在剛剛圓滿結(jié)束的北京冬奧和冬殘奧會(huì)中,奇安信創(chuàng)造了奧運(yùn)會(huì)網(wǎng)絡(luò)安全“零事故”的世界記錄,取得了網(wǎng)絡(luò)安全“中國(guó)方案”的勝利。這份成功的背后離不開(kāi)監(jiān)管態(tài)勢(shì)感知、運(yùn)營(yíng)態(tài)勢(shì)感知、攻防態(tài)勢(shì)感知“三合一”實(shí)戰(zhàn)化態(tài)勢(shì)感知在冬奧舞臺(tái)上的“同框發(fā)力”。
天眼作為其中的攻防態(tài)勢(shì)感知,承擔(dān)著冬奧網(wǎng)絡(luò)安全“眼睛”的職責(zé),觸達(dá)冬奧在云上、云下的每個(gè)角落,包括兩個(gè)網(wǎng)絡(luò)中心、兩個(gè)數(shù)據(jù)中心、12個(gè)競(jìng)賽場(chǎng)館、26個(gè)非競(jìng)賽場(chǎng)館,以及給冬奧提供網(wǎng)絡(luò)及業(yè)務(wù)平臺(tái)支持的多家運(yùn)營(yíng)商、合作伙伴、外部單位等,第一時(shí)間“看到”任何的網(wǎng)絡(luò)異常行為,實(shí)現(xiàn)全天候、全方位的網(wǎng)絡(luò)威脅感知。
天眼在第一時(shí)間發(fā)現(xiàn)威脅后,將所有的告警信息上傳至運(yùn)營(yíng)態(tài)勢(shì)NGSOC系統(tǒng)。接著,安全運(yùn)營(yíng)人員將通過(guò)運(yùn)營(yíng)態(tài)勢(shì)NGSOC系統(tǒng)收集來(lái)的天眼告警信息,以及其他安全設(shè)備的告警日志、操作系統(tǒng)和應(yīng)用系統(tǒng)的日志,進(jìn)行分析研判。最終,安全運(yùn)營(yíng)人員分析研判后的結(jié)果將報(bào)送至作為“大腦”的監(jiān)管態(tài)勢(shì)感知平臺(tái),供TOC(技術(shù)運(yùn)行中心)、安全運(yùn)營(yíng)中心進(jìn)行監(jiān)管及查看指揮。
檢測(cè)APT,天眼永不缺席
Bvp47事件威脅全球網(wǎng)絡(luò)空間安全,國(guó)家間政治沖突演變的網(wǎng)絡(luò)攻防戰(zhàn)愈演愈烈,黑客的攻擊手段不斷演進(jìn)升級(jí)......作為全球矚目的奧運(yùn)會(huì),其相關(guān)的方方面面都可能受到各類網(wǎng)絡(luò)攻擊,尤其是APT威脅。
作為APT有效的克星,天眼能夠針對(duì)APT等高級(jí)網(wǎng)絡(luò)攻擊的全生命周期進(jìn)行全面、持續(xù)的檢測(cè)。在本次冬奧網(wǎng)絡(luò)安全保障中,作為“眼睛”的天眼,持續(xù)“靜默”守“崗”,實(shí)時(shí)動(dòng)態(tài)監(jiān)測(cè)威脅,有效發(fā)現(xiàn)包括Web攻擊、郵件攻擊、惡意軟件、0Day攻擊等各類安全威脅。
據(jù)統(tǒng)計(jì),冬奧會(huì)期間,天眼發(fā)現(xiàn)威脅告警5,008,746次、漏洞告警9,135次,威脅情報(bào)命中28,790次,發(fā)現(xiàn)惡意樣本數(shù)54個(gè)。
3月2日,Spring 官方發(fā)布技術(shù)開(kāi)發(fā)API 網(wǎng)關(guān)Spring Cloud Gateway存在高風(fēng)險(xiǎn)的遠(yuǎn)程代碼執(zhí)行漏洞,對(duì)于彼時(shí)如火如荼的冬奧來(lái)說(shuō),該漏洞可能對(duì)冬奧相關(guān)的網(wǎng)絡(luò)技術(shù)架構(gòu)有一定的安全威脅。而天眼在沒(méi)有更新規(guī)則之前,憑借JAVA通用代碼執(zhí)行漏洞的規(guī)則,可以識(shí)別出攻擊行為,再由分析人員對(duì)攻擊payload進(jìn)一步分析,就能定位到具體的漏洞。這與拿到漏洞細(xì)節(jié)才更新規(guī)則的檢測(cè)有本質(zhì)區(qū)別。也因此,天眼可以更加及時(shí)地通知到冬奧網(wǎng)絡(luò)安全分析人員關(guān)注此類告警,預(yù)防0day漏洞造成更大影響。
自動(dòng)化檢測(cè),看“清”看“透”云上云下各類威脅
冬奧分為“云上”和“云下”網(wǎng)絡(luò)安全環(huán)境,“云上”為兩個(gè)數(shù)據(jù)中心,主要信息系統(tǒng)均部署在云上數(shù)據(jù)中心;“云下”為12個(gè)競(jìng)賽場(chǎng)館、26個(gè)非競(jìng)賽場(chǎng)館、2個(gè)網(wǎng)絡(luò)中心,以及給冬奧提供網(wǎng)絡(luò)及業(yè)務(wù)平臺(tái)支持的多家運(yùn)營(yíng)商、合作伙伴、外部單位等。
為了滿足冬奧云上、云下復(fù)雜的業(yè)務(wù)及網(wǎng)絡(luò)環(huán)境,天眼采用“云地結(jié)合”級(jí)聯(lián)方案,實(shí)現(xiàn)全量采集冬奧云上東西南北全向流量以及地下各場(chǎng)館流量。
部署到冬奧云上、云下的天眼探針,將采集到的網(wǎng)絡(luò)流量通過(guò)自主研發(fā)的QNA大數(shù)據(jù)人工智能威脅檢測(cè)引擎解析成各種協(xié)議字段,通過(guò)數(shù)萬(wàn)條規(guī)則和百萬(wàn)級(jí)的威脅情報(bào)判斷解析后的流量中是否有攻擊行為。QNA引擎還會(huì)將網(wǎng)絡(luò)中傳輸?shù)母黝愇募M(jìn)行還原,投送到天眼沙箱中,判斷是否為惡意文件。最終,天眼分析平臺(tái)綜合各類告警信息進(jìn)行關(guān)聯(lián)分析,還原出攻擊鏈,可以用于監(jiān)測(cè)完整攻擊事件,尤其是針對(duì)APT攻擊事件有較好的檢測(cè)能力,還可以從攻擊鏈中發(fā)現(xiàn)未知威脅和0day攻擊。
以上由天眼第一時(shí)間檢測(cè)到的異常行為會(huì)形成告警,并自動(dòng)同步上報(bào)到運(yùn)營(yíng)態(tài)勢(shì)感知NGSOC系統(tǒng)進(jìn)行進(jìn)一步的人工分析和研判;流量日志仍存儲(chǔ)在天眼中,供分析研判人員深度溯源分析時(shí)提取。整個(gè)冬奧會(huì)期間,天眼總計(jì)產(chǎn)生告警日志53萬(wàn)條,流量日志總計(jì)1074億條。
當(dāng)分析人員需要對(duì)告警進(jìn)行詳細(xì)分析時(shí),通過(guò)天眼分析中心“按需提取”云上、云下分析平臺(tái)全量的網(wǎng)絡(luò)和主機(jī)行為日志、以及沙箱中的惡意樣本文件,結(jié)合威脅情報(bào)進(jìn)行深入的調(diào)查,并且利用搜索、統(tǒng)計(jì)、可視化關(guān)聯(lián)等方法和技術(shù),幫助其進(jìn)行溯源分析,呈現(xiàn)出完整的攻擊過(guò)程。
可以看出,攻防態(tài)勢(shì)感知對(duì)人依賴度很低,自動(dòng)化更強(qiáng)。在威脅檢測(cè)時(shí),攻防態(tài)勢(shì)感知天眼可以自動(dòng)檢測(cè)發(fā)現(xiàn)威脅、自動(dòng)上報(bào);當(dāng)需要分析研判時(shí),它會(huì)給分析人員提供數(shù)據(jù)支撐。
守好檢測(cè)關(guān)口,天眼以“奧運(yùn)品質(zhì)”交作業(yè)
冬奧一旦發(fā)生潛在危害網(wǎng)絡(luò)和信息系統(tǒng)的安全事件時(shí),如果不能夠及時(shí)發(fā)現(xiàn)、預(yù)警和響應(yīng)處置,對(duì)奧運(yùn)賽事的保障工作會(huì)造成特別重大的影響和損害,甚至可能影響比賽的順利進(jìn)行和比賽期間的社會(huì)秩序。
奇安信作為北京冬奧官方網(wǎng)絡(luò)安全服務(wù)和殺毒軟件贊助商,必須確保“零事故”。作為貼近威脅一線的“眼睛”,天眼也必須要做到冬奧全網(wǎng)的網(wǎng)絡(luò)威脅告警“纖毫畢現(xiàn)”,檢測(cè)速度“疾如雷電”。只有守好檢測(cè)這道關(guān)口,才能協(xié)同聯(lián)動(dòng)運(yùn)營(yíng)態(tài)勢(shì)感知、監(jiān)管態(tài)勢(shì)感知發(fā)揮更大的作用。
在守好檢測(cè)這道關(guān)口上,天眼為冬奧奉獻(xiàn)了一點(diǎn)綿薄之力,也收獲了一些成果:
1.發(fā)揚(yáng)奧運(yùn)品質(zhì),追求更短的威脅檢測(cè)和響應(yīng)時(shí)間
整個(gè)冬奧期間,天眼以“奧運(yùn)標(biāo)準(zhǔn)”要求自己,極大提升在冬奧中對(duì)未知威脅和攻擊的檢出效率,達(dá)到更高的準(zhǔn)確率和更低的誤報(bào)率。用全量數(shù)據(jù)支撐冬奧安全監(jiān)控中心溯源分析,讓攻擊過(guò)程原形畢露。最終,不斷縮短冬奧期間網(wǎng)絡(luò)威脅發(fā)現(xiàn)的平均檢測(cè)時(shí)間(MTTD)和平均響應(yīng)時(shí)間(MTTR)。
“冬奧‘零事故’,不是沒(méi)有安全風(fēng)險(xiǎn),而是及時(shí)將風(fēng)險(xiǎn)扼殺在搖籃里,避免了進(jìn)一步的事態(tài)蔓延,這也是奧運(yùn)品質(zhì)網(wǎng)絡(luò)安全的價(jià)值體現(xiàn)。天眼在其中發(fā)揮著很大作用,通過(guò)流量檢測(cè)全覆蓋,明察秋毫,不放過(guò)任何蛛絲馬跡;威脅發(fā)現(xiàn)及時(shí),縮短威脅響應(yīng)時(shí)間;響應(yīng)時(shí)間縮短,威脅產(chǎn)生的影響自然就微乎其微。”奇安信冬奧保障總架構(gòu)師尹智清表示。
天眼網(wǎng)絡(luò)安全態(tài)勢(shì)大屏
2.“云地結(jié)合”敏捷級(jí)聯(lián)方案,降本增效,增強(qiáng)云上威脅發(fā)現(xiàn)能力
為了滿足冬奧云上、云下復(fù)雜的業(yè)務(wù)及網(wǎng)絡(luò)環(huán)境,天眼采用“云地結(jié)合”級(jí)聯(lián)方案,云上、云下異地分布存儲(chǔ),在不影響威脅管理及響應(yīng)的前提下,實(shí)現(xiàn)天眼分析中心按需、實(shí)時(shí)提取云上及云下的安全數(shù)據(jù)。整個(gè)全流量采集方案,在極大降低安全成本的同時(shí),也大大提升冬奧云上安全感知能力,促成百年奧運(yùn)史上第一個(gè)“云上奧運(yùn)”的安全誕生。
“盡管冬奧在云上的網(wǎng)絡(luò)流量首先會(huì)經(jīng)過(guò)云廠商WAF設(shè)備,一部分Web類攻擊會(huì)在這里被監(jiān)測(cè)和阻斷。但我認(rèn)為并不足夠,云天眼會(huì)作為第二道關(guān)卡的守門員,對(duì)APT攻擊和惡意文件威脅進(jìn)行進(jìn)一步分析和識(shí)別,做到萬(wàn)無(wú)一失。”冬奧網(wǎng)絡(luò)安全專家李洪亮提到。
3. 關(guān)鍵技術(shù)實(shí)現(xiàn)精準(zhǔn)自動(dòng)化檢測(cè),狙擊0Day、APT
天眼深度融合奇安信自身強(qiáng)大的威脅情報(bào),并通過(guò)大數(shù)據(jù)、人工智能等技術(shù)自動(dòng)化檢測(cè)威脅,實(shí)現(xiàn)對(duì)新場(chǎng)景下APT攻擊、0Day攻擊的及時(shí)發(fā)現(xiàn)。
“這只眼睛很精準(zhǔn)。天眼從流量上幫助我們精準(zhǔn)發(fā)現(xiàn)各種威脅,無(wú)論是針對(duì)DGA域名、DNS隧道攻擊,還是APT攻擊”,冬奧網(wǎng)絡(luò)安全監(jiān)控值班經(jīng)理初雪峰這樣評(píng)價(jià)天眼。
結(jié)語(yǔ):
當(dāng)然,也許和大腦比起來(lái),眼睛確實(shí)不是最核心的器官。但是在整個(gè)冬奧中,天眼作為“眼睛”,一直在以自動(dòng)化網(wǎng)絡(luò)攻擊檢測(cè)默默貢獻(xiàn)自己的綿薄之力,與前線安服和應(yīng)急團(tuán)隊(duì)環(huán)環(huán)相扣、無(wú)縫協(xié)作,將威脅發(fā)現(xiàn)、研判分析、溯源處置等時(shí)間壓縮再壓縮,與公司一起創(chuàng)造奧運(yùn)“零事故”,也許是天眼最大的收獲和價(jià)值。
