7月13日,2022北京網絡安全大會線上開幕,中國工程院院士、中央網信辦冬奧會網絡安全專家研判組組長方濱興,在開幕式&冬奧零事故峰會中發表“‘盾立方’網絡安全防御體系中的探查維度——‘四蜜’探查結構”主題演講。他表示,在北京冬奧的防護實踐中,以蜜點、蜜罐、蜜網、蜜洞形成的“四蜜”探查結構,助力發現威脅來源、跟蹤威脅行為,有效地應對APT等未知攻擊類型。
方濱興表示,常規的網絡攻擊具有系統滲透和系統壓制兩個維度,由此產生了三種攻擊形態:控制攻擊、試探攻擊與破壞性攻擊。與之相對應,常規的網絡安全防御模式分為自衛模式與護衛模式兩類,前者依靠自身強化安全以自衛,后者以外部協助防御來護衛。
他指出,在現代信息戰中,相比較完全的自衛模式,通過外置系統保護的護衛模式是更有效的根本模式。作為外置安全技術的“盾立方”,通過設伏探查技術設置相應陷阱發現異常,通過關聯分析技術確認攻擊嫌疑源頭,通過管控阻斷技術部署攔截點阻斷異常ip進入,進而形成了三維構造對外部威脅進行護衛。
方濱興分享道,“盾立方”的設伏探查主要靠“四蜜”實現,分為:蜜點、蜜罐、蜜網、蜜洞。“四蜜”結構有效地構建了核心更加強大的防護模式,有效應對APT等未知攻擊類型,在北京冬奧網絡防護中提供了強有力支撐。
“蜜點”是一組人為設置的網絡訪問點,部署在被保護系統的周邊,內部承載著防御者精心設置的“哨兵”進程,外部形態是被保護對象的仿真系統。當攻擊者實施滲透偵查活動時,將會無感記錄其探測行為。
“蜜網”是一個前置于被保護系統的應用網關(WAF)。被保護系統無條件只接受來自蜜網或者其他白名單中的訪問請求,并對白名單用戶的訪問過程進行記錄和審計。對外,被保護系統的域名所解析的地址都指向蜜網,外部訪問需要通過蜜網來進行。
“蜜罐”是被訪問系統的前置機,相當于被訪問系統的部分功能。對于牽引到蜜罐中的可疑目標對象,既能夠真實地提供初期的服務,還能夠觀察和分析其行為活動,若最終判定為良性用戶,則通過流量牽引到真實系統環境中。
“蜜洞”部署于靠近攻擊者側的真實網絡中。當檢測到疑似攻擊或非合規訪問時,蜜洞系統釋放溯源認證工具決定是否放行這一訪問,認證放行的前提是訪問者需要提供證明其來源和途徑的信息,即身份認證憑據。蜜洞部署提升了自動化攻擊的成本代價,一方面讓訪問者知曉面臨被溯源風險,從而形成威懾;另一方面,可以搜集關聯情報。
方濱興總結“四蜜”為具有一體化探查能力的結構,解決了想知道有什么問題、哪塊有問題的需求,通過冬奧網絡安全防護實踐,成為了“盾立方”中設伏探查的重要技術。
據冬奧網絡安全贊助商奇安信統計數據顯示,在冬奧會開始到冬殘奧會閉幕式結束期間,共檢測日志數量累積超1850億,日均檢測日志超37億,累計發現修復漏洞約5800個,發現惡意樣本54個,排查風險主機150臺,累積監測到各類網絡攻擊超3.8億次,跟蹤、研判、處置涉奧輿情和威脅事件105件,最終創造了冬奧歷史上首個網絡安全“零事故”的世界紀錄。
此前,北京網絡安全大會已連續成功舉辦三屆,代表了中國網絡安全的高水平和前沿聲音。2022年北京網絡安全大會采用“四地雙會場 動態召開”的創新模式,在北京、長沙、重慶和深圳四地,舉辦線上線下超融合的網絡安全大會。
