7月13日,2022北京網(wǎng)絡(luò)安全大會線上開幕,中國工程院院士、中央網(wǎng)信辦冬奧會網(wǎng)絡(luò)安全專家研判組組長方濱興,在開幕式&冬奧零事故峰會中發(fā)表“‘盾立方’網(wǎng)絡(luò)安全防御體系中的探查維度——‘四蜜’探查結(jié)構(gòu)”主題演講。他表示,在北京冬奧的防護實踐中,以蜜點、蜜罐、蜜網(wǎng)、蜜洞形成的“四蜜”探查結(jié)構(gòu),助力發(fā)現(xiàn)威脅來源、跟蹤威脅行為,有效地應(yīng)對APT等未知攻擊類型。 方濱興表示,常規(guī)的網(wǎng)絡(luò)攻擊具有系統(tǒng)滲透和系統(tǒng)壓制兩個維度,由此產(chǎn)生了三種攻擊形態(tài):控制攻擊、試探攻擊與破壞性攻擊。與之相對應(yīng),常規(guī)的網(wǎng)絡(luò)安全防御模式分為自衛(wèi)模式與護衛(wèi)模式兩類,前者依靠自身強化安全以自衛(wèi),后者以外部協(xié)助防御來護衛(wèi)。 他指出,在現(xiàn)代信息戰(zhàn)中,相比較完全的自衛(wèi)模式,通過外置系統(tǒng)保護的護衛(wèi)模式是更有效的根本模式。作為外置安全技術(shù)的“盾立方”,通過設(shè)伏探查技術(shù)設(shè)置相應(yīng)陷阱發(fā)現(xiàn)異常,通過關(guān)聯(lián)分析技術(shù)確認攻擊嫌疑源頭,通過管控阻斷技術(shù)部署攔截點阻斷異常ip進入,進而形成了三維構(gòu)造對外部威脅進行護衛(wèi)。 方濱興分享道,“盾立方”的設(shè)伏探查主要靠“四蜜”實現(xiàn),分為:蜜點、蜜罐、蜜網(wǎng)、蜜洞?!八拿邸苯Y(jié)構(gòu)有效地構(gòu)建了核心更加強大的防護模式,有效應(yīng)對APT等未知攻擊類型,在北京冬奧網(wǎng)絡(luò)防護中提供了強有力支撐。 “蜜點”是一組人為設(shè)置的網(wǎng)絡(luò)訪問點,部署在被保護系統(tǒng)的周邊,內(nèi)部承載著防御者精心設(shè)置的“哨兵”進程,外部形態(tài)是被保護對象的仿真系統(tǒng)。當攻擊者實施滲透偵查活動時,將會無感記錄其探測行為。 “蜜網(wǎng)”是一個前置于被保護系統(tǒng)的應(yīng)用網(wǎng)關(guān)(WAF)。被保護系統(tǒng)無條件只接受來自蜜網(wǎng)或者其他白名單中的訪問請求,并對白名單用戶的訪問過程進行記錄和審計。對外,被保護系統(tǒng)的域名所解析的地址都指向蜜網(wǎng),外部訪問需要通過蜜網(wǎng)來進行。 “蜜罐”是被訪問系統(tǒng)的前置機,相當于被訪問系統(tǒng)的部分功能。對于牽引到蜜罐中的可疑目標對象,既能夠真實地提供初期的服務(wù),還能夠觀察和分析其行為活動,若最終判定為良性用戶,則通過流量牽引到真實系統(tǒng)環(huán)境中。 “蜜洞”部署于靠近攻擊者側(cè)的真實網(wǎng)絡(luò)中。當檢測到疑似攻擊或非合規(guī)訪問時,蜜洞系統(tǒng)釋放溯源認證工具決定是否放行這一訪問,認證放行的前提是訪問者需要提供證明其來源和途徑的信息,即身份認證憑據(jù)。蜜洞部署提升了自動化攻擊的成本代價,一方面讓訪問者知曉面臨被溯源風(fēng)險,從而形成威懾;另一方面,可以搜集關(guān)聯(lián)情報。 方濱興總結(jié)“四蜜”為具有一體化探查能力的結(jié)構(gòu),解決了想知道有什么問題、哪塊有問題的需求,通過冬奧網(wǎng)絡(luò)安全防護實踐,成為了“盾立方”中設(shè)伏探查的重要技術(shù)。 據(jù)冬奧網(wǎng)絡(luò)安全贊助商奇安信統(tǒng)計數(shù)據(jù)顯示,在冬奧會開始到冬殘奧會閉幕式結(jié)束期間,共檢測日志數(shù)量累積超1850億,日均檢測日志超37億,累計發(fā)現(xiàn)修復(fù)漏洞約5800個,發(fā)現(xiàn)惡意樣本54個,排查風(fēng)險主機150臺,累積監(jiān)測到各類網(wǎng)絡(luò)攻擊超3.8億次,跟蹤、研判、處置涉奧輿情和威脅事件105件,最終創(chuàng)造了冬奧歷史上首個網(wǎng)絡(luò)安全“零事故”的世界紀錄。 此前,北京網(wǎng)絡(luò)安全大會已連續(xù)成功舉辦三屆,代表了中國網(wǎng)絡(luò)安全的高水平和前沿聲音。2022年北京網(wǎng)絡(luò)安全大會采用“四地雙會場 動態(tài)召開”的創(chuàng)新模式,在北京、長沙、重慶和深圳四地,舉辦線上線下超融合的網(wǎng)絡(luò)安全大會。
|