2022年1月5日,北京市通信管理局、河北省通信管理局举办了冬奥会“演练日”—网络安全和通信保障演练活动。此次演练围绕2022年北京冬奥会保障工作,对可能出现的各类网络安全事件进行针对性演习,在实战中对事件进行监测、研判、处置、溯源和总结提升,旨在完善网络安全突发事件的应急响应和应急处置机制。
北京移动在2022冬奥会中承载着网络监控、指挥调度等核心枢纽作用,也是本次通信管理局应急演练的重点单位,奇安信作为北京移动在信息安全领域的坚实合作伙伴,以“椒图+天眼”两款面向实战化的安全产品和专业的安全服务,协助北京移动圆满完成应急演练防守工作,处置响应完成情况获得全部参演单位唯一两星好评(最高级),受到客户的高度肯定。
图:演练活动现场
在本次演练中,北京移动对照应急处置预案,以“分析研判-威胁处置-加固预防-复盘总结”的思路开展处置工作,使用的两款“核武器”。
第一款是服务器安全防护系统(椒图),它能够对入侵服务器的攻击行为进行监测、防护。椒图基于服务器网络层、系统层、应用层的多层级防护能力,能够对针对服务器的多种攻击手段予以准确的识别和拦截,有效阻止暴破、漏洞利用、网页篡改、内存注入等攻击行为,并可以对服务器端已经存在的挖矿&勒索病毒、webshell等恶意代码实现一键清除,从而有效保障系统和数据安全。
为了应对多样化的服务器安全需求,椒图采用模块化的部署方式,针对服务器网络层、应用层和系统的所有功能模块,均可在监控和防护模式下自由切换,在实现服务器端恶意行为的全量监控和有效防御,是业界领先的实战化服务器安全解决方案。
第二款是新一代安全感知系统(天眼),能够汇集流量传感器、文件威胁鉴定器、邮件告警等多种告警数据,基于奇安信自有的多维度海量互联网数据,进行自动化挖掘与云端关联分析,天眼可以提前洞悉各种安全威胁,并向客户推送定制的专属威胁情报;同时结合部署在客户本地的软、硬件设备,天眼系统能够对未知威胁的恶意行为实现早期的快速发现,并可对受害目标及攻击源头进行精准定位,最终达到对入侵途径及攻击者背景的研判与溯源;同时,支持运用奇安信自研的SOAR编排技术,实现对确定的威胁进行多种类型的响应处置,真正实现对威胁的监测预警、检测发现、溯源分析和响应处置。
在面对实战化、体系化和常态化的防护要求,为实战而生的天眼也不再是单一的工具和服务,已经成为一套安全解决方案,天眼所代表的解决方案从资产和漏补的闭环运行,到攻防的检测与发现,进而到针对攻击的诱捕和溯源,叠加上指挥与调度等多种能力,真正形成了业界领先的规模化、系统化、体系化的实战攻防能力。
据奇安信云与服务器安全BG负责人刘浩介绍,在攻防实战中,服务器是攻击者的最终落脚点和攻击目标,守护服务器安全责任与意义重大,在演练中应做好服务器端的事前防御、事中对抗和事后追溯工作。
在事前阶段,通过椒图可以对端口、进程、网站、账户等信息资产进行全面清点,并基于资产信息及时发现未修复的漏洞、弱口令、危险端口暴露等安全风险,并清除webshell、挖矿&勒索病毒等恶意代码,结合天眼专属威胁情报,缩小攻击面,降低被入侵的风险。
在事中阶段,通过椒图网络层的微隔离功能限制访问源和服务器非法外连,通过应用层的RASP运行时防护来防御0day漏洞利用,通过系统层的防护驱动及时发现反弹shell、文件篡改、提权、端口探测等异常行为,实现对服务器攻击链的层层防御。
在事后阶段,椒图通过对服务器端文件、命令、网络连接全量日志的收集,结合威胁情报引擎、EDR引擎,并联动天眼系统,可以准确回溯攻击过程,自动化完成“攻击者 — 攻击手段 — 攻击对象”的攻击画像,关联ATT&CK框架,做到有效复盘、及时改进。
2022冬奥会开幕已经进入倒计时,各种保障工作也进入压线冲刺阶段,奇安信作为网络安全的头部力量,已组建11支冬奥保障团队,与全国64个分支机构、上万员工,以及由数百名白帽子组成的“冬奥网安卫士”一起出发,全力以赴守护冬奥网络安全防线。