7月13日,2022北京網(wǎng)絡(luò)安全大會(huì)線上開(kāi)幕,中國(guó)工程院院士、中央網(wǎng)信辦冬奧會(huì)網(wǎng)絡(luò)安全專(zhuān)家研判組組長(zhǎng)方濱興,在開(kāi)幕式&冬奧零事故峰會(huì)中發(fā)表“‘盾立方’網(wǎng)絡(luò)安全防御體系中的探查維度——‘四蜜’探查結(jié)構(gòu)”主題演講。他表示,在北京冬奧的防護(hù)實(shí)踐中,以蜜點(diǎn)、蜜罐、蜜網(wǎng)、蜜洞形成的“四蜜”探查結(jié)構(gòu),助力發(fā)現(xiàn)威脅來(lái)源、跟蹤威脅行為,有效地應(yīng)對(duì)APT等未知攻擊類(lèi)型。
方濱興表示,常規(guī)的網(wǎng)絡(luò)攻擊具有系統(tǒng)滲透和系統(tǒng)壓制兩個(gè)維度,由此產(chǎn)生了三種攻擊形態(tài):控制攻擊、試探攻擊與破壞性攻擊。與之相對(duì)應(yīng),常規(guī)的網(wǎng)絡(luò)安全防御模式分為自衛(wèi)模式與護(hù)衛(wèi)模式兩類(lèi),前者依靠自身強(qiáng)化安全以自衛(wèi),后者以外部協(xié)助防御來(lái)護(hù)衛(wèi)。
他指出,在現(xiàn)代信息戰(zhàn)中,相比較完全的自衛(wèi)模式,通過(guò)外置系統(tǒng)保護(hù)的護(hù)衛(wèi)模式是更有效的根本模式。作為外置安全技術(shù)的“盾立方”,通過(guò)設(shè)伏探查技術(shù)設(shè)置相應(yīng)陷阱發(fā)現(xiàn)異常,通過(guò)關(guān)聯(lián)分析技術(shù)確認(rèn)攻擊嫌疑源頭,通過(guò)管控阻斷技術(shù)部署攔截點(diǎn)阻斷異常ip進(jìn)入,進(jìn)而形成了三維構(gòu)造對(duì)外部威脅進(jìn)行護(hù)衛(wèi)。
方濱興分享道,“盾立方”的設(shè)伏探查主要靠“四蜜”實(shí)現(xiàn),分為:蜜點(diǎn)、蜜罐、蜜網(wǎng)、蜜洞。“四蜜”結(jié)構(gòu)有效地構(gòu)建了核心更加強(qiáng)大的防護(hù)模式,有效應(yīng)對(duì)APT等未知攻擊類(lèi)型,在北京冬奧網(wǎng)絡(luò)防護(hù)中提供了強(qiáng)有力支撐。
“蜜點(diǎn)”是一組人為設(shè)置的網(wǎng)絡(luò)訪問(wèn)點(diǎn),部署在被保護(hù)系統(tǒng)的周邊,內(nèi)部承載著防御者精心設(shè)置的“哨兵”進(jìn)程,外部形態(tài)是被保護(hù)對(duì)象的仿真系統(tǒng)。當(dāng)攻擊者實(shí)施滲透?jìng)刹榛顒?dòng)時(shí),將會(huì)無(wú)感記錄其探測(cè)行為。
“蜜網(wǎng)”是一個(gè)前置于被保護(hù)系統(tǒng)的應(yīng)用網(wǎng)關(guān)(WAF)。被保護(hù)系統(tǒng)無(wú)條件只接受來(lái)自蜜網(wǎng)或者其他白名單中的訪問(wèn)請(qǐng)求,并對(duì)白名單用戶(hù)的訪問(wèn)過(guò)程進(jìn)行記錄和審計(jì)。對(duì)外,被保護(hù)系統(tǒng)的域名所解析的地址都指向蜜網(wǎng),外部訪問(wèn)需要通過(guò)蜜網(wǎng)來(lái)進(jìn)行。
“蜜罐”是被訪問(wèn)系統(tǒng)的前置機(jī),相當(dāng)于被訪問(wèn)系統(tǒng)的部分功能。對(duì)于牽引到蜜罐中的可疑目標(biāo)對(duì)象,既能夠真實(shí)地提供初期的服務(wù),還能夠觀察和分析其行為活動(dòng),若最終判定為良性用戶(hù),則通過(guò)流量牽引到真實(shí)系統(tǒng)環(huán)境中。
“蜜洞”部署于靠近攻擊者側(cè)的真實(shí)網(wǎng)絡(luò)中。當(dāng)檢測(cè)到疑似攻擊或非合規(guī)訪問(wèn)時(shí),蜜洞系統(tǒng)釋放溯源認(rèn)證工具決定是否放行這一訪問(wèn),認(rèn)證放行的前提是訪問(wèn)者需要提供證明其來(lái)源和途徑的信息,即身份認(rèn)證憑據(jù)。蜜洞部署提升了自動(dòng)化攻擊的成本代價(jià),一方面讓訪問(wèn)者知曉面臨被溯源風(fēng)險(xiǎn),從而形成威懾;另一方面,可以搜集關(guān)聯(lián)情報(bào)。
方濱興總結(jié)“四蜜”為具有一體化探查能力的結(jié)構(gòu),解決了想知道有什么問(wèn)題、哪塊有問(wèn)題的需求,通過(guò)冬奧網(wǎng)絡(luò)安全防護(hù)實(shí)踐,成為了“盾立方”中設(shè)伏探查的重要技術(shù)。
據(jù)冬奧網(wǎng)絡(luò)安全贊助商奇安信統(tǒng)計(jì)數(shù)據(jù)顯示,在冬奧會(huì)開(kāi)始到冬殘奧會(huì)閉幕式結(jié)束期間,共檢測(cè)日志數(shù)量累積超1850億,日均檢測(cè)日志超37億,累計(jì)發(fā)現(xiàn)修復(fù)漏洞約5800個(gè),發(fā)現(xiàn)惡意樣本54個(gè),排查風(fēng)險(xiǎn)主機(jī)150臺(tái),累積監(jiān)測(cè)到各類(lèi)網(wǎng)絡(luò)攻擊超3.8億次,跟蹤、研判、處置涉奧輿情和威脅事件105件,最終創(chuàng)造了冬奧歷史上首個(gè)網(wǎng)絡(luò)安全“零事故”的世界紀(jì)錄。
此前,北京網(wǎng)絡(luò)安全大會(huì)已連續(xù)成功舉辦三屆,代表了中國(guó)網(wǎng)絡(luò)安全的高水平和前沿聲音。2022年北京網(wǎng)絡(luò)安全大會(huì)采用“四地雙會(huì)場(chǎng) 動(dòng)態(tài)召開(kāi)”的創(chuàng)新模式,在北京、長(zhǎng)沙、重慶和深圳四地,舉辦線上線下超融合的網(wǎng)絡(luò)安全大會(huì)。
