时间:2022-04-07 作者:奇安信集团
“这是一场不对称的战争。”
3.8亿次网络攻击(含社会面)、上千个攻击者组织、数万起APT组织活动事件……从攻击视角,和历届奥运一样,从冬奥会前准备,到冬残奥会闭幕式结束,为期2个月时间内,针对北京冬奥的网络攻击从未间断。而在开幕式、闭幕式和重要赛事期间,攻击频次更密、强度更烈。
从防守视角,作为奥运史上首家网络安全赞助商,奇安信对冬奥做出了网络安全“零事故”的承诺,承担“完全的、彻底的、端到端”的责任,即“托底责任”。
一边是数以亿计的网络攻击;一边是“零事故”的保障承诺,这就如同足球场上的守门员,无论你有多少次精彩的扑救,只要有一次防守疏漏,就会导致丢球。这场冬奥网络安全保障任务的艰巨程度可想而知。
在这个看不见硝烟的网络空间战场上,一场场攻防博弈,一直在持续上演。
1
发现篇
“自动化”的天眼
让攻击发现更快一步
“聪者听于无声,明者见于未形”。提早发现、提早预警、以便提早处置,无疑是“零事故”的前提保障。这里,就不得不提在冬奥网络安全保障中无处不在的天眼。
“作为攻防态势感知,天眼更像是无数敏锐的‘眼睛’,它广泛部署在两个网络中心、两个数据中心、12个竞赛场馆、26个非竞赛场馆,以及给冬奥提供网络及业务平台支持的多家运营商、合作伙伴、外部单位等,第一时间检测与发现任何的网络异常行为。”奇安信冬奥保障总架构师尹智清表示。
可见,冬奥网络安全保障,首先离不开天眼的“广泛部署”,如同城市公共安全的摄像头一样,只有无死角、全范围的覆盖,才能避免有漏网之鱼。
仅有广度还不够,还需要发现和响应速度。凭借自动化流转的机制,冬奥中天眼大幅提高了威胁发现和处置效率。尹智清表示,“北京冬奥会共计使用26个竞赛场馆和非竞赛场馆,这些场馆分布在北京赛区、延庆赛区和张家口赛区。为了保障每个场馆内的网络安全,天眼部署在各个赛区,实时动态监测威胁,第一时间发现异常行为,形成告警,并自动同步上报到运营态势感知(NGSOC、即态势感知与安全运营平台)”。
天眼网络安全态势大屏
整个冬奥会期间,天眼日均产生告警日志和流量日志逾25亿,其中告警日志传输给运营态势感知进行进一步的人工分析和研判。天眼检测威胁的整个过程大大降低对人的依赖度,实现完全自动化的流转。
奇安信冬奥网络安全卫士
得益于自动化处置威胁的模式,天眼对网络威胁发现的平均检测时间(MTTD)和平均响应时间(MTTR)得到了极大缩短。安全服务子公司白永帅分享了一个故事。“就在2月5日当晚,中国短道速滑队冲击混合接力冠军之时,各个直播转播系统流量激增。我们发现了一次对通信运营商系统的可疑攻击行为,凭借安服团队和天眼的珠联璧合,仅仅用时13分钟,就处理了这起安全事件。”
“冬奥‘零事故’背后不是没有安全风险,而是及时将风险扼杀在摇篮里。天眼在日常运营中就像一只眼睛,可以从流量上帮助我们精准发现各种威胁,无论是针对DGA域名的DNS隧道攻击、还是APT攻击,天眼都能及时发现,自动同步上报,确保安全分析人员快速处理,才没有造成任何影响”,冬奥安全运营工程师初雪峰表示。
存储流量日志数1074亿条,发现APT组织活动事件28,790起、真实网络攻击5,008,746次、安全漏洞数9,135个、恶意样本数54个……天眼作为奇安信冬奥指挥态势、运营态势、攻防态势“三合一”实战化态势感知中的重要组成部分——“攻防态势感知”,完美诠释了“天下武功、唯快不破”的攻防之道。
2
研判篇
看得清、看得透
白泽+天炬实现精确分类高效应对
明枪易躲,暗箭难防。每一次攻击的背后,都有藏在暗处的“凶手”。然而3.8亿次网络攻击,平均每分钟4400次,如果没有强大的分析研判体系,应对这些海量攻击会让安全人员疲于奔命,将精力淹没在处理无效告警的海洋之中。冬奥期间,来自奇安信A-TEAM的白泽情报平台和天炬分析工具珠联璧合,为“零事故”立下了汗马功劳。
“面对海量的告警和攻击行为,我们不能仅仅满足于‘看见’,更需要对攻击者‘看清’、‘看透’,这样才能正确掌握网络安全攻防态势,针对敌人开展工作才可以做到‘零事故,无担忧’。”在冬奥开幕式前期,作为奇安信冬奥网络安全保障的副总指挥,奇安信总裁吴云坤看到大屏上海量的告警信息,感受到网络安全保障工作的艰巨。随即,他立即和A-TEAM团队召开电话会议,紧急部署工作,以解决数以百万记的告警难题。
“最难的是标记工作,并不是所有的攻击行为,都是黑客的恶意入侵,所以不能‘一刀切’的简单粗暴式封禁处理。”A-TEAM团队实战化态势总设计师林子翔表示,“我们要根据攻击行为数据,进行快速分析,区别出APT组织、黑帽子、白帽子,进而判断出威胁严重程度,制定相应的反制或预防措施。”
然而,要对所有(尝试)发起攻击的IP地址全部研判分级,从天量的告警事件找到真正需要关注的攻击者,并进行针对性预防和观测,并不是一件很容易的事情。奇安信的白泽云端攻击者情报平台,发挥了关键性作用。
奇安信的白泽云端攻击者情报平台
“在实际使用中,得益于白泽平台数年来积累的过亿量级的攻击者库,我们仅使用了1个人天,就把历史所有攻击来源IP均完成了分级和分类。在开幕式前数以千万记的攻击中,快速筛查掉不需要关注的攻击主体,确定了15个高价值的攻击者。”
有了知识平台,还需要给分析员称手的工具。林子翔表示,“除了白泽平台之外,天炬是我们的本地流量告警分析工具。白泽和天炬两个可以结合达到1+1>2的效果,可以做到所有告警,无论是否成功/误报,都把最需要分析的事件和攻击者拎出来。从而把分析人员的精力放在最需要放的地方。”
据介绍,从正月初一到残奥会闭幕式,借由白泽多年的数据积累,每天研判增量攻击者只需要1个工时!这是对安全运营人员不可估量的精力解放。
研判分级之后,接下来需要针对不同类型的攻击主体,使用不同的弹性处理策略。“如果判断是僵尸网络等广域扫描器,我们就直接封禁来源IP;对于一些友商的扫描测试行为直接下发通报;如果判断是境内的白帽子,会及时通告有关部门来跟进处理;而对于境外别有用心的APT组织,则协同相关部门采取反制措施。”
林子祥认为这些工作看似繁琐,但非常重要,“看清攻击者后,排除掉所有‘明面上’的攻击者,藏在黑暗处的‘未知攻击者’自己就会浮出水面。这时候安全工作就可以极具针对性,有的放矢。”
林子祥分享了一个故事:2月11日,日常分析过程中,一组新出现的境外攻击IP引起了我们的注意。其攻击手段和历史攻击行为具有较强的针对性,有可能是境外高级黑客组织的前期侦查类活动。A-TEAM团队立刻联系了冬奥现场安全运营组进行升级观测。
2月12日,在经过多方查证后,基本确认该组织为海莲花APT组织,其使用了多款自研的扫描工具和人工探测的方式尝试对冬奥相关设施进行渗透。由于奇安信在其前期阶段已经准确发现并识别,该组织的所有攻击尝试已经无法构成安全威胁,最终将该分析简报上报给国家有关部门。
整个冬奥期间,奇安信研判IP地址超过5000个,调查攻击者组织近千,100%覆盖冬奥期间所有发起过攻击的攻击者。经过对其过往的调查和总结,标记高价值攻击者和组织50余个,涉及APT、黑帽子、白帽子等,同时预先发现了境外APT组织对我们的攻击试探,并成功实现反制和预防。
3
测试与情报篇
冬奥网络安全卫士
与黑客赛跑、与漏洞赛跑
未知攻,焉知防?在冬奥网络安全保障的团队中,除了奇安信3500位专业工程师之外,还有一支“神秘之旅”,行业内称他们为“白帽子”,他们就是冬奥网络安全卫士。
一个汽车出厂之前,需要进行碰撞测试,同样,冬奥信息系统在正式运行之前,也需要经受各种苛刻的考验。而发动全民的力量,邀请民间白帽子进行攻防渗透测试,提前检查发现漏洞,无疑能为冬奥网络增强一道“保护锁”。而招募冬奥网络安全卫士的重任,就放在了奇安信集团补天漏洞响应平台身上。
“刚一接触到冬奥系统,我就发现冬奥系统的测试难度非常大,这些系统经过前期科学的设计和严格的开发流程,以及各种黑白盒的测试,绝大多数漏洞都在上线前就被排查发现和修补了。不过越是如此,越是激起了我的好胜心与“挑战欲”。功夫不负有心,通过不懈的努力,我终于还是发现了一些有效的安全隐患,并得到了组委会的认可。”
来自补天漏洞响应平台的白帽子teachersday,目前在一家股份制银行做安全,擅长漏洞挖掘和攻防实战。他看到补天发起的招募活动,最终报名,并通过了层层筛选,成为冬奥网络安全卫士,在本次冬奥安全保障中,发挥了重要的作用。他的信条是:“作为中国的白帽子,我们绝不输给任何人。我们守护冬奥,绝不给破坏者留下可乘之机。”
冬奥网络安全卫士聘任仪式
奇安信集团董事长、奇安信冬奥保障团队总指挥齐向东这样评价,“网络空间是奥运会的另一个赛场,冬奥网络安全卫士是‘网络安全中国代表队’的奥运战士,通过和黑客赛跑、和漏洞赛跑,为北京冬奥会筑起坚固的网络安全防线,为守护冬奥荣耀贡献力量。”
3月16日,冬奥网络安全卫士总结表彰大会在奇安信冬奥网络安全保障指挥中心举行。来自国资委、国家卫健委、29家央企及鹏城实验室等单位的“冬奥网络安全卫士”获得表彰。中央网信办冬奥会网络安全专家研判组组长、中国工程院院士方滨兴表示,白帽子作为冬奥会网络安全的“测试员和情报员”,协助查找冬奥信息技术系统防护短板和漏洞,收集涉冬奥相关的威胁信息,发挥了重要作用。
此次冬奥网络安全卫士除了央企代表,还有一部分群体是在校大学生,鹏城实验室也组织16个校企单位、88名白帽子加入了冬奥网络安全卫士,表现优异。方滨兴院士表示,“这次白帽子大规模参加这么高级别的世界级赛事,足以说明白帽子群体是可信任的、可管理的,同时更是有能力的、有水平的。
据悉,经过层层选拔的冬奥网络安全卫士24小时在线,发起超过2000万次测试请求,测试总时长超过1万小时,成功发现了大量有效系统漏洞和冬奥相关威胁情报。
结束语
“北京冬奥会做到网络安全‘零事故’,具有里程碑的意义。”方滨兴院士如是说到。北京冬奥组委专职副主席兼秘书长韩子荣也表示,“奇安信作为奥运会历史上第一家网络安全和杀毒软件的官方赞助商,筑起网络安全的铜墙铁壁,让北京冬奥会成为有史以来最安全的奥运会。”奇安信在冬奥“零事故”中积累的“中国方案”,更为国家关键信息基础设施保护和重大活动安保工作提供了实践经验。
3.8亿次攻击(含社会面),研判IP地址超5000,调查攻击者组织近千,累计发现修复漏洞约5800个,检测日志累积超1850亿……一组组数字的背后,是无数次的斗智斗勇、无数次的攻防博弈,更是3500位奇安信安全工程师,以及数百个冬奥网络安全卫士800多个日夜的坚守和配合。
95015服务热线
微信公众号