中国工程院院士、中央网信办冬奥会网络安全专家研判组组长方滨兴
常规的网络攻击具有系统渗透和系统压制两个维度
系统渗透:一个是控制你啊,进入你的系统
系统压制:没有控制你,但去压制你让你也用不了
这个本质相当于系统控制的就是你能够用的东西,就是说我要用不了,你也别想用,但是呢,现在上出现了新的维度啊,也就是说我们本来是系统控制被利用。但又出现了一个我控制你的目的就是为了破坏。
这样的话呢,我们就从出现三个攻击的形态,也就是说,你能用我也要用的一种控制攻击,我不能用你也想用的试探攻击,尽管我能用,但我就想让你不能用的破坏性攻击啊
与之相对应,常规的网络安全防御模式分为自卫模式与护卫模式两类
前者依靠自身强化安全以自卫:相比较完全
后者以外部协助防御来护卫:通过外置系统保护的护卫模式是更有效的根本模式 本质就是一个外置的安全技术,也是说你的系统我来保护,那么我来保护我要靠一些外置什么来保护
作为外置安全技术的“盾立方”,通过设伏探查技术设置相应陷阱发现异常,通过关联分析技术确认攻击嫌疑源头,通过管控阻断技术部署拦截点阻断异常ip进入,进而形成了三维构造对外部威胁进行护卫
他指出,在现代信息战中,相比较完全的自卫模式,通过外置系统保护的护卫模式是更有效的根本模式。作为外置安全技术的“盾立方”,通过设伏探查技术设置相应陷阱发现异常,通过关联分析技术确认攻击嫌疑源头,通过管控阻断技术部署拦截点阻断异常ip进入,进而形成了三维构造对外部威胁进行护卫。
“盾立方”的设伏探查主要靠“四蜜”实现,分为:蜜点、蜜罐、蜜网、蜜洞。“四蜜”结构有效地构建了核心更加强大的防护模式,有效应对APT等未知攻击类型,在北京冬奥网络防护中提供了强有力支撑。
“蜜点”是一组人为设置的网络访问点,部署在被保护系统的周边,内部承载着防御者精心设置的“哨兵”进程,外部形态是被保护对象的仿真系统。当攻击者实施渗透侦查活动时,将会无感记录其探测行为。
“蜜网”是一个前置于被保护系统的应用网关(WAF)。被保护系统无条件只接受来自蜜网或者其他白名单中的访问请求,并对白名单用户的访问过程进行记录和审计。对外,被保护系统的域名所解析的地址都指向蜜网,外部访问需要通过蜜网来进行。
“蜜罐”是被访问系统的前置机,相当于被访问系统的部分功能。对于牵引到蜜罐中的可疑目标对象,既能够真实地提供初期的服务,还能够观察和分析其行为活动,若最终判定为良性用户,则通过流量牵引到真实系统环境中。
“蜜洞”部署于靠近攻击者侧的真实网络中。当检测到疑似攻击或非合规访问时,蜜洞系统释放溯源认证工具决定是否放行这一访问,认证放行的前提是访问者需要提供证明其来源和途径的信息,即身份认证凭据。蜜洞部署提升了自动化攻击的成本代价,一方面让访问者知晓面临被溯源风险,从而形成威慑;另一方面,可以搜集关联情报。
方滨兴总结“四蜜”为具有一体化探查能力的结构,解决了想知道有什么问题、哪块有问题的需求,通过冬奥网络安全防护实践,成为了“盾立方”中设伏探查的重要技术。
据冬奥网络安全赞助商奇安信统计数据显示,在冬奥会开始到冬残奥会闭幕式结束期间,共检测日志数量累积超1850亿,日均检测日志超37亿,累计发现修复漏洞约5800个,发现恶意样本54个,排查风险主机150台,累积监测到各类网络攻击超3.8亿次,跟踪、研判、处置涉奥舆情和威胁事件105件,最终创造了冬奥历史上首个网络安全“零事故”的世界纪录。
。
1775
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
