今日頭條
官方微信
官方抖音
案例頻道1 案例概述
廣州魯邦通物聯網科技有限公司是國內領先的工業網關、DTU、RTU等工業互聯網終端生產商,產品遠銷海內外100多個國家,擁有龐大的客戶群體。魯邦通工業網關終端采用嵌入式Linux操作系統,提供遠程控制接口。出于市場需求,魯邦通規劃為客戶提供終端資產管理系統,對終端進行統一管理和全方位安全監控,主要基于以下考慮:
(1)終端普遍存在移動性,這使得追蹤和管理資產面臨挑戰,資產的邊界越分散,帶來的安全問題就越復雜;
(2)物聯網時代,終端遍布全球各地,黑客可以直接對終端發起攻擊,傳統安全邊界消失,安全防御難度更大;
(3)可被利用的終端數巨大,從而引起的DDOS攻擊,造成了安全攻防的嚴重不對稱,形成的危害波及社會多方面。
經過多方考察,魯邦通最終選擇了青蓮云終端安全管理系統作為其方案。
2 系統介紹
青蓮云物聯網終端安全管理系統(TinyEye)主要解決海量物聯網終端資產安全管理與防護問題,其提供跨平臺的終端安全管理能力,覆蓋系統基線安全、文件安全、登陸安全、流量安全、行為安全等全方位的終端監控體系,將處于企業IT系統邊界防護之外的終端統一集中管理,實現從傳統信息安全時代的邊界防護到物聯網終端邊緣防護的安全升級。通過與安全管理平臺的聯動,可以針對異常攻擊行為進行主動防御,實現精確到每臺終端的實時安全管控。
青蓮云物聯網終端安全管理系統包含終端Agent和云安全平臺兩個部分。終端Agent是部署在設備系統中的輕量級進程,適配多種終端嵌入式系統,消耗少量的計算、存儲和網絡資源。終端Agent在本地采集信息并且進行初步安全分析處理,以及對安全策略進行及時響應。云安全平臺是安全處理和響應的大腦,基于數據進行深度的安全分析并且生成對應的安全策略。
2.1 系統核心功能及工作方式
(1)異常登錄監控。遠程登錄是常見的設備入侵行為,TinyEye將實時監測設備中的遠程登錄行為,通過系統檢測,區分正常登錄與異常登錄,當異常登錄出現時及時報警,并詳細記錄異常登錄行為的IP地址、使用用戶名、登錄時間、異常類型等詳細信息,幫助用戶快速發現問題。
(2)流量監控。作為物聯網終端安全的重要部分,安全終端管理系統采用機器學習技術,采用流量捕獲、數據預處理、特征向量提取、機器算法運算、最終形成結論的技術實現路線,快速檢測出系統中隱含的TCP、UDP流量攻擊,記錄異常流量的目的地址、目的端口、源地址、源端口等詳細信息,做到可見、可溯。相比基于統計或基于規則的流量監控方式,本項技術實施方法在物聯網流量判斷中效果更佳,錯報率/漏報率降低30%。
響應方面,安全終端管理系統基于深度的分析學習為每臺終端生成對應的動態安全策略并且實時下發給終端。動態安全策略能夠為安全事件發生前、發生中、發生后三個不同階段提供相應的策略。
(3)文件監控。通過對設備系統的關鍵文件、進行監控,實時了解文件發生的操作(增刪改),并根據安全策略做出響應。
(4)資源監控。對設備的關鍵資源項(CPU、內存、存儲等)進行實時監控,檢測出異常的資源波動并報警。對于CPU和內存異常,云安全中心提供異常時期每個進程的CPU或內存使用率。
(5)進程監控。定期更新設備系統進程快照,并根據與基線進程比對結果,檢測出異常進程。可檢測項:新增異常進程、進程異常關閉、進程權限改變、進程用戶改變等。
(6)行為監控。通過對系統的登錄行為及Shell操作命令進行實時記錄和審計,發現存在的非法行為,可通過IP阻斷機制阻止非法操作者登陸設備。
(7)防火墻監控。監控設備系統中的防火墻規則信息,并根據與基線防火墻規則比對結果,檢測防火墻規則的異常改變。防止病毒入侵后修改防火墻配置。
2.2 應用創新
(1)智能化的安全體系
以安全策略為核心,通過多維度統計和分析進行安全檢測。使系統從傳統的靜態防護轉化為動態防護,為終端操作系統的快速響應提供了強大依據。功能模塊實現安全策略(Policy)、保護(Protection)、檢測(Detection)和響應(Response),較好的體現了PPDR模型的閉環理念。最終形成智能化的終端安全防御體系。
(2)結合業務維度的安全策略配置
終端管理系統支持用戶根據自身終端的情況及業務邏輯的需求,靈活更改安全配置信息,更加準確的判斷異常行為,有效遏制警報疲勞,減少誤報率。
(3)多種物聯網嵌入式系統支持
終端管理系統支持嵌入式Linux、OpenWRT、Raspbian等多種嵌入式操作系統,實現不同設備統一管理。
(4)全方位的行為感知
終端管理系統獨特的探針機制時刻檢測終端自身的運行時安全,參數包括CPU使用率、進程快照、流量信息、文件改動、遠程登錄等終端基線安全相關信息。檢測來自邊緣側如供應鏈、終端間東西向攻擊等潛在威脅。
(5)終端大數據集中管理,實現安全統一管理
終端管理系統不僅提供強大的分析能力,還提供了終端大數據的管理能力,可以實時查看終端的異常總覽、運行狀態、告警統計、終端指紋、行為記錄等,解決終端分散部署的安全管理難題。
(6)基于機器學習的流量監控技術
采用機器學習算法對物聯網系統中的流量進行監控和判定,可快速檢測出系統中TCP、UDP流量攻擊,記錄異常流量的目的地址、目的端口、源地址、源端口等詳細信息,做到流量監控可見、可溯。
3 應用效果
(1)實現功能
·近十萬臺終端統一接入監控與管理;
·實時感知單臺終端安全態勢,包括系統基線、流量監控、行為監控等;
·可視化平臺展示終端安全狀態,實時告警與響應安全異常;
·通過API接口對接企業管理平臺,提供終端安全狀態數據。
(2)防護效果
·發現和解決重大漏洞多個,終端危險系數大幅下降;
·發現異常登錄、流量異常近百起,終端正常運行率提升。
摘自《自動化博覽》2019年6月刊
北京市公安局海淀分局備案號:11010802023656號