2018-02-01 14:50

　　徐洪涛：各位大家好，很高兴站在这里。因为从思科内部来讲，物联网、工业互联网的安全是几个主要的发展方向，今天也有这个机会在这里能够跟大家一起共享一下思科在这个方面的一些理念和一些观点。前面听了包括陆局和几位嘉宾的演讲感觉受益匪浅，应该讲我是来对地方了，前面包括苗博士、殷总讲的都是一些干货。我想跟大家分享一下思科在物联网安全上的一些见解，可能从我们面临的威胁开始到思科针对物联网的一些解决方案到的一些技术。

　　整个物联网三个主要要素，我们讲有IT、办公网络，像数据中心、园区网，OT、制造型企业网络、工控网络，也有CT，消费电子网络。这几个不同的网络，不同元素之间其实它们的分割界限会有些模糊，它们之间不管从终端的制造厂商、种类，他们的操作系统，补丁更新的频率到网络上他们使用的协议，它们的流量模型其实都有不同的地方，所以针对不同的IT、OT、CT我们要采用不同的方式来进行安全的防护。

　　近几年我们也听到越来越多的针对工业互联网上的一些安全事件，应该讲每一个工业互联网上的安全事件它造成的损失都是蛮巨大的。这个原因多方面，首先工业互联网上的设备从根本上来讲我们大家基本上都采用一些思路，很多漏洞没有办法及时修补，包括当我这个工业互联网设备中了一些病毒的时候我们就没有发现它，发现威胁的时间比较长，造成工业互联网设备越来越多成为黑客攻击的一个目标，当工业互联网设备被攻击的以后我们看到很多的工控网络遭到了破坏，工控网络被别人控制了，甚至我的机器被别人控制，成为别人下一步工具的跳板。

　　从大面上来讲思科做工业互联网安全的思路主要分为四个大的方面，这个其实跟我们做IT网络的安全也有一些异曲同工的地方。

　　第一，可见性，所谓可见才可以可控，可见性我们需要了解一些什么样的内容？之前看到一个IP地址就觉得这个我了解，这个我想远远不够，我们要知道工控网络当中到底有哪些设备，这些设备是什么样的厂商，什么样的操作系统，什么样的漏洞，它的流量模型，它的应有都是哪些，知道这些以后可能真正能做到对工控网络有了一个全面的了解。

　　第二，分区隔离，知道我内网当中有哪些设备，而这些设备属于什么样的组别，属于什么样的安全级别，我可以对它进行一个安全分区。我知道了我的流量的模型，知道了我的应用，知道了我这个流量当中有没有一些恶意的风险，我可以根据这些再做一个动态的分区，当某一个我很清楚知道某某一个工业互联网终端中了恶意软件，我可以动态的分割到一个感染区，在这个区域进行重点排查，这是所谓的隔离和控制，基于终端，基于行为做写控制。

　　第三，更多的我要做一些实时的威胁的防御，这个其实也是工业互联网所面临的另一个方面。我们在2017年思科的年度安全报告当中也看到一点，就是在工业互联网领域其实我们面临最多的威胁，一个就是恶意软件，其实你会看到很多安全事件它的罪魁祸首都是所谓的恶意软件，通过这个控制工业互联网当中的某一台机器，某一台设备，从而给我造成更大的损失。僵尸网络，僵尸网络就是帮助黑客控制我的主机，所以威胁防御可能僵尸网络和恶意软件是我们两个重点要做得事情。

　　第四，有了可见、可控和威胁的防御，我就可以实现一个全面的针对工业互联网的一个安全访问。

　　这是四个我们要重点考虑的地方。

　　具体到详细的技术我这里面也做了两个例子，一个例子相当于IoT设备的报警和遥感信息，传给中央控台，在这期间需要哪些具体技术实现，也是刚才讲的可见、可控、威胁防御和安全访问四个方面，我分别需要相同的技术来实现，包括首先要了解IoT设备到底是什么样子，有一个准确的设备认证，然后会有设备分区，设备流量的分析，包括安全情报的过滤等等，最后防火墙入侵防御这些平台，最后可以把这些信息传给中央的控台。对于远程工程师配备设备，不同的业务流程需要不同的技术上的实现。

　　下面几页胶片我可能就具体把技术上的实现简单给大家过一下，思科在可见、可控、重点防御上我们重点推出一些技术来防御工业互联网遇到的问题。可见很重要，如果不了解你的网络根本没有谈防护，所以我们在讲可见，可见我们有一个很重要的概念叫情景感知，情景感知就是我真的要全面了解这个终端它面临的一个整体的情况。比如说我这儿有一个摄像头，传统意义上我可能就知道这是一个IP地址，这对我们来讲不够。我们要看到更多，首先看到这是一个什么样的摄像头，它用的什么样的操作系统，这个操作系统上是不是有些补丁，有些漏洞，然后它处在什么位置，它处在几楼，在什么工厂，它做得主要工作是什么，它在什么时候上线，通过什么样的方式上线，有线无线方式上线，最近有没有遇到一些什么样的威胁，这些信息全部知道以后可以准确把它定义到底应该放在哪个分区里，这个是所谓的情景感知，真正了解这台设备。

　　这是一个静态的情景感知，这个设备一定发出很多流量，发出很多应用的连接，这个时候我要做一个动态的跟行为结合的感知，这个设备放出一个流量，它的流量模型到底是不是正常，然后它发出的一些应用的访问到底符不符合这个设备应该做的？比如说一个摄像头突然在它机地址上出现了邮件的发送，就可能出现问题了，就不符合这个摄像头应该有的一个流量的模型，所以你要把静态的情景感知动态的行为感知结合在一起，最后来看这个摄像头或者这个IoT设备到底应该有一个什么样的分区和权限。

　　有了全面的感知第二步要做得就是权限多分配或者说设备的隔离，这个隔离可能有多种技术实现，最通用的技术就是用网络设备来做这个设备的隔离，不同的网络设备比如像思科来讲大家常见的基于虚拟交换机的隔离、VLan的隔离等等，这些都是对不同的终端进行分区的技术手段，技术手段是一方面，对于它隔离的依据就是全面的可见性。隔离其实跟前面苗博士讲的P2DR的模型也是有些呼应的部分，这个隔离一定是动态的隔离，当你发现它存在一些安全隐患或者安全事件，你要做得就是立马把这个动态的终端隔离在相应的区域里面，这就是所谓的分区隔离。

　　分区隔离好了以后其实对我们的用户来讲我们的好处就是可能整个攻击受影响的面会减少，但是在我的网络当中其实有的分区隔离依然会有威胁传递的出现，这时候我们要采用相应的技术来保障我的网络有一些恶意的攻击，恶意的威胁可以进行阻挡，在这里面威胁情报其实是最大的一个方面。思科应该讲在全球化的威胁情报上也是一个领先的厂商，我这边也不想太多的讲这样一个例子，这其实是思科阻挡全球勒索软件爆发的这样一个例子。在这个例子当中其实几个关键点，一个是文件，什么样的文件可能需要有一个情景感知，最右边的大圈其实就是文件，什么样的域名是一个恶意的左边的大圈其实就是一个什么样的域名，甚至用反向的方法找到动态的生成器，预先帮助用户进行隔离。威胁情报应该说是目前来看对威胁防御最主要的一个手段，尤其是我最早提的以下我们IoT网络面临最大的威胁就是恶意软件和僵尸网络，这两块来看应该恰好是生成的方面。

　　恶意软件是IoT网络面临的一个最大的威胁，怎么去防御这个恶意软件？现在应该业界有很多类似的技术来实现，就是我们可以对恶意软件来做一个详细的分析，可以由很多特征，如果不匹配这些特征也可以用一些技术来把它放在某个特定的环境下来看这个软件到底做了什么，这样保障我检测出这是不是一个恶意软件，恶意软件发展也是很迅速，它们在不断地，不停的变换自己的一些模式，变换这个软件的样子。这时候我们很难做到对恶意软件有一个百分之百的分析和防御，万一这个软件进入到你的网络，你没有发现怎么办？我们需要一个不间断的分析，就是这个软件进到你的网络，你可能真的要不停地分析这个软件在你的网络里面到底干了什么，都传播了哪几台机器，当某一时刻你发现这个软件是个坏软件的时候，你可以很快的分析出1234，这四台机器中了这个软件，这应该是我努力去分析的机器，这个就有点像SaaS，要提前预防的概念。

　　我们看恶意软件其实大部分的恶意软件都用到了一个技术，就是DNS解析技术，因为恶意软件都是受僵尸网络的控制，僵尸网络的这些黑客不太可能就把一个固定的IP地址放在那儿，然后让你去封他，所以他们很多时候都是用了一些动态的域名，这时候DNS技术就显得特别重要。所以几乎93%以上的恶意软件在爆发之前可能第一步都是查询这个DNS，所以你如果对DNS层面有一个很好的防御，恶意软件的爆发也就会显得不那么容易，即使你的机器中了一个恶意软件，他想连一个远程的僵尸网络，你如果靠DNS技术把它封锁的话，即使中了这个恶意软件也不会有太大的影响。

　　最后一个安全的远程连接，这块我想我也不用太多的去描述了，安全的远程连接其实跟前面有很多相同的地方，包括我们怎么样进行策略进行控制，什么人能远程连过来，什么人不能连过来，连过后以后有什么样的通道，封装的通道，加密的通道，然后如果在封装和加密通道里面有一些恶意的行为通过什么方式把它检测出来，这块可能是业界目前来看一个通用的难题。在加密的通道里面如果真的出现了威胁应该怎么去办？需要对流量全部做揭秘找到威胁，还是说找到大数据，直接在加密当中找到这个威胁不需要解密呢，这两个也都是目前全球网络人士研究的课题，思科在这方面也都有一些自己的见解。

　　最后简单做一个总结，工业互联网的确是它有自己的一些特点，但是我们也可以借鉴传统网络的一些安全解决方案的手段，所以思科做工业互联网安全的一个思路就是这样一个思路，首先我有一个全面的可见性，可能要再重复一遍，识别网络当中的每一个终端，这个终端相应的一些情景，它的流量模型等等。都识别好了以后根据识别的结果对你有一个分割，隔离和控制，什么样的设备应该放在什么样的区域，有多大的权限，有了这样一个隔离之后可能还需要做一些威胁的防御，针对恶意软件，针对僵尸网络，我有安全情报做控制，包括工控防火墙，工控IPS，对于SCADA协议这方面都会起到这方面的作用。

　　这是一个典型的制造业的网络模型，这块可能很多人为这个图会比较了解，思科做这种制造型企业网络安全的时候，其实我们也建议用户做分步走的概念，建议你用三个阶段分别做相应网络安全建设。比如第一阶段做一个基本安全的分区隔离，这个我们也基本上就是遵循了IEC99的一些标准，能够对不同的设备进行相应的分区，这个我们在做工业互联网网络设计的时候可能就要考虑到这一点，而不仅仅是在安全设计的时候要考虑这一点。第二做整个安全的可见和可控，这块需要大家更多的了解你的工业互联网，工控网络内部到底它的应用是一个什么样子，我要识别网络当中的应用，每一个应用，每一个终端，应用里面是不是有相应的威胁的出现，这个可能要做得更深一个层次，做终端的安全，做高级的威胁防御的安全，可能都要在第二步做。第三步要扩展整个安全的深度和广度，整个工业互联网可能要有一套统一的策略，有一个全面的分析，对整个网络的每一个终端都知道什么样子，然后有一个基于策略的响应，一旦发现里面有一个恶意的终端，有一个恶意的软件，能够快速的做响应，把这个终端做隔离、修复，这样实现真正的作用。

　　这就是我今天的内容，谢谢大家！