而且APT是未知威胁,用的是社会工程学。像伊朗的病毒就是通过社工先把病毒通过U盘传进去。我们工控的内网一定有,只是让它不联网就能解决问题吗?其实是没有用的。APT是想象力的战争,只有你想不到。工业大数据将有利于发现工控安全中看不见的威胁。
我的观点就是工业大数据会有助于解决工控的安全问题。根据自己的理解我们总结的一个模型,叫做PC4R,工业大数据的安全模型,形成了信息感知、数据汇集、转化分析、网络融合、认知预测和相应决策的闭环。通过连接来保护,工业大数据也可以这么做。
信息感知是各种物理量数字化的变化,我们要找到里面最有特征的一些东西。
数据的汇集。刚才有专家说过像现场层、控制层、坚实层、企业层、调度层的数据要汇聚,跨层收集数据。
我们要建立安全数据仓库,2020年40%的工业企业要建立安全仓库。我们要对它下一步进行转化分析,对数据提取、筛选、分类,变成可读的东西。对于网络的融合,我们还要结合工业环境的机理、群体、操作对象,关键一点是要结合外部的威胁情报进行内容化和情景化。你不能因为防一片叶子而不去看整片森林,通过整片森林去防一片叶子更容易。
响应决策是人在回路的决策、部署、优化、响应、实现安全价值。
2015年底360威胁情报中心针对中国境内发动APT的攻击组织29个,14个为360首先发现,最早可以追溯到2007年。APT教育科研排在第一位,然后是政府、工业系统、军事系统。科研教育为什么排在第一位,这里面应该有更多的我们国家正在做的科研的水平、科研的布局等等相关的。
我们的天眼系统是专门用于发现未知威胁的,360是率先用大数据技术来发现未知威胁的厂商。发现和溯源的效果远远优于传统手段。2015年至今,已通过云端大数据积累了近2000多份定向攻击的威胁情报,覆盖美欧、俄、半岛、台、越等多个方向。我们通过云端大数据进行关联分析,每周有超过百万份定向攻击的威胁情报,包括IP地址等等。今年4月份之前威胁情报已经推送给政府、军工、教育、能源、军队等多个行业。值得提的是今年3月份我们率先披露了长期对亚洲国家能源、交通等基础行业进行网络渗透的APT组织——洋葱狗。攻击的主要是韩国的电力、地铁、供暖等等。洋葱狗主要是针对韩语系国家的攻击。
360用大数据在做安全分析,像猎网平台用在公安领域。
还有DDoS追踪系统。
还有伪基站的实时分析系统,360通过大数据能把它的运行轨迹画出来。
还有360的威胁情报中心。
还有可视化分析的平台。
我们的观点是认为工业大数据+安全大数据+人是工控安全的解决之道。我们的理念还是数据驱动安全。谢谢各位!