今日頭條
官方微信
官方抖音
案例頻道1 案例概述
廣州魯邦通物聯(lián)網(wǎng)科技有限公司是國內(nèi)領(lǐng)先的工業(yè)網(wǎng)關(guān)、DTU、RTU等工業(yè)互聯(lián)網(wǎng)終端生產(chǎn)商,產(chǎn)品遠(yuǎn)銷海內(nèi)外100多個(gè)國家,擁有龐大的客戶群體。魯邦通工業(yè)網(wǎng)關(guān)終端采用嵌入式Linux操作系統(tǒng),提供遠(yuǎn)程控制接口。出于市場(chǎng)需求,魯邦通規(guī)劃為客戶提供終端資產(chǎn)管理系統(tǒng),對(duì)終端進(jìn)行統(tǒng)一管理和全方位安全監(jiān)控,主要基于以下考慮:
(1)終端普遍存在移動(dòng)性,這使得追蹤和管理資產(chǎn)面臨挑戰(zhàn),資產(chǎn)的邊界越分散,帶來的安全問題就越復(fù)雜;
(2)物聯(lián)網(wǎng)時(shí)代,終端遍布全球各地,黑客可以直接對(duì)終端發(fā)起攻擊,傳統(tǒng)安全邊界消失,安全防御難度更大;
(3)可被利用的終端數(shù)巨大,從而引起的DDOS攻擊,造成了安全攻防的嚴(yán)重不對(duì)稱,形成的危害波及社會(huì)多方面。
經(jīng)過多方考察,魯邦通最終選擇了青蓮云終端安全管理系統(tǒng)作為其方案。
2 系統(tǒng)介紹
青蓮云物聯(lián)網(wǎng)終端安全管理系統(tǒng)(TinyEye)主要解決海量物聯(lián)網(wǎng)終端資產(chǎn)安全管理與防護(hù)問題,其提供跨平臺(tái)的終端安全管理能力,覆蓋系統(tǒng)基線安全、文件安全、登陸安全、流量安全、行為安全等全方位的終端監(jiān)控體系,將處于企業(yè)IT系統(tǒng)邊界防護(hù)之外的終端統(tǒng)一集中管理,實(shí)現(xiàn)從傳統(tǒng)信息安全時(shí)代的邊界防護(hù)到物聯(lián)網(wǎng)終端邊緣防護(hù)的安全升級(jí)。通過與安全管理平臺(tái)的聯(lián)動(dòng),可以針對(duì)異常攻擊行為進(jìn)行主動(dòng)防御,實(shí)現(xiàn)精確到每臺(tái)終端的實(shí)時(shí)安全管控。
青蓮云物聯(lián)網(wǎng)終端安全管理系統(tǒng)包含終端Agent和云安全平臺(tái)兩個(gè)部分。終端Agent是部署在設(shè)備系統(tǒng)中的輕量級(jí)進(jìn)程,適配多種終端嵌入式系統(tǒng),消耗少量的計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)資源。終端Agent在本地采集信息并且進(jìn)行初步安全分析處理,以及對(duì)安全策略進(jìn)行及時(shí)響應(yīng)。云安全平臺(tái)是安全處理和響應(yīng)的大腦,基于數(shù)據(jù)進(jìn)行深度的安全分析并且生成對(duì)應(yīng)的安全策略。
2.1 系統(tǒng)核心功能及工作方式
(1)異常登錄監(jiān)控。遠(yuǎn)程登錄是常見的設(shè)備入侵行為,TinyEye將實(shí)時(shí)監(jiān)測(cè)設(shè)備中的遠(yuǎn)程登錄行為,通過系統(tǒng)檢測(cè),區(qū)分正常登錄與異常登錄,當(dāng)異常登錄出現(xiàn)時(shí)及時(shí)報(bào)警,并詳細(xì)記錄異常登錄行為的IP地址、使用用戶名、登錄時(shí)間、異常類型等詳細(xì)信息,幫助用戶快速發(fā)現(xiàn)問題。
(2)流量監(jiān)控。作為物聯(lián)網(wǎng)終端安全的重要部分,安全終端管理系統(tǒng)采用機(jī)器學(xué)習(xí)技術(shù),采用流量捕獲、數(shù)據(jù)預(yù)處理、特征向量提取、機(jī)器算法運(yùn)算、最終形成結(jié)論的技術(shù)實(shí)現(xiàn)路線,快速檢測(cè)出系統(tǒng)中隱含的TCP、UDP流量攻擊,記錄異常流量的目的地址、目的端口、源地址、源端口等詳細(xì)信息,做到可見、可溯。相比基于統(tǒng)計(jì)或基于規(guī)則的流量監(jiān)控方式,本項(xiàng)技術(shù)實(shí)施方法在物聯(lián)網(wǎng)流量判斷中效果更佳,錯(cuò)報(bào)率/漏報(bào)率降低30%。
響應(yīng)方面,安全終端管理系統(tǒng)基于深度的分析學(xué)習(xí)為每臺(tái)終端生成對(duì)應(yīng)的動(dòng)態(tài)安全策略并且實(shí)時(shí)下發(fā)給終端。動(dòng)態(tài)安全策略能夠?yàn)榘踩录l(fā)生前、發(fā)生中、發(fā)生后三個(gè)不同階段提供相應(yīng)的策略。
(3)文件監(jiān)控。通過對(duì)設(shè)備系統(tǒng)的關(guān)鍵文件、進(jìn)行監(jiān)控,實(shí)時(shí)了解文件發(fā)生的操作(增刪改),并根據(jù)安全策略做出響應(yīng)。
(4)資源監(jiān)控。對(duì)設(shè)備的關(guān)鍵資源項(xiàng)(CPU、內(nèi)存、存儲(chǔ)等)進(jìn)行實(shí)時(shí)監(jiān)控,檢測(cè)出異常的資源波動(dòng)并報(bào)警。對(duì)于CPU和內(nèi)存異常,云安全中心提供異常時(shí)期每個(gè)進(jìn)程的CPU或內(nèi)存使用率。
(5)進(jìn)程監(jiān)控。定期更新設(shè)備系統(tǒng)進(jìn)程快照,并根據(jù)與基線進(jìn)程比對(duì)結(jié)果,檢測(cè)出異常進(jìn)程。可檢測(cè)項(xiàng):新增異常進(jìn)程、進(jìn)程異常關(guān)閉、進(jìn)程權(quán)限改變、進(jìn)程用戶改變等。
(6)行為監(jiān)控。通過對(duì)系統(tǒng)的登錄行為及Shell操作命令進(jìn)行實(shí)時(shí)記錄和審計(jì),發(fā)現(xiàn)存在的非法行為,可通過IP阻斷機(jī)制阻止非法操作者登陸設(shè)備。
(7)防火墻監(jiān)控。監(jiān)控設(shè)備系統(tǒng)中的防火墻規(guī)則信息,并根據(jù)與基線防火墻規(guī)則比對(duì)結(jié)果,檢測(cè)防火墻規(guī)則的異常改變。防止病毒入侵后修改防火墻配置。
2.2 應(yīng)用創(chuàng)新
(1)智能化的安全體系
以安全策略為核心,通過多維度統(tǒng)計(jì)和分析進(jìn)行安全檢測(cè)。使系統(tǒng)從傳統(tǒng)的靜態(tài)防護(hù)轉(zhuǎn)化為動(dòng)態(tài)防護(hù),為終端操作系統(tǒng)的快速響應(yīng)提供了強(qiáng)大依據(jù)。功能模塊實(shí)現(xiàn)安全策略(Policy)、保護(hù)(Protection)、檢測(cè)(Detection)和響應(yīng)(Response),較好的體現(xiàn)了PPDR模型的閉環(huán)理念。最終形成智能化的終端安全防御體系。
(2)結(jié)合業(yè)務(wù)維度的安全策略配置
終端管理系統(tǒng)支持用戶根據(jù)自身終端的情況及業(yè)務(wù)邏輯的需求,靈活更改安全配置信息,更加準(zhǔn)確的判斷異常行為,有效遏制警報(bào)疲勞,減少誤報(bào)率。
(3)多種物聯(lián)網(wǎng)嵌入式系統(tǒng)支持
終端管理系統(tǒng)支持嵌入式Linux、OpenWRT、Raspbian等多種嵌入式操作系統(tǒng),實(shí)現(xiàn)不同設(shè)備統(tǒng)一管理。
(4)全方位的行為感知
終端管理系統(tǒng)獨(dú)特的探針機(jī)制時(shí)刻檢測(cè)終端自身的運(yùn)行時(shí)安全,參數(shù)包括CPU使用率、進(jìn)程快照、流量信息、文件改動(dòng)、遠(yuǎn)程登錄等終端基線安全相關(guān)信息。檢測(cè)來自邊緣側(cè)如供應(yīng)鏈、終端間東西向攻擊等潛在威脅。
(5)終端大數(shù)據(jù)集中管理,實(shí)現(xiàn)安全統(tǒng)一管理
終端管理系統(tǒng)不僅提供強(qiáng)大的分析能力,還提供了終端大數(shù)據(jù)的管理能力,可以實(shí)時(shí)查看終端的異常總覽、運(yùn)行狀態(tài)、告警統(tǒng)計(jì)、終端指紋、行為記錄等,解決終端分散部署的安全管理難題。
(6)基于機(jī)器學(xué)習(xí)的流量監(jiān)控技術(shù)
采用機(jī)器學(xué)習(xí)算法對(duì)物聯(lián)網(wǎng)系統(tǒng)中的流量進(jìn)行監(jiān)控和判定,可快速檢測(cè)出系統(tǒng)中TCP、UDP流量攻擊,記錄異常流量的目的地址、目的端口、源地址、源端口等詳細(xì)信息,做到流量監(jiān)控可見、可溯。
3 應(yīng)用效果
(1)實(shí)現(xiàn)功能
·近十萬臺(tái)終端統(tǒng)一接入監(jiān)控與管理;
·實(shí)時(shí)感知單臺(tái)終端安全態(tài)勢(shì),包括系統(tǒng)基線、流量監(jiān)控、行為監(jiān)控等;
·可視化平臺(tái)展示終端安全狀態(tài),實(shí)時(shí)告警與響應(yīng)安全異常;
·通過API接口對(duì)接企業(yè)管理平臺(tái),提供終端安全狀態(tài)數(shù)據(jù)。
(2)防護(hù)效果
·發(fā)現(xiàn)和解決重大漏洞多個(gè),終端危險(xiǎn)系數(shù)大幅下降;
·發(fā)現(xiàn)異常登錄、流量異常近百起,終端正常運(yùn)行率提升。
摘自《自動(dòng)化博覽》2019年6月刊
北京市公安局海淀分局備案號(hào):11010802023656號(hào)