20180722智慧水务资料包09信息安全360智慧水务信息安全挑战与应对策略上海201704

智慧水务信息安全挑战与应对策略报告人：陶耀东工业控制系统安全国家联合实验室主任工业安全业务线近年来发生的工业安全事件？石化2011年：我国某石化企业某装置控制系统分别感染Conficker病毒，造成控制系统服务器与控制器通讯不同程度地中断电力2014年：Havex病毒病毒席卷欧美，劫持电力工控设备，阻断电力供应，在中国也发现少量样本传播2015年：乌克兰停电核设施2010年：著名的震网病毒使伊朗核设施遭受严重破坏，导致伊朗核工业发展停滞达一年之久制造业2005年：Zotob蠕虫事件对全球制造行业造成巨大经济损失超过$1,400,000市政2008年：攻击者利用电视遥控器改变轨道扳道器，攻击了波兰Lodz的城铁系统，导致4节车厢出轨，12名乘客受伤自2009年以来中国网络遭受黑客攻击增长15倍以上，30%是针对国家基础设施近年工控安全事件水务及工控安全事件2007年，攻击者入侵加拿大的一个水利SCADA控制系统，通过安装恶意软件破坏了用于取水调度的控制计算机；2011年,黑客入侵数据采集与监控系统,使美国伊利诺伊州城市供水系统的供水泵遭到破坏2016年美国Kemuri水务公司系统遭入侵，黑客控制了用于水处理和流控制的操作系统2016年主要工控安全事件第一款可在PLC之间传播的蠕虫病毒（PLC-Blaster）蠕虫病毒“铁门”（Irongate）遭曝光“物联网破坏者”Mirai病毒蔓灵花APT攻击（南亚方向）德国电信断网：mirai僵尸网络的新变种和旧主控在公网上的水务系统EternalBlue（永恒之蓝）EmeraldThread（翡翠纤维）EternalChampion（永恒王者）ErraticGopher（古怪地鼠）EskimoRoll（爱斯基摩卷）EternalRomance（永恒浪漫）EducatedScholar（文雅学者）EternalSynergy（永恒增效）EclipsedWing（日食之翼）EnglishManDentist（英国牙医）EsteemAudit(尊重审计）……WindowsXP、2003等目前仍处“裸奔”未装补丁的Win7、Win8、Win10用户也处于危险之中4月15日美国国家安全局(NSA)旗下的“方程式黑客组织”使用的部分网络武器被公开安全挑战在哪里？8水务信息系统所面临的挑战9黑客远程维护通道手机等智能终端USB移动存储介质WLAN无线连接心怀不满或恶意员工水务信息系统可能面对的攻击源智慧水务的互联网抽象架构（工业互联网体系架构）工业互联网典型组成工业互联网体系架构（AII）设备层安全威胁•感知设备被攻击（仪表、传感）•执行设备被攻击（泵、阀..)•……网络通信层安全威胁•物理攻击•网关节点捕获•普通节点捕获•传输截获•传输窃听•传输篡改•传输伪造•DoS攻击•重放攻击•完整性攻击•Sinkhole黑洞攻击•Wormholes虫洞攻击•HelloFlood攻击•……•控制器漏洞•控制协议漏洞•控制软件漏洞•配置错误•身份鉴别弱/缺失•凭证管理不足•……数据及工业云安全威胁•丢失、泄露、篡改•商业数据、用户数据泄露•跳板入侵、内部入侵、多租户风险•……智慧应用层安全威胁•WEB、ERP、CRM、水务软件•网站被黑•接入应用存在后门•僵尸网络攻击•木马攻击•蠕虫攻击•病毒攻击•……控制层安全威胁智慧水务安全挑战攻击入口多、防御剖面大!智慧水务风险分析1.现在水务信息化是连接设备的，原来的信息化是连接人的2.原来SCADA都是内网，现在全城市的采集是GPRS，这就是裸奔3.调度系统基本裸奔，系统连接一起，攻击面迅速扩大，必须考虑风险可能后果1.设备损坏2.水质不稳定3.客户信息泄露4.全城或区域性停水5.社会、民生影响工业互联网的架构与安全挑战现状如何？工业互联网安全现状严峻类型企业总数漏洞总数高危中危低危漏洞数量——321967企业数82231967百分比——28.05%23.2%7.32%8.54%AII中“工业企业”2014-2016年暴露漏洞概况（截止2017.01）类型企业总数漏洞总数高危中危低危漏洞数量311678企业数量91211678百分比——23%17.6%7.7%8.8%AII中“信息通信企业”2014-2016年暴露漏洞概况（截止2017.01）数据来源：“安全客”（）提供的全网漏洞播报检索平台大部分企业缺乏安全监测能力•普遍缺乏足够的安全监测能力•普遍缺乏主动发现隐蔽性较好的入侵威胁的能力•95%以上的企业只能通过外部通报或看是看到显著的损失后才能发现其⾃⾝正在⾯临的⽹络威胁从监管角度——国家工控信息安全相关政策国务院工信部网信办国务院关于大力推进信息化发展和切实保障信息安全的若干意见，国发〔2012〕23号。《意见》6-3明确指出保障工业控制系统安全。加强核设施、航空航天、先进制造、石油石化、……、水利枢纽、城市设施等重要领域工业控制系统的安全防护和管理……2011年工信部下发451号文件《关于加强工业控制系统信息安全管理的通知》，通知指出“……加强工业控制系统安全，重点领域包括钢铁、化工、电力、制造……等与国计民生紧密相关领域，……结合实际加强重点领域和重点环节”2016年7月全国范围关键信息基础设施网络安全检查工作启动，习近平总书记指出：“金融、能源、电力、通信、交通等领域是经济社会运行的神经中枢，是网络安全的重中之重，也是可能遭到重点攻击的目标”，要求“要全面加强网络安全检查，摸清家底，认清风险，找出漏洞，通报结果，督促整改”《国家网络空间安全战略》《网络安全法》将水利、城市公共事业列入国家关键信息基础设施，要求切实加强防护智慧水务企业面临的三重困境？•检测能力的困境无法发现、误报……•响应能力的困境边界扩大、缺兵少将……•应用安全的困境漏洞百出、攻防不对称……如何应对？从RSA的视角——看国际安全趋势2015变革－失败的防御2016－连接Level1基于数据与情报的检测能力Level2基于协同的检测＋响应能力Level3基于联合与分享安全共同体2017－机会的力量工业互联网安全产品发展思路TheSlidingScaleofCyberSecurity架构安全被动防御积极防御情报进攻安全评估等保评估渗透测试自动化、层次化安全体系建设：n网络安全防护n主机安全防护nIoT安全防护n统一安全防护法律手段反制安全大数据平台态势感知云端威胁情报自动化应用体系事件分析安全协同威胁数据源采集威胁情报生产威胁情报验证威胁情报分发体系传统工业安全：纵深防御、被动防御===》360工业安全：被动防御+积极防御+情报智慧水务安全设计框架应用架构被动防御主动防御情报主动进攻应用设计应用开发应用运营安全合规：等保/分保/ISO27000等安全测评众测/红蓝对抗电子靶场态势感知威胁情报内部查处主管机构合作360工业互联网安全IT&OT一体化设计理念•安全实时态势感知（situationalawarenewss）应该无缝地横穿信息技术（IT）和操作技术（OT）子系统，而不干扰任何操作业务过程。•安全必须融入到设计中，并且风险应该尽早进行评估，而不是事后再来考虑安全性。•安全方案可满足各种需求（例如系统安全性和实时执行）的受限系统资源。•安全方案应该尽可能地依赖于自动化，但人在回路，监视状态，审查分析，在必要时作出决定以及计划修改和改进。通过减少操作者错误，可用的管理和控制系统可以促进安全工业互联网安全的最新趋势应急响应=持续监测响应•持续监测收集信息•增强检测和响应能力数据驱动安全•态势感知•威胁情报•威胁追踪溯源建立企业安全运维中心(SOC)•工业大数据异常发现•用户与实体行为分析（UEBA）产业协同：联合防御•协同联动（供应链、云地、数据）•安全即服务线索事件全貌我们面对的是一个未知的拼图！工业互联网安全自适应防护架构（PC4R）信息感知（Perception）数据汇集（Connection)转化分析(Conversion)网络融合(Cyber)认知预测(Cognition)响应/决策(Response)打通IT&OT人在回路、数据驱动PC4R感知工业现场（压力、摩擦、振动、温度、电流等）物理量数字化、资产CNC/PLC、DNC、SCADA、MES、ERP工业数据跨层汇集建立（安全数据仓库）数据特征提取、筛选、分类、优先，可读机理、环境、群体、操作、威胁情报有机结合内容化（Content）和情景化（Context）人在回路对规律、异常、目标、态势、背景等完成认知，发现看不见威胁人在回路的回溯、决策、部署、优化、响应，实现安全防护管理与控制（Management&Control）防御技术路线1：大数据发现威胁情报2016年3月，率先披露了长期对亚洲国家的能源、交通等基础行业进行网络渗透和情报窃取的APT组织——“洋葱狗”（OnionDog）2016年8月，APT组织“索伦之眼”Sauron，针对水利、海洋行业，综合能力不弱于震网（Stuxnet），攻击能力和技术水准最高的一个通过云端大数据关联与挖掘，发现威胁情报，包含域名、IP、木马、MD5等目标威胁情报最全的样本行为库-总日志数18.9万亿条-每天新增380亿条全球域名信息库-90亿DNS解析记录-每天约新增100万条-13年+Whois信息存储-占中国30%DNS解析与查询记录最大的存活网址库•每天查询300亿条•每天处理100亿条•每天拦截访问钓鱼数超过1.4亿URL全球文件样本库-每天新增900万样本-总样本数100亿+-20亿+黑名单-1亿+白名单•数据来源：全球6亿PC安全客户端，8亿移动端安全客户端；360浏览器、搜索终端应等•数据来源：互联网基础设施DNS，猎网、补天等各类举报与响应平台，以及100+第三方数据源•大数据服务器规模超过60000台，总存储数据量接近1.3EB，每天新增超过1.5PB•每天各种数据计算任务10万个，每天处理数据量10PB“云”-“地”协同云端态势感知应用站点漏洞、病毒模板、DDOS、APT、工控系统暴露等安全态势预警、以可机读威胁情报（MRTI）形式推送给本地部署的设备运营中心对各层数据进行采集、还原、存储并索引各类数据，用于发现与溯源见广－分析见微－发现威胁情报企业安全运营中心防御技术路线2：建立企业本地安全运维中心云+端纵深防御的自动响应目标大数据存储/分析平台搜索筛选关联检测评估任务处置威胁情报、安全通报、自定义IOC实时信息物理量、进程、网络连接、执行的文件……历史信息OS、软件、漏洞、文件、日志、工况……漏洞扫描更新补丁结束进程隔离文件取证保存隔离终端访问策略……企业安全运维中心（SOC）PerceptionConnectionConversionCyberCognitionResponsePC4R安全技术防御技术路线3：构建工控系统安全白环境云端+本地，获得“可信网络白环境”和“工控软件白名单”•可信任的设备才能接入控制网络•可信任的信息才能在网络上传输•可信任的软件才允许被执行基于大数据，构筑工控系统“安全白环境”整体防护体系目标•持续监控收集，实时探测，云端判断、取证、溯源、修复；•被动解决方案，不影响工控系统的“可用性”和“稳定性”•工控协议深度解析技术，具备高安全性，低时延影响；恶意进程应用进程系统进程应用服务器收集数据构建白名单安全技术结合：通用的工业安全防护方案1.终端防御（审计、主机白名单等）2.纵深防御-安全分区、网络专用-横向隔离、纵向认证-蜜罐等3.边界防御-工业防火墙、网闸等4.安全远程访问（VPN等）5.漏洞和补丁管理-漏洞扫描-部分补丁ICS深度防御架构（NIST SP 800-82，IEC62443）严格落实国家法律、政策、指南、标准，做好必要的安全防护、安全管理和安全意识培训数据驱动的工业互联网安全协同防护安全实践：智慧水务企业多级安全响应体系城市本地工业互联网威胁情报中心智慧水务安全监测与响应中心全国工业互联网安全监测与响应中心工业云防护区域云防护区域云监测安全管理体系建设专家服务水务企业1(