close


7月13日,2022北京網絡安全大會線上開幕,中國工程院院士、中央網信辦冬奧會網絡安全專家研判組組長方濱興,在開幕式&冬奧零事故峰會中發表「『盾立方』網絡安全防禦體系中的探查維度——『四蜜』探查結構」主題演講。

他表示,在北京冬奧的防護實踐中,以蜜點、蜜罐、蜜網、蜜洞形成的「四蜜」探查結構,助力發現威脅來源、跟蹤威脅行為,有效地應對APT等未知攻擊類型。



方濱興表示,常規的網絡攻擊具有系統滲透和系統壓制兩個維度,由此產生了三種攻擊形態:控制攻擊、試探攻擊與破壞性攻擊。與之相對應,常規的網絡安全防禦模式分為自衛模式與護衛模式兩類,前者依靠自身強化安全以自衛,後者以外部協助防禦來護衛。
他指出,在現代信息戰中,相比較完全的自衛模式,通過外置系統保護的護衛模式是更有效的根本模式。作為外置安全技術的「盾立方」,通過設伏探查技術設置相應陷阱發現異常,通過關聯分析技術確認攻擊嫌疑源頭,通過管控阻斷技術部署攔截點阻斷異常ip進入,進而形成了三維構造對外部威脅進行護衛。


方濱興分享道,「盾立方」的設伏探查主要靠「四蜜」實現,分為:蜜點、蜜罐、蜜網、蜜洞。「四蜜」結構有效地構建了核心更加強大的防護模式,有效應對APT等未知攻擊類型,在北京冬奧網絡防護中提供了強有力支撐。



「蜜點」是一組人為設置的網絡訪問點,部署在被保護系統的周邊,內部承載着防禦者精心設置的「哨兵」進程,外部形態是被保護對象的仿真系統。當攻擊者實施滲透偵查活動時,將會無感記錄其探測行為。

「蜜網」是一個前置於被保護系統的應用網關(WAF)。被保護系統無條件只接受來自蜜網或者其他白名單中的訪問請求,並對白名單用戶的訪問過程進行記錄和審計。對外,被保護系統的域名所解析的地址都指向蜜網,外部訪問需要通過蜜網來進行。

「蜜罐」是被訪問系統的前置機,相當於被訪問系統的部分功能。對於牽引到蜜罐中的可疑目標對象,既能夠真實地提供初期的服務,還能夠觀察和分析其行為活動,若最終判定為良性用戶,則通過流量牽引到真實系統環境中。

「蜜洞」部署於靠近攻擊者側的真實網絡中。當檢測到疑似攻擊或非合規訪問時,蜜洞系統釋放溯源認證工具決定是否放行這一訪問,認證放行的前提是訪問者需要提供證明其來源和途徑的信息,即身份認證憑據。蜜洞部署提升了自動化攻擊的成本代價,一方面讓訪問者知曉面臨被溯源風險,從而形成威懾;另一方面,可以搜集關聯情報。

方濱興總結「四蜜」為具有一體化探查能力的結構,解決了想知道有什麼問題、哪塊有問題的需求,通過冬奧網絡安全防護實踐,成為了「盾立方」中設伏探查的重要技術。

據冬奧網絡安全贊助商奇安信統計數據顯示,在冬奧會開始到冬殘奧會閉幕式結束期間,共檢測日誌數量累積超1850億,日均檢測日誌超37億,累計發現修復漏洞約5800個,發現惡意樣本54個,排查風險主機150台,累積監測到各類網絡攻擊超3.8億次,跟蹤、研判、處置涉奧輿情和威脅事件105件,最終創造了冬奧歷史上首個網絡安全「零事故」的世界紀錄。



此前,北京網絡安全大會已連續成功舉辦三屆,代表了中國網絡安全的高水平和前沿聲音。2022年北京網絡安全大會採用「四地雙會場 動態召開」的創新模式,在北京、長沙、重慶和深圳四地,舉辦線上線下超融合的網絡安全大會。



arrow
arrow
    全站熱搜
    創作者介紹
    創作者 鑽石舞台 的頭像
    鑽石舞台

    鑽石舞台

    鑽石舞台 發表在 痞客邦 留言(0) 人氣()