立思辰：从RSA解析工控、物联网安全技术

　　今天是RSA大会的最后一天，研讨会与展示台继续掀起一波又一波的高潮。在接受了信息安全专家们的头脑风暴后，立思辰团队又前往参展企业观摩学习。

　　相较而言，国内信息安全行业方兴未艾，需要从技术、产品、理念、战略等各个方面向全球各地的优秀企业学习经验、开拓视野。立思辰谷神星CEO胡浩和立思辰市场部总经理刘青，走访了解了参会企业中“物联网”、“工业”安全方向的优秀企业。

　　

 

　　工控安全是立思辰业务发展的重要方向。为进一步提升公司在该领域的综合实力，胡浩和刘青参与了2月16日举办的ICS沙盒研讨会和物联网沙盒研讨会。

　　ICS沙盒研讨会

　　· “网络、不断演变的生态系统：为未来智慧城市铺路”

　　· “事实或FUD(惧、惑、疑)?ICS网络攻击模拟和整个家庭的影响分析”

　　· “解读工业网络攻击”

　　· “安全第一!保护工业物联网的战略解决方案”

　　· “安全的制胜策略：了解ICS/SCAD网络安全威胁、漏洞、媒介和攻击方法”

　　· “构建ICS环境安全?好!但是如何做?!”

　　

 

　　物联网沙盒

　　IoT Village™由安全咨询和研究公司Independent Security Evaluators(ISE)组织，提供推动物联网设备安全的专业知识。该展示会的亮点是脆弱的联网设备，以及在一般设备(智能摄像机)和复杂设备(太阳能板和医疗设备)中发现的开创性安全研究。在这里，参与者可以与安全研究专家进行发人深省的讨论，这些专家会分析现实世界的漏洞利用和漏洞，并分析其对消费者和企业环境造成的影响。

　　

 

　　物联网沙盒研讨会

　　· “出人意料的物联网-太阳板攻击”

　　· “使物联网武器化”

　　· “医疗保健物联网”

　　· “什么意思，补丁?物联网安全更新的共同愿景”

　　· “互联世界断网：物联网威胁时代之生存指南”

　　· “勒索软件、无人机、智慧电视、机器人：保护物联网时代的消费者”

　　· “你所有的锁都是我们的”

　　· “物联网现场演示”

　　· “医疗设备的安全考虑：案例研究”

　　结合研讨会和走访学习，二人深刻体会到：在工控安全领域，立思辰的战略和产品布局在国际市场上也有很多可圈可点之处。

　　1.积极的上下文关联建模

　　在人工智能解决方案上，用新一代人工智能平台，实时模拟人类安全分析师的直觉，来实时判断已存在和正在形成的网络攻击，可能会带来更高的检出率和更少的误检事件。

　　所谓“积极的上下文关联建模”(即ACM, Active Contextual Modeling)技术将原始数据转化为行为，并综合分析师直觉，形成预测性模型;平台会使用这些模型进行实施检测，查找到特定的威胁相量。系统预测到的攻击越多，其从分析师处获得的反馈就越多，这进一步提升未来预测的准确性。

　　

 

　　在交流中，PatternEx 公司推出了的安全平台，平台可以部署在企业里、云端或者私有云上。它在一个平台上聚合了许多新奇的组件：

　　Ÿ 大型数据平台，可处理大量数据，实现实时响应;

　　Ÿ 一系列算法，可检测罕见行为，甄别新型攻击;

　　Ÿ 一个机制，可从安全分析师处获取反馈，并使用反馈不断升级现有模型;

　　Ÿ 主动式学习反馈循环，可随时间发展逐渐提升检测率;

　　Ÿ 威胁情报档案集合，可在多家企业之间共享。

　　最终，PatternEX的客户将获得更好的可见性，检测、控制与诈骗和数据泄露相关的恶意行为，而不会带来一些让人迷惑的检测噪音和误检事件，也不需要雇佣更多的安全员工。此外，PatternEX威胁预测平台很容易与企业现有的安全架构相融合，可方便部署。

　　2、数学建模确保物联网安全“防患于未然”

　　“物联网设备通常功能很简单，所以不能简单去发现和抓住坏人，而是基于云端搜集信息进行行为分析，判断好人(正常运转情况)该是什么状况，建立数学模式进行描述。这样一旦发现不正常状况就进行上报封堵，然后通过沙盒等机制包括设备的健康运转。”

　　

 

　　Zingbox给我们留下了深刻的印象。最近该公司(2017年2月14日)发布了结合了人工智能技术的新一代网络安全解决方案“物联网守护者”(IoT Guardian)提供物联网业务保护，该解决方案首次提出了结合深度学习算法来判别每个设备的特性并强制实施可接受的安全行为。它的自学习方法是持续建立之前的知识来发现、检测和保护重要的物联网服务和数据，并且号称能达到99.9%准确率。

　　新的设备特性检测方法解决了零日漏洞和内部威胁，并且不需要在每个设备上安装软件代理。

　　“这也正是立思辰在物联网安全上的构想!”

　　3.工控安全需要CNI、ACV双管齐下

　　“在工业控制系统中，核心技术需要控制网络检测(CNI，Control Network Inspection)和无代理控制器认证(ACV，Agentless Controller Verification)。”

　　

 

　　其中CNI主要包括根据工业控制系统特点设计的深度包检测引擎，用于IEC61131兼容的工业控制系统，在供货商私有通信环境下检测控制层事件的技术(自有专利)，被动检测标准的运行通信协议(Modbus和DNP3)，以及对整个网络深入、实时的行为的显示。

　　控制网络检测(CNI，Control Network Inspection)和无代理控制器认证(ACV，Agentless Controller Verification)，其中CNI主要包括根据工业控制系统特点设计的深度包检测引擎;用于IEC61131兼容的工业控制系统，在供货商私有通信环境下检测控制层事件的技术(自有专利);被动检测标准的运行通信协议(Modbus和DNP3);和对整个网络深入、实时的行为的显示。

　　在此基础上，对工业控制、监控和数据采集系统(SCADA)进行监控，对工业安全威胁进行防御，工控生产的安全性将大大提升。

　　“RSA给我们的启示是，在工控安全领域，我们已经有了高度，经过时间的磨练，深度也一定会有，我们对立思辰在工控领域的未来充满信心。”

　　

 

　　RSA虽然已经走向尾声，但它对于信息安全行业来说，却是新年的开幕式。立思辰将和更多同道一起，为安全事业奋斗不止。