360沈陽(yáng)研發(fā)中心總經(jīng)理陶耀東：數(shù)據(jù)驅(qū)動(dòng)的工業(yè)互聯(lián)網(wǎng)安全防護(hù)

飛象網(wǎng)訊 “2017工業(yè)互聯(lián)網(wǎng)峰會(huì)”于2017年2月20日-21日在北京國(guó)際會(huì)議中心舉辦。飛象網(wǎng)作為直播媒體將對(duì)會(huì)議做全程報(bào)道。直播內(nèi)容：

360沈陽(yáng)研發(fā)中心總經(jīng)理 陶耀東

陶耀東：各位專(zhuān)家，各位國(guó)內(nèi)外的朋友，我是來(lái)自360企業(yè)安全集團(tuán)的沈陽(yáng)研發(fā)中心的陶耀東。360企業(yè)安全集團(tuán)是我們把360的安全能力服務(wù)于政府和企業(yè)客戶(hù)的專(zhuān)門(mén)的集團(tuán)，我們今天跟大家一起分享的就是我們關(guān)于工業(yè)互聯(lián)網(wǎng)安全防護(hù)的一些實(shí)踐和體會(huì)，這里面也有一些是我們真正在服務(wù)一些大量的企業(yè)客戶(hù)所得到的一些對(duì)現(xiàn)狀的了解，后面我有一些數(shù)據(jù)跟大家分享。

我的題目叫數(shù)據(jù)驅(qū)動(dòng)的工業(yè)互聯(lián)網(wǎng)安全防護(hù)，我們所了解的工業(yè)互聯(lián)網(wǎng)，大家知道一旦它打開(kāi)了，它應(yīng)該會(huì)有很多安全的問(wèn)題，安全的問(wèn)題可能會(huì)在哪里。這個(gè)圖是我們聯(lián)盟的架構(gòu)圖，把數(shù)據(jù)、網(wǎng)絡(luò)、安全分成三大支柱，而且在上午秘書(shū)長(zhǎng)在介紹的時(shí)候，其實(shí)我們的安全是放在前提這個(gè)條件，沒(méi)有安全，連通以后其實(shí)風(fēng)險(xiǎn)是更大的。在安全的角度來(lái)說(shuō)，我們聯(lián)盟的架構(gòu)里區(qū)分了設(shè)備安全、網(wǎng)絡(luò)安全、控制安全還有數(shù)據(jù)安全和應(yīng)用安全，設(shè)備安全可能涉及到我們現(xiàn)場(chǎng)的機(jī)器人，我們的機(jī)床等等，網(wǎng)絡(luò)安全有可能是我們內(nèi)外的網(wǎng)絡(luò)，一旦到控制安全，可能是我們的DCS等等，到數(shù)據(jù)這就更關(guān)鍵了，包括我們自己的生產(chǎn)數(shù)據(jù)，我們的商業(yè)數(shù)據(jù)，我們的客戶(hù)數(shù)據(jù)等等。這些安全的問(wèn)題再到上面是應(yīng)用的安全，工業(yè)互聯(lián)網(wǎng)已經(jīng)打開(kāi)，我們?cè)谥悄芑�生產(chǎn)、網(wǎng)絡(luò)化協(xié)同個(gè)性化定制和服務(wù)化延伸這些方面的應(yīng)用會(huì)批量的出來(lái)，這里面應(yīng)用的安全也會(huì)帶來(lái)很多的挑戰(zhàn)。針對(duì)這些我們可以看到在設(shè)備、網(wǎng)絡(luò)、控制以及應(yīng)用還有數(shù)據(jù)這些安全之上，它們都離不開(kāi)人的安全，也就是說(shuō)人員管理還有制度上的一些設(shè)施一定要跟得上。這些如果組合起來(lái)來(lái)攻擊一個(gè)企業(yè)，可能他還會(huì)面對(duì)的是一個(gè)高級(jí)的威脅。總體來(lái)看，我們會(huì)發(fā)現(xiàn)工業(yè)互聯(lián)網(wǎng)打開(kāi)以后，它的攻擊路口變得非常多，攻擊拋面會(huì)變得非常大，這對(duì)大家是一個(gè)挑戰(zhàn)。

我們現(xiàn)在的工業(yè)互聯(lián)網(wǎng)的現(xiàn)狀是什么樣的，我這里有點(diǎn)數(shù)據(jù)，這是截止到2017年1月份，我們聯(lián)盟大概有將近300個(gè)企業(yè)，我們把里面的工業(yè)企業(yè)還有里面的通訊企業(yè)拿出來(lái)，在我們自己的白帽子的漏洞通報(bào)平臺(tái)上查了一下，在82%的工業(yè)企業(yè)里有28.05%近三年內(nèi)出現(xiàn)過(guò)安全漏洞，就只是把他現(xiàn)在的門(mén)戶(hù)網(wǎng)站這一件事情。這些漏洞里82%的企業(yè)有23%的是有高危漏洞。在通訊企業(yè)有23%的企業(yè)有漏洞，在17.6%有高危漏洞，達(dá)到了將近1/5，這些是來(lái)自我們360的安全播報(bào)平臺(tái)。各位在座的企業(yè)有興趣可以到這個(gè)平臺(tái)上，以你們企業(yè)的名字去搜一搜，也許會(huì)發(fā)現(xiàn)你可能也曝過(guò)漏洞，可能你到現(xiàn)在也沒(méi)有修復(fù)它。

再來(lái)看結(jié)合我們服務(wù)過(guò)的眾多的政企客戶(hù)，我們做了一個(gè)統(tǒng)計(jì)，其實(shí)發(fā)現(xiàn)一個(gè)非常嚴(yán)峻的現(xiàn)狀，也就是說(shuō)很多企業(yè)不知道自己是否出現(xiàn)過(guò)網(wǎng)絡(luò)安全問(wèn)題，甚至他是出現(xiàn)問(wèn)題以后才發(fā)現(xiàn)我遭到了攻擊。我們發(fā)現(xiàn)我們服務(wù)的客戶(hù)里68.5%是因?yàn)橥饷娓嬖V他你被攻擊了，你出現(xiàn)了網(wǎng)絡(luò)安全的問(wèn)題，還有的企業(yè)是他自己發(fā)現(xiàn)他丟了東西，他的系統(tǒng)不能正常運(yùn)轉(zhuǎn)了才發(fā)現(xiàn)。只有不到5%的企業(yè)是通過(guò)自己的定期巡檢才發(fā)現(xiàn)問(wèn)題。大家看到95%以上的企業(yè)只能通過(guò)外部或者看得見(jiàn)的明顯損失才知道自己被攻擊了�？偨Y(jié)一下，基本上現(xiàn)在的企業(yè)都普遍缺乏安全的監(jiān)測(cè)能力，另外普遍缺乏主動(dòng)發(fā)現(xiàn)隱蔽性較好的攻擊的能力。在我們服務(wù)的案例當(dāng)中有一個(gè)地方政府的網(wǎng)站，最后他出了問(wèn)題請(qǐng)我們?nèi)プ霭踩�服�?wù)的時(shí)候，發(fā)現(xiàn)他前后已經(jīng)發(fā)生過(guò)七次被拖庫(kù)的事件，其實(shí)他最后一次出現(xiàn)大問(wèn)題的時(shí)候，他們才發(fā)現(xiàn)原來(lái)這里面有這么多問(wèn)題。

綜合一下，我們工業(yè)互聯(lián)網(wǎng)企業(yè)可能會(huì)面臨著三方面的困境。一是檢測(cè)能力的困境，從我們自己現(xiàn)在有的病毒樣本庫(kù)來(lái)說(shuō)已經(jīng)有一百億了，你說(shuō)企業(yè)或者通用的殺毒軟件等等，要發(fā)現(xiàn)這么多的病毒樣本庫(kù)，他本身要有多大，所以企業(yè)有一個(gè)檢測(cè)的困境。另外在響應(yīng)方面，由于邊界擴(kuò)大，他所面臨的問(wèn)題層次也特別多，他一個(gè)安全團(tuán)隊(duì)如何有這么多的安全能力來(lái)做這么多事情，響應(yīng)不同的問(wèn)題，很多企業(yè)會(huì)面臨缺兵少將的問(wèn)題。還有應(yīng)用安全，由于我們四個(gè)方面的服務(wù)打通，應(yīng)用層出不窮，另外供應(yīng)商特別多，這些應(yīng)用有可能也存在一些漏洞或者風(fēng)險(xiǎn)，對(duì)于一個(gè)企業(yè)來(lái)說(shuō)，可能這些漏洞對(duì)他來(lái)說(shuō)他看到的是一個(gè)篩子，但是對(duì)于攻擊者來(lái)說(shuō)，只要從一個(gè)洞里進(jìn)來(lái)，對(duì)于企業(yè)的安全可能他就被攻破了，這是攻防不對(duì)稱(chēng)的問(wèn)題。還有些企業(yè)就像其中一片葉子，只能看到他自己的狀態(tài)，整個(gè)行業(yè)是什么樣子的，他自己并不知道，所以整個(gè)態(tài)勢(shì)也并不清楚。

如何來(lái)應(yīng)對(duì)這些問(wèn)題，我們從現(xiàn)在美國(guó)RSA大會(huì)近三年的主題，我們發(fā)現(xiàn)一個(gè)技術(shù)趨勢(shì)，2015年叫變革，是面對(duì)失敗的防御，主題是基于數(shù)據(jù)與情報(bào)來(lái)加強(qiáng)檢測(cè)能力。2016年變成連接，要基于協(xié)同，加強(qiáng)檢測(cè)和響應(yīng)能力。到今年是機(jī)會(huì)的力量，基于聯(lián)合與分享安全共同體，要大家要一起來(lái)協(xié)同防御。如果聚焦到工業(yè)互聯(lián)網(wǎng)的安全趨勢(shì)來(lái)說(shuō)，剛才說(shuō)我們可能面對(duì)的是一個(gè)未知的拼圖，工業(yè)互聯(lián)網(wǎng)的安全防御應(yīng)該怎么做，我們假設(shè)我們不是工不破的，是可能被攻破，所以要從應(yīng)急響應(yīng)變成持續(xù)的監(jiān)測(cè)響應(yīng)，第二是要數(shù)據(jù)驅(qū)動(dòng)，首先是態(tài)勢(shì)感知，第二要有威脅情報(bào)，要了解現(xiàn)在都在發(fā)生什么樣的安全事件，比如最近這個(gè)行業(yè)的勒索軟件爆發(fā)等等，第三是威脅追蹤溯源，一般對(duì)企業(yè)的攻擊是不達(dá)目標(biāo)不甘休的，所以要找到源頭，知道他為什么要做這個(gè)事。第三是建立企業(yè)安全運(yùn)維中心，收集企業(yè)各方面的數(shù)據(jù)，包括安全數(shù)據(jù)和生產(chǎn)數(shù)據(jù)，用工業(yè)大數(shù)據(jù)來(lái)發(fā)現(xiàn)異常，然后要對(duì)里面的用戶(hù)和實(shí)體進(jìn)行建模，形成UEBA的安全極限。最后一個(gè)是安全協(xié)同，一塊我們有供應(yīng)鏈協(xié)同、云地協(xié)同、數(shù)據(jù)協(xié)同和安全即服務(wù)，這些供應(yīng)商本身應(yīng)該有他自己的安全的保障，走在一起蓋成這個(gè)大廈才能有安全的保障。第二是云端和地面的協(xié)同，另外是各種層面數(shù)據(jù)的協(xié)同。另外因?yàn)榘踩�，我們每個(gè)企業(yè)都可能會(huì)面向安全能力的短缺，所以安全會(huì)變成一種服務(wù)，會(huì)變成一種可采購(gòu)或者按需索取的服務(wù)。這樣我們會(huì)從安全的線索，用拼圖的方式變成安全的事件，最后安全整個(gè)的全貌被發(fā)現(xiàn)。云和地的協(xié)同，云端的我們要進(jìn)行態(tài)勢(shì)的感知，要發(fā)現(xiàn)，現(xiàn)在大概什么情況，然后要進(jìn)行預(yù)警。這里會(huì)對(duì)工業(yè)互聯(lián)網(wǎng)的漏洞、病毒木馬、DDOS、APT等形成預(yù)警，告訴工業(yè)互聯(lián)網(wǎng)企業(yè)，解決他們監(jiān)測(cè)能力不足的問(wèn)題。第二是企業(yè)內(nèi)部要建立安全監(jiān)測(cè)中心，他要把自己的安全設(shè)備、自己的原始網(wǎng)絡(luò)流量等等數(shù)據(jù)拿上來(lái)進(jìn)行安全的分析和關(guān)聯(lián)，然后再結(jié)合自己業(yè)務(wù)和安全情報(bào)發(fā)現(xiàn)里面的事件，這些事件在可能情況下還要上報(bào)給云端�？偨Y(jié)一下，數(shù)據(jù)驅(qū)動(dòng)的工業(yè)互聯(lián)網(wǎng)的安全防護(hù)，這里面我們倡議建立起一個(gè)多級(jí)響應(yīng)體系，這里一個(gè)區(qū)域可能會(huì)有很多工業(yè)互聯(lián)網(wǎng)的企業(yè)，或者一個(gè)產(chǎn)業(yè)或者一個(gè)行業(yè)，要有自己的安全體系的建設(shè)，我們有安全的模板，我們有專(zhuān)家的服務(wù)和安全培訓(xùn)，包括云服務(wù)，本地的數(shù)據(jù)服務(wù)，還有本地的監(jiān)測(cè)。做一個(gè)區(qū)域或者行業(yè)的中心，再接受其他體系拿過(guò)來(lái)的更全面的威脅情報(bào)和數(shù)據(jù)。這樣會(huì)從上端不斷發(fā)各種針對(duì)行業(yè)更精準(zhǔn)的威脅情報(bào)，下面再不斷反饋給威脅情報(bào)中心，形成一個(gè)良性的形態(tài)，周?chē)�一圈可能�?huì)是我們的工業(yè)互聯(lián)網(wǎng)企業(yè)，周?chē)�還有很多行業(yè)或區(qū)域局部的監(jiān)測(cè)響應(yīng)中心。360作為安全組的組長(zhǎng)，我們也計(jì)劃為聯(lián)盟做一些工作，例如我們一起撰寫(xiě)了《中國(guó)工業(yè)互聯(lián)網(wǎng)安全報(bào)告》，我們出版了《工業(yè)云安全防護(hù)參考方案》，我們還參與聯(lián)盟的標(biāo)準(zhǔn)和技術(shù)白皮書(shū)里面安全部分的撰寫(xiě)，另外為聯(lián)盟提供基礎(chǔ)安全服務(wù)。我們現(xiàn)在在聯(lián)盟指導(dǎo)下正在打造一個(gè)工業(yè)互聯(lián)網(wǎng)的安全態(tài)勢(shì)感知與預(yù)警平臺(tái)，這個(gè)平臺(tái)歡迎我們聯(lián)盟的企業(yè)加入，我們會(huì)把貴企業(yè)的安全事件在保密的情況下一對(duì)一推送給你，來(lái)作為提醒，這個(gè)我們近期可能會(huì)結(jié)合聯(lián)盟一起啟動(dòng)一百個(gè)試點(diǎn)名單的征集，企業(yè)可以自愿加入。

這個(gè)態(tài)勢(shì)感知和預(yù)警平臺(tái)有哪些模塊，首先是應(yīng)用站點(diǎn)感知，咱們工業(yè)互聯(lián)網(wǎng)的四大方面的應(yīng)用里面可能會(huì)有很多的應(yīng)用站點(diǎn)出來(lái)，應(yīng)用站點(diǎn)可能會(huì)有漏洞，會(huì)有木馬，會(huì)被篡改等等，這個(gè)平臺(tái)可以幫著監(jiān)測(cè)出來(lái)。病毒木馬是企業(yè)內(nèi)網(wǎng)里面可能會(huì)遭受病毒木馬，這些病毒木馬在網(wǎng)上是有蛛絲馬跡我們可以幫著找出來(lái)并且通知企業(yè)。第三，工業(yè)企業(yè)會(huì)暴露越來(lái)越多，我們恢復(fù)對(duì)企業(yè)提供IP范圍，通過(guò)對(duì)工控協(xié)議的掃描，定位工控設(shè)備。還有是DDOS攻擊感知，最后是高級(jí)攻擊感知，這一塊需要企業(yè)來(lái)聯(lián)動(dòng)，企業(yè)如果建立了安全中心，發(fā)現(xiàn)事件，報(bào)給我們，我們結(jié)合行業(yè)的歷史數(shù)據(jù)再變成威脅情報(bào)，再反饋給整個(gè)行業(yè)。這是整個(gè)態(tài)勢(shì)感知的平臺(tái)。

對(duì)于360本身來(lái)說(shuō)，我們提倡一體化安全解決方案，這個(gè)是希望把我們360目前安全創(chuàng)新中心里面十六大安全團(tuán)隊(duì)和三大網(wǎng)絡(luò)安全研究院的能力形成的安全攻防能力、威脅識(shí)別能力、防護(hù)響應(yīng)能力、大數(shù)據(jù)能力、人才培養(yǎng)能力。以上是我們的理念。

總結(jié)來(lái)說(shuō)，其實(shí)就是威脅情報(bào)加上安全的技術(shù)加上安全的服務(wù)以及加上協(xié)同的聯(lián)動(dòng)，來(lái)解決我們工業(yè)互聯(lián)網(wǎng)的安全問(wèn)題，謝謝各位。