飛象網(wǎng)訊 “2017工業(yè)互聯(lián)網(wǎng)峰會(huì)”于2017年2月20日-21日在北京國(guó)際會(huì)議中心舉辦。飛象網(wǎng)作為直播媒體將對(duì)會(huì)議做全程報(bào)道。直播內(nèi)容:
360沈陽(yáng)研發(fā)中心總經(jīng)理 陶耀東
陶耀東:各位專(zhuān)家,各位國(guó)內(nèi)外的朋友,我是來(lái)自360企業(yè)安全集團(tuán)的沈陽(yáng)研發(fā)中心的陶耀東。360企業(yè)安全集團(tuán)是我們把360的安全能力服務(wù)于政府和企業(yè)客戶(hù)的專(zhuān)門(mén)的集團(tuán),我們今天跟大家一起分享的就是我們關(guān)于工業(yè)互聯(lián)網(wǎng)安全防護(hù)的一些實(shí)踐和體會(huì),這里面也有一些是我們真正在服務(wù)一些大量的企業(yè)客戶(hù)所得到的一些對(duì)現(xiàn)狀的了解,后面我有一些數(shù)據(jù)跟大家分享。
我的題目叫數(shù)據(jù)驅(qū)動(dòng)的工業(yè)互聯(lián)網(wǎng)安全防護(hù),我們所了解的工業(yè)互聯(lián)網(wǎng),大家知道一旦它打開(kāi)了,它應(yīng)該會(huì)有很多安全的問(wèn)題,安全的問(wèn)題可能會(huì)在哪里。這個(gè)圖是我們聯(lián)盟的架構(gòu)圖,把數(shù)據(jù)、網(wǎng)絡(luò)、安全分成三大支柱,而且在上午秘書(shū)長(zhǎng)在介紹的時(shí)候,其實(shí)我們的安全是放在前提這個(gè)條件,沒(méi)有安全,連通以后其實(shí)風(fēng)險(xiǎn)是更大的。在安全的角度來(lái)說(shuō),我們聯(lián)盟的架構(gòu)里區(qū)分了設(shè)備安全、網(wǎng)絡(luò)安全、控制安全還有數(shù)據(jù)安全和應(yīng)用安全,設(shè)備安全可能涉及到我們現(xiàn)場(chǎng)的機(jī)器人,我們的機(jī)床等等,網(wǎng)絡(luò)安全有可能是我們內(nèi)外的網(wǎng)絡(luò),一旦到控制安全,可能是我們的DCS等等,到數(shù)據(jù)這就更關(guān)鍵了,包括我們自己的生產(chǎn)數(shù)據(jù),我們的商業(yè)數(shù)據(jù),我們的客戶(hù)數(shù)據(jù)等等。這些安全的問(wèn)題再到上面是應(yīng)用的安全,工業(yè)互聯(lián)網(wǎng)已經(jīng)打開(kāi),我們?cè)谥悄芑a(chǎn)、網(wǎng)絡(luò)化協(xié)同個(gè)性化定制和服務(wù)化延伸這些方面的應(yīng)用會(huì)批量的出來(lái),這里面應(yīng)用的安全也會(huì)帶來(lái)很多的挑戰(zhàn)。針對(duì)這些我們可以看到在設(shè)備、網(wǎng)絡(luò)、控制以及應(yīng)用還有數(shù)據(jù)這些安全之上,它們都離不開(kāi)人的安全,也就是說(shuō)人員管理還有制度上的一些設(shè)施一定要跟得上。這些如果組合起來(lái)來(lái)攻擊一個(gè)企業(yè),可能他還會(huì)面對(duì)的是一個(gè)高級(jí)的威脅。總體來(lái)看,我們會(huì)發(fā)現(xiàn)工業(yè)互聯(lián)網(wǎng)打開(kāi)以后,它的攻擊路口變得非常多,攻擊拋面會(huì)變得非常大,這對(duì)大家是一個(gè)挑戰(zhàn)。
我們現(xiàn)在的工業(yè)互聯(lián)網(wǎng)的現(xiàn)狀是什么樣的,我這里有點(diǎn)數(shù)據(jù),這是截止到2017年1月份,我們聯(lián)盟大概有將近300個(gè)企業(yè),我們把里面的工業(yè)企業(yè)還有里面的通訊企業(yè)拿出來(lái),在我們自己的白帽子的漏洞通報(bào)平臺(tái)上查了一下,在82%的工業(yè)企業(yè)里有28.05%近三年內(nèi)出現(xiàn)過(guò)安全漏洞,就只是把他現(xiàn)在的門(mén)戶(hù)網(wǎng)站這一件事情。這些漏洞里82%的企業(yè)有23%的是有高危漏洞。在通訊企業(yè)有23%的企業(yè)有漏洞,在17.6%有高危漏洞,達(dá)到了將近1/5,這些是來(lái)自我們360的安全播報(bào)平臺(tái)。各位在座的企業(yè)有興趣可以到這個(gè)平臺(tái)上,以你們企業(yè)的名字去搜一搜,也許會(huì)發(fā)現(xiàn)你可能也曝過(guò)漏洞,可能你到現(xiàn)在也沒(méi)有修復(fù)它。
再來(lái)看結(jié)合我們服務(wù)過(guò)的眾多的政企客戶(hù),我們做了一個(gè)統(tǒng)計(jì),其實(shí)發(fā)現(xiàn)一個(gè)非常嚴(yán)峻的現(xiàn)狀,也就是說(shuō)很多企業(yè)不知道自己是否出現(xiàn)過(guò)網(wǎng)絡(luò)安全問(wèn)題,甚至他是出現(xiàn)問(wèn)題以后才發(fā)現(xiàn)我遭到了攻擊。我們發(fā)現(xiàn)我們服務(wù)的客戶(hù)里68.5%是因?yàn)橥饷娓嬖V他你被攻擊了,你出現(xiàn)了網(wǎng)絡(luò)安全的問(wèn)題,還有的企業(yè)是他自己發(fā)現(xiàn)他丟了東西,他的系統(tǒng)不能正常運(yùn)轉(zhuǎn)了才發(fā)現(xiàn)。只有不到5%的企業(yè)是通過(guò)自己的定期巡檢才發(fā)現(xiàn)問(wèn)題。大家看到95%以上的企業(yè)只能通過(guò)外部或者看得見(jiàn)的明顯損失才知道自己被攻擊了?偨Y(jié)一下,基本上現(xiàn)在的企業(yè)都普遍缺乏安全的監(jiān)測(cè)能力,另外普遍缺乏主動(dòng)發(fā)現(xiàn)隱蔽性較好的攻擊的能力。在我們服務(wù)的案例當(dāng)中有一個(gè)地方政府的網(wǎng)站,最后他出了問(wèn)題請(qǐng)我們?nèi)プ霭踩⻊?wù)的時(shí)候,發(fā)現(xiàn)他前后已經(jīng)發(fā)生過(guò)七次被拖庫(kù)的事件,其實(shí)他最后一次出現(xiàn)大問(wèn)題的時(shí)候,他們才發(fā)現(xiàn)原來(lái)這里面有這么多問(wèn)題。
綜合一下,我們工業(yè)互聯(lián)網(wǎng)企業(yè)可能會(huì)面臨著三方面的困境。一是檢測(cè)能力的困境,從我們自己現(xiàn)在有的病毒樣本庫(kù)來(lái)說(shuō)已經(jīng)有一百億了,你說(shuō)企業(yè)或者通用的殺毒軟件等等,要發(fā)現(xiàn)這么多的病毒樣本庫(kù),他本身要有多大,所以企業(yè)有一個(gè)檢測(cè)的困境。另外在響應(yīng)方面,由于邊界擴(kuò)大,他所面臨的問(wèn)題層次也特別多,他一個(gè)安全團(tuán)隊(duì)如何有這么多的安全能力來(lái)做這么多事情,響應(yīng)不同的問(wèn)題,很多企業(yè)會(huì)面臨缺兵少將的問(wèn)題。還有應(yīng)用安全,由于我們四個(gè)方面的服務(wù)打通,應(yīng)用層出不窮,另外供應(yīng)商特別多,這些應(yīng)用有可能也存在一些漏洞或者風(fēng)險(xiǎn),對(duì)于一個(gè)企業(yè)來(lái)說(shuō),可能這些漏洞對(duì)他來(lái)說(shuō)他看到的是一個(gè)篩子,但是對(duì)于攻擊者來(lái)說(shuō),只要從一個(gè)洞里進(jìn)來(lái),對(duì)于企業(yè)的安全可能他就被攻破了,這是攻防不對(duì)稱(chēng)的問(wèn)題。還有些企業(yè)就像其中一片葉子,只能看到他自己的狀態(tài),整個(gè)行業(yè)是什么樣子的,他自己并不知道,所以整個(gè)態(tài)勢(shì)也并不清楚。
如何來(lái)應(yīng)對(duì)這些問(wèn)題,我們從現(xiàn)在美國(guó)RSA大會(huì)近三年的主題,我們發(fā)現(xiàn)一個(gè)技術(shù)趨勢(shì),2015年叫變革,是面對(duì)失敗的防御,主題是基于數(shù)據(jù)與情報(bào)來(lái)加強(qiáng)檢測(cè)能力。2016年變成連接,要基于協(xié)同,加強(qiáng)檢測(cè)和響應(yīng)能力。到今年是機(jī)會(huì)的力量,基于聯(lián)合與分享安全共同體,要大家要一起來(lái)協(xié)同防御。如果聚焦到工業(yè)互聯(lián)網(wǎng)的安全趨勢(shì)來(lái)說(shuō),剛才說(shuō)我們可能面對(duì)的是一個(gè)未知的拼圖,工業(yè)互聯(lián)網(wǎng)的安全防御應(yīng)該怎么做,我們假設(shè)我們不是工不破的,是可能被攻破,所以要從應(yīng)急響應(yīng)變成持續(xù)的監(jiān)測(cè)響應(yīng),第二是要數(shù)據(jù)驅(qū)動(dòng),首先是態(tài)勢(shì)感知,第二要有威脅情報(bào),要了解現(xiàn)在都在發(fā)生什么樣的安全事件,比如最近這個(gè)行業(yè)的勒索軟件爆發(fā)等等,第三是威脅追蹤溯源,一般對(duì)企業(yè)的攻擊是不達(dá)目標(biāo)不甘休的,所以要找到源頭,知道他為什么要做這個(gè)事。第三是建立企業(yè)安全運(yùn)維中心,收集企業(yè)各方面的數(shù)據(jù),包括安全數(shù)據(jù)和生產(chǎn)數(shù)據(jù),用工業(yè)大數(shù)據(jù)來(lái)發(fā)現(xiàn)異常,然后要對(duì)里面的用戶(hù)和實(shí)體進(jìn)行建模,形成UEBA的安全極限。最后一個(gè)是安全協(xié)同,一塊我們有供應(yīng)鏈協(xié)同、云地協(xié)同、數(shù)據(jù)協(xié)同和安全即服務(wù),這些供應(yīng)商本身應(yīng)該有他自己的安全的保障,走在一起蓋成這個(gè)大廈才能有安全的保障。第二是云端和地面的協(xié)同,另外是各種層面數(shù)據(jù)的協(xié)同。另外因?yàn)榘踩,我們每個(gè)企業(yè)都可能會(huì)面向安全能力的短缺,所以安全會(huì)變成一種服務(wù),會(huì)變成一種可采購(gòu)或者按需索取的服務(wù)。這樣我們會(huì)從安全的線(xiàn)索,用拼圖的方式變成安全的事件,最后安全整個(gè)的全貌被發(fā)現(xiàn)。云和地的協(xié)同,云端的我們要進(jìn)行態(tài)勢(shì)的感知,要發(fā)現(xiàn),現(xiàn)在大概什么情況,然后要進(jìn)行預(yù)警。這里會(huì)對(duì)工業(yè)互聯(lián)網(wǎng)的漏洞、病毒木馬、DDOS、APT等形成預(yù)警,告訴工業(yè)互聯(lián)網(wǎng)企業(yè),解決他們監(jiān)測(cè)能力不足的問(wèn)題。第二是企業(yè)內(nèi)部要建立安全監(jiān)測(cè)中心,他要把自己的安全設(shè)備、自己的原始網(wǎng)絡(luò)流量等等數(shù)據(jù)拿上來(lái)進(jìn)行安全的分析和關(guān)聯(lián),然后再結(jié)合自己業(yè)務(wù)和安全情報(bào)發(fā)現(xiàn)里面的事件,這些事件在可能情況下還要上報(bào)給云端。總結(jié)一下,數(shù)據(jù)驅(qū)動(dòng)的工業(yè)互聯(lián)網(wǎng)的安全防護(hù),這里面我們倡議建立起一個(gè)多級(jí)響應(yīng)體系,這里一個(gè)區(qū)域可能會(huì)有很多工業(yè)互聯(lián)網(wǎng)的企業(yè),或者一個(gè)產(chǎn)業(yè)或者一個(gè)行業(yè),要有自己的安全體系的建設(shè),我們有安全的模板,我們有專(zhuān)家的服務(wù)和安全培訓(xùn),包括云服務(wù),本地的數(shù)據(jù)服務(wù),還有本地的監(jiān)測(cè)。做一個(gè)區(qū)域或者行業(yè)的中心,再接受其他體系拿過(guò)來(lái)的更全面的威脅情報(bào)和數(shù)據(jù)。這樣會(huì)從上端不斷發(fā)各種針對(duì)行業(yè)更精準(zhǔn)的威脅情報(bào),下面再不斷反饋給威脅情報(bào)中心,形成一個(gè)良性的形態(tài),周?chē)蝗赡軙?huì)是我們的工業(yè)互聯(lián)網(wǎng)企業(yè),周?chē)有很多行業(yè)或區(qū)域局部的監(jiān)測(cè)響應(yīng)中心。360作為安全組的組長(zhǎng),我們也計(jì)劃為聯(lián)盟做一些工作,例如我們一起撰寫(xiě)了《中國(guó)工業(yè)互聯(lián)網(wǎng)安全報(bào)告》,我們出版了《工業(yè)云安全防護(hù)參考方案》,我們還參與聯(lián)盟的標(biāo)準(zhǔn)和技術(shù)白皮書(shū)里面安全部分的撰寫(xiě),另外為聯(lián)盟提供基礎(chǔ)安全服務(wù)。我們現(xiàn)在在聯(lián)盟指導(dǎo)下正在打造一個(gè)工業(yè)互聯(lián)網(wǎng)的安全態(tài)勢(shì)感知與預(yù)警平臺(tái),這個(gè)平臺(tái)歡迎我們聯(lián)盟的企業(yè)加入,我們會(huì)把貴企業(yè)的安全事件在保密的情況下一對(duì)一推送給你,來(lái)作為提醒,這個(gè)我們近期可能會(huì)結(jié)合聯(lián)盟一起啟動(dòng)一百個(gè)試點(diǎn)名單的征集,企業(yè)可以自愿加入。
這個(gè)態(tài)勢(shì)感知和預(yù)警平臺(tái)有哪些模塊,首先是應(yīng)用站點(diǎn)感知,咱們工業(yè)互聯(lián)網(wǎng)的四大方面的應(yīng)用里面可能會(huì)有很多的應(yīng)用站點(diǎn)出來(lái),應(yīng)用站點(diǎn)可能會(huì)有漏洞,會(huì)有木馬,會(huì)被篡改等等,這個(gè)平臺(tái)可以幫著監(jiān)測(cè)出來(lái)。病毒木馬是企業(yè)內(nèi)網(wǎng)里面可能會(huì)遭受病毒木馬,這些病毒木馬在網(wǎng)上是有蛛絲馬跡我們可以幫著找出來(lái)并且通知企業(yè)。第三,工業(yè)企業(yè)會(huì)暴露越來(lái)越多,我們恢復(fù)對(duì)企業(yè)提供IP范圍,通過(guò)對(duì)工控協(xié)議的掃描,定位工控設(shè)備。還有是DDOS攻擊感知,最后是高級(jí)攻擊感知,這一塊需要企業(yè)來(lái)聯(lián)動(dòng),企業(yè)如果建立了安全中心,發(fā)現(xiàn)事件,報(bào)給我們,我們結(jié)合行業(yè)的歷史數(shù)據(jù)再變成威脅情報(bào),再反饋給整個(gè)行業(yè)。這是整個(gè)態(tài)勢(shì)感知的平臺(tái)。
對(duì)于360本身來(lái)說(shuō),我們提倡一體化安全解決方案,這個(gè)是希望把我們360目前安全創(chuàng)新中心里面十六大安全團(tuán)隊(duì)和三大網(wǎng)絡(luò)安全研究院的能力形成的安全攻防能力、威脅識(shí)別能力、防護(hù)響應(yīng)能力、大數(shù)據(jù)能力、人才培養(yǎng)能力。以上是我們的理念。
總結(jié)來(lái)說(shuō),其實(shí)就是威脅情報(bào)加上安全的技術(shù)加上安全的服務(wù)以及加上協(xié)同的聯(lián)動(dòng),來(lái)解決我們工業(yè)互聯(lián)網(wǎng)的安全問(wèn)題,謝謝各位。