企业动态

    在刚刚圆满结束的北京冬奥和冬残奥会中，奇安信创造了奥运会网络安全“零事故”的世界记录，取得了网络安全“中国方案”的胜利。这份成功的背后离不开监管态势感知、运营态势感知、攻防态势感知“三合一”实战化态势感知在冬奥舞台上的“同框发力”。

    图奇安信圆满完成北京冬奥、冬残奥网络安全保障工作

    天眼作为其中的攻防态势感知，承担着冬奥网络安全“眼睛”的职责，触达冬奥在云上、云下的每个角落，包括2个网络中心、2个数据中心、12个竞赛场馆、26个非竞赛场馆，以及给冬奥提供网络及业务平台支持的多家运营商、合作伙伴、外部单位等，第一时间“看到”任何的网络异常行为，实现全天候、全方位的网络威胁感知。

    天眼在第一时间发现威胁后，将所有的告警信息上传至运营态势NGSOC系统。接着，安全运营人员将通过运营态势NGSOC系统收集来的天眼告警信息，以及其他安全设备的告警日志、操作系统和应用系统的日志，进行分析研判。最终，安全运营人员分析研判后的结果将报送至作为“大脑”的监管态势感知平台，供TOC（技术运行中心）、安全运营中心进行监管及查看指挥。

    1

    检测APT，天眼永不缺席

    Bvp47事件威胁全球网络空间安全，国家间政治冲突演变的网络攻防战愈演愈烈，黑客的攻击手段不断演进升级......作为全球瞩目的奥运会，其相关的方方面面都可能受到各类网络攻击，尤其是APT威胁。

    作为APT的有效克星，天眼能够针对APT等高级网络攻击的全生命周期进行全面、持续的检测。在本次冬奥网络安全保障中，作为“眼睛”的天眼，持续“静默”守“岗”，实时动态监测威胁，有效发现包括Web攻击、邮件攻击、恶意软件、0Day攻击等各类安全威胁。

    据统计，冬奥会期间，天眼发现威胁告警5,008,746次、漏洞告警9,135次，威胁情报命中28,790次，发现恶意样本数54个。

    3月2日，Spring官方发布技术开发API网关SpringCloudGateway存在高风险的远程代码执行漏洞，对于彼时如火如荼的冬奥来说，该漏洞可能对冬奥相关的网络技术架构有一定的安全威胁。

    而天眼在没有更新规则之前，凭借Java通用代码执行漏洞的规则，可以识别出攻击行为，再由分析人员对攻击payload进一步分析，就能定位到具体的漏洞。这与拿到漏洞细节才更新规则的检测有本质区别。也因此，天眼可以更加及时地通知到冬奥网络安全分析人员关注此类告警，预防0day漏洞造成更大影响。

    2

    自动化检测，看“清”看“透”云上云下各类威胁

    冬奥分为“云上”和“云下”网络安全环境，“云上”为2个数据中心，主要信息系统均部署在云上数据中心；“云下”为12个竞赛场馆、26个非竞赛场馆、2个网络中心，以及给冬奥提供网络及业务平台支持的多家运营商、合作伙伴、外部单位等。

    为了满足冬奥云上、云下复杂的业务及网络环境，天眼采用“云地结合”级联方案，实现全量采集冬奥云上东西南北全向流量以及地下各场馆流量。

    部署到冬奥云上、云下的天眼探针，将采集到的网络流量通过自主研发的QNA大数据人工智能威胁检测引擎解析成各种协议字段，通过数万条规则和百万级的威胁情报判断解析后的流量中是否有攻击行为。

    QNA引擎还会将网络中传输的各类文件进行还原，投送到天眼沙箱中，判断是否为恶意文件。最终，天眼分析平台综合各类告警信息进行关联分析，还原出攻击链，可以用于监测完整攻击事件，尤其是针对APT攻击事件有较好的检测能力，还可以从攻击链中发现未知威胁和0day攻击。

    以上由天眼第一时间检测到的异常行为会形成告警，并自动同步上报到运营态势感知NGSOC系统进行进一步的人工分析和研判；流量日志仍存储在天眼中，供分析研判人员深度溯源分析时提取。

    整个冬奥会期间，天眼总计产生告警日志53万条，流量日志总计1074亿条。

    当分析人员需要对告警进行详细分析时，通过天眼分析中心“按需提取”云上、云下分析平台全量的网络和主机行为日志、以及沙箱中的恶意样本文件，结合威胁情报进行深入的调查，并且利用搜索、统计、可视化关联等方法和技术，帮助其进行溯源分析，呈现出完整的攻击过程。

    可以看出，攻防态势感知对人依赖度很低，自动化更强。在威胁检测时，攻防态势感知天眼可以自动检测发现威胁、自动上报；当需要分析研判时，它会给分析人员提供数据支撑。

    3

    守好检测关口，天眼以“奥运品质”交作业

    冬奥一旦发生潜在危害网络和信息系统的安全事件时，如果不能够及时发现、预警和响应处置，对奥运赛事的保障工作会造成特别重大的影响和损害，甚至可能影响比赛的顺利进行和比赛期间的社会秩序。

    奇安信作为北京冬奥官方网络安全服务和杀毒软件赞助商，必须确保“零事故”。作为贴近威胁一线的“眼睛”，天眼也必须要做到冬奥全网的网络威胁告警“纤毫毕现”，检测速度“疾如雷电”。只有守好检测这道关口，才能协同联动运营态势感知、监管态势感知发挥更大的作用。

    在守好检测这道关口上，天眼为冬奥奉献了一点绵薄之力，也收获了一些成果：

    1发扬奥运品质，追求更短的威胁检测和响应时间

    整个冬奥期间，天眼以“奥运标准”要求自己，极大提升在冬奥中对未知威胁和攻击的检出效率，达到更高的准确率和更低的误报率。用全量数据支撑冬奥安全监控中心溯源分析，让攻击过程原形毕露。最终，不断缩短冬奥期间网络威胁发现的平均检测时间（MTTD）和平均响应时间（MTTR）。

    “冬奥‘零事故’，不是没有安全风险，而是及时将风险扼杀在摇篮里，避免了进一步的事态蔓延，这也是奥运品质网络安全的价值体现。天眼在其中发挥着很大作用，通过流量检测全覆盖，明察秋毫，不放过任何蛛丝马迹；威胁发现及时，缩短威胁响应时间；响应时间缩短，威胁产生的影响自然就微乎其微。”奇安信冬奥保障总架构师尹智清表示。

    图天眼网络安全态势大屏

    2“云地结合”敏捷级联方案，降本增效，增强云上威胁发现能力

    为了满足冬奥云上、云下复杂的业务及网络环境，天眼采用“云地结合”级联方案，云上、云下异地分布存储，在不影响威胁管理及响应的前提下，实现天眼分析中心按需、实时提取云上及云下的安全数据。整个全流量采集方案，在极大降低安全成本的同时，也大大提升冬奥云上安全感知能力，促成百年奥运史上第一个“云上奥运”的安全诞生。

    “尽管冬奥在云上的网络流量首先会经过云厂商WAF设备，一部分Web类攻击会在这里被监测和阻断。但我认为并不足够，云天眼会作为第二道关卡的守门员，对APT攻击和恶意文件威胁进行进一步分析和识别，做到万无一失。”冬奥网络安全专家李洪亮提到。

    3关键技术实现精准自动化检测，狙击0Day、APT

    天眼深度融合奇安信自身强大的威胁情报，并通过大数据、人工智能等技术自动化检测威胁，实现对新场景下APT攻击、0Day攻击的及时发现。

    “这只眼睛很精准。天眼从流量上帮助我们精准发现各种威胁，无论是针对DGA域名、DNS隧道攻击，还是APT攻击”，冬奥网络安全监控值班经理初雪峰这样评价天眼。

    4

    结语

    当然，也许和大脑比起来，眼睛确实不是最核心的器官。但是在整个冬奥中，天眼作为“眼睛”，一直在以自动化网络攻击检测默默贡献自己的绵薄之力，与前线安服和应急团队环环相扣、无缝协作，将威胁发现、研判分析、溯源处置等时间压缩再压缩，与公司一起创造奥运“零事故”，也许是天眼最大的收获和价值。

    ▷零事故的背后：一道关乎北京冬奥的网络纵深防线

    ▷冬奥网络安全“零事故”，离不开这份“中国方案”

    ▷3.8亿次网络攻击与冬奥“零事故”承诺背后的攻防博弈

    ▷奥运“零事故”世界纪录背后：实战化态势感知如何“三位一体”