“如果把某省运营商近20个市分公司四通八达的DCN网络比作全国道路交通网,网络流量就可以类比成车流量。当网络安全遭遇‘交通事故’时,就会导致DCN网络运行不通畅,引发集团在线交易、电商平台、政务云等业务瘫痪。”该省运营商网络安全部门相关负责人表示,不光要重视省公司网络安全,所有地市公司的业务网络威胁可视、可控也是当下亟需解决的问题。
随着网络通信技术和计算机技术的不断发展,电信业的网络安全问题日益引起通信运营商的重视,因为这直接影响着运营商的生存和发展。通常,运营商受网络攻击后,黑客可能会秘密侦听电信网络传递的信息内容,盗取运营商大量的用户数据,还有可能利用电信网络作为通路,侦测各种信息业务系统,甚至投递蠕虫病毒、木马病毒,拥塞电信网络,恶意控制和破坏网络,使得电信网络全面瘫痪。
由此可见,通信运营商的网络安全问题不容小觑,建立健全适应于通信业务、技术发展的网络安全管理体系,落实常态化运行机制是通信运营商的首要之举。
某运营商作为国内三大运营商之一,是国家网络安全保障的主力军,承担着从底层提升网络安全的重任。而某省运营商作为该运营商最大的省级分公司,下辖包括近20个市分公司,服务网点覆盖城市和乡村。在此基础上,该省运营商对内要保障省公司和所有地市管理网的安全,对外还要保证各类业务系统正常运转的安全,确保为制造、能源、医疗教育等不同行业的客户及个人用户提供安全稳定的电信服务。
基于运营商的网络安全现状,以及全省、各地市公司的安全需求,某省运营商于2019年起陆续与奇安信天眼达成四期合作,通过多期流量扩容,以“分布式集群”的部署方式,实现省公司对全省近20个地市公司150G业务流量的全面监测,达到了跨域跨网统一流量威胁感知的目标,对该省运营商业务出口的威胁防范起到了关键作用,提升了省、市公司网络安全协同联防能力及电信网络安全风险管理水平。
电信网络复杂,三大网络安全痛点亟需破解
不同于其他行业的关键信息基础设施,承载话音、数据、消息的电信网络与绝大多数其他行业的关键信息基础设施不同,电信网络要复杂得多。电信网络会涉及移动接入网络、固定接入网、传送网、IP网、网管支撑网等多个通信网络,任何一个网络被攻击,都会对承载在电信网上的话音或数据业务造成影响,尤其是面对高级威胁时候,可能会导致网络瘫痪,甚至更严重的后果。
因此,某省运营商在没有部署天眼之前,面临的第一个问题是:
安全设备老旧,缺乏发现高级威胁的能力:电信网络的复杂程度使得某省运营商的网络安全变得极其脆弱,而安全问题并非传统意义的安全设备所能解决,尤其是难以发现隐蔽APT威胁,这些高级威胁一旦被忽略就会绕过运营商原有的安全防护设备,对集团重要的数据资产造成泄露、破坏或篡改等严重损失。
其次,作为内部支撑业务的“数据通信网”,DCN网络信息资产的价值不断提高,其安全问题也日益显现出来,除了会遭到物理攻击破坏外,还会面对恶意软件攻击、内部员工误用、黑客入侵破坏等网络攻击。某省运营商DCN网络汇聚省干核心层和地市汇聚层,部署节点遍布全省各地市。而由于DCN组网方式随意性很强,网络区域之间边界不清晰,互通控制管理难度大,因此一旦遭遇网络攻击就很容易扩散。
基于此,该运营商面临的第二个问题是:
无法掌握全局安全态势,全省各市缺乏协同联防的能力:当网络资源比较分散的近20个市公司DCN网络受到攻击的时候,省公司如何无一遗漏的做到全面感知、可视监测、统一指挥。
另外,通常情况下,攻击者在进行攻击之前总是会搜集各种情报,包括开放的端口、联网的硬件设备资产、办公软件漏洞等等,有了这些信息,攻击者可以针对性构建攻击武器和攻击载荷,从而大幅度提升攻击的成功率。但是处于防守角色的客户却不同。在部署天眼之前,该省运营商部署了防火墙、WAF等各类设备,但是却无从得知攻击者会利用什么样的漏洞、采用什么样的手法来入侵其系统,入侵后也不知道威胁究竟潜伏在哪里。
所以,该省运营商面临的最后一个问题是:
威胁数据不能贯通,无法追溯到攻击源头:当该省运营商的任一家分支单位遭受攻击,省公司又如何发现攻击者是否对其他分支单位也进行了攻击,以及攻击者具体的攻击信息,并溯源到攻击者的源头,防止攻击者再次入侵其他分支单位。
分布式集群部署,省、市网络安全协同联防
基于某省运营商的网络安全现状,以及下属市分公司整体情况,天眼与该省运营商达成合作。天眼通过“分布式集群”部署模式,对运营商省公司DCN出口、互联网出口、云平台出口,以及省内近20个地市公司DCN出口总计约150G大流量实时监测,帮助该运营商实现省公司、各地市公司流量的全面采集与威胁检测,最终达到告警在省平台统一分析和展示的目标,提升了省、市公司网络安全协同联防能力。
图某省运营商APT高级攻击态势监测项目
在省公司侧,通过部署在省机房的天眼流量传感器对省公司DCN出口、互联网出口、重点业务出口逾100G流量进行采集监测。经天眼探针检测分析后,把相应的告警数据及流量日志转发到本地机房的天眼分析平台集群,同时把还原出的文件转发至本地机房的天眼文件威胁鉴定器。接着,文件威胁鉴定器对文件进行检测分析后将告警数据转发至分析平台集群。分析平台再通过对收集到的探针、沙箱数据进行整体分析后,精准定位省公司存在的网络安全威胁。
在各地市侧,将天眼探针部署至近20个地市公司机房,对各地市DCN流量进行采集分析,并将检测后的告警数据、流量日志通过专线转发至省机房的分析平台,分析平台基于收到的数据进行集中分析,实现省公司对各地市公司网络威胁的统一监测与管理。
应用效果明显,自运营让天眼价值最大化
“部署了天眼之后,我们现在可以通过省统一的分析平台可视化查看到全省及所有地市公司的安全态势,包括威胁事件态势、资产态势、脆弱性态势等各类展现攻击情况的态势。”正如该省运营商网络安全部相关负责人所说,天眼帮助运营商全省各市公司持续监控攻击、统一处理威胁,就像交通路网智能监测系统一样,可以对重大突发事件预测预警及应急处置,还可以对全省路网运行及重大交通突发事件指挥调度。
省各地市单位部署了天眼之后,分别将流量的原始数据和日志数据传输到省公司天眼分析平台,与省公司各节点探针搜集上来的数据进行碰撞、综合关联分析,自动将数以万亿的零散告警形成智能化的攻击事件链条,并对受害目标及攻击源头进行精准定位,最终达到对攻击者入侵途径的研判与溯源。“原来近20个地市的网络安全各做各的,现在天眼帮我们把省市的安全都串联起来,换个角度讲,只要攻击者从任何一个市进来,我们都能掌握他的行踪轨迹,看他是否也侵犯到了其他市,从而追溯到攻击源头。”该省运营商网络安全部相关负责人表示,天眼系统帮助集团有效提升了网络安全持续防护能力,保证了省运营商业务的正常开展。
不光在攻击检测有效性上发挥了作用,在事件响应处置高效自动化方面,天眼与终端、防火墙等设备协同联动的能力,也切实帮助该省运营商快速定位到感染主机和恶意软件,及时阻断威胁,提升了威胁响应和处置的效率。
终端上检测出恶意软件,通常需要调用杀毒软件尽快查杀;检查出内网在连接外部非法IP,可能需要调用防火墙去封禁...这些设备都需要去人工调用,费时费力,威胁响应效率不是很高。“而天眼的自动化能力,则完全摆脱了这种模式。我们日常发现恶意告警之后,通过天眼平台可以1秒内联动其他设备下发操作,比如联动防火墙封禁IP”。该省运营商客户表示,有了天眼之后,安全人员的威胁运营效率大大提升。
2021年,为满足政企客户“建党百年庆典期间”对信息基础设施的安全防护与保障需求,助力各级政府、企事业单位营造建党百年的良好氛围,该省运营商启动建党百年“守护行动”,活动期间防护准确率100%,有效保障了关键信息基础设施和政企客户的网络安全稳定。
“我们没有用乙方的安服同事,运营天眼设备的人员都是我们集团内部自己的人,因为天眼设备的易用性,让我们有信心把天眼设备用好,天眼设备的管用性,也让我们想投入自己的人员去运营。”该省运营商网络安全部相关人员表示,从威胁监测到响应处置,再到溯源分析,每一个环节他们都亲历过,也真真实实感受到天眼在检测能力和检测效率上的优势,他们愿意主动投入人员自运营,让天眼的价值充分发挥。
图天眼网络安全态势大屏
后记:
电信行业在保证数据存储、传输等方面发挥了关键作用,它本身既是关键信息基础设施,同时又为其他行业的关键信息基础设施提供网络通信和信息服务,在网络数字化浪潮中扮演着重要的角色,关系国计民生。
天眼作为网络威胁监测与分析领域的领头羊,充分发挥在网络威胁监测与分析领域的优势,已经为电信行业中国移动、中国电信、中国联通三大运营商搭建了网络流量采集和监测分析系统,提升网络安全防护能力。未来,天眼将继续为电信行业客户的网络安全保驾护航,助力电信产业数字化转型,赋能传统产业转型升级。
立即拨打
京公网安备11000002002064号