【猎云网(微信:ilieyun
)北京】5月23日报道
为实现冬奥“零事故”目标,奇安信在冬奥安保中部署了14个具备实战攻防和安全运营能力的创新安全产品,为冬奥网络筑起最坚实的安全防线,保障北京冬奥网络系统安全运行。在BCS2022系列活动冬奥网络安全“零事故”宣讲周中,14款涉奥安全产品作为“冬奥遗产”,压轴亮相于“网络安全创新产品推介会”。今天让我们一文了解支撑冬奥网络安全“零事故”的“中国产品”:
冬奥终端作为冬奥系统的神经末梢,包括赛事终端、办公终端、运维终端、证件查验终端、打印扫描设备等多个类型,总计一万多台,每台冬奥终端都发挥着重要作用。奇安信对分散在306个地点的一万多台不同类型的冬奥终端提供了全面保护,成功防御5847次恶意软件、423次恶意DNS、326次非法终端接入等各类攻击。
兑现终端安全“零事故”承诺的关键就是奇安信终端安全新方案——“体系化防御,数字化运营”。方案以确保各类终端“可信、合规、安全”为核心目标,通过“体系化防御”健全终端安全能力,运用“数字化运营”保障终端安全效果,帮助客户真正构建起持续有效的终端安全能力,确保各类终端都能安全、合规的访问业务和数据。
在需要安全快速互联多种设施、保证众多时效性高要求的业务系统具有连续性以及及时发现隐藏的安全风险的三大挑战下,边界组网优化与SSL解密产品应运而生。
在冬奥网络安全中,边界组网优化,通过流量编排轻松实现了灵活组网,简便运维,利旧设备使用,业务割接不中断。通过自研的服务链编排引擎,实现按需将不同的业务流量编排到指定的安全设备上处理。同时,其业务设备旁挂部署影响小,安全编排高灵活,可以实现威胁的及时发现与阻断,解决漏洞内利用问题。在服务链做流量编排时,还具备负载均衡和业务探测功能,能够根据业务情况及时调整流量走向。
高性能SSL解密,解决了互联网的加密流量和纯软件解密引擎性能有限的问题,通过添加硬件解密卡使解密性能有所提升。其中,奇安信网神防火墙不仅搭载了硬件解密卡,同时使用异步调用技术,实现解密能力10.6倍的提升,改变了传统边界安全架构,重塑边界安全防护体系,为冬奥提供更加智能、动态的安全防护。
云及服务器安全上,在流量层面,通过虚拟补丁机制对已知漏洞进行防御及缓解; 在中间件层面,支持加密流量检测,对传统的web攻击进行有效防护;再语言解释器层面,通过运行时应用自防护(RASP) 插件,对反序列化、内存webshell等近年来高发漏洞及新型攻击手段进行高效防护,实现对多种类型0day漏洞的有效防御; 在系统层面,通过系统加固对系统关键文件、注册表项进行监控保护,利用应用白名单对未知程序的启动进行防护。
奇安信服务器安全管理系统在冬奥运行期的主要职责包括:服务器防病毒、入侵防御、威胁监测。针对服务器侧的特殊性,业务优先原则,创新性地采用了本地查杀+控制台查杀双模式可切换的病毒查杀模式,适合于刨除业务自身对系统资源消耗外服务器剩余系统资源相对充沛的场景,适合于服务器剩余系统资源相对紧张的场景。
此外,在冬奥项目中,服务器测实现了在奇安信产品体系内的协防及联动。将安全设备像业务服务器一样进行覆盖纳管,予以更严格及有针对性的安全策略,保证安全设备自身的安全性。对主机侧的命令执行、网络外连、文件创建等全量行为进行监控采集,实时传输给NGSOC平台,并且对两边日志发送及接收的数据量进行校准。在发现新漏洞时,实现漏洞资产快速排查,在短时间内快速确定受到漏洞影响的资产范围。
在本次冬奥会安全保障工作中,奇安信建立了以NGSOC为核心的安全运营和指挥协同体系,它围绕ASA自适应安全框架,在防御、检测、响应、预警和持续监测5个维度构建核心安全能力。NGSOC平台在保障工作中发挥了关键作用,指导了冬奥会安全运营工作的有序开展,并积累了丰富的成功经验。
在冬奥网络安全中,NGSOC作为核心监控平台,对冬奥网络实现了全局监控、响应处置、事件上报和闭环管理,监控范围覆盖了网络中心、数据中心、12个竞赛场馆、21个非竞赛场馆和200多个基础设施。
目前,冬奥会安全运营与协同指挥体系的建设模式已获得多家大型政企机构认可,并希望参考该模式建设本地的安全运营中心。
北京冬奥会网络安全保障过程中,奇安信在冬奥奥组委及央办的指导和指挥下,构建并运营了冬奥三级研判指挥体系:一级是安全监控,实现日常安全运营闭环;二级态势感知,实现重保分析研判工作;三级研判指挥,以国家院士级视角进行冬奥决策指挥工作
在产品方面,北京冬奥会是首次将“大禹”安全中台应用于国家级态势感知指挥平台,大幅度提升安全建设、安全管理和安全运行的效率。
首先以平台化思维,构建能力基座:整合数据、技术、服务能力,体系化输出安全能力;在操作层面,实现了业务功能、分析功能、运营功能,统一了开发框架,便于更灵活地应用于实战;在决策层面,实现了可视化研判能力。
奇安信上网行为管理,在应用协议库、URL分类库领域有着多年的积累,URL数据库规模达到2.8亿,应用协议库收录了超过12,000个互联网应用的特征,对于特征库无法覆盖的部分,提供了灵活多样的自定义手段。
在冬奥网络安全保障工作中,行为安全品类中的上网行为管理(ICG)、Web安全网关(SWG)两个产品是网络纵深防御体系中的重要一环。在主(备)网络中心PNC/SNC,ICG、SWG均通过负载的方式“物理旁挂、逻辑串接”在核心防火墙上作为安全编排域的安全资源池,通过服务链编排的方式对互联网出向流量进行细粒度的管控,提供了更高的灵活性、可靠性,既能够满足负载均衡扩展的需要。此外,针对冬奥互联网出口的外联需求极其复杂的问题,行为安全产品通过“白名单”机制实现对出向流量的精准管控,杜绝未知外联。
冬奥密码专项实现了高安全(等保三级),高复杂环境(国内外、云与本地),密码与网络安全密切配合的密码服务能力,成为今后密码项目的标杆。
项目遵循“冬奥网络安全总体规划”、等保三级和密评安全三级的设计要求,方案先后通过多轮专家评审和安全评测;密码作为基础设施,是冬奥第一个上线的安全专项,也先于所有的信息系统上线;冬奥密码专项能容纳50+以上信息系统的密钥管理,实现了密钥集中统一管理,充分考虑了可靠性、安全性、容灾备份等设计
冬奥期间,天眼系统作为“三合一”实战化态势感知(指挥态势、运营态势、攻防态势)重要组成部分,结合“运营态势”、“指挥态势” 实现“三级态势建设”在大型项目中首次成功落地实践。
冬奥期间,天眼系统有关冬奥期间的处理流量日志数累计达到了1千多亿条;发现威胁告警数达500多万次;恶意样本数54个;漏洞数九千多个;APT组织攻击嗅探2万8千多次等等。这些真实的统计数字表明,天眼在冬奥整体安全保障上起到了真正的实战态势感知效果。具体体现在三个方面:第一是体现在持续的威胁发现方面,做到了实时、主动的检测告警,第二是,完全自动化的检测发现威胁,自动上报,整个过程极大的降低对人依赖度,使得冬奥期间短时、高强度的攻防环境中得以有效保障。最后借助全网流量的采集处理,为针对部分高级威胁事件的深度分析提供了强有力的数据支撑。
“天眼就像摄像头,能持续录制犯罪过程,警察查看的时候随时可以回放,而防火墙、WAF等安全设备是相机,只能记录某个时刻,单靠日志分析还是不够。”
产品安全自查架构是一款纵深防御体系,依据自身安全性、功能兼容性和产品完整性得原则,对在冬奥安保部署的9大类、55款、813台安全设备和涉奥产品进行部署前检查。该系统共有高强度自检、兼容性测试、高强度自检和完整性验证这三道防线。
在冬奥安保中,该架构部署了五大安全能力研究团队,300与人进行漏洞挖掘。在高强度自检中,它采用黑白灰盒安全测试方法,利用安全测试矩阵,以常规安全提测模式,开展13个安全专项,发现了5782个安全漏洞。在后两道防线中,以冬奥1:1环境测试,进行产品兼容测试,审核人员check测试结论,并进行产品测试结论同步和产品升级包清单清点,对涉奥产品通过代码卫士进行静态代码扫描修复高危漏洞,通过开源卫士进行第三方组件扫描。
针对冬奥的业务目标和安全目标,身份安全采用了基于零信任的身份安全能力架构,包括自适应认证、动态授权、统一身份管理、身份分析这四大能力,通过持续的身份运营服务确保对身份的安全管控。
奇安信零信任网络访问方案,从身份风险、终端风险、网络风险、权限和数据风险5个维度,全面构建从业务到应用的端到端的安全防护能力,通过便捷的运维管理能力和动态访问控制机制,确保零信任的防护效果落实在业务运行的各个阶段。
冬奥安保中,根据奥组委的安全建议和业务情况,设计了从身份管理、认证、权限控制的多层级管理机制。此外,在打通了身份信息孤岛,提升用户体验的同时,降低了账号安全风险,减少管理漏洞,降低管理运维成本。
天狗技术拥有能下探到内存指令层得检测能力,可以将传统的基于文件、进程的权限控制能力,升级为基于指令执行序列的权限控制能力,解决了可信程序被恶意利用的问题,在数据安全场景下能够发挥至关重要的作用。在整个漏洞攻击过程中,天狗技术可以有效定位漏洞所在位置,也可以捕获漏洞攻击代码,能够定位到具体发生漏洞攻击的代码指令,并使整个攻击过程“可视化”。此外,天狗技术利用了CPU硬件提供的分支指令记录能力,采集并生成一个实际发生的指令调用序列表,规避了传统技术存在的容易被绕过的问题,从而发现真实的系统风险。
在冬奥保障中,天狗技术采用了“非白即黑”的策略,利用机器学习与智能采集技术,学习并采集系统中所有可能存在被利用风险的程序的指令序列,并构造成“指令序列白名单”。同时结合内存指令检测能力,利用已知发现未知,从而解决未知漏洞攻击问题,在冬奥保障中发挥了重要的作用。此外,天狗技术告警汇聚到统一的终端管理平台,与其它产品形成互补,统一在端侧进行防御,在未知漏洞攻击防护方面发挥了重要作用,是补齐防御木桶的最后一块板,是冬奥零事故的有利保障措施之一。
冬奥的网络环境是一个多类型业务、异构多源网络、多地理位置的复杂综合业务信息系统,同时对业务的实时性、连续性、数据保密性有极高的要求。因此,需要一个完全本地化的威胁情报平台,基于本地数据结合下沉到客户侧的各类已有或新增的安全检测引擎,实现集中化的情报的生产和管理,然后统一赋能环境内包括态势感知、SOC、防火墙、IDS、APT监测系统在内的全部威胁检测设备。
要达到冬奥网络安全保障漏洞响应的高要求,强大的运营平台工具、专业的分析人员、高效的经过验证的流程,缺一不可。TIOS本地威胁情报运营平台在冬奥网络安全保障中首次应用。
冬奥的威胁情报运营实践很大程度上可以应用到大型政企的安全防护,特别是在高强度对抗的攻击演习场景下,通过整合后的高度自动化的平台工具进行自动化的批量威胁判定处置,对过滤出来的少数没有明确结论的包含可疑特征对象,专业的安全分析人员同步运营最终给出判定结果实现日清。线上流程和线下工作相结合,本地识别和云端拓展相结合,自动工具与人工分析相结合,投入必要的资源,通过上述的三个结合,争取在高强度的攻防对抗中立于不败之地。
安全分析引擎向用户提供的使用接口为规则和DSL,用户通过界面来下发规则和EPL给引擎,引擎根据规则和EPL来对事件流进行分析和计算,同时根据规则语义使用外部的数据。其通过应用层来管理和使用引擎,并基于引擎的输出结果提供态势分析、安全运营、资源监控等具体安全业务。
在冬奥网络安全部署中,安全分析引擎可以采集所有安全相关日志,能将采集的数据快速发送到安全分析平台,最后进行标准化解析和处理。同时,通过可视化安全工具,让安全分析人员以最短的时间进行威胁建模,上线安全分析方法,并进行安全分析方法的快速迭代,实现了快速响应。
此外,在冬奥期间引擎同时运行了数百条基线规则,对计算过程进行监控,防止对其它分析流程造成影响。在状态监控中,对大规模执行图和高并发执行的分析任务进行对图状态报告流程优化,降低资源占用;在流量控制中,支持流量控制防止较快的处理流程向较慢的处理流程输入过多的数据而引起资源过度消耗和卡顿。
资产的安全运营工作分为理清资产、修复漏洞、依据法律法规合规要求设计适用的安全配置方案并并持续维护、持续监控资产状态四个阶段。资产安全运营工作的实战化落地与闭环管理需要在系统安全平台的安全能力基础之上实现。
在冬奥安保工作中,其通过对冬奥资产的持续盘点与梳理,实现了云上/云下/外围资产的安全管理。通过一线运营经理的直接判断以及与资产责任人通过工单流转的交互处置,共完成了820余条资产的信息确认与修正,实现资产的安全纳管。