西南交通大學是教育部直屬全國重點大學,國家首批“雙一流”“211工程”“特色985工程”“2011協同創新計劃”重點建設并設有研究生院的研究型大學,座落于中國歷史文化名城、國家中心城市——成都。現有九里、犀浦、峨眉三個校區,在校師生6萬余人。
隨著信息化的快速發展,網絡攻防的技術門檻不斷降低、攻擊方式呈現多樣化,特別是勒索病毒等未知威脅開始泛濫。面對新時代的網絡安全挑戰,西南交通大學如何保障6萬多在校師生上網的安全可靠性,避免惡意病毒感染,成為當下學校安全運維工作的重點。
銳捷網絡如何助力西南交大完成安全預警分析?故事要追溯到2018年。
(一)安全態勢感知平臺初體驗
早在2018年,西南交大網絡中心就部署了一套銳捷安全態勢感知平臺BDS,用它收集和標準化全網信息設備日志數據,構建安全大數據倉庫。通過BDS的大數據關聯建模分析,從海量數據中分析和定位出核心安全風險,幫助學校有效預防了潛在安全事件的發生。
近兩年,隨著網絡攻防技術的不斷發展,單純日志維度的分析能力日漸不能滿足學校對新型攻擊檢測和分析預警的需求。西南交大在原有安全態勢感知平臺的基礎上擴容了流量探針,對學校出口流量進行深度分析。“日志+流量”雙重維度的安全分析,發現很多學生終端感染了病毒,存在繼續橫向擴散的風險,很可能會成為“肉雞” (可以被黑客遠程控制的機器)。
但是,網絡“邊緣側”的安全依舊是監測的盲區,因為態勢感知與流量探針一般部署在中心機房,接入層的橫向感染不會上升到核心交換機。在理論上,可通過在每一臺接入交換機側部署一臺流量探針,但這樣投入巨大,不太可能落地。如何通過技術手段低成本實現橫向安全檢測,打破安全建設“重中心、輕邊緣”的屏障,就成為了西南交大亟需解決的一個難題。
(二)當態勢感知平臺與 sFlow交換機聯動
在這樣的情況下,銳捷提出對接學校已有交換機,識別橫向感染的“網絡+安全”方案。該方案不綁定品牌,只要支持sFlow協議的交換機即可構成該方案的組成部分,通過態勢感知平臺與 sFlow交換機聯動,實現全網節點安全監測,協助用戶完成勒索病毒1號病人分析定位,便于管理員及時采取對應的處置措施,將網絡安全風險扼殺在搖籃中。
西南交大綜合態勢感知平臺經過不斷升級和擴容,逐步給用戶帶來了“日志+流量”綜合態勢感知分析價值、聯動sFlow交換機橫向威脅檢測等價值,取得了一些實戰成果:
(1)通過對已接入的資產進行綜合管控與分析,為用戶提供加固整改建議,經過不斷加固和完善,目前整體安全度高達85分。
2)通過流量探針深度分析,發現一些學生終端中病毒,這引起了管理員的重視,是否存在大面積擴散的風險?通過設計采集樓層交換機的sFlow樣本進行橫向威脅分析,發現采集到的這臺主機正在擴散感染。進一步分析后,我們發現它正在感染的目標為8個IP地址。最終,找到了1號感染源及8個被擴散的主機,學校老師第一時間進行了清查。
定位1號感染源
識別出被感染目標
(三)網絡+安全,網絡更安全
以前對學校整網安全分析,基本很難實現,也不能快速進行病毒定位及分析,一旦發生安全事件,就需要耗費很長時間逐步排查,費時又費力。現在通過日志+流量綜合分析模式,并結合sFlow交換機聯動,只需要日常查看安全態勢感知平臺BDS的高危告警,即可完成全網風險評估及預警,同時也能快速溯源1號“病人”,有效防止了大面積擴散。
銳捷“網絡+安全”整網解決方案,讓交換等網絡設備都作為安全態勢感知的安全探針,同時發揮網絡SDN智能協防、網絡準入實名日志、網絡安全一體化運維的優勢,告別安全孤島,構建整網聯動的安全保障體系,實現安全預測、防護、分析和響應等安全問題自動化全流程閉環,充分滿足了各單位對等保2.0、網絡安全法的合規需求,讓網絡更安全。
