在經歷了機械化、電氣化、數字化的轉型發展以後,全球的工業製造正在經歷新一輪的變革——智能化。以德國政府於2013年提出的“工業4.0”為開端,智能製造在近年裏一直處於風口浪尖。世界各國都提出了符合自己國情的戰略方針。在中國,以實現“製造強國”目標的行動綱領被稱為“中國製造2025”。很多中國企業希望藉由智能製造,大幅降低成本。在智能製造風行一時的大背景下,在急着把所有設備都連上網之前,需要着重考慮智能製造可能帶來的風險和切實可行的解決方案。
當大量工業控制系統在完全沒有保護的情況下連接到互聯網中,而這些設備大多使用默認的用户名和密碼,可以被輕易破解,登陸訪問。這些控制系統是最脆弱,容易被攻擊的。而最危險的事,系統的使用者對這些潛在的危險毫無知覺。特別是近年來,具備國家和組織背景的APT攻擊日益增多,為遏制中國製造業的轉型,針對製造業的APT攻擊也逐漸顯現。為此,在智能製造不斷髮展的行業背景下,安全問題亟需解決。
• 針對新型病毒、高級攻擊的威脅感知能力。
• 針對APT攻擊的檢測、防禦能力。
• 針對各類網絡安全威脅的溯源能力。
高級威脅檢測能力建設方向
《2018年數據泄露調查報告》Verizon發現,在分析的53,000多起安全事件中(包括2,215起數據泄露事件),單是勒索軟件攻擊就佔據了所有惡意軟件攻擊事件的39%。而推動勒索軟件發展的一個重要趨勢是,針對關鍵業務系統的攻擊能力正在不斷提升,這些系統可能會對公司造成更為嚴重的損害,而且將其作為勒索目標能夠幫助攻擊者獲取到更多利潤。勒索軟件攻擊是現今常見的一種高級攻擊方式,依靠原有的基礎安全防護不足以檢測出該類型的攻擊方式。
上圖的網絡安全滑動標尺模型(The Sliding Scale of Cyber Security)是2015年美國系統網絡安全協會(SANS)首次提出,將企業在應對外部攻擊時的五個信息安全能力階段,分別是架構建設、被動防禦、積極防禦、威脅 情報以及 進攻反制。將網絡安全建設覆蓋到企業生產活動中的各個維度中。
在被動防禦理念下構建基礎安全;
被動防禦則為基礎信息安全防禦。例如,通信網絡的建設就如高速公路的建設,而行使在高速路上的車輛亦可視如在通信網絡上的數據。在被動防禦體系下,行使在高速路上的車輛在被動防禦體系下,無法發現某輛車有問題,收費站只能根據車輛進站的行為來判定是否正常。如果某輛車採用了高級欺騙手段,經過層層安檢亦無法被檢測出異常,那麼車輛駛入高速後,則容易發生事故。在通信網絡中,基礎安全也無法針對通信網絡上的高級威脅行為進行檢測,也容易導致嚴重的網絡安全事件。為此,在信息安全領域被動防禦可以有效抵抗基於特徵的網絡攻擊,但是無法抵抗具有針對性、高級別、無特徵的網絡攻擊。
在積極防禦理念下構建看得見的安全;
被動防禦已經無法滿足現今不斷更新、迭代的新型攻擊方式。舉個比較形象的例子,交通管理部門需要對行駛在高速公路上的車輛進行實時的監測,就要進行高速公路視頻監控的全覆蓋,並且引入智能分析,實時對行駛在高速公路上的車輛進行狀態分析監測,如果發現異常車輛或者事件,可以及時進行處置,避免違法、事故等發生。在信息安全領域,企業的網絡、流量、數據等也需要具備看得見風險的能力。需要針對工業生產數據、網絡流量中所有非法行為能夠像公路上的視頻監控系統一樣看得清,使得信息安全防護建設具備威脅感知能力。這樣才能將企業內部的所有網絡攻擊行為、新型病毒等高級威脅看得見,防得住;並且能夠針對攻擊行為進行追蹤溯源,進行源頭治理。
引入威脅情報構建安全的高位能力;
假如某一車輛上載有爆炸物,通過各種欺騙行為駛入高速公路,如果高速公路管理中心提前獲知該威脅信息,即可以提前進行處置,則可以避免了嚴重安全事件的發生。在信息安全領域一致,可以利用威脅情報,將某些針對性攻擊發生之前,提前進行防護處置,保障企業信息安全,並避免因網絡攻擊導致的數據泄露、經濟損失等情況發生。
通過在網絡內部署奇安信威脅感知系統(天眼)、終端安全管理系統及智慧防火牆,能夠為企業構建以積極防禦、威脅情報為核心的高位安全能力,有效的為企業實現高級威脅及APT攻擊的檢測、防禦、溯源等安全防護能力。
基於大數據分析的威脅情報平台
奇安信威脅感知系統基於大數據分析的威脅情報平台,可通過對互聯網上的海量數據進行深度挖掘,有效發現APT攻擊,生成威脅情報。奇安信在雲端擁有海量的安全數據。DNS庫擁有90億DNS解析記錄,超過100個外部數據源獲取數據; 樣本庫總樣本95億,每天新增900萬;奇安信 URL庫每天處理100億條,每天攔截用户訪問釣魚數超過1.4億URL;主防庫,覆蓋5億客户端,總日誌數189000億,每天新增380億;漏洞庫,總漏洞庫超過47萬, 平均每天新增400個。為支持大量數據的採集和處理,威脅情報平台在雲端需要有一套可處理PB級數據的大數據平台。該平台基礎架構如下:
基於多引擎沙箱的本地檢測系統
基於多引擎沙箱的本地檢測系統可對APT攻擊的核心環節“惡意代碼植入”進行檢測,與傳統的採用基於惡意代碼特徵匹配的檢測方法不同,基於多引擎沙箱的本地檢測系統所採用的多引擎沙箱的方法可以對未知的惡意代碼進行有效檢測,這種利用對惡意代碼的行為進行動態分析的方法,可以避免因為無法提前獲得未知惡意代碼特徵而漏檢的問題,亦即在無需提前預知惡意代碼樣本的情況下仍然可以對惡意代碼樣本進行有效的檢測,因為免殺木馬是APT攻擊的核心步驟,因此對未知惡意代碼樣本的有效檢測,可以有效解決APT攻擊過程的檢測問題。基於多引擎沙箱的本地檢測系統相對於其他同類產品的最大特點在於:將會提供了非常豐富的沙箱環境,這種規模化的沙箱環境可以有效保障每種待檢測的文件樣本都有其適合打開、運行的沙箱環境,同時基於多引擎沙箱的本地檢測系統的沙箱採用了高級優化技術,可以有效降低樣本文件在沙箱之中打開、運行過程中的內存資源消耗、CPU資源消耗,與其他同類型產品相比,可以以最小的資源消耗、最快的速度得出準確的檢測結果。
目前基於多引擎沙箱的本地檢測系統需要模擬沙箱環境包括:PDF沙箱、Word沙箱、瀏覽器沙箱、郵件沙箱、圖片沙箱等。同時,藉助於基於多引擎沙箱的本地檢測系統的多核平台,基於多引擎沙箱的本地檢測系統中的各種規模化沙箱可以綁定在處理器的物理核心上進行快速運行,這種進程與處理器綁定的方式可以有效降低進程在處理器的不同處理核心上切換所帶來的資源開銷,降低併發檢測線程之間的資源競爭,有效提高資源利用率。
基於多引擎沙箱的本地檢測系統與國內外其他同類型產品相比,最大的優勢將在於所模擬的沙箱類型眾多,可以提供更多、更精確的文件類型的沙箱檢測,與國內同類型產品星雲系統相比,基於多引擎沙箱的本地檢測系統模擬的沙箱類型將會超過星雲系統的一倍,而與國外的同類型產品相比,基於多引擎沙箱的本地檢測系統將會支持更多類型的中國國產軟件及系統的沙箱模擬。
基於搜索技術的數據分析平台
基於搜索技術的數據分析平台可對本地抓取的海量數據進行快速檢索從而進行高效分析,對內網的攻擊行為進行歷史回溯。在本地數據的存儲和檢索方面,奇安信使用ElasticSearch檢索平台做為基於搜索技術的數據分析平台基礎,並進行了定製化修改,並配套了大量的檢索和分析軟件以對數據做到高效分析。基於搜索技術的數據分析平台是一個基於 Lucene 構建的開源,分佈式,RESTful 搜索引擎。其實時性能優越;安裝配置簡單;RESTful API 和 JSON 格式的文檔型數據,降低開發調試的難度;具備面向文檔的全文檢索能力;而且具有分佈式部署,高可靠,穩定等優點。非常適宜作為企業本地的數據存儲和檢索平台。
基於搜索技術的數據分析平台可將索引以多個分片和多個副本的形式存儲於分佈式系統當中,即可提高檢索性能,又能保證數據的可靠性。而且其默認使用的內存索引方式可以保證系統對近期錄入的數據做到近乎實時的查詢,而對於存儲於硬盤的TB級數據也可做到秒級查詢。
基於搜索技術的數據分析平台在企業本地採用了分佈式搜索技術,通過搜索引擎打通了數據採集到數據搜索,關聯分析等多個環節。企業有幾百億、幾千億條數據時,數據的快速檢索和關聯變得非常重要。在本地的異常庫的檢索能力來説,基於搜索技術的數據分析平台現在具備在秒級檢索300TB日誌數據的能力。
天擎EDR聯動
天眼可以與奇安信天擎終端安全管理系統進行聯動,藉助天眼的深度檢測能力,結合奇安信天擎在終端上的精確防禦能力,實現對PC終端的攻擊防禦。天眼可以與奇安信天擎終端安全管理系統進行聯動,通過奇安信天擎的EDR模塊細粒度地採集終端的進程socket事件、進程dns事件、帶附件郵件發送接收事件、出入文件事件和接收上傳附件事件等日誌信息。天眼將針對該威脅的處理建議和相關威脅情報信息發送給奇安信天擎的控制中心,由奇安信天擎管理員參考該建議通過奇安信天擎客户端對有危害的終端威脅進行處理。
天眼與奇安信天擎終端安全管理系統聯動,可以構建對以未知漏洞(0day)利用、未知惡意代碼植入為核心的APT攻擊過程從精確檢測到深度防禦的縱深防範閉環體系。
NDR聯動
傳統上的邊界防禦以防火牆等產品組成,強調的重點是在企業網絡出入口的位置對攻擊進行封堵,但事實上,網絡的物理出入口並不是攻擊者進入到網絡的唯一途徑,通過對以往發生過的安全事件的覆盤分析發現,絕大多數安全事件的發生都不是由黑客突破網絡出入口的防禦設備開始的,從安全的角度來看:網絡的物裏邊界並不是網絡的安全邊界,從攻擊者角度來看,入侵到網絡內部有很多可選擇的途徑與突破口,這些黑客所選擇的突破口才是真正意義上的安全邊界,因此急需整體的安全防護體系來幫助用户快速發現問題並解決問題。天眼與奇安信智慧防火牆進行聯動,實現基於全網網絡行檢測,定位並快速攔截已知威脅、一鍵處置未知威脅。通過接收互聯網威脅情報中心及雲端沙箱系統對未知威脅行為特徵的定位,天眼系統可以對比用户內網異常行為,將判定為有威脅的異常行為推送至防火牆,並由防火牆進行阻斷。
從信息安全的威脅感知能力建設,終端安全能力建設、邊界安全能力建設,從這三個維度解決了該企業所面臨及有可能面臨的信息安全問題,並能夠有效抵禦APT的攻擊。
智能製造的產業轉型定會涉及到工業生產數據、企業業務數據、甚至財務數據均會連接互聯網。任何一個維度的數據泄露或是因網絡攻擊導致的業務中斷運行均會導致巨大的經濟和名譽損失。信息安全的建設,讓企業打上“安全”的標籤,讓用户信任、合作伙伴放心、行業認可的製造型企業。並且使得該企業獲得以下收益:
完善的信息安全體系建設能夠保障該企業的數據安全,保障核心業務系統正常運轉,不會因網絡攻擊而導致經濟、名譽的損失。
完善的信息安全體系建設能夠助力智能製造的目標順利實現。
完善的信息安全體系建設能夠使得該企業更加獲得上下游企業的認可,引入更好的合作資源。
完善的信息安全體系建設亦能夠獲得行業、政府部門的認可,甚至於獲取海關更高的權限,更大幅度的免檢資質。
部署方案
網絡安全能力建設部署方式:如下圖
