首頁 > 關于我們 > 安恒動態 > 2023 > 正文

亞運“零事故”，從1到0的1049天，有你不知道的那些事

閱讀量：次 文章來源：安恒信息

自2020年11月23日正式成為杭州亞運會官方網絡安全服務合作伙伴以來，安恒信息歷經1049個日夜，橫跨杭州、寧波、溫州、湖州、紹興、金華6大賽區，部署網絡安全設備41款1184臺，涉及87個場館、40余個核心賽事系統、覆蓋10000+臺終端，從安全開發、暴露面監測、邊界防御、威脅狩獵、應急響應五個核心攻防對抗域開展常態化安全運營，持續度量和迭代優化安全保障能力，打造了集態勢感知、通報預警、信息共享、指揮協調的一體化安全運營體系，并在行業內真正建立起一支專注服務于大型體育賽事、國際性展覽會議的精英網絡安保隊伍，續寫15年重保“零事故”輝煌戰績！

持續化體系化安全運營，相輔相成助輝煌

安恒信息董事長范淵認為，亞運安全保障“零事故”的背后，依靠的是“技術的可靠+人的可靠”，“團隊的責任感、代際傳承，是這支隊伍能夠實現15年重保零事故的關鍵所在”。面對如此復雜的網絡環境和嚴苛的安全要求，安恒是如何確保亞運零事故？通過持續化體系化安全運營健全安全能力，實現安全能力全覆蓋、安全管理全統一、安全響應全協同，運用實戰化安全運營保障亞運安全效果，實現具有攻防對抗技戰術能力和智能化場景化的閉環安全運營。

亞運保障“最后一公里”關口在哪

終端安全防護就是本次亞運重保一體化安全運營體系閉環中的最后一環，即“零米”防護，扮演著守護資產的貼身特勤。在攻擊側，新型攻擊方式層出不窮，一些高端攻擊技術越來越平民化，可以預見亞運終端受到威脅勒索的形勢更加嚴峻；再次，從需求側，亞運保障更注重效果、發現、運營和實戰。如果要保護的單位像工廠一樣是由一個個房間、一個個業務單元組成的話，部署流量和日志類產品，就像部署在大樓的出口或者樓道里面監控探頭，看見的是南北向和東西向的流量，看見的是樓層和樓層之間和進出這棟樓的流量。但黑客和壞人不總是從大樓的正門和樓道進入，有可能從后門、窗戶、通風管道進去，也有可能是以快遞的形式帶來威脅。終端安全防護產品則相當于在工廠內每一個房間都安裝了一個特別輕的傳感器、攝像頭，用戶能夠清晰地看見這一個房間里發生所有的行為，終端安全防護產品實時采集并送入本地/云端安全運營專家做分析，可以和常規流量檢測產品相互補充，從而更好的發現威脅。

安恒是如何捍衛這“最后一公里”生死線

拒絕單兵作戰要端網聯動持續運營

端網聯動能力，終端安全防護產品要從網絡和終端兩個維度保證辦公終端安全。如通過將云端威脅情報與DNS相結合，可從網絡流量側檢測威脅，通過阻斷惡意樣本反連、阻止新樣本下載、防止打開釣魚鏈接等方式保護亞運終端安全；利用AI行為監測等技術對終端行為日志進行檢測分析，提供包括隔離進程、文件、網絡乃至終端等多種處置策略。通過將終端行為與網絡流量相結合，可以對終端威脅進行更全面威脅覆蓋，處置策略更豐富、更靈活，隨時隨地為終端提供全面、精準、高效的安全防護能力。

終端安全產品從最早期滿足合規的防威脅產品，已經演變成包含管理、監測分析、響應處置等功能于一體的體系化防御階段。”隨著安全風險的持續性變化，終端安全防護也需要向持續化運營的方向轉變。在終端資產管理的過程中就有必要加入運營的思路，滿足合規化部署與持續化管控的雙方面需求；應用持續檢測和響應的手段，來構建快速迅捷的主動防御；與平臺化產品形成聯動，提供持續化的安全運營服務。

流程式場景化聯合防御主動預防風險閉環

持續驗證可信基線保障每一臺接入設備都是安全的

在大型體育賽事中，人員多且雜，設備多樣性會給網絡接入側的安全性帶來極大的挑戰。為了實現事前防御，保障終端靈活使用體驗和兼顧安全的要求，安恒終端安全秉持兩個原則：人員明晰化、終端透明化。人員明晰化，是基于人作為研判風險的因素，通過終端準入產品特有的身份準入控制，與各場館交換機人員信息進行匹配，確保每一個接入的人員身份信息是得到驗證的，杜絕任何身份可疑的人員設備接入亞運賽事網絡。終端透明化，是基于端作為研判風險的因素：第一，通過終端入網安全檢查能力，同時將人員信息+設備MAC信息強制綁定，雙重保險杜絕設備仿冒事件發生，設備運行期間，累計成功攔截13458次非法終端接入，確保每一臺接入的終端都是可信的。第二，利用基線檢查能力，包括系統配置評估、漏洞掃描等維度，快速對系統或設備進行全面的安全評估和發現潛在的隱患。第三，安恒通過勒索誘餌引擎，確保勒索威脅對誘餌文件進行操作時，立即告警并結束操作進程，保障賽事期間勒索事件“零概率”。

全方位威脅處置?保障數據不泄露

賽事重保中，終端設備可能受到各種威脅攻擊，實時監測和分析終端設備上的活動，及時發現潛在的安全威脅并采取相應的防御措施來阻止和應對各類入侵的攻擊行為，是非常必要的，安恒從威脅威脅防護、內容防護、數據安全防護三大場景出發，解決安全隱患。本次亞運保障中，安恒首創的無文件攻擊防御起到了關鍵作用，自研的E-RASP引擎可以對Web服務器的內存空間進行實時監測，通過捕獲Web服務器代碼執行過程，分析代碼執行鏈路，發現Webshell內存馬注入行為，并阻斷內存馬的注入。使用內存注入、內存插樁、內存馬原理性分析等技術，能夠實時發現已知和未知的各種類型的內存馬。

威脅威脅場景：針對于賽時高發的高級威脅的入侵行為，安恒終端安全產品內置的自定義防范策略可根據場館需求量身定制防范策略，讓防御變得更加靈活、精準、主動，全面保障終端資產及業務數據安全。此外，EDR不僅可以阻止已知勒索威脅的執行，而且在面對未知類型勒索威脅時，憑借獨家專利級誘餌引擎能夠在未知類型勒索威脅試圖加密時發現并阻斷其加密行為，并對調用進程的威脅文件溯源查殺。在保障期間，EDR可用于防護高風險威脅攻擊，有效守護主機安全，利用文件保險柜添加訪問控制策略，為文件安全提供雙重保障。

內容防護場景：網頁篡改也是比賽期間極為頻發的終端安全事件，本次亞運會涉及的資訊官網、票務系統網站等都是面向大眾的，如果網頁遭到篡改，很有可能引發大規模信息泄露事件，相關單位會受到嚴重威脅，此外，如果網頁被篡改，相關單位形象和信譽也會受到極大損失。因此，網站防護，不容有一絲失誤。針對常見的網頁篡改手段，安恒利用專利級的Web入侵檢測技術，可以對網站進行多層次的安全檢測分析，有效保護網站靜態/動態網頁及后臺數據庫信息。

終端數據場景：亞運賽時數據作為十分敏感的內容，亞組委高度重視對其的防護和流轉，既能保護好數據，又要釋放數據價值，是安恒此次亞運數據防護的主題：在保護層面，我們緊抓兩個管控，一個是數據源頭上管控，一個是數據外發通道管控。在源頭上我們通過文件智能透明加解密數據安全防護，將關鍵、敏感、機密的文件進行無感加密，在外發通道上，我們通過對超過20種數據外發通道的管控，有效防范數據的違規傳播，亞運保障期間，零起數據泄露事件，是對產品能力最好的印證。

快速發現快速處置流程全局可見可運營

亞運賽事，安全事件數不勝數，針對于終端的攻擊，安恒一體化終端安全平臺提供全視角終端安全運營能力，包括終端運維視角、終端風險視角、流量通信視角、入侵威脅風險視角等等全視角洞察全網終端安全態勢。

我們將零散的日志事件進行聚合，通過對關鍵事件的總結和形象化展示，清晰的展示出風險在哪、嚴重程度如何、整體安全防護效果如何等等。提高管理效率降低管理，同時通過全視角的運營能力將整個安恒一體化終端安全平臺的產品價值充分發揮出來。

人機協同，規模化協同作戰

圓滿保障也離不開于眾多產品及應用的輔助支撐，今年5月正式啟用的MSS亞運天穹——新一代主動防御運營中心，在上線前進行了超50次模擬演練，在亞運會期間全面協助賽事場館的各項網絡安全保障工作，云端實現資產的全面發現、漏洞的全面管理、威脅的實時檢測響應、“7×24小時”的云端安全專家持續守護，為杭州亞運會提供全天候、全場景、全過程、全閉環的安全運營保障服務。同時，人工智能的應用也再次賦能網絡安全保障，提升安全運營成效、牢筑安全守護屏障。今年8月，安恒信息恒腦·安全垂域大模型首次公開亮相，基于大模型的安全運營平臺全新升級首次發布。在本屆亞運會期間，該平臺以智能輔助形式應用于各個方面，安全運營成效提升70%以上。作為一款結合AI人工智能、機器學習技術與安全編排的產品，不僅有強大的數據整合和分析功能，還能夠從各種安全工具和數據源中收集、整合和分析信息，并與態勢感知、資產管理系統、威脅情報平臺、漏洞管理系統等相集成，從而實現全面的威脅情報分析和事件響應。

亞運會場館所涉及到的終端范圍廣，管理難度大，一旦發現威脅必須做到分鐘級響應，因此，安恒信息成立終端安全亞運保障小組，提供全天候技術服務支撐。整個保障小組共計投入4000+人天，日均掃描500000+個文件和梳理1200+個策略，在保障期間，對3700+次事件反饋進行了高效處理。高效、專業的重保團隊，不僅是對賽事網絡安全的負責，也是在強大產品力之外的最后一道保障，為賽事兜底，為客戶服務，是真正的亞運“隱形守護者”。人機協同，方能事半功倍，圓滿完成任務。