“這是一場不對稱的戰(zhàn)爭。”
3.8億次網(wǎng)絡攻擊(含社會面)、上千個攻擊者組織、數(shù)萬起APT組織活動事件……從攻擊視角,和歷屆奧運一樣,從冬奧會前準備,到冬殘奧會閉幕式結束,為期2個月時間內,針對北京冬奧的網(wǎng)絡攻擊從未間斷。而在開幕式、閉幕式和重要賽事期間,攻擊頻次更密、強度更烈。
從防守視角,作為奧運史上首家網(wǎng)絡安全贊助商,奇安信對冬奧做出了網(wǎng)絡安全“零事故”的承諾,承擔“完全的、徹底的、端到端”的責任,即 “托底責任”。
一邊是數(shù)以億計的網(wǎng)絡攻擊;一邊是“零事故”的保障承諾,這就如同足球場上的守門員,無論你有多少次精彩的撲救,只要有一次防守疏漏,就會導致丟球。這場冬奧網(wǎng)絡安全保障任務的艱巨程度可想而知。
在這個看不見硝煙的網(wǎng)絡空間戰(zhàn)場上,一場場攻防博弈,一直在持續(xù)上演。
發(fā)現(xiàn)篇:“自動化”的天眼 讓攻擊發(fā)現(xiàn)更快一步
“聰者聽于無聲,明者見于未形”。提早發(fā)現(xiàn)、提早預警、以便提早處置,無疑是“零事故”的前提保障。這里,就不得不提在冬奧網(wǎng)絡安全保障中無處不在的天眼。
“作為攻防態(tài)勢感知,天眼更像是無數(shù)敏銳的‘眼睛’,它廣泛部署在兩個網(wǎng)絡中心、兩個數(shù)據(jù)中心、12個競賽場館、26個非競賽場館,以及給冬奧提供網(wǎng)絡及業(yè)務平臺支持的多家運營商、合作伙伴、外部單位等,第一時間檢測與發(fā)現(xiàn)任何的網(wǎng)絡異常行為。” 奇安信冬奧保障總架構師尹智清表示。
可見,冬奧網(wǎng)絡安全保障,首先離不開天眼的“廣泛部署”,如同城市公共安全的攝像頭一樣,只有無死角、全范圍的覆蓋,才能避免有漏網(wǎng)之魚。
僅有廣度還不夠,還需要發(fā)現(xiàn)和響應速度。憑借自動化流轉的機制,冬奧中天眼大幅提高了威脅發(fā)現(xiàn)和處置效率。尹智清表示,“北京冬奧會共計使用26個競賽場館和非競賽場館,這些場館分布在北京賽區(qū)、延慶賽區(qū)和張家口賽區(qū)。為了保障每個場館內的網(wǎng)絡安全,天眼部署在各個賽區(qū),實時動態(tài)監(jiān)測威脅,第一時間發(fā)現(xiàn)異常行為,形成告警,并自動同步上報到運營態(tài)勢感知(NGSOC、即態(tài)勢感知與安全運營平臺)”。
天眼網(wǎng)絡安全態(tài)勢大屏
整個冬奧會期間,天眼日均產生告警日志和流量日志逾25億,其中告警日志傳輸給運營態(tài)勢感知進行進一步的人工分析和研判。天眼檢測威脅的整個過程大大降低對人的依賴度,實現(xiàn)完全自動化的流轉。
得益于自動化處置威脅的模式,天眼對網(wǎng)絡威脅發(fā)現(xiàn)的平均檢測時間(MTTD)和平均響應時間(MTTR)得到了極大縮短。安全服務子公司白永帥分享了一個故事。“就在2月5日當晚,中國短道速滑隊沖擊混合接力冠軍之時,各個直播轉播系統(tǒng)流量激增。我們發(fā)現(xiàn)了一次對通信運營商系統(tǒng)的可疑攻擊行為,憑借安服團隊和天眼的珠聯(lián)璧合,僅僅用時13分鐘,就處理了這起安全事件。”
“冬奧‘零事故’背后不是沒有安全風險,而是及時將風險扼殺在搖籃里。 天眼在日常運營中就像一只眼睛,可以從流量上幫助我們精準發(fā)現(xiàn)各種威脅,無論是針對DGA域名的DNS隧道攻擊、還是APT攻擊,天眼都能及時發(fā)現(xiàn),自動同步上報,確保安全分析人員快速處理,才沒有造成任何影響”,冬奧安全運營工程師初雪峰表示。
存儲流量日志數(shù)1074億條,發(fā)現(xiàn)APT組織活動事件28,790 起、真實網(wǎng)絡攻擊5,008,746次、安全漏洞數(shù)9,135個、惡意樣本數(shù)54個……天眼作為奇安信冬奧指揮態(tài)勢、運營態(tài)勢、攻防態(tài)勢“三合一”實戰(zhàn)化態(tài)勢感知中的重要組成部分——“攻防態(tài)勢感知”,完美詮釋了“天下武功、唯快不破”的攻防之道。
研判篇:看的清、看的透 白澤+天炬實現(xiàn)精確分類高效應對
明槍易躲,暗箭難防。每一次攻擊的背后,都有藏在暗處的“兇手”。然而3.8億次網(wǎng)絡攻擊,平均每分鐘4400次,如果沒有強大的分析研判體系,應對這些海量攻擊會讓安全人員疲于奔命,將精力淹沒在處理無效告警的海洋之中。冬奧期間,來自奇安信A-TEAM的白澤情報平臺和天炬分析工具珠聯(lián)璧合,為“零事故”立下了汗馬功勞。
“面對海量的告警和攻擊行為,我們不能僅僅滿足于‘看見’,更需要對攻擊者‘看清’、‘看透’,這樣才能正確掌握網(wǎng)絡安全攻防態(tài)勢,針對敵人開展工作才可以做到‘零事故,無擔憂’。”在冬奧開幕式前期,作為奇安信冬奧網(wǎng)絡安全保障的副總指揮,奇安信總裁吳云坤看到大屏上海量的告警信息,感受到網(wǎng)絡安全保障工作的艱巨。隨即,他立即和A—TEAM團隊召開電話會議,緊急部署工作,以解決數(shù)以百萬記的告警難題。
“最難的是標記工作,并不是所有的攻擊行為,都是黑客的惡意入侵,所以不能‘一刀切’的簡單粗暴式封禁處理。”A—TEAM團隊實戰(zhàn)化態(tài)勢總設計師林子翔表示,“我們要根據(jù)攻擊行為數(shù)據(jù),進行快速分析,區(qū)別出APT組織、黑帽子、白帽子,進而判斷出威脅嚴重程度,制定相應的反制或預防措施。”
然而,要對所有(嘗試)發(fā)起攻擊的IP地址全部研判分級,從天量的告警事件找到真正需要關注的攻擊者,并進行針對性預防和觀測,并不是一件很容易的事情。奇安信的白澤云端攻擊者情報平臺,發(fā)揮了關鍵性作用。
“在實際使用中,得益于白澤平臺數(shù)年來積累的過億量級的攻擊者庫,我們僅使用了1個人天,就把歷史所有攻擊來源IP均完成了分級和分類。在開幕式前數(shù)以千萬記的攻擊中,快速篩查掉不需要關注的攻擊主體,確定了15個高價值的攻擊者。”
有了知識平臺,還需要給分析員稱手的工具。林子翔表示,“除了白澤平臺之外,天炬是我們的本地流量告警分析工具。白澤和天炬兩個可以結合達到1+1>2的效果,可以做到所有告警,無論是否成功/誤報,都把最需要分析的事件和攻擊者拎出來。從而把分析人員的精力放在最需要放的地方。”
據(jù)介紹,從正月初一到殘奧會閉幕式,借由白澤多年的數(shù)據(jù)積累,每天研判增量攻擊者只需要1個工時!這是對安全運營人員不可估量的精力解放。
研判分級之后,接下來需要針對不同類型的攻擊主體,使用不同的彈性處理策略。“如果判斷是僵尸網(wǎng)絡等廣域掃描器,我們就直接封禁來源IP;對于一些友商的掃描測試行為直接下發(fā)通報;如果判斷是境內的白帽子,會及時通告有關部門來跟進處理;而對于境外別有用心的APT組織,則協(xié)同相關部門采取反制措施。”
林子祥認為這些工作看似繁瑣,但非常重要,“看清攻擊者后,排除掉所有‘明面上’的攻擊者,藏在黑暗處的‘未知攻擊者’自己就會浮出水面。這時候安全工作就可以極具針對性,有的放矢。”
林子祥分享了一個故事:2月11日,日常分析過程中,一組新出現(xiàn)的境外攻擊IP引起了我們的注意。其攻擊手段和歷史攻擊行為具有較強的針對性,有可能是境外高級黑客組織的前期偵查類活動。A-TEAM團隊立刻聯(lián)系了冬奧現(xiàn)場安全運營組進行升級觀測。2月12日,在經(jīng)過多方查證后,基本確認該組織為海蓮花APT組織,其使用了多款自研的掃描工具和人工探測的方式嘗試對冬奧相關設施進行滲透。由于奇安信在其前期階段已經(jīng)準確發(fā)現(xiàn)并識別,該組織的所有攻擊嘗試已經(jīng)無法構成安全威脅,最終將該分析簡報上報給國家有關部門。
整個冬奧期間,奇安信研判IP地址超過5000個,調查攻擊者組織近千,100%覆蓋冬奧期間所有發(fā)起過攻擊的攻擊者。 經(jīng)過對其過往的調查和總結,標記高價值攻擊者和組織50余個,涉及APT、黑帽子、白帽子等,同時預先發(fā)現(xiàn)了境外APT組織對我們的攻擊試探,并成功實現(xiàn)反制和預防。
測試與情報篇:冬奧網(wǎng)絡安全衛(wèi)士與黑客賽跑、與漏洞賽跑
未知攻,焉知防? 在冬奧網(wǎng)絡安全保障的團隊中,除了奇安信3500位專業(yè)工程師之外,還有一支“神秘之旅”,行業(yè)內稱他們?yōu)?ldquo;白帽子”,他們就是冬奧網(wǎng)絡安全衛(wèi)士。
一個汽車出廠之前,需要進行碰撞測試,同樣,冬奧信息系統(tǒng)在正式運行之前,也需要經(jīng)受各種苛刻的考驗。而發(fā)動全民的力量,邀請民間白帽子進行攻防滲透測試,提前檢查發(fā)現(xiàn)漏洞,無疑能為冬奧網(wǎng)絡增強一道“保護鎖”。而招募冬奧網(wǎng)絡安全衛(wèi)士的重任,就放在了奇安信集團補天漏洞響應平臺身上。
“剛一接觸到冬奧系統(tǒng),我就發(fā)現(xiàn)冬奧系統(tǒng)的測試難度非常大,這些系統(tǒng)經(jīng)過前期科學的設計和嚴格的開發(fā)流程,以及各種黑白盒的測試,絕大多數(shù)漏洞都在上線前就被排查發(fā)現(xiàn)和修補了。不過越是如此,越是激起了我的好勝心與“挑戰(zhàn)欲”。功夫不負有心,通過不懈的努力,我終于還是發(fā)現(xiàn)了一些有效的安全隱患,并得到了組委會的認可。”
來自補天漏洞響應平臺的白帽子teachersday,目前在一家股份制銀行做安全,擅長漏洞挖掘和攻防實戰(zhàn)。他看到補天發(fā)起的招募活動,最終報名,并通過了層層篩選,成為冬奧網(wǎng)絡安全衛(wèi)士,在本次冬奧安全保障中,發(fā)揮了重要的作用。他的信條是:“作為中國的白帽子,我們絕不輸給任何人。我們守護冬奧,絕不給破壞者留下可乘之機。”
奇安信集團董事長、奇安信冬奧保障團隊總指揮齊向東這樣評價,“網(wǎng)絡空間是奧運會的另一個賽場,冬奧網(wǎng)絡安全衛(wèi)士是‘網(wǎng)絡安全中國代表隊’的奧運戰(zhàn)士,通過和黑客賽跑、和漏洞賽跑,為北京冬奧會筑起堅固的網(wǎng)絡安全防線,為守護冬奧榮耀貢獻力量。”
3月16日,冬奧網(wǎng)絡安全衛(wèi)士總結表彰大會在奇安信冬奧網(wǎng)絡安全保障指揮中心舉行。來自國資委、國家衛(wèi)健委、29家央企及鵬城實驗室等單位的“冬奧網(wǎng)絡安全衛(wèi)士”獲得表彰。中央網(wǎng)信辦冬奧會網(wǎng)絡安全專家研判組組長、中國工程院院士方濱興表示,白帽子作為冬奧會網(wǎng)絡安全的“測試員和情報員”,協(xié)助查找冬奧信息技術系統(tǒng)防護短板和漏洞,收集涉冬奧相關的威脅信息,發(fā)揮了重要作用。
此次冬奧網(wǎng)絡安全衛(wèi)士除了央企代表,還有一部分群體是在校大學生,鵬城實驗室也組織16個校企單位、88名白帽子加入了冬奧網(wǎng)絡安全衛(wèi)士,表現(xiàn)優(yōu)異。方濱興院士表示,“這次白帽子大規(guī)模參加這么高級別的世界級賽事,足以說明白帽子群體是可信任的、可管理的,同時更是有能力的、有水平的。
據(jù)悉,經(jīng)過層層選拔的冬奧網(wǎng)絡安全衛(wèi)士24小時在線,發(fā)起超過2000萬次測試請求,測試總時長超過1萬小時,成功發(fā)現(xiàn)了大量有效系統(tǒng)漏洞和冬奧相關威脅情報。
結束語:
“北京冬奧會做到網(wǎng)絡安全‘零事故’,具有里程碑的意義。”方濱興院士如是說到。北京冬奧組委專職副主席兼秘書長韓子榮也表示,“奇安信作為奧運會歷史上第一家網(wǎng)絡安全和殺毒軟件的官方贊助商,筑起網(wǎng)絡安全的銅墻鐵壁,讓北京冬奧會成為有史以來最安全的奧運會。”奇安信在冬奧“零事故”中積累的“中國方案”,更為國家關鍵信息基礎設施保護和重大活動安保工作提供了實踐經(jīng)驗。
3.8億次攻擊,研判IP地址超5000,調查攻擊者組織近千,累計發(fā)現(xiàn)修復漏洞約5800個,檢測日志累積超1850億……一組組數(shù)字的背后,是無數(shù)次的斗智斗勇、無數(shù)次的攻防博弈,更是3500位奇安信安全工程師,以及數(shù)百個冬奧網(wǎng)絡安全衛(wèi)士800多個日夜的堅守和配合。
