维中心,收集企业各方面的数据,包括安全数据和生产数据,用工业大数据来发现异常,然后要对里面的用户和实体进行建模,形成UEBA的安全极限。最后一个是安全协同,一块我们有供应链协同、云地协同、数据协同和安全即服务,这些供应商本身应该有他自己的安全的保障,走在一起盖成这个大厦才能有安全的保障。第二是云端和地面的协同,另外是各种层面数据的协同。另外因为安全,我们每个企业都可能会面向安全能力的短缺,所以安全会变成一种服务,会变成一种可采购或者按需索取的服务。这样我们会从安全的线索,用拼图的方式变成安全的事件,最后安全整个的全貌被发现。云和地的协同,云端的我们要进行态势的感知,要发现,现在大概什么情况,然后要进行预警。这里会对工业互联网的漏洞、病毒木马、DDOS、APT等形成预警,告诉工业互联网企业,解决他们监测能力不足的问题。第二是企业内部要建立安全监测中心,他要把自己的安全设备、自己的原始网络流量等等数据拿上来进行安全的分析和关联,然后再结合自己业务和安全情报发现里面的事件,这些事件在可能情况下还要上报给云端。总结一下,数据驱动的工业互联网的安全防护,这里面我们倡议建立起一个多级响应体系,这里一个区域可能会有很多工业互联网的企业,或者一个产业或者一个行业,要有自己的安全体系的建设,我们有安全的模板,我们有专家的服务和安全培训,包括云服务,本地的数据服务,还有本地的监测。做一个区域或者行业的中心,再接受其他体系拿过来的更全面的威胁情报和数据。这样会从上端不断发各种针对行业更精准的威胁情报,下面再不断反馈给威胁情报中心,形成一个良性的形态,周围一圈可能会是我们的工业互联网企业,周围还有很多行业或区域局部的监测响应中心。360作为安全组的组长,我们也计划为联盟做一些工作,例如我们一起撰写了《中国工业互联网安全报告》,我们出版了《工业云安全防护参考方案》,我们还参与联盟的标准和技术白皮书里面安全部分的撰写,另外为联盟提供基础安全服务。我们现在在联盟指导下正在打造一个工业互联网的安全态势感知与预警平台,这个平台欢迎我们联盟的企业加入,我们会把贵企业的安全事件在保密的情况下一对一推送给你,来作为提醒,这个我们近期可能会结合联盟一起启动一百个试点名单的征集,企业可以自愿加入。
这个态势感知和预警平台有哪些模块,首先是应用站点感知,咱们工业互联网的四大方面的应用里面可能会有很多的应用站点出来,应用站点可能会有漏洞,会有木马,会被篡改等等,这个平台可以帮着监测出来。病毒木马是企业内网里面可能会遭受病毒木马,这些病毒木马在网上是有蛛丝马迹我们可以帮着找出来并且通知企业。第三,工业企业会暴露越来越多,我们恢复对企业提供IP范围,通过对工控协议的扫描,定位工控设备。还有是DDOS攻击感知,最后是高级攻击感知,这一块需要企业来联动,企业如果建立了安全中心,发现事件,报给我们,我们结合行业的历史数据再变成威胁情报,再反馈给整个行业。这是整个态势感知的平台。
对于360本身来说,我们提倡一体化安全解决方案,这个是希望把我们360目前安全创新中心里面十六大安全团队和三大网络安全研究院的能力形成的安全攻防能力、威胁识别能力、防护响应能力、大数据能力、人才培养能力。以上是我们的理念。
总结来说,其实就是威胁情报加上安全的技术加上安全的服务以及加上协同的联动,来解决我们工业互联网的安全问题,谢谢各位。