首頁(yè) > 關(guān)于我們 > 安恒動(dòng)態(tài) > 2023 > 正文

亞運(yùn)“零事故”，從1到0的1049天，有你不知道的那些事

閱讀量：次 文章來源：安恒信息

自2020年11月23日正式成為杭州亞運(yùn)會(huì)官方網(wǎng)絡(luò)安全服務(wù)合作伙伴以來，安恒信息歷經(jīng)1049個(gè)日夜，橫跨杭州、寧波、溫州、湖州、紹興、金華6大賽區(qū)，部署網(wǎng)絡(luò)安全設(shè)備41款1184臺(tái)，涉及87個(gè)場(chǎng)館、40余個(gè)核心賽事系統(tǒng)、覆蓋10000+臺(tái)終端，從安全開發(fā)、暴露面監(jiān)測(cè)、邊界防御、威脅狩獵、應(yīng)急響應(yīng)五個(gè)核心攻防對(duì)抗域開展常態(tài)化安全運(yùn)營(yíng)，持續(xù)度量和迭代優(yōu)化安全保障能力，打造了集態(tài)勢(shì)感知、通報(bào)預(yù)警、信息共享、指揮協(xié)調(diào)的一體化安全運(yùn)營(yíng)體系，并在行業(yè)內(nèi)真正建立起一支專注服務(wù)于大型體育賽事、國(guó)際性展覽會(huì)議的精英網(wǎng)絡(luò)安保隊(duì)伍，續(xù)寫15年重?！傲闶鹿省陛x煌戰(zhàn)績(jī)！

持續(xù)化體系化安全運(yùn)營(yíng)，相輔相成助輝煌

安恒信息董事長(zhǎng)范淵認(rèn)為，亞運(yùn)安全保障“零事故”的背后，依靠的是“技術(shù)的可靠+人的可靠”，“團(tuán)隊(duì)的責(zé)任感、代際傳承，是這支隊(duì)伍能夠?qū)崿F(xiàn)15年重保零事故的關(guān)鍵所在”。面對(duì)如此復(fù)雜的網(wǎng)絡(luò)環(huán)境和嚴(yán)苛的安全要求，安恒是如何確保亞運(yùn)零事故？通過持續(xù)化體系化安全運(yùn)營(yíng)健全安全能力，實(shí)現(xiàn)安全能力全覆蓋、安全管理全統(tǒng)一、安全響應(yīng)全協(xié)同，運(yùn)用實(shí)戰(zhàn)化安全運(yùn)營(yíng)保障亞運(yùn)安全效果，實(shí)現(xiàn)具有攻防對(duì)抗技戰(zhàn)術(shù)能力和智能化場(chǎng)景化的閉環(huán)安全運(yùn)營(yíng)。

亞運(yùn)保障“最后一公里”關(guān)口在哪

終端安全防護(hù)就是本次亞運(yùn)重保一體化安全運(yùn)營(yíng)體系閉環(huán)中的最后一環(huán)，即“零米”防護(hù)，扮演著守護(hù)資產(chǎn)的貼身特勤。在攻擊側(cè)，新型攻擊方式層出不窮，一些高端攻擊技術(shù)越來越平民化，可以預(yù)見亞運(yùn)終端受到威脅勒索的形勢(shì)更加嚴(yán)峻；再次，從需求側(cè)，亞運(yùn)保障更注重效果、發(fā)現(xiàn)、運(yùn)營(yíng)和實(shí)戰(zhàn)。如果要保護(hù)的單位像工廠一樣是由一個(gè)個(gè)房間、一個(gè)個(gè)業(yè)務(wù)單元組成的話，部署流量和日志類產(chǎn)品，就像部署在大樓的出口或者樓道里面監(jiān)控探頭，看見的是南北向和東西向的流量，看見的是樓層和樓層之間和進(jìn)出這棟樓的流量。但黑客和壞人不總是從大樓的正門和樓道進(jìn)入，有可能從后門、窗戶、通風(fēng)管道進(jìn)去，也有可能是以快遞的形式帶來威脅。終端安全防護(hù)產(chǎn)品則相當(dāng)于在工廠內(nèi)每一個(gè)房間都安裝了一個(gè)特別輕的傳感器、攝像頭，用戶能夠清晰地看見這一個(gè)房間里發(fā)生所有的行為，終端安全防護(hù)產(chǎn)品實(shí)時(shí)采集并送入本地/云端安全運(yùn)營(yíng)專家做分析，可以和常規(guī)流量檢測(cè)產(chǎn)品相互補(bǔ)充，從而更好的發(fā)現(xiàn)威脅。

安恒是如何捍衛(wèi)這“最后一公里”生死線

拒絕單兵作戰(zhàn) 要端網(wǎng)聯(lián)動(dòng)持續(xù)運(yùn)營(yíng)

端網(wǎng)聯(lián)動(dòng)能力，終端安全防護(hù)產(chǎn)品要從網(wǎng)絡(luò)和終端兩個(gè)維度保證辦公終端安全。如通過將云端威脅情報(bào)與DNS相結(jié)合，可從網(wǎng)絡(luò)流量側(cè)檢測(cè)威脅，通過阻斷惡意樣本反連、阻止新樣本下載、防止打開釣魚鏈接等方式保護(hù)亞運(yùn)終端安全；利用AI行為監(jiān)測(cè)等技術(shù)對(duì)終端行為日志進(jìn)行檢測(cè)分析，提供包括隔離進(jìn)程、文件、網(wǎng)絡(luò)乃至終端等多種處置策略。通過將終端行為與網(wǎng)絡(luò)流量相結(jié)合，可以對(duì)終端威脅進(jìn)行更全面威脅覆蓋，處置策略更豐富、更靈活，隨時(shí)隨地為終端提供全面、精準(zhǔn)、高效的安全防護(hù)能力。

終端安全產(chǎn)品從最早期滿足合規(guī)的防威脅產(chǎn)品，已經(jīng)演變成包含管理、監(jiān)測(cè)分析、響應(yīng)處置等功能于一體的體系化防御階段。”隨著安全風(fēng)險(xiǎn)的持續(xù)性變化，終端安全防護(hù)也需要向持續(xù)化運(yùn)營(yíng)的方向轉(zhuǎn)變。在終端資產(chǎn)管理的過程中就有必要加入運(yùn)營(yíng)的思路，滿足合規(guī)化部署與持續(xù)化管控的雙方面需求；應(yīng)用持續(xù)檢測(cè)和響應(yīng)的手段，來構(gòu)建快速迅捷的主動(dòng)防御；與平臺(tái)化產(chǎn)品形成聯(lián)動(dòng)，提供持續(xù)化的安全運(yùn)營(yíng)服務(wù)。

流程式場(chǎng)景化聯(lián)合防御主動(dòng)預(yù)防風(fēng)險(xiǎn)閉環(huán)

持續(xù)驗(yàn)證可信基線保障每一臺(tái)接入設(shè)備都是安全的

在大型體育賽事中，人員多且雜，設(shè)備多樣性會(huì)給網(wǎng)絡(luò)接入側(cè)的安全性帶來極大的挑戰(zhàn)。為了實(shí)現(xiàn)事前防御，保障終端靈活使用體驗(yàn)和兼顧安全的要求，安恒終端安全秉持兩個(gè)原則：人員明晰化、終端透明化。人員明晰化，是基于人作為研判風(fēng)險(xiǎn)的因素，通過終端準(zhǔn)入產(chǎn)品特有的身份準(zhǔn)入控制，與各場(chǎng)館交換機(jī)人員信息進(jìn)行匹配，確保每一個(gè)接入的人員身份信息是得到驗(yàn)證的，杜絕任何身份可疑的人員設(shè)備接入亞運(yùn)賽事網(wǎng)絡(luò)。終端透明化，是基于端作為研判風(fēng)險(xiǎn)的因素：第一，通過終端入網(wǎng)安全檢查能力，同時(shí)將人員信息+設(shè)備MAC信息強(qiáng)制綁定，雙重保險(xiǎn)杜絕設(shè)備仿冒事件發(fā)生，設(shè)備運(yùn)行期間，累計(jì)成功攔截13458次非法終端接入，確保每一臺(tái)接入的終端都是可信的。第二，利用基線檢查能力，包括系統(tǒng)配置評(píng)估、漏洞掃描等維度，快速對(duì)系統(tǒng)或設(shè)備進(jìn)行全面的安全評(píng)估和發(fā)現(xiàn)潛在的隱患。第三，安恒通過勒索誘餌引擎，確保勒索威脅對(duì)誘餌文件進(jìn)行操作時(shí)，立即告警并結(jié)束操作進(jìn)程，保障賽事期間勒索事件“零概率”。

全方位威脅處置?保障數(shù)據(jù)不泄露

賽事重保中，終端設(shè)備可能受到各種威脅攻擊，實(shí)時(shí)監(jiān)測(cè)和分析終端設(shè)備上的活動(dòng)，及時(shí)發(fā)現(xiàn)潛在的安全威脅并采取相應(yīng)的防御措施來阻止和應(yīng)對(duì)各類入侵的攻擊行為，是非常必要的，安恒從威脅威脅防護(hù)、內(nèi)容防護(hù)、數(shù)據(jù)安全防護(hù)三大場(chǎng)景出發(fā)，解決安全隱患。本次亞運(yùn)保障中，安恒首創(chuàng)的無文件攻擊防御起到了關(guān)鍵作用，自研的E-RASP引擎可以對(duì)Web服務(wù)器的內(nèi)存空間進(jìn)行實(shí)時(shí)監(jiān)測(cè)，通過捕獲Web服務(wù)器代碼執(zhí)行過程，分析代碼執(zhí)行鏈路，發(fā)現(xiàn)Webshell內(nèi)存馬注入行為，并阻斷內(nèi)存馬的注入。使用內(nèi)存注入、內(nèi)存插樁、內(nèi)存馬原理性分析等技術(shù)，能夠?qū)崟r(shí)發(fā)現(xiàn)已知和未知的各種類型的內(nèi)存馬。

威脅威脅場(chǎng)景：針對(duì)于賽時(shí)高發(fā)的高級(jí)威脅的入侵行為，安恒終端安全產(chǎn)品內(nèi)置的自定義防范策略可根據(jù)場(chǎng)館需求量身定制防范策略，讓防御變得更加靈活、精準(zhǔn)、主動(dòng)，全面保障終端資產(chǎn)及業(yè)務(wù)數(shù)據(jù)安全。此外，EDR不僅可以阻止已知勒索威脅的執(zhí)行，而且在面對(duì)未知類型勒索威脅時(shí)，憑借獨(dú)家專利級(jí)誘餌引擎能夠在未知類型勒索威脅試圖加密時(shí)發(fā)現(xiàn)并阻斷其加密行為，并對(duì)調(diào)用進(jìn)程的威脅文件溯源查殺。在保障期間，EDR可用于防護(hù)高風(fēng)險(xiǎn)威脅攻擊，有效守護(hù)主機(jī)安全，利用文件保險(xiǎn)柜添加訪問控制策略，為文件安全提供雙重保障。

內(nèi)容防護(hù)場(chǎng)景：網(wǎng)頁(yè)篡改也是比賽期間極為頻發(fā)的終端安全事件，本次亞運(yùn)會(huì)涉及的資訊官網(wǎng)、票務(wù)系統(tǒng)網(wǎng)站等都是面向大眾的，如果網(wǎng)頁(yè)遭到篡改，很有可能引發(fā)大規(guī)模信息泄露事件，相關(guān)單位會(huì)受到嚴(yán)重威脅，此外，如果網(wǎng)頁(yè)被篡改，相關(guān)單位形象和信譽(yù)也會(huì)受到極大損失。因此，網(wǎng)站防護(hù)，不容有一絲失誤。針對(duì)常見的網(wǎng)頁(yè)篡改手段，安恒利用專利級(jí)的Web入侵檢測(cè)技術(shù)，可以對(duì)網(wǎng)站進(jìn)行多層次的安全檢測(cè)分析，有效保護(hù)網(wǎng)站靜態(tài)/動(dòng)態(tài)網(wǎng)頁(yè)及后臺(tái)數(shù)據(jù)庫(kù)信息。

終端數(shù)據(jù)場(chǎng)景：亞運(yùn)賽時(shí)數(shù)據(jù)作為十分敏感的內(nèi)容，亞組委高度重視對(duì)其的防護(hù)和流轉(zhuǎn)，既能保護(hù)好數(shù)據(jù)，又要釋放數(shù)據(jù)價(jià)值，是安恒此次亞運(yùn)數(shù)據(jù)防護(hù)的主題：在保護(hù)層面，我們緊抓兩個(gè)管控，一個(gè)是數(shù)據(jù)源頭上管控，一個(gè)是數(shù)據(jù)外發(fā)通道管控。在源頭上我們通過文件智能透明加解密數(shù)據(jù)安全防護(hù)，將關(guān)鍵、敏感、機(jī)密的文件進(jìn)行無感加密，在外發(fā)通道上，我們通過對(duì)超過20種數(shù)據(jù)外發(fā)通道的管控，有效防范數(shù)據(jù)的違規(guī)傳播，亞運(yùn)保障期間，零起數(shù)據(jù)泄露事件，是對(duì)產(chǎn)品能力最好的印證。

快速發(fā)現(xiàn)快速處置流程全局可見可運(yùn)營(yíng)

亞運(yùn)賽事，安全事件數(shù)不勝數(shù)，針對(duì)于終端的攻擊，安恒一體化終端安全平臺(tái)提供全視角終端安全運(yùn)營(yíng)能力，包括終端運(yùn)維視角、終端風(fēng)險(xiǎn)視角、流量通信視角、入侵威脅風(fēng)險(xiǎn)視角等等全視角洞察全網(wǎng)終端安全態(tài)勢(shì)。

我們將零散的日志事件進(jìn)行聚合，通過對(duì)關(guān)鍵事件的總結(jié)和形象化展示，清晰的展示出風(fēng)險(xiǎn)在哪、嚴(yán)重程度如何、整體安全防護(hù)效果如何等等。提高管理效率降低管理，同時(shí)通過全視角的運(yùn)營(yíng)能力將整個(gè)安恒一體化終端安全平臺(tái)的產(chǎn)品價(jià)值充分發(fā)揮出來。

人機(jī)協(xié)同，規(guī)?；瘏f(xié)同作戰(zhàn)

圓滿保障也離不開于眾多產(chǎn)品及應(yīng)用的輔助支撐，今年5月正式啟用的MSS亞運(yùn)天穹——新一代主動(dòng)防御運(yùn)營(yíng)中心，在上線前進(jìn)行了超50次模擬演練，在亞運(yùn)會(huì)期間全面協(xié)助賽事場(chǎng)館的各項(xiàng)網(wǎng)絡(luò)安全保障工作，云端實(shí)現(xiàn)資產(chǎn)的全面發(fā)現(xiàn)、漏洞的全面管理、威脅的實(shí)時(shí)檢測(cè)響應(yīng)、“7×24小時(shí)”的云端安全專家持續(xù)守護(hù)，為杭州亞運(yùn)會(huì)提供全天候、全場(chǎng)景、全過程、全閉環(huán)的安全運(yùn)營(yíng)保障服務(wù)。同時(shí)，人工智能的應(yīng)用也再次賦能網(wǎng)絡(luò)安全保障，提升安全運(yùn)營(yíng)成效、牢筑安全守護(hù)屏障。今年8月，安恒信息恒腦·安全垂域大模型首次公開亮相，基于大模型的安全運(yùn)營(yíng)平臺(tái)全新升級(jí)首次發(fā)布。在本屆亞運(yùn)會(huì)期間，該平臺(tái)以智能輔助形式應(yīng)用于各個(gè)方面，安全運(yùn)營(yíng)成效提升70%以上。作為一款結(jié)合AI人工智能、機(jī)器學(xué)習(xí)技術(shù)與安全編排的產(chǎn)品，不僅有強(qiáng)大的數(shù)據(jù)整合和分析功能，還能夠從各種安全工具和數(shù)據(jù)源中收集、整合和分析信息，并與態(tài)勢(shì)感知、資產(chǎn)管理系統(tǒng)、威脅情報(bào)平臺(tái)、漏洞管理系統(tǒng)等相集成，從而實(shí)現(xiàn)全面的威脅情報(bào)分析和事件響應(yīng)。

亞運(yùn)會(huì)場(chǎng)館所涉及到的終端范圍廣，管理難度大，一旦發(fā)現(xiàn)威脅必須做到分鐘級(jí)響應(yīng)，因此，安恒信息成立終端安全亞運(yùn)保障小組，提供全天候技術(shù)服務(wù)支撐。整個(gè)保障小組共計(jì)投入4000+人天，日均掃描500000+個(gè)文件和梳理1200+個(gè)策略，在保障期間，對(duì)3700+次事件反饋進(jìn)行了高效處理。高效、專業(yè)的重保團(tuán)隊(duì)，不僅是對(duì)賽事網(wǎng)絡(luò)安全的負(fù)責(zé)，也是在強(qiáng)大產(chǎn)品力之外的最后一道保障，為賽事兜底，為客戶服務(wù)，是真正的亞運(yùn)“隱形守護(hù)者”。人機(jī)協(xié)同，方能事半功倍，圓滿完成任務(wù)。

亞運(yùn)盛宴落幕，網(wǎng)安腳步不止。杭州亞運(yùn)會(huì)的成功舉辦收獲了各方肯定與贊揚(yáng)，不但展示了杭城風(fēng)采，更突顯了中國(guó)體育事業(yè)繁榮發(fā)展。而這一場(chǎng)網(wǎng)絡(luò)安全保衛(wèi)戰(zhàn)的落幕，也為安恒信息提供了更多的寶貴經(jīng)驗(yàn)。而后，我們的網(wǎng)絡(luò)安全衛(wèi)士也即將奔赴下一個(gè)戰(zhàn)場(chǎng)-亞殘運(yùn)會(huì)，兩個(gè)亞運(yùn)，同樣安全。

未來，安恒信息將持續(xù)發(fā)揮網(wǎng)絡(luò)安全保障優(yōu)勢(shì)力量，不斷精進(jìn)自我，專注前沿技術(shù)研發(fā)、服務(wù)水平提升，繼續(xù)為更多重大賽事、重大活動(dòng)提供支持。在數(shù)字經(jīng)濟(jì)蓬勃發(fā)展的時(shí)代背景下，期待并相信，這股網(wǎng)安力量，將會(huì)創(chuàng)造更多輝煌！

往期精彩回顧