為實現冬奧「零事故」目標,奇安信在冬奧安保中部署了14個具備實戰攻防和安全運營能力的創新安全產品,為冬奧網絡築起最堅實的安全防線,保障北京冬奧網絡系統安全運行。
在BCS2022系列活動冬奧網絡安全「零事故」宣講周中,14款涉奧安全產品作為「冬奧遺產」,壓軸亮相於「網絡安全創新產品推介會」。今天讓我們一文了解支撐冬奧網絡安全「零事故」的「中國產品」:
冬奧終端作為冬奧系統的神經末梢,包括賽事終端、辦公終端、運維終端、證件查驗終端、打印掃描設備等多個類型,總計一萬多台,每台冬奧終端都發揮着重要作用。奇安信對分散在306個地點的一萬多台不同類型的冬奧終端提供了全面保護,成功防禦5847次惡意軟件、423次惡意DNS、326次非法終端接入等各類攻擊。兌現終端安全「零事故」承諾的關鍵就是奇安信終端安全新方案——「體系化防禦,數字化運營」。方案以確保各類終端「可信、合規、安全」為核心目標,通過「體系化防禦」健全終端安全能力,運用「數字化運營」保障終端安全效果,幫助客戶真正構建起持續有效的終端安全能力,確保各類終端都能安全、合規地訪問業務和數據。在需要安全快速互聯多種設施、保證眾多時效性高要求的業務系統具有連續性以及及時發現隱藏的安全風險的三大挑戰下,邊界組網優化與SSL解密產品應運而生。
在冬奧網絡安全中,邊界組網優化,通過流量編排輕鬆實現了靈活組網,簡便運維,利舊設備使用,業務割接不中斷。通過自研的服務鏈編排引擎,實現按需將不同的業務流量編排到指定的安全設備上處理。
同時,其業務設備旁掛部署影響小,安全編排高靈活,可以實現威脅的及時發現與阻斷,解決漏洞內利用問題。在服務鏈做流量編排時,還具備負載均衡和業務探測功能,能夠根據業務情況及時調整流量走向。
高性能SSL解密,解決了互聯網的加密流量和純軟件解密引擎性能有限的問題,通過添加硬件解密卡使解密性能有所提升。其中,奇安信網神防火牆不僅搭載了硬件解密卡,同時使用異步調用技術,實現解密能力10.6倍的提升,改變了傳統邊界安全架構,重塑邊界安全防護體系,為冬奧提供更加智能、動態的安全防護。在流量層面,通過虛擬補丁機制對已知漏洞進行防禦及緩解;;在中間件層面,支持加密流量檢測,對傳統的web攻擊進行有效防護;在語言解釋器層面,通過運行時應用自防護(RASP) 插件,對反序列化、內存webshell等近年來高發漏洞及新型攻擊手段進行高效防護,實現對多種類型0day漏洞的有效防禦;;在系統層面,通過系統加固對系統關鍵文件、註冊表項進行監控保護,利用應用白名單對未知程序的啟動進行防護。
奇安信服務器安全管理系統在冬奧運行期的主要職責包括:服務器防病毒、入侵防禦、威脅監測。針對服務器側的特殊性,業務優先原則,創新性地採用了本地查殺+控制台查殺雙模式可切換的病毒查殺模式,適合於刨除業務自身對系統資源消耗外服務器剩餘系統資源相對充沛的場景,適合於服務器剩餘系統資源相對緊張的場景。
此外,在冬奧項目中,服務器側實現了在奇安信產品體系內的協防及聯動。將安全設備像業務服務器一樣進行覆蓋納管,予以更嚴格及有針對性的安全策略,保證安全設備自身的安全性。對主機側的命令執行、網絡外連、文件創建等全量行為進行監控採集,實時傳輸給NGSOC平台,並且對兩邊日誌發送及接收的數據量進行校準。在發現新漏洞時,實現漏洞資產快速排查,在短時間內快速確定受到漏洞影響的資產範圍。在本次冬奧會安全保障工作中,奇安信建立了以NGSOC為核心的安全運營和指揮協同體系,它圍繞ASA自適應安全框架,在防禦、檢測、響應、預警和持續監測5個維度構建核心安全能力。NGSOC平台在保障工作中發揮了關鍵作用,指導了冬奧會安全運營工作的有序開展,並積累了豐富的成功經驗。
在冬奧網絡安全中,NGSOC作為核心監控平台,對冬奧網絡實現了全局監控、響應處置、事件上報和閉環管理,監控範圍覆蓋了網絡中心、數據中心、12個競賽場館、21個非競賽場館和200多個基礎設施。
目前,冬奧會安全運營與協同指揮體系的建設模式已獲得多家大型政企機構認可,並希望參考該模式建設本地的安全運營中心。北京冬奧會網絡安全保障過程中,奇安信在冬奧奧組委及央辦的指導和指揮下,構建並運營了冬奧三級研判指揮體系:
一級是安全監控,實現日常安全運營閉環;
二級態勢感知,實現重保分析研判工作;
三級研判指揮,以國家院士級視角進行冬奧決策指揮工作。
在產品方面,北京冬奧會是首次將「大禹」安全中台應用於國家級態勢感知指揮平台,大幅度提升安全建設、安全管理和安全運行的效率。首先以平台化思維,構建能力基座:整合數據、技術、服務能力,體系化輸出安全能力;在操作層面,實現了業務功能、分析功能、運營功能,統一了開發框架,便於更靈活地應用於實戰;奇安信上網行為管理,在應用協議庫、URL分類庫領域有着多年的積累,URL數據庫規模達到2.8億,應用協議庫收錄了超過12,000個互聯網應用的特徵,對於特徵庫無法覆蓋的部分,提供了靈活多樣的自定義手段。
在冬奧網絡安全保障工作中,行為安全品類中的上網行為管理(ICG)、Web安全網關(SWG)兩個產品是網絡縱深防禦體系中的重要一環。在主(備)網絡中心PNC/SNC,ICG、SWG均通過負載的方式「物理旁掛、邏輯串接」在核心防火牆上作為安全編排域的安全資源池,通過服務鏈編排的方式對互聯網出向流量進行細粒度的管控,提供了更高的靈活性、可靠性,既能夠滿足負載均衡擴展的需要。此外,針對冬奧互聯網出口的外聯需求極其複雜的問題,行為安全產品通過「白名單」機制實現對出向流量的精準管控,杜絕未知外聯。
冬奧密碼專項實現了高安全(等保三級),高複雜環境(國內外、雲與本地),密碼與網絡安全密切配合的密碼服務能力,成為今後密碼項目的標杆。項目遵循「冬奧網絡安全總體規劃」、等保三級和密評安全三級的設計要求,方案先後通過多輪專家評審和安全評測;密碼作為基礎設施,是冬奧第一個上線的安全專項,也先於所有的信息系統上線;冬奧密碼專項能容納50+以上信息系統的密鑰管理,實現了密鑰集中統一管理,充分考慮了可靠性、安全性、容災備份等設計。冬奧期間,天眼系統作為「三合一」實戰化態勢感知(指揮態勢、運營態勢、攻防態勢)重要組成部分,結合「運營態勢」、「指揮態勢」 實現「三級態勢建設」在大型項目中首次成功落地實踐。
冬奧期間,天眼系統有關冬奧期間的處理流量日誌數累計達到了1千多億條;發現威脅告警數達500多萬次;惡意樣本數54個;漏洞數九千多個;APT組織攻擊嗅探2萬8千多次等等。這些真實的統計數字表明,天眼在冬奧整體安全保障上起到了真正的實戰態勢感知效果。
第一是體現在持續的威脅發現方面,做到了實時、主動的檢測告警,
第二是,完全自動化的檢測發現威脅,自動上報,整個過程極大地降低對人依賴度,使得冬奧期間短時、高強度的攻防環境中得以有效保障。
最後藉助全網流量的採集處理,為針對部分高級威脅事件的深度分析提供了強有力的數據支撐。
「天眼就像攝像頭,能持續錄製犯罪過程,警察查看的時候隨時可以回放,而防火牆、WAF等安全設備是相機,只能記錄某個時刻,單靠日誌分析還是不夠。」產品安全自查架構是一款縱深防禦體系,依據自身安全性、功能兼容性和產品完整性的原則,對在冬奧安保部署的9大類、55款、813台安全設備和涉奧產品進行部署前檢查。該系統共有高強度自檢、兼容性測試、高強度自檢和完整性驗證這三道防線。
在冬奧安保中,該架構部署了五大安全能力研究團隊,300餘人進行漏洞挖掘。在高強度自檢中,它採用黑白灰盒安全測試方法,利用安全測試矩陣,以常規安全提測模式,開展13個安全專項,發現了5782個安全漏洞。在後兩道防線中,以冬奧1:1環境測試,進行產品兼容測試,審核人員check測試結論,並進行產品測試結論同步和產品升級包清單清點,對涉奧產品通過代碼衛士進行靜態代碼掃描修復高危漏洞,通過開源衛士進行第三方組件掃描。
針對冬奧的業務目標和安全目標,身份安全採用了基於零信任的身份安全能力架構,包括自適應認證、動態授權、統一身份管理、身份分析這四大能力,通過持續的身份運營服務確保對身份的安全管控。
奇安信零信任網絡訪問方案,從身份風險、終端風險、網絡風險、權限和數據風險5個維度,全面構建從業務到應用的端到端的安全防護能力,通過便捷的運維管理能力和動態訪問控制機制,確保零信任的防護效果落實在業務運行的各個階段。冬奧安保中,根據奧組委的安全建議和業務情況,設計了從身份管理、認證、權限控制的多層級管理機制。此外,在打通了身份信息孤島,提升用戶體驗的同時,降低了賬號安全風險,減少管理漏洞,降低管理運維成本。天狗技術擁有能下探到內存指令層的檢測能力,可以將傳統的基於文件、進程的權限控制能力,升級為基於指令執行序列的權限控制能力,解決了可信程序被惡意利用的問題,在數據安全場景下能夠發揮至關重要的作用。在整個漏洞攻擊過程中,天狗技術可以有效定位漏洞所在位置,也可以捕獲漏洞攻擊代碼,能夠定位到具體發生漏洞攻擊的代碼指令,並使整個攻擊過程「可視化」。此外,天狗技術利用了CPU硬件提供的分支指令記錄能力,採集並生成一個實際發生的指令調用序列表,規避了傳統技術存在的容易被繞過的問題,從而發現真實的系統風險。
在冬奧保障中,天狗技術採用了「非白即黑」的策略,利用機器學習與智能採集技術,學習並採集系統中所有可能存在被利用風險的程序的指令序列,並構造成「指令序列白名單」。同時結合內存指令檢測能力,利用已知發現未知,從而解決未知漏洞攻擊問題,在冬奧保障中發揮了重要的作用。此外,天狗技術告警匯聚到統一的終端管理平台,與其它產品形成互補,統一在端側進行防禦,在未知漏洞攻擊防護方面發揮了重要作用,是補齊防禦木桶的最後一塊板,是冬奧零事故的有利保障措施之一。
冬奧的網絡環境是一個多類型業務、異構多源網絡、多地理位置的複雜綜合業務信息系統,同時對業務的實時性、連續性、數據保密性有極高的要求。因此,需要一個完全本地化的威脅情報平台,基於本地數據結合下沉到客戶側的各類已有或新增的安全檢測引擎,實現集中化的情報的生產和管理,然後統一賦能環境內包括態勢感知、SOC、防火牆、IDS、APT監測系統在內的全部威脅檢測設備。要達到冬奧網絡安全保障漏洞響應的高要求,強大的運營平台工具、專業的分析人員、高效的經過驗證的流程,缺一不可。TIOS本地威脅情報運營平台在冬奧網絡安全保障中首次應用。
冬奧的威脅情報運營實踐很大程度上可以應用到大型政企的安全防護,特別是在高強度對抗的攻擊演習場景下,通過整合後的高度自動化的平台工具進行自動化的批量威脅判定處置,對過濾出來的少數沒有明確結論的包含可疑特徵對象,專業的安全分析人員同步運營最終給出判定結果實現日清。線上流程和線下工作相結合,本地識別和雲端拓展相結合,自動工具與人工分析相結合,投入必要的資源,通過上述的三個結合,爭取在高強度的攻防對抗中立於不敗之地。
安全分析引擎向用戶提供的使用接口為規則和DSL,用戶通過界面來下發規則和EPL給引擎,引擎根據規則和EPL來對事件流進行分析和計算,同時根據規則語義使用外部的數據。其通過應用層來管理和使用引擎,並基於引擎的輸出結果提供態勢分析、安全運營、資源監控等具體安全業務。
在冬奧網絡安全部署中,安全分析引擎可以採集所有安全相關日誌,能將採集的數據快速發送到安全分析平台,最後進行標準化解析和處理。同時,通過可視化安全工具,讓安全分析人員以最短的時間進行威脅建模,上線安全分析方法,並進行安全分析方法的快速迭代,實現了快速響應。
此外,在冬奧期間引擎同時運行了數百條基線規則,對計算過程進行監控,防止對其它分析流程造成影響。在狀態監控中,對大規模執行圖和高並發執行的分析任務進行對圖狀態報告流程優化,降低資源占用;在流量控制中,支持流量控制防止較快的處理流程向較慢的處理流程輸入過多的數據而引起資源過度消耗和卡頓。資產的安全運營工作分為理清資產、修復漏洞、依據法律法規合規要求設計適用的安全配置方案並持續維護、持續監控資產狀態四個階段。資產安全運營工作的實戰化落地與閉環管理需要在系統安全平台的安全能力基礎之上實現。在冬奧安保工作中,其通過對冬奧資產的持續盤點與梳理,實現了雲上/雲下/外圍資產的安全管理。通過一線運營經理的直接判斷以及與資產責任人通過工單流轉的交互處置,共完成了820餘條資產的信息確認與修正,實現資產的安全納管。點擊閱讀原文,查看峰會直播及精彩回放
留言列表