四個首創(chuàng) 冬奧網(wǎng)絡(luò)安全“黑科技”面面觀

在本次冬奧網(wǎng)絡(luò)安全保障中，奇安信基于情報內(nèi)生的理念，部署了包括威脅情報平臺、分析運營平臺、各類威脅檢測引擎等核心組件的完整情報內(nèi)生解決方案。

 “這是一屆真正無與倫比的冬奧會。”國際奧委會主席巴赫在2022北京冬奧閉幕式致辭中表示，“奧林匹克精神之所以如此閃耀，得益于中國人民搭建了出色且安全的奧運舞臺。”

 

圖：冬奧閉幕式 新華社記者 曹燦 攝

冬奧會，是各國冰雪健兒的比賽場，也是前沿科技的競技場�？缍劝儆喙�里的三個賽區(qū)、26個場館，近百個國家數(shù)千名運動員的交流溝通、場館協(xié)作，需要依賴于大量先進(jìn)的技術(shù)。開放式5G網(wǎng)絡(luò)、云計算、物聯(lián)網(wǎng)、人工智能等技術(shù)，200多項科技應(yīng)用，使奧運網(wǎng)絡(luò)系統(tǒng)空前復(fù)雜，更給網(wǎng)絡(luò)安全保障，帶來了空前的挑戰(zhàn)。

 

圖：奇安信冬奧網(wǎng)絡(luò)安保工作圓滿結(jié)束

“零事故”，是冬奧網(wǎng)絡(luò)安全官方贊助商奇安信對冬奧的莊嚴(yán)承諾，其背后離不開網(wǎng)絡(luò)安全“黑科技”的強大保障。在本屆冬奧會的“隱蔽戰(zhàn)線”----網(wǎng)絡(luò)安全保障工作中，有大量前沿創(chuàng)新的“黑科技”，首次在大會中成功落地和應(yīng)用，為奇安信交上冬奧安保“零事故”完美答卷提供了堅實后盾。

克制0day漏洞 首創(chuàng)采用了第三代安全技術(shù)天狗引擎

0day漏洞，被認(rèn)為是網(wǎng)絡(luò)安全領(lǐng)域珠穆朗瑪峰級的高難度問題。根據(jù)全球風(fēng)險咨詢機構(gòu)Kroll公司最新報告顯示,CVE/零日漏洞利用現(xiàn)已占到安全事件案例的26.9%，這表明攻擊者越來越善于利用漏洞，在某些情況下，甚至在概念驗證漏洞出現(xiàn)的同一天就利用了這些漏洞。

 

本次冬奧會有超過10000臺終端，分布于12個競賽場館、26個非競賽場館、188個服務(wù)場站中，地理位置非常分散，平臺類型復(fù)雜多樣，0day漏洞無疑是冬奧網(wǎng)絡(luò)安全保障面臨的最大威脅之一。

“作為第三代安全技術(shù)的代表，基于指令執(zhí)行序列檢測技術(shù)的新一代安全引擎天狗，首次在冬奧中實戰(zhàn)應(yīng)用。”奇安信天狗引擎負(fù)責(zé)人表示，天狗引擎在邊界防御、系統(tǒng)防護(hù)之外，額外增加了內(nèi)存攻擊指令執(zhí)行檢測的防護(hù)，可以有效防御利用系統(tǒng)或可信程序的漏洞發(fā)起的攻擊。同時，天狗引擎還可以利用指令流反溯技術(shù)，定位攻擊者所利用漏洞的具體位置，第一時間發(fā)現(xiàn)0Day漏洞并進(jìn)行封堵，在根源上杜絕了攻擊持續(xù)發(fā)生及大規(guī)模爆發(fā)的可能。

在去年底的史詩級Log4j漏洞事件中，“天狗”一戰(zhàn)成名，無需更新就能直接防御Log4j漏洞。在本次冬奧網(wǎng)絡(luò)安全保障中，以天狗引擎為代表的第三代安全技術(shù)，為“零事故”立下了重要一功。

能力、效率雙提升 “安全中臺”首次應(yīng)用于國家級指揮平臺

對于冬奧網(wǎng)絡(luò)安全保障來說，這是一個整體，是奇安信所有前沿安全能力的匯集，產(chǎn)品的標(biāo)準(zhǔn)化、統(tǒng)一化和關(guān)聯(lián)化是重要課題，產(chǎn)品部署絕不能各自為營。在“六全”體系的指導(dǎo)下，本次冬奧采用中臺化處理，以大禹平臺等為代表的平臺化架構(gòu)在實戰(zhàn)中發(fā)揮了積極的作用，為所有產(chǎn)品提供了相關(guān)能力的輸出，保證產(chǎn)品一體化，而不是產(chǎn)品的堆疊。

“定位于實戰(zhàn)，做整個行業(yè)的安全中臺”是大禹平臺的目標(biāo)。在本次冬奧中，作為“安全中臺”能力的核心，大禹平臺被廣泛集成在了態(tài)勢感知等多項安全產(chǎn)品中，其中包括某國家級指揮中心的態(tài)勢感知指揮平臺。大禹平臺提供了面向大數(shù)據(jù)安全的通用開發(fā)平臺及配套的內(nèi)置安全能力，其核心能力包括安全資產(chǎn)管理和運營、數(shù)據(jù)接入、數(shù)據(jù)治理、云地協(xié)同、威脅聯(lián)合分析、事件管理與處理、安全設(shè)備接入控制等。

“這是大禹平臺首次應(yīng)用于國家級態(tài)勢感知指揮平臺，安全中臺在復(fù)雜大型實戰(zhàn)化項目的應(yīng)用，大幅度提升了安全建設(shè)、安全管理和安全運行的效率。”大禹平臺負(fù)責(zé)人左文建介紹，態(tài)勢感知是安全領(lǐng)域最復(fù)雜的產(chǎn)品，尤其是冬奧網(wǎng)絡(luò)安全保障所需要的態(tài)勢感知產(chǎn)品。“大禹平臺匯聚感知分析類安全數(shù)據(jù)，集成行業(yè)安全能力，能夠持續(xù)滿足實戰(zhàn)建設(shè)需要。從結(jié)果來看，大禹平臺也確實經(jīng)得起實戰(zhàn)的考驗。”

海量數(shù)據(jù)精準(zhǔn)發(fā)現(xiàn)  首創(chuàng)利用人工智能安全分析引擎

據(jù)奇安信網(wǎng)絡(luò)安全保障中心統(tǒng)計，冬奧會期間，日均監(jiān)測各類系統(tǒng)日志超40億條，監(jiān)測日志數(shù)量累積達(dá)1189億條。面對海量的多源異構(gòu)數(shù)據(jù)，如何從中精準(zhǔn)發(fā)現(xiàn)潛在的威脅和安全風(fēng)險，降低誤報率和漏報率，這對奇安信冬奧重保團(tuán)隊來說，是一個非常嚴(yán)峻的考驗。

為了提升冬奧會賽事網(wǎng)絡(luò)與系統(tǒng)的安全性，奇安信首創(chuàng)利用基于人工智能安全分析的引擎---- Sabre（賽博威引擎）實現(xiàn)基于海量數(shù)據(jù)的精準(zhǔn)告警。該引擎可針對多類型的網(wǎng)絡(luò)攻擊智能化提取特征，構(gòu)建基于深度學(xué)習(xí)的攻擊行為模型；通過采集北京冬奧會組委會信息網(wǎng)絡(luò)中的流量及相關(guān)設(shè)備和系統(tǒng)的日志，開展多源數(shù)據(jù)關(guān)聯(lián)分析，進(jìn)而從中挖掘攻擊行為的關(guān)聯(lián)性；通過數(shù)據(jù)與攻擊行為的對齊，實現(xiàn)了威脅的智能發(fā)現(xiàn)及威脅檢測方法的優(yōu)化，達(dá)到了減少告警的誤報和冗余的目標(biāo)，從而能夠更精準(zhǔn)、更有效地應(yīng)對未來所面臨的未知威脅。

具體而言，Sabre引擎具備以下優(yōu)勢：其一，Sabre引擎支持接入全量數(shù)據(jù)，從而保證分析結(jié)果的準(zhǔn)確性，這一點對APT攻擊的發(fā)現(xiàn)和溯源至關(guān)重要;其二，Sabre引擎可實現(xiàn)實時計算和實時統(tǒng)計，比如，在IT系統(tǒng)中，防火墻會持續(xù)過濾數(shù)據(jù)包，公司辦公系統(tǒng)會持續(xù)被訪問，只有計算速度夠快才能保證實時輸出結(jié)果;其三，快速建模是Sabre的核心優(yōu)勢，安全分析師可借助Sabre引擎，可以用圖形拖拽的方式，就能把自己想要檢測場景轉(zhuǎn)化成對應(yīng)的檢測規(guī)則，下發(fā)到分析引擎運行。

首創(chuàng)情報內(nèi)生體系 支撐冬奧閉環(huán)安全運行

“數(shù)據(jù)驅(qū)動安全”的初期，是利用互聯(lián)網(wǎng)數(shù)據(jù)生成威脅情報，提升威脅檢測和響應(yīng)效率；而在內(nèi)生安全時代，數(shù)據(jù)驅(qū)動安全需要全面利用內(nèi)部信息化和業(yè)務(wù)數(shù)據(jù)，與信息化系統(tǒng)深度結(jié)合、全面覆蓋，而威脅情報從生產(chǎn)、應(yīng)用到運行的全流程都要與信息化結(jié)合。

威脅情報驅(qū)動的威脅運營是一個運行閉環(huán)，威脅情報從生產(chǎn)、應(yīng)用到運行要在政企機構(gòu)落地，不能僅依賴于外部的IOC情報數(shù)據(jù)，更需要“嵌入”內(nèi)部的信息化和業(yè)務(wù)系統(tǒng)和流程中，并作用于積極防御，建立自身的情報生產(chǎn)和消費能力，挖掘出潛在和未知威脅，并及時有效的彌補防御弱點，這個過程就是情報內(nèi)生。

尤其對于冬奧會這樣的重大活動，以及關(guān)鍵基礎(chǔ)設(shè)施單位和組織，針對他們的高級威脅攻擊目標(biāo)選擇有高度的定向性，互聯(lián)網(wǎng)上能看到攻擊載荷的概率很低，更需要通過在內(nèi)部信息化和業(yè)務(wù)系統(tǒng)上構(gòu)建威脅情報能力來生產(chǎn)與自身密切相關(guān)的情報，安全企業(yè)可以向這些單位和組織輸出平臺、流程、人和數(shù)據(jù)能力。

在本次冬奧網(wǎng)絡(luò)安全保障中，奇安信基于情報內(nèi)生的理念，部署了包括威脅情報平臺、分析運營平臺、各類威脅檢測引擎等核心組件的完整情報內(nèi)生解決方案。利用冬奧大型網(wǎng)絡(luò)內(nèi)的海量多維基礎(chǔ)數(shù)據(jù)，通過成熟高效的運營流程和高度自動化的平臺工具，結(jié)合經(jīng)驗豐富的運營團(tuán)隊，生產(chǎn)和拓展高質(zhì)量的威脅情報，支持多類安全檢測和防御設(shè)備進(jìn)行自動化的威脅阻斷，為安全分析人員對威脅對象研判提供了全面的助力，協(xié)助監(jiān)管機構(gòu)打擊威脅背后的攻擊團(tuán)伙。

技術(shù)驅(qū)動 樹立標(biāo)桿

有了這些“黑科技”的落地應(yīng)用，更有從2019年以來800多天的全力備戰(zhàn)，和冬奧期間3500多名員工近1個月的晝夜奮戰(zhàn)，奇安信順利實現(xiàn)了網(wǎng)絡(luò)安全“零事故”目標(biāo)，兌現(xiàn)了對冬奧會網(wǎng)絡(luò)安保承擔(dān)“完全、徹底、端到端”責(zé)任的莊嚴(yán)承諾。奇安信集團(tuán)董事長齊向東表示，“零事故”標(biāo)志著北京冬奧會的網(wǎng)絡(luò)安全保障全面超過往屆，達(dá)到了前所未有的高度，也充分證明奇安信的技術(shù)實力是世界領(lǐng)先的，樹立了行業(yè)新標(biāo)桿。