7月13日,2022北京網(wǎng)絡(luò)安全大會線上開幕,中國工程院院士、中央網(wǎng)信辦冬奧會網(wǎng)絡(luò)安全專家研判組組長方濱興,在開幕式&冬奧零事故峰會中發(fā)表“‘盾立方’網(wǎng)絡(luò)安全防御體系中的探查維度——‘四蜜’探查結(jié)構(gòu)”主題演講。他表示,在北京冬奧的防護(hù)實(shí)踐中,以蜜點(diǎn)、蜜罐、蜜網(wǎng)、蜜洞形成的“四蜜”探查結(jié)構(gòu),助力發(fā)現(xiàn)威脅來源、跟蹤威脅行為,有效地應(yīng)對APT等未知攻擊類型。
方濱興表示,常規(guī)的網(wǎng)絡(luò)攻擊具有系統(tǒng)滲透和系統(tǒng)壓制兩個維度,由此產(chǎn)生了三種攻擊形態(tài):控制攻擊、試探攻擊與破壞性攻擊。與之相對應(yīng),常規(guī)的網(wǎng)絡(luò)安全防御模式分為自衛(wèi)模式與護(hù)衛(wèi)模式兩類,前者依靠自身強(qiáng)化安全以自衛(wèi),后者以外部協(xié)助防御來護(hù)衛(wèi)。
他指出,在現(xiàn)代信息戰(zhàn)中,相比較完全的自衛(wèi)模式,通過外置系統(tǒng)保護(hù)的護(hù)衛(wèi)模式是更有效的根本模式。作為外置安全技術(shù)的“盾立方”,通過設(shè)伏探查技術(shù)設(shè)置相應(yīng)陷阱發(fā)現(xiàn)異常,通過關(guān)聯(lián)分析技術(shù)確認(rèn)攻擊嫌疑源頭,通過管控阻斷技術(shù)部署攔截點(diǎn)阻斷異常ip進(jìn)入,進(jìn)而形成了三維構(gòu)造對外部威脅進(jìn)行護(hù)衛(wèi)。
方濱興分享道,“盾立方”的設(shè)伏探查主要靠“四蜜”實(shí)現(xiàn),分為:蜜點(diǎn)、蜜罐、蜜網(wǎng)、蜜洞。“四蜜”結(jié)構(gòu)有效地構(gòu)建了核心更加強(qiáng)大的防護(hù)模式,有效應(yīng)對APT等未知攻擊類型,在北京冬奧網(wǎng)絡(luò)防護(hù)中提供了強(qiáng)有力支撐。
“蜜點(diǎn)”是一組人為設(shè)置的網(wǎng)絡(luò)訪問點(diǎn),部署在被保護(hù)系統(tǒng)的周邊,內(nèi)部承載著防御者精心設(shè)置的“哨兵”進(jìn)程,外部形態(tài)是被保護(hù)對象的仿真系統(tǒng)。當(dāng)攻擊者實(shí)施滲透偵查活動時,將會無感記錄其探測行為。
“蜜網(wǎng)”是一個前置于被保護(hù)系統(tǒng)的應(yīng)用網(wǎng)關(guān)(WAF)。被保護(hù)系統(tǒng)無條件只接受來自蜜網(wǎng)或者其他白名單中的訪問請求,并對白名單用戶的訪問過程進(jìn)行記錄和審計。對外,被保護(hù)系統(tǒng)的域名所解析的地址都指向蜜網(wǎng),外部訪問需要通過蜜網(wǎng)來進(jìn)行。
“蜜罐”是被訪問系統(tǒng)的前置機(jī),相當(dāng)于被訪問系統(tǒng)的部分功能。對于牽引到蜜罐中的可疑目標(biāo)對象,既能夠真實(shí)地提供初期的服務(wù),還能夠觀察和分析其行為活動,若最終判定為良性用戶,則通過流量牽引到真實(shí)系統(tǒng)環(huán)境中。
“蜜洞”部署于靠近攻擊者側(cè)的真實(shí)網(wǎng)絡(luò)中。當(dāng)檢測到疑似攻擊或非合規(guī)訪問時,蜜洞系統(tǒng)釋放溯源認(rèn)證工具決定是否放行這一訪問,認(rèn)證放行的前提是訪問者需要提供證明其來源和途徑的信息,即身份認(rèn)證憑據(jù)。蜜洞部署提升了自動化攻擊的成本代價,一方面讓訪問者知曉面臨被溯源風(fēng)險,從而形成威懾;另一方面,可以搜集關(guān)聯(lián)情報。
方濱興總結(jié)“四蜜”為具有一體化探查能力的結(jié)構(gòu),解決了想知道有什么問題、哪塊有問題的需求,通過冬奧網(wǎng)絡(luò)安全防護(hù)實(shí)踐,成為了“盾立方”中設(shè)伏探查的重要技術(shù)。
據(jù)冬奧網(wǎng)絡(luò)安全贊助商奇安信統(tǒng)計數(shù)據(jù)顯示,在冬奧會開始到冬殘奧會閉幕式結(jié)束期間,共檢測日志數(shù)量累積超1850億,日均檢測日志超37億,累計發(fā)現(xiàn)修復(fù)漏洞約5800個,發(fā)現(xiàn)惡意樣本54個,排查風(fēng)險主機(jī)150臺,累積監(jiān)測到各類網(wǎng)絡(luò)攻擊超3.8億次,跟蹤、研判、處置涉奧輿情和威脅事件105件,最終創(chuàng)造了冬奧歷史上首個網(wǎng)絡(luò)安全“零事故”的世界紀(jì)錄。
此前,北京網(wǎng)絡(luò)安全大會已連續(xù)成功舉辦三屆,代表了中國網(wǎng)絡(luò)安全的高水平和前沿聲音。2022年北京網(wǎng)絡(luò)安全大會采用“四地雙會場 動態(tài)召開”的創(chuàng)新模式,在北京、長沙、重慶和深圳四地,舉辦線上線下超融合的網(wǎng)絡(luò)安全大會。
