在剛剛圓滿結束的北京冬奧和冬殘奧會中,奇安信創造了奧運會網絡安全“零事故”的世界記錄,取得了網絡安全“中國方案”的勝利。這份成功的背后離不開監管態勢感知、運營態勢感知、攻防態勢感知“三合一”實戰化態勢感知在冬奧舞臺上的“同框發力”。
天眼作為其中的攻防態勢感知,承擔著冬奧網絡安全“眼睛”的職責,觸達冬奧在云上、云下的每個角落,包括兩個網絡中心、兩個數據中心、12個競賽場館、26個非競賽場館,以及給冬奧提供網絡及業務平臺支持的多家運營商、合作伙伴、外部單位等,第一時間“看到”任何的網絡異常行為,實現全天候、全方位的網絡威脅感知。
天眼在第一時間發現威脅后,將所有的告警信息上傳至運營態勢NGSOC系統。接著,安全運營人員將通過運營態勢NGSOC系統收集來的天眼告警信息,以及其他安全設備的告警日志、操作系統和應用系統的日志,進行分析研判。最終,安全運營人員分析研判后的結果將報送至作為“大腦”的監管態勢感知平臺,供TOC(技術運行中心)、安全運營中心進行監管及查看指揮。
檢測APT,天眼永不缺席
Bvp47事件威脅全球網絡空間安全,國家間政治沖突演變的網絡攻防戰愈演愈烈,黑客的攻擊手段不斷演進升級......作為全球矚目的奧運會,其相關的方方面面都可能受到各類網絡攻擊,尤其是APT威脅。
作為APT有效的克星,天眼能夠針對APT等高級網絡攻擊的全生命周期進行全面、持續的檢測。在本次冬奧網絡安全保障中,作為“眼睛”的天眼,持續“靜默”守“崗”,實時動態監測威脅,有效發現包括Web攻擊、郵件攻擊、惡意軟件、0Day攻擊等各類安全威脅。
據統計,冬奧會期間,天眼發現威脅告警5,008,746次、漏洞告警9,135次,威脅情報命中28,790次,發現惡意樣本數54個。
3月2日,Spring 官方發布技術開發API 網關Spring Cloud Gateway存在高風險的遠程代碼執行漏洞,對于彼時如火如荼的冬奧來說,該漏洞可能對冬奧相關的網絡技術架構有一定的安全威脅。而天眼在沒有更新規則之前,憑借JAVA通用代碼執行漏洞的規則,可以識別出攻擊行為,再由分析人員對攻擊payload進一步分析,就能定位到具體的漏洞。這與拿到漏洞細節才更新規則的檢測有本質區別。也因此,天眼可以更加及時地通知到冬奧網絡安全分析人員關注此類告警,預防0day漏洞造成更大影響。
自動化檢測,看“清”看“透”云上云下各類威脅
冬奧分為“云上”和“云下”網絡安全環境,“云上”為兩個數據中心,主要信息系統均部署在云上數據中心;“云下”為12個競賽場館、26個非競賽場館、2個網絡中心,以及給冬奧提供網絡及業務平臺支持的多家運營商、合作伙伴、外部單位等。
為了滿足冬奧云上、云下復雜的業務及網絡環境,天眼采用“云地結合”級聯方案,實現全量采集冬奧云上東西南北全向流量以及地下各場館流量。
部署到冬奧云上、云下的天眼探針,將采集到的網絡流量通過自主研發的QNA大數據人工智能威脅檢測引擎解析成各種協議字段,通過數萬條規則和百萬級的威脅情報判斷解析后的流量中是否有攻擊行為。QNA引擎還會將網絡中傳輸的各類文件進行還原,投送到天眼沙箱中,判斷是否為惡意文件。最終,天眼分析平臺綜合各類告警信息進行關聯分析,還原出攻擊鏈,可以用于監測完整攻擊事件,尤其是針對APT攻擊事件有較好的檢測能力,還可以從攻擊鏈中發現未知威脅和0day攻擊。
以上由天眼第一時間檢測到的異常行為會形成告警,并自動同步上報到運營態勢感知NGSOC系統進行進一步的人工分析和研判;流量日志仍存儲在天眼中,供分析研判人員深度溯源分析時提取。整個冬奧會期間,天眼總計產生告警日志53萬條,流量日志總計1074億條。
當分析人員需要對告警進行詳細分析時,通過天眼分析中心“按需提取”云上、云下分析平臺全量的網絡和主機行為日志、以及沙箱中的惡意樣本文件,結合威脅情報進行深入的調查,并且利用搜索、統計、可視化關聯等方法和技術,幫助其進行溯源分析,呈現出完整的攻擊過程。
可以看出,攻防態勢感知對人依賴度很低,自動化更強。在威脅檢測時,攻防態勢感知天眼可以自動檢測發現威脅、自動上報;當需要分析研判時,它會給分析人員提供數據支撐。
守好檢測關口,天眼以“奧運品質”交作業
冬奧一旦發生潛在危害網絡和信息系統的安全事件時,如果不能夠及時發現、預警和響應處置,對奧運賽事的保障工作會造成特別重大的影響和損害,甚至可能影響比賽的順利進行和比賽期間的社會秩序。
奇安信作為北京冬奧官方網絡安全服務和殺毒軟件贊助商,必須確保“零事故”。作為貼近威脅一線的“眼睛”,天眼也必須要做到冬奧全網的網絡威脅告警“纖毫畢現”,檢測速度“疾如雷電”。只有守好檢測這道關口,才能協同聯動運營態勢感知、監管態勢感知發揮更大的作用。
在守好檢測這道關口上,天眼為冬奧奉獻了一點綿薄之力,也收獲了一些成果:
1.發揚奧運品質,追求更短的威脅檢測和響應時間
整個冬奧期間,天眼以“奧運標準”要求自己,極大提升在冬奧中對未知威脅和攻擊的檢出效率,達到更高的準確率和更低的誤報率。用全量數據支撐冬奧安全監控中心溯源分析,讓攻擊過程原形畢露。最終,不斷縮短冬奧期間網絡威脅發現的平均檢測時間(MTTD)和平均響應時間(MTTR)。
“冬奧‘零事故’,不是沒有安全風險,而是及時將風險扼殺在搖籃里,避免了進一步的事態蔓延,這也是奧運品質網絡安全的價值體現。天眼在其中發揮著很大作用,通過流量檢測全覆蓋,明察秋毫,不放過任何蛛絲馬跡;威脅發現及時,縮短威脅響應時間;響應時間縮短,威脅產生的影響自然就微乎其微。”奇安信冬奧保障總架構師尹智清表示。
天眼網絡安全態勢大屏
2.“云地結合”敏捷級聯方案,降本增效,增強云上威脅發現能力
為了滿足冬奧云上、云下復雜的業務及網絡環境,天眼采用“云地結合”級聯方案,云上、云下異地分布存儲,在不影響威脅管理及響應的前提下,實現天眼分析中心按需、實時提取云上及云下的安全數據。整個全流量采集方案,在極大降低安全成本的同時,也大大提升冬奧云上安全感知能力,促成百年奧運史上第一個“云上奧運”的安全誕生。
“盡管冬奧在云上的網絡流量首先會經過云廠商WAF設備,一部分Web類攻擊會在這里被監測和阻斷。但我認為并不足夠,云天眼會作為第二道關卡的守門員,對APT攻擊和惡意文件威脅進行進一步分析和識別,做到萬無一失。”冬奧網絡安全專家李洪亮提到。
3. 關鍵技術實現精準自動化檢測,狙擊0Day、APT
天眼深度融合奇安信自身強大的威脅情報,并通過大數據、人工智能等技術自動化檢測威脅,實現對新場景下APT攻擊、0Day攻擊的及時發現。
“這只眼睛很精準。天眼從流量上幫助我們精準發現各種威脅,無論是針對DGA域名、DNS隧道攻擊,還是APT攻擊”,冬奧網絡安全監控值班經理初雪峰這樣評價天眼。
結語:
當然,也許和大腦比起來,眼睛確實不是最核心的器官。但是在整個冬奧中,天眼作為“眼睛”,一直在以自動化網絡攻擊檢測默默貢獻自己的綿薄之力,與前線安服和應急團隊環環相扣、無縫協作,將威脅發現、研判分析、溯源處置等時間壓縮再壓縮,與公司一起創造奧運“零事故”,也許是天眼最大的收獲和價值。
