今日頭條
官方微信
官方抖音
案例頻道1 案例概述
廣州魯邦通物聯(lián)網(wǎng)科技有限公司是國內(nèi)領(lǐng)先的工業(yè)網(wǎng)關(guān)、DTU、RTU等工業(yè)互聯(lián)網(wǎng)終端生產(chǎn)商,產(chǎn)品遠(yuǎn)銷海內(nèi)外100多個國家,擁有龐大的客戶群體。魯邦通工業(yè)網(wǎng)關(guān)終端采用嵌入式Linux操作系統(tǒng),提供遠(yuǎn)程控制接口。出于市場需求,魯邦通規(guī)劃為客戶提供終端資產(chǎn)管理系統(tǒng),對終端進(jìn)行統(tǒng)一管理和全方位安全監(jiān)控,主要基于以下考慮:
(1)終端普遍存在移動性,這使得追蹤和管理資產(chǎn)面臨挑戰(zhàn),資產(chǎn)的邊界越分散,帶來的安全問題就越復(fù)雜;
(2)物聯(lián)網(wǎng)時代,終端遍布全球各地,黑客可以直接對終端發(fā)起攻擊,傳統(tǒng)安全邊界消失,安全防御難度更大;
(3)可被利用的終端數(shù)巨大,從而引起的DDOS攻擊,造成了安全攻防的嚴(yán)重不對稱,形成的危害波及社會多方面。
經(jīng)過多方考察,魯邦通最終選擇了青蓮云終端安全管理系統(tǒng)作為其方案。
2 系統(tǒng)介紹
青蓮云物聯(lián)網(wǎng)終端安全管理系統(tǒng)(TinyEye)主要解決海量物聯(lián)網(wǎng)終端資產(chǎn)安全管理與防護(hù)問題,其提供跨平臺的終端安全管理能力,覆蓋系統(tǒng)基線安全、文件安全、登陸安全、流量安全、行為安全等全方位的終端監(jiān)控體系,將處于企業(yè)IT系統(tǒng)邊界防護(hù)之外的終端統(tǒng)一集中管理,實現(xiàn)從傳統(tǒng)信息安全時代的邊界防護(hù)到物聯(lián)網(wǎng)終端邊緣防護(hù)的安全升級。通過與安全管理平臺的聯(lián)動,可以針對異常攻擊行為進(jìn)行主動防御,實現(xiàn)精確到每臺終端的實時安全管控。
青蓮云物聯(lián)網(wǎng)終端安全管理系統(tǒng)包含終端Agent和云安全平臺兩個部分。終端Agent是部署在設(shè)備系統(tǒng)中的輕量級進(jìn)程,適配多種終端嵌入式系統(tǒng),消耗少量的計算、存儲和網(wǎng)絡(luò)資源。終端Agent在本地采集信息并且進(jìn)行初步安全分析處理,以及對安全策略進(jìn)行及時響應(yīng)。云安全平臺是安全處理和響應(yīng)的大腦,基于數(shù)據(jù)進(jìn)行深度的安全分析并且生成對應(yīng)的安全策略。
2.1 系統(tǒng)核心功能及工作方式
(1)異常登錄監(jiān)控。遠(yuǎn)程登錄是常見的設(shè)備入侵行為,TinyEye將實時監(jiān)測設(shè)備中的遠(yuǎn)程登錄行為,通過系統(tǒng)檢測,區(qū)分正常登錄與異常登錄,當(dāng)異常登錄出現(xiàn)時及時報警,并詳細(xì)記錄異常登錄行為的IP地址、使用用戶名、登錄時間、異常類型等詳細(xì)信息,幫助用戶快速發(fā)現(xiàn)問題。
(2)流量監(jiān)控。作為物聯(lián)網(wǎng)終端安全的重要部分,安全終端管理系統(tǒng)采用機器學(xué)習(xí)技術(shù),采用流量捕獲、數(shù)據(jù)預(yù)處理、特征向量提取、機器算法運算、最終形成結(jié)論的技術(shù)實現(xiàn)路線,快速檢測出系統(tǒng)中隱含的TCP、UDP流量攻擊,記錄異常流量的目的地址、目的端口、源地址、源端口等詳細(xì)信息,做到可見、可溯。相比基于統(tǒng)計或基于規(guī)則的流量監(jiān)控方式,本項技術(shù)實施方法在物聯(lián)網(wǎng)流量判斷中效果更佳,錯報率/漏報率降低30%。
響應(yīng)方面,安全終端管理系統(tǒng)基于深度的分析學(xué)習(xí)為每臺終端生成對應(yīng)的動態(tài)安全策略并且實時下發(fā)給終端。動態(tài)安全策略能夠為安全事件發(fā)生前、發(fā)生中、發(fā)生后三個不同階段提供相應(yīng)的策略。
(3)文件監(jiān)控。通過對設(shè)備系統(tǒng)的關(guān)鍵文件、進(jìn)行監(jiān)控,實時了解文件發(fā)生的操作(增刪改),并根據(jù)安全策略做出響應(yīng)。
(4)資源監(jiān)控。對設(shè)備的關(guān)鍵資源項(CPU、內(nèi)存、存儲等)進(jìn)行實時監(jiān)控,檢測出異常的資源波動并報警。對于CPU和內(nèi)存異常,云安全中心提供異常時期每個進(jìn)程的CPU或內(nèi)存使用率。
(5)進(jìn)程監(jiān)控。定期更新設(shè)備系統(tǒng)進(jìn)程快照,并根據(jù)與基線進(jìn)程比對結(jié)果,檢測出異常進(jìn)程。可檢測項:新增異常進(jìn)程、進(jìn)程異常關(guān)閉、進(jìn)程權(quán)限改變、進(jìn)程用戶改變等。
(6)行為監(jiān)控。通過對系統(tǒng)的登錄行為及Shell操作命令進(jìn)行實時記錄和審計,發(fā)現(xiàn)存在的非法行為,可通過IP阻斷機制阻止非法操作者登陸設(shè)備。
(7)防火墻監(jiān)控。監(jiān)控設(shè)備系統(tǒng)中的防火墻規(guī)則信息,并根據(jù)與基線防火墻規(guī)則比對結(jié)果,檢測防火墻規(guī)則的異常改變。防止病毒入侵后修改防火墻配置。
2.2 應(yīng)用創(chuàng)新
(1)智能化的安全體系
以安全策略為核心,通過多維度統(tǒng)計和分析進(jìn)行安全檢測。使系統(tǒng)從傳統(tǒng)的靜態(tài)防護(hù)轉(zhuǎn)化為動態(tài)防護(hù),為終端操作系統(tǒng)的快速響應(yīng)提供了強大依據(jù)。功能模塊實現(xiàn)安全策略(Policy)、保護(hù)(Protection)、檢測(Detection)和響應(yīng)(Response),較好的體現(xiàn)了PPDR模型的閉環(huán)理念。最終形成智能化的終端安全防御體系。
(2)結(jié)合業(yè)務(wù)維度的安全策略配置
終端管理系統(tǒng)支持用戶根據(jù)自身終端的情況及業(yè)務(wù)邏輯的需求,靈活更改安全配置信息,更加準(zhǔn)確的判斷異常行為,有效遏制警報疲勞,減少誤報率。
(3)多種物聯(lián)網(wǎng)嵌入式系統(tǒng)支持
終端管理系統(tǒng)支持嵌入式Linux、OpenWRT、Raspbian等多種嵌入式操作系統(tǒng),實現(xiàn)不同設(shè)備統(tǒng)一管理。
(4)全方位的行為感知
終端管理系統(tǒng)獨特的探針機制時刻檢測終端自身的運行時安全,參數(shù)包括CPU使用率、進(jìn)程快照、流量信息、文件改動、遠(yuǎn)程登錄等終端基線安全相關(guān)信息。檢測來自邊緣側(cè)如供應(yīng)鏈、終端間東西向攻擊等潛在威脅。
(5)終端大數(shù)據(jù)集中管理,實現(xiàn)安全統(tǒng)一管理
終端管理系統(tǒng)不僅提供強大的分析能力,還提供了終端大數(shù)據(jù)的管理能力,可以實時查看終端的異常總覽、運行狀態(tài)、告警統(tǒng)計、終端指紋、行為記錄等,解決終端分散部署的安全管理難題。
(6)基于機器學(xué)習(xí)的流量監(jiān)控技術(shù)
采用機器學(xué)習(xí)算法對物聯(lián)網(wǎng)系統(tǒng)中的流量進(jìn)行監(jiān)控和判定,可快速檢測出系統(tǒng)中TCP、UDP流量攻擊,記錄異常流量的目的地址、目的端口、源地址、源端口等詳細(xì)信息,做到流量監(jiān)控可見、可溯。
3 應(yīng)用效果
(1)實現(xiàn)功能
·近十萬臺終端統(tǒng)一接入監(jiān)控與管理;
·實時感知單臺終端安全態(tài)勢,包括系統(tǒng)基線、流量監(jiān)控、行為監(jiān)控等;
·可視化平臺展示終端安全狀態(tài),實時告警與響應(yīng)安全異常;
·通過API接口對接企業(yè)管理平臺,提供終端安全狀態(tài)數(shù)據(jù)。
(2)防護(hù)效果
·發(fā)現(xiàn)和解決重大漏洞多個,終端危險系數(shù)大幅下降;
·發(fā)現(xiàn)異常登錄、流量異常近百起,終端正常運行率提升。
摘自《自動化博覽》2019年6月刊
北京市公安局海淀分局備案號:11010802023656號