集顶尖研究团队 提供最新的安全研究成果

安全解析 研究报告 安全团队 研究机构

工业互联网安全的未来画像

2020-04-02

4月2日,360春耕行动系列直播第六期由北京市两化融合服务联盟工业互联网安全专委会主办,360企业安全集团承办。活动围绕“工业互联网安全领域技术发展趋势”展开,由360资深产品专家张雄杰担任分享嘉宾,继三期“新基建”主题研讨后,针对其重要一环——工业互联网,进行了深度解读。



undefined


新基建的“新”体现在数字化产业的基础设施建设上。5G、大数据中心、人工智能与工业互联网构成了未来中国经济增长的新动能,也催生出产业链上下游无数的投资机会。


 张雄杰表示:“当互联网进入下半场,大数据、云计算、人工智能等高新技术与产业的融合不断加深,在为传统产业加速赋能的同时,也涌现出一批即具备技术,又深入产业的创业型企业。作为国民经济支柱的工业制造业领域,更是如此。”



工业互联网安全关键


网络、数据、应用安全


工业互联网是实现智能制造的的核心,是互联网和新一代信息技术与全球工业系统全方位深度融合集成所形成的产业和应用生态,是工业智能化发展的关键综合信息基础设施。工业互联网也将引领第四次工业革命,互联网所有的商业模式最终都会在工业互联网中得到应用。


随着工业互联网从信息时代到智能时代的转变,“信息网络支撑的互联智能”开始向“知识驱动的自主智能”发展,这个过程中的关键环节之一就是工业互联网安全。它实际上分为五个层面,最底层是设备安全,向上是控制系统安全,这两层在大部分工控安全厂商的范畴内,也是工业互联网安全的基础,而要实现真正的工业互联网,还需要网络安全、数据安全以及应用安全。


我国工业互联网安全框架从防护对象、防护措施及防护管理三个视角构建,实现“管技”结合。针对不同防护对象部署相应的安全防护措施,根据实时监测结果发现网络中存在的或即将发生的安全问题并及时做出响应。同时加强防护管理,明确基于安全目标持续改进的管理方针,保障工业互联网的持续安全。



工业互联网安全


两大趋势六大技术


新基建背景下,工业互联网作为新一代信息技术与制造业深度融合的产物,对工业未来发展会产生革命性的影响。工业互联安全领域的投资和应用推进势必会加速,同时促生更多新趋势。


一方面,安全防护智能化将不断发展,未来对于工业互联网安全防护的思维模式将从传统的事件响应式向持续智能响应式转变,构建全面的预测、基础防护、响应和恢复能力,以抵御不断演变的高级威胁。


另一方面,工业互联网平台安全在工业互联网安全防护中的地位日益凸显。工业互联网平台作为工业互联网发展的核心,汇聚了各类工业资源。因而在工业互联网安全防护未来的发展过程中,对于平台的安全防护将备受重视。


同时,随着工控协议深度解析、工业主机白名单、工业资产深度识别、基于模糊测试的工控漏洞挖掘、网络隔离等传统技术在工业互联网的广泛应用,工业互联网安全的加速还将为新一代安全技术带来旷阔的发展空间。



威胁情报



当下网络安全风险不断向工业领域转移,工业互联网正在成为网络安全的主战场。传统被动式的防御手段以及针对单点的攻击取证与溯源技术难以应对高级持续性威胁(APT)、新型高危漏洞等复杂安全威胁。未来,威胁情的作用将进一步被放大。



在攻击分析与溯源方面,结合关联威胁情报,可以对攻击方进行组织画像和溯源,利用威胁情报构建攻击知识库,能够实现对APT攻击的智能化攻击意图推理及样本变种自动化跟踪。在信息共享和事件应急场景下,根据威胁情报反映的工业互联网安全态势,有助于预判后续可能的安全风险,使得响应网络威胁的速度更快。



安全编排



安全编排也是近年兴起的新技术,之前在SOC平台进行应急响应都是人为驱动,效率低且不够智能,而减少响应时间是控制安全事件影响的最有效方法之一。安全编排就是在应急剧本编制后,通过自动化手段触发、启动应急预案的一套技术,偏重于安全分析师所做的工作,可提高整体效率。



攻防演练



数字孪生又叫数字双胞胎(Digital Twin),简单来说就是在一个设备或系统的基础上创造一个数字版的“克隆体”,本体的实时状态和外界环境条件都会复现到“孪生体”身上。


undefined


现在很多攻防演练过程中只能展现部分效果,无法覆盖全流程。利用数字孪生技术就可以搭建较为完整的业务流程。例如攻防过程中导致设备宕机,或者因恶意攻击导致系统爆炸,都可以通过数字孪生技术模拟出来。基于数字孪生的能力还可以开展业务得生命周期预测、系统的健壮性测试等等。



基因图谱和沙箱技术



过去,监测能力普遍集中在通过基于安全基线的异常监测、基于特征库的入侵检测和病毒检测来解决已知威胁,而通过基于基因图谱、沙箱的监测完成未知威胁的识别则是未来的发展趋势。



基于基因图谱的入侵防范技术,是通过结合机器学习深度学习、图像分析技术,将恶意代码映射为灰度图像,建立卷积神经元网络CNN深度学习模型,利用恶意代码家族灰度图像集合训练卷积神经元网络,并建立检测模型,利用检测模型对恶意代码及其变种进行家族检测。


undefined


沙箱技术的实践运用流程是让疑似病毒文件的可疑行为在虚拟的沙箱里充分表演,沙箱会记下它的每一个动作。当疑似病毒充分暴露了其病毒属性后,沙箱就会执行“回滚”机制,将病毒的痕迹和动作抹去,恢复系统到正常状态。


目前,基于沙箱的入侵防范技术的优点是对于文件的零日漏洞攻击和APT攻击的检测效果较好。



知识图谱


undefined


知识图谱是人工智能的一种方式,简单理解就是一种多关系图,也是一个知识库,能够梳理出人、资产、业务之间的关系,用一个经过梳理、有逻辑关联性的知识库来训练算法,让算法更加精准。几年前,微软在Azure云上就已经引入了知识图谱进行安全检测防护,实践证明效果很显著。


360工业互联网


安全大脑应用示范




凭借对工业互联网安全传统技术的掌握及新兴技术的迭代与应用,360工业安全大脑可从三个维度实现对安全威胁的感知。


横向感知结合ICS资产探测、人工智能、攻防研究,全面探测工控企业内网资产暴露在互联网的互联网资产,感知内外网攻击横向渗透行为。


纵向感知通过模拟信号监测和无线信号监测,从IT系统到OT系统总线感知,监测由于信息安全导致的生产安全问题。


交叉感知通过外网威胁情报和海量安全大数据交叉分析,可快速溯源,定位威胁。