行业背景

在经历了机械化、电气化、数字化的转型发展以后,全球的工业制造正在经历新一轮的变革——智能化。以德国政府于2013年提出的“工业4.0”为开端,智能制造在近年里一直处于风口浪尖。世界各国都提出了符合自己国情的战略方针。在中国,以实现“制造强国”目标的行动纲领被称为“中国制造2025”。很多中国企业希望藉由智能制造,大幅降低成本。在智能制造风行一时的大背景下,在急着把所有设备都连上网之前,需要着重考虑智能制造可能带来的风险和切实可行的解决方案。
当大量工业控制系统在完全没有保护的情况下连接到互联网中,而这些设备大多使用默认的用户名和密码,可以被轻易破解,登陆访问。这些控制系统是最脆弱,容易被攻击的。而最危险的事,系统的使用者对这些潜在的危险毫无知觉。特别是近年来,具备国家和组织背景的APT攻击日益增多,为遏制中国制造业的转型,针对制造业的APT攻击也逐渐显现。为此,在智能制造不断发展的行业背景下,安全问题亟需解决。

客户需求

• 针对新型病毒、高级攻击的威胁感知能力。
• 针对APT攻击的检测、防御能力。
• 针对各类网络安全威胁的溯源能力。

解决方案

高级威胁检测能力建设方向
《2018年数据泄露调查报告》Verizon发现,在分析的53,000多起安全事件中(包括2,215起数据泄露事件),单是勒索软件攻击就占据了所有恶意软件攻击事件的39%。而推动勒索软件发展的一个重要趋势是,针对关键业务系统的攻击能力正在不断提升,这些系统可能会对公司造成更为严重的损害,而且将其作为勒索目标能够帮助攻击者获取到更多利润。
勒索软件攻击是现今常见的一种高级攻击方式,依靠原有的基础安全防护不足以检测出该类型的攻击方式。


上图的网络安全滑动标尺模型(The Sliding Scale of Cyber Security)是2015年美国系统网络安全协会(SANS)首次提出,将企业在应对外部攻击时的五个信息安全能力阶段,分别是架构建设、被动防御、积极防御、威胁 情报以及 进攻反制。将网络安全建设覆盖到企业生产活动中的各个维度中。
在被动防御理念下构建基础安全;
被动防御则为基础信息安全防御。例如,通信网络的建设就如高速公路的建设,而行使在高速路上的车辆亦可视如在通信网络上的数据。在被动防御体系下,行使在高速路上的车辆在被动防御体系下,无法发现某辆车有问题,收费站只能根据车辆进站的行为来判定是否正常。如果某辆车采用了高级欺骗手段,经过层层安检亦无法被检测出异常,那么车辆驶入高速后,则容易发生事故。在通信网络中,基础安全也无法针对通信网络上的高级威胁行为进行检测,也容易导致严重的网络安全事件。为此,在信息安全领域被动防御可以有效抵抗基于特征的网络攻击,但是无法抵抗具有针对性、高级别、无特征的网络攻击。
在积极防御理念下构建看得见的安全;
被动防御已经无法满足现今不断更新、迭代的新型攻击方式。举个比较形象的例子,交通管理部门需要对行驶在高速公路上的车辆进行实时的监测,就要进行高速公路视频监控的全覆盖,并且引入智能分析,实时对行驶在高速公路上的车辆进行状态分析监测,如果发现异常车辆或者事件,可以及时进行处置,避免违法、事故等发生。在信息安全领域,企业的网络、流量、数据等也需要具备看得见风险的能力。需要针对工业生产数据、网络流量中所有非法行为能够像公路上的视频监控系统一样看得清,使得信息安全防护建设具备威胁感知能力。这样才能将企业内部的所有网络攻击行为、新型病毒等高级威胁看得见,防得住;并且能够针对攻击行为进行追踪溯源,进行源头治理。
引入威胁情报构建安全的高位能力;
假如某一车辆上载有爆炸物,通过各种欺骗行为驶入高速公路,如果高速公路管理中心提前获知该威胁信息,即可以提前进行处置,则可以避免了严重安全事件的发生。在信息安全领域一致,可以利用威胁情报,将某些针对性攻击发生之前,提前进行防护处置,保障企业信息安全,并避免因网络攻击导致的数据泄露、经济损失等情况发生。
通过在网络内部署奇安信威胁感知系统(天眼)、终端安全管理系统及智慧防火墙,能够为企业构建以积极防御、威胁情报为核心的高位安全能力,有效的为企业实现高级威胁及APT攻击的检测、防御、溯源等安全防护能力。

基于大数据分析的威胁情报平台
奇安信威胁感知系统基于大数据分析的威胁情报平台,可通过对互联网上的海量数据进行深度挖掘,有效发现APT攻击,生成威胁情报。奇安信在云端拥有海量的安全数据。DNS库拥有90亿DNS解析记录,超过100个外部数据源获取数据; 样本库总样本95亿,每天新增900万;奇安信 URL库每天处理100亿条,每天拦截用户访问钓鱼数超过1.4亿URL;主防库,覆盖5亿客户端,总日志数189000亿,每天新增380亿;漏洞库,总漏洞库超过47万, 平均每天新增400个。
为支持大量数据的采集和处理,威胁情报平台在云端需要有一套可处理PB级数据的大数据平台。该平台基础架构如下:


基于多引擎沙箱的本地检测系统
基于多引擎沙箱的本地检测系统可对APT攻击的核心环节“恶意代码植入”进行检测,与传统的采用基于恶意代码特征匹配的检测方法不同,基于多引擎沙箱的本地检测系统所采用的多引擎沙箱的方法可以对未知的恶意代码进行有效检测,这种利用对恶意代码的行为进行动态分析的方法,可以避免因为无法提前获得未知恶意代码特征而漏检的问题,亦即在无需提前预知恶意代码样本的情况下仍然可以对恶意代码样本进行有效的检测,因为免杀木马是APT攻击的核心步骤,因此对未知恶意代码样本的有效检测,可以有效解决APT攻击过程的检测问题。
基于多引擎沙箱的本地检测系统相对于其他同类产品的最大特点在于:将会提供了非常丰富的沙箱环境,这种规模化的沙箱环境可以有效保障每种待检测的文件样本都有其适合打开、运行的沙箱环境,同时基于多引擎沙箱的本地检测系统的沙箱采用了高级优化技术,可以有效降低样本文件在沙箱之中打开、运行过程中的内存资源消耗、CPU资源消耗,与其他同类型产品相比,可以以最小的资源消耗、最快的速度得出准确的检测结果。
目前基于多引擎沙箱的本地检测系统需要模拟沙箱环境包括:PDF沙箱、Word沙箱、浏览器沙箱、邮件沙箱、图片沙箱等。同时,借助于基于多引擎沙箱的本地检测系统的多核平台,基于多引擎沙箱的本地检测系统中的各种规模化沙箱可以绑定在处理器的物理核心上进行快速运行,这种进程与处理器绑定的方式可以有效降低进程在处理器的不同处理核心上切换所带来的资源开销,降低并发检测线程之间的资源竞争,有效提高资源利用率。
基于多引擎沙箱的本地检测系统与国内外其他同类型产品相比,最大的优势将在于所模拟的沙箱类型众多,可以提供更多、更精确的文件类型的沙箱检测,与国内同类型产品星云系统相比,基于多引擎沙箱的本地检测系统模拟的沙箱类型将会超过星云系统的一倍,而与国外的同类型产品相比,基于多引擎沙箱的本地检测系统将会支持更多类型的中国国产软件及系统的沙箱模拟。
基于搜索技术的数据分析平台
基于搜索技术的数据分析平台可对本地抓取的海量数据进行快速检索从而进行高效分析,对内网的攻击行为进行历史回溯。在本地数据的存储和检索方面,奇安信使用ElasticSearch检索平台做为基于搜索技术的数据分析平台基础,并进行了定制化修改,并配套了大量的检索和分析软件以对数据做到高效分析。
基于搜索技术的数据分析平台是一个基于 Lucene 构建的开源,分布式,RESTful 搜索引擎。其实时性能优越;安装配置简单;RESTful API 和 JSON 格式的文档型数据,降低开发调试的难度;具备面向文档的全文检索能力;而且具有分布式部署,高可靠,稳定等优点。非常适宜作为企业本地的数据存储和检索平台。
基于搜索技术的数据分析平台可将索引以多个分片和多个副本的形式存储于分布式系统当中,即可提高检索性能,又能保证数据的可靠性。而且其默认使用的内存索引方式可以保证系统对近期录入的数据做到近乎实时的查询,而对于存储于硬盘的TB级数据也可做到秒级查询。
基于搜索技术的数据分析平台在企业本地采用了分布式搜索技术,通过搜索引擎打通了数据采集到数据搜索,关联分析等多个环节。企业有几百亿、几千亿条数据时,数据的快速检索和关联变得非常重要。在本地的异常库的检索能力来说,基于搜索技术的数据分析平台现在具备在秒级检索300TB日志数据的能力。
天擎EDR联动
天眼可以与奇安信天擎终端安全管理系统进行联动,借助天眼的深度检测能力,结合奇安信天擎在终端上的精确防御能力,实现对PC终端的攻击防御。
天眼可以与奇安信天擎终端安全管理系统进行联动,通过奇安信天擎的EDR模块细粒度地采集终端的进程socket事件、进程dns事件、带附件邮件发送接收事件、出入文件事件和接收上传附件事件等日志信息。天眼将针对该威胁的处理建议和相关威胁情报信息发送给奇安信天擎的控制中心,由奇安信天擎管理员参考该建议通过奇安信天擎客户端对有危害的终端威胁进行处理。
天眼与奇安信天擎终端安全管理系统联动,可以构建对以未知漏洞(0day)利用、未知恶意代码植入为核心的APT攻击过程从精确检测到深度防御的纵深防范闭环体系。
NDR联动
传统上的边界防御以防火墙等产品组成,强调的重点是在企业网络出入口的位置对攻击进行封堵,但事实上,网络的物理出入口并不是攻击者进入到网络的唯一途径,通过对以往发生过的安全事件的复盘分析发现,绝大多数安全事件的发生都不是由黑客突破网络出入口的防御设备开始的,从安全的角度来看:网络的物里边界并不是网络的安全边界,从攻击者角度来看,入侵到网络内部有很多可选择的途径与突破口,这些黑客所选择的突破口才是真正意义上的安全边界,因此急需整体的安全防护体系来帮助用户快速发现问题并解决问题。
天眼与奇安信智慧防火墙进行联动,实现基于全网网络行检测,定位并快速拦截已知威胁、一键处置未知威胁。通过接收互联网威胁情报中心及云端沙箱系统对未知威胁行为特征的定位,天眼系统可以对比用户内网异常行为,将判定为有威胁的异常行为推送至防火墙,并由防火墙进行阻断。




客户价值

从信息安全的威胁感知能力建设,终端安全能力建设、边界安全能力建设,从这三个维度解决了该企业所面临及有可能面临的信息安全问题,并能够有效抵御APT的攻击。
智能制造的产业转型定会涉及到工业生产数据、企业业务数据、甚至财务数据均会连接互联网。任何一个维度的数据泄露或是因网络攻击导致的业务中断运行均会导致巨大的经济和名誉损失。信息安全的建设,让企业打上“安全”的标签,让用户信任、合作伙伴放心、行业认可的制造型企业。并且使得该企业获得以下收益:
 完善的信息安全体系建设能够保障该企业的数据安全,保障核心业务系统正常运转,不会因网络攻击而导致经济、名誉的损失。
 完善的信息安全体系建设能够助力智能制造的目标顺利实现。
 完善的信息安全体系建设能够使得该企业更加获得上下游企业的认可,引入更好的合作资源。
 完善的信息安全体系建设亦能够获得行业、政府部门的认可,甚至于获取海关更高的权限,更大幅度的免检资质。

应用场景

部署方案
网络安全能力建设部署方式:如下图