360沈陽研發(fā)中心總經理陶耀東：數據驅動的工業(yè)互聯網安全防護

飛象網訊 “2017工業(yè)互聯網峰會”于2017年2月20日-21日在北京國際會議中心舉辦。飛象網作為直播媒體將對會議做全程報道。直播內容：

360沈陽研發(fā)中心總經理 陶耀東

陶耀東：各位專家，各位國內外的朋友，我是來自360企業(yè)安全集團的沈陽研發(fā)中心的陶耀東。360企業(yè)安全集團是我們把360的安全能力服務于政府和企業(yè)客戶的專門的集團，我們今天跟大家一起分享的就是我們關于工業(yè)互聯網安全防護的一些實踐和體會，這里面也有一些是我們真正在服務一些大量的企業(yè)客戶所得到的一些對現狀的了解，后面我有一些數據跟大家分享。

我的題目叫數據驅動的工業(yè)互聯網安全防護，我們所了解的工業(yè)互聯網，大家知道一旦它打開了，它應該會有很多安全的問題，安全的問題可能會在哪里。這個圖是我們聯盟的架構圖，把數據、網絡、安全分成三大支柱，而且在上午秘書長在介紹的時候，其實我們的安全是放在前提這個條件，沒有安全，連通以后其實風險是更大的。在安全的角度來說，我們聯盟的架構里區(qū)分了設備安全、網絡安全、控制安全還有數據安全和應用安全，設備安全可能涉及到我們現場的機器人，我們的機床等等，網絡安全有可能是我們內外的網絡，一旦到控制安全，可能是我們的DCS等等，到數據這就更關鍵了，包括我們自己的生產數據，我們的商業(yè)數據，我們的客戶數據等等。這些安全的問題再到上面是應用的安全，工業(yè)互聯網已經打開，我們在智能化生產、網絡化協同個性化定制和服務化延伸這些方面的應用會批量的出來，這里面應用的安全也會帶來很多的挑戰(zhàn)。針對這些我們可以看到在設備、網絡、控制以及應用還有數據這些安全之上，它們都離不開人的安全，也就是說人員管理還有制度上的一些設施一定要跟得上。這些如果組合起來來攻擊一個企業(yè)，可能他還會面對的是一個高級的威脅�？傮w來看，我們會發(fā)現工業(yè)互聯網打開以后，它的攻擊路口變得非常多，攻擊拋面會變得非常大，這對大家是一個挑戰(zhàn)。

我們現在的工業(yè)互聯網的現狀是什么樣的，我這里有點數據，這是截止到2017年1月份，我們聯盟大概有將近300個企業(yè)，我們把里面的工業(yè)企業(yè)還有里面的通訊企業(yè)拿出來，在我們自己的白帽子的漏洞通報平臺上查了一下，在82%的工業(yè)企業(yè)里有28.05%近三年內出現過安全漏洞，就只是把他現在的門戶網站這一件事情。這些漏洞里82%的企業(yè)有23%的是有高危漏洞。在通訊企業(yè)有23%的企業(yè)有漏洞，在17.6%有高危漏洞，達到了將近1/5，這些是來自我們360的安全播報平臺。各位在座的企業(yè)有興趣可以到這個平臺上，以你們企業(yè)的名字去搜一搜，也許會發(fā)現你可能也曝過漏洞，可能你到現在也沒有修復它。

再來看結合我們服務過的眾多的政企客戶，我們做了一個統(tǒng)計，其實發(fā)現一個非常嚴峻的現狀，也就是說很多企業(yè)不知道自己是否出現過網絡安全問題，甚至他是出現問題以后才發(fā)現我遭到了攻擊。我們發(fā)現我們服務的客戶里68.5%是因為外面告訴他你被攻擊了，你出現了網絡安全的問題，還有的企業(yè)是他自己發(fā)現他丟了東西，他的系統(tǒng)不能正常運轉了才發(fā)現。只有不到5%的企業(yè)是通過自己的定期巡檢才發(fā)現問題。大家看到95%以上的企業(yè)只能通過外部或者看得見的明顯損失才知道自己被攻擊了�？偨Y一下，基本上現在的企業(yè)都普遍缺乏安全的監(jiān)測能力，另外普遍缺乏主動發(fā)現隱蔽性較好的攻擊的能力。在我們服務的案例當中有一個地方政府的網站，最后他出了問題請我們去做安全服務的時候，發(fā)現他前后已經發(fā)生過七次被拖庫的事件，其實他最后一次出現大問題的時候，他們才發(fā)現原來這里面有這么多問題。

綜合一下，我們工業(yè)互聯網企業(yè)可能會面臨著三方面的困境。一是檢測能力的困境，從我們自己現在有的病毒樣本庫來說已經有一百億了，你說企業(yè)或者通用的殺毒軟件等等，要發(fā)現這么多的病毒樣本庫，他本身要有多大，所以企業(yè)有一個檢測的困境。另外在響應方面，由于邊界擴大，他所面臨的問題層次也特別多，他一個安全團隊如何有這么多的安全能力來做這么多事情，響應不同的問題，很多企業(yè)會面臨缺兵少將的問題。還有應用安全，由于我們四個方面的服務打通，應用層出不窮，另外供應商特別多，這些應用有可能也存在一些漏洞或者風險，對于一個企業(yè)來說，可能這些漏洞對他來說他看到的是一個篩子，但是對于攻擊者來說，只要從一個洞里進來，對于企業(yè)的安全可能他就被攻破了，這是攻防不對稱的問題。還有些企業(yè)就像其中一片葉子，只能看到他自己的狀態(tài)，整個行業(yè)是什么樣子的，他自己并不知道，所以整個態(tài)勢也并不清楚。

如何來應對這些問題，我們從現在美國RSA大會近三年的主題，我們發(fā)現一個技術趨勢，2015年叫變革，是面對失敗的防御，主題是基于數據與情報來加強檢測能力。2016年變成連接，要基于協同，加強檢測和響應能力。到今年是機會的力量，基于聯合與分享安全共同體，要大家要一起來協同防御。如果聚焦到工業(yè)互聯網的安全趨勢來說，剛才說我們可能面對的是一個未知的拼圖，工業(yè)互聯網的安全防御應該怎么做，我們假設我們不是工不破的，是可能被攻破，所以要從應急響應變成持續(xù)的監(jiān)測響應，第二是要數據驅動，首先是態(tài)勢感知，第二要有威脅情報，要了解現在都在發(fā)生什么樣的安全事件，比如最近這個行業(yè)的勒索軟件爆發(fā)等等，第三是威脅追蹤溯源，一般對企業(yè)的攻擊是不達目標不甘休的，所以要找到源頭，知道他為什么要做這個事。第三是建立企業(yè)安全運維中心，收集企業(yè)各方面的數據，包括安全數據和生產數據，用工業(yè)大數據來發(fā)現異常，然后要對里面的用戶和實體進行建模，形成UEBA的安全極限。最后一個是安全協同，一塊我們有供應鏈協同、云地協同、數據協同和安全即服務，這些供應商本身應該有他自己的安全的保障，走在一起蓋成這個大廈才能有安全的保障。第二是云端和地面的協同，另外是各種層面數據的協同。另外因為安全，我們每個企業(yè)都可能會面向安全能力的短缺，所以安全會變成一種服務，會變成一種可采購或者按需索取的服務。這樣我們會從安全的線索，用拼圖的方式變成安全的事件，最后安全整個的全貌被發(fā)現。云和地的協同，云端的我們要進行態(tài)勢的感知，要發(fā)現，現在大概什么情況，然后要進行預警。這里會對工業(yè)互聯網的漏洞、病毒木馬、DDOS、APT等形成預警，告訴工業(yè)互聯網企業(yè)，解決他們監(jiān)測能力不足的問題。第二是企業(yè)內部要建立安全監(jiān)測中心，他要把自己的安全設備、自己的原始網絡流量等等數據拿上來進行安全的分析和關聯，然后再結合自己業(yè)務和安全情報發(fā)現里面的事件，這些事件在可能情況下還要上報給云端。總結一下，數據驅動的工業(yè)互聯網的安全防護，這里面我們倡議建立起一個多級響應體系，這里一個區(qū)域可能會有很多工業(yè)互聯網的企業(yè)，或者一個產業(yè)或者一個行業(yè)，要有自己的安全體系的建設，我們有安全的模板，我們有專家的服務和安全培訓，包括云服務，本地的數據服務，還有本地的監(jiān)測。做一個區(qū)域或者行業(yè)的中心，再接受其他體系拿過來的更全面的威脅情報和數據。這樣會從上端不斷發(fā)各種針對行業(yè)更精準的威脅情報，下面再不斷反饋給威脅情報中心，形成一個良性的形態(tài)，周圍一圈可能會是我們的工業(yè)互聯網企業(yè)，周圍還有很多行業(yè)或區(qū)域局部的監(jiān)測響應中心。360作為安全組的組長，我們也計劃為聯盟做一些工作，例如我們一起撰寫了《中國工業(yè)互聯網安全報告》，我們出版了《工業(yè)云安全防護參考方案》，我們還參與聯盟的標準和技術白皮書里面安全部分的撰寫，另外為聯盟提供基礎安全服務。我們現在在聯盟指導下正在打造一個工業(yè)互聯網的安全態(tài)勢感知與預警平臺，這個平臺歡迎我們聯盟的企業(yè)加入，我們會把貴企業(yè)的安全事件在保密的情況下一對一推送給你，來作為提醒，這個我們近期可能會結合聯盟一起啟動一百個試點名單的征集，企業(yè)可以自愿加入。

這個態(tài)勢感知和預警平臺有哪些模塊，首先是應用站點感知，咱們工業(yè)互聯網的四大方面的應用里面可能會有很多的應用站點出來，應用站點可能會有漏洞，會有木馬，會被篡改等等，這個平臺可以幫著監(jiān)測出來。病毒木馬是企業(yè)內網里面可能會遭受病毒木馬，這些病毒木馬在網上是有蛛絲馬跡我們可以幫著找出來并且通知企業(yè)。第三，工業(yè)企業(yè)會暴露越來越多，我們恢復對企業(yè)提供IP范圍，通過對工控協議的掃描，定位工控設備。還有是DDOS攻擊感知，最后是高級攻擊感知，這一塊需要企業(yè)來聯動，企業(yè)如果建立了安全中心，發(fā)現事件，報給我們，我們結合行業(yè)的歷史數據再變成威脅情報，再反饋給整個行業(yè)。這是整個態(tài)勢感知的平臺。

對于360本身來說，我們提倡一體化安全解決方案，這個是希望把我們360目前安全創(chuàng)新中心里面十六大安全團隊和三大網絡安全研究院的能力形成的安全攻防能力、威脅識別能力、防護響應能力、大數據能力、人才培養(yǎng)能力。以上是我們的理念。

總結來說，其實就是威脅情報加上安全的技術加上安全的服務以及加上協同的聯動，來解決我們工業(yè)互聯網的安全問題，謝謝各位。