集顶尖研究团队 提供最新的安全研究成果

安全解析 研究报告 安全团队 研究机构

《一场惊心动魄的实网攻防演习,复盘TOP国有银行如何做到「不破防」?》——良策揭秘篇

2022-08-25

“圆满收官,惊心动魄,却意犹未尽”,防守队的安全专家如是说。

回顾这两个月,从演习前准备到演习正式开始,每一次和防守单位沟通协作、补齐安全防护短板,每一次和攻击方正面交战、铺设陷阱见招拆招,每一次和体系内安全专家协同、分析攻击方技战术……

其中的神奇特技和谋篇布局,我们记录于系列文章,本期是第一期《良策揭秘篇》。

——写在前面


“实网攻防演习”是怎么回事

所谓“实网”是指真实的网络环境,而“实网攻防演习”就是在真实的网络环境下,针对电力、电信、金融等关系国计民生的重点领域、重要单位,通过攻击方和防守方两方的对抗演习,来检验各参演单位面对网络攻击时的技术防护能力、以及解决突发网络安全事件的应急处置能力。

说到这,熟悉军事的小伙伴已经有感觉了,这有点像人民解放军在朱日和实兵对抗演习。当前,我国数字化转型不断加速,每个人、每家企事业单位、每家政府单位甚至城市、国家,在感受到数字化神奇力量的同时,也意识到了数字安全在今天前所未有的重要。


网络攻防是典型的不对等对抗

与其他竞争性、对抗性的斗争不同,网络攻击和防御在大多数时候是天然不对等的,其根源在于数字化的内在脆弱性。近年来,随着新一代数字技术的快速发展并与业务深度融合,这种不对等性越来越显著。

原因有三:

第一是“点面不对称”。防御需考虑全局,而攻击可从任何一个薄弱点入手。

第二是“成本不对等”。网络武器的获取日趋容易,使得网络攻击成本逐步降低,与此同时,防御成本却不断攀升。

第三是“效率不对等”。自动化、智能化的攻击方式使攻击效率显著提升,对防守方的安全响应速度要求越来越快,然而面对大量安全事件,防守方处置效率极低。


网络「不破防」有多难?

随着近年实网攻防演习的规模和强度不断增加,作为防守单位,不仅要防住演习事先确定的核心靶标及相关路径资产,还要对所有重要业务系统、所有重要设备和资产、所有的相关上下级单位都纳入安全防护体系。防守单位的业务体量越大、业务越复杂、相关的涉及面越广,那么防守难度就越大。

面对如此大的暴露面,任何安全防护的漏洞和不足,都会被机智的攻击方利用。在实际演习中,很多防守方甚至不知道发生了什么就失守了,被打穿出局。想要实现圆满防守不破防,其难度可想而知。


攻击方神出鬼没 防守方要能「看见」

《孙子兵法》有云:“不知山林、险阻、沮泽之形者,不能行军。”(《孙子兵法·军争篇》)

针对实网攻防演习的高强度对抗,以及该银行在数字化转型中面临的新风险挑战,看见资产、看见风险、看见威胁、看见攻击行为成为最急需解决的问题,打造高敏感度网络安全预警体系成为最需要的核心能力。

概括说来,「看见」有四:

看见战场:攻击者致力于打入防守单位的内部,防守单位首先要摸清自身家底,明晰网络攻防双方交战的战场。看见战场,需要我们防守单位全面梳理网络地图、资产、业务、数据、系统、应用、身份等。

看见风险:对于TOP国有银行单位,由于业务的复杂性和信息技术的深度应用,攻防双方的交战之场范围极广,任何漏洞等风险都可能被攻击方利用。看见风险,需要我们防守单位全面挖掘存在的漏洞、弱口令、错误配置、暴露端口等。

看见威胁:常见的网络威胁有恶意软件、高级持续威胁攻击、勒索攻击、供应链攻击、社会工程学攻击、分布式拒绝服务攻击等。看见威胁,需要我们防守单位感知威胁态势,获取威胁图谱、攻击技战术、威胁情报等。

看见异常:尽管攻击者极力隐匿踪迹,但是雁过留痕,通过汇聚打通各个维度的安全数据,再连接全网数据和全网知识库做全网分析,从大数据中分析发现异常线索。看见异常,需要我们防守单位打破就地分析、本地分析的局限性,形成风险、威胁和攻击的全局视角,看见设备行为异常、人员行为异常、应用行为异常、数据行为异常、网络通信异常等。


通过「看见」,提前斩断杀伤链

解决了看见资产、看见风险、看见威胁、看见攻击行为的问题,作为防守单位,要想实现对攻击的抵御,还需要基于上述「看见」,对攻击者进行追踪,进一步「看见」其攻击意图、攻击过程等,「看见」全局态势,进而进行响应编排、清理阻断和修复加固,「看见」防御效果。

概括说来,从五方面着手:

狩猎追踪:对攻击者进行狩猎追踪,分析攻击者的意图、攻击路径、攻击手段、攻击过程等。

态势感知:掌握攻击者的入侵态势,攻击者所面对的风险态势,以及合规态势。

响应编排:优化告警规则、降低误报,通过自动编排实现高效响应,使安全事件响应处置流程化。

清理阻断:对于看见的攻击,及时阻断清理。

修复加固:通过打补丁、修改安全配置、增加安全机制等方式,封堵裂痕、修复加固,消除降低安全隐患。


构建以「看见」为核心的安全运营服务体系——即不破防的「良策」

为了圆满完成本次实网攻防演习,360专家团队深度调研了该银行单位业务、梳理信息资产、评估安全风险、制定防护策略,按照总行与全国所有分行整体防护的思路、以及“数据制胜、以人为本、集中研判、持续服务”的思想,助力该TOP国有银行构建以「看见」为核心的安全运营服务体系。

undefined


该银行单位与360进行深度合作,将360数字安全大脑框架与银行现有安全体系相融合,首次把总行与全国所有分行纳入统一防护范围做整体规划、策略设计、调度协同,依靠360强大的云端分析能力、海量安全大数据和专家团队,通过对该行全量安全数据的汇集、自动化分析处理、专家集中研判,第一时间发现攻击、快速捕获、即时处置并对攻击溯源,通过“数据+人+技术”的有效结合、交互协作,做到了看见威胁、看见对手,实现了“看见”银行全网态势的核心能力,建立了安全的全局视野。


众里寻他,为什么360有最强「看见」能力?

想要看见高级威胁攻击、勒索攻击、供应链攻击等各类威胁事件,需要具备全球视野、海量云端大数据的存储及处理能力、高质量事件的捕获能力、AI分析技术及实战经验丰富的安全专家团队。

因此,360具有业界最强的全网「看见」能力,源于这16项能力要素:

终端:通过15亿终端,实时感知全球全网安全事件

云端:全球首家云原生安全公司,云端分析安全数据

安全大数据:总规模2EB,任何网络攻击都能被看见

大数据技术:首创超大规模安全数据,存储、处理和检索技术

AI分析技术:在海量样本中自动化、智能化发现攻击线索

数据中台:超大规模数据实时处理,和亿万终端并发处理

全网视野:建立全局视野,看见全球和全网安全态势

历史维度:完整记录全量安全大数据,攻击线索历史回溯与关联

安全样本库:世界上最大的安全样本库,样本总数300亿

APT基因库&攻防知识库:掌握样本基因、APT攻击技战法,识别未知攻击

攻防对抗:在10亿终端上实时查杀、追踪、阻断、清理

专家团队:安全专家2000多名,组成东半球最强白帽子军团

漏洞能力:累计挖掘CVE漏洞3000多,是国内第一、世界领先

运营体系:人+技术+工具+数据+平台,持续安全运营能力

服务能力:以互联网SaaS模式提供安全服务,10余年服务15亿用户

商业模式:以安全支撑互联网,以互联网反哺安全


360基于「看见」,捍卫国家网空主权

360打破西方网络强国的“单向透明”优势,捍卫网空主权,累计发现了50个境外APT组织,独家捕获美国CIA/NSA对我国关键信息基础设施长达十余年的网络渗透攻击。

undefined


这里,要和各位看官说明下“APT攻击”这个重要概念。APT攻击,是有组织、有计划、针对特定目标的一系列攻击,往往高度隐藏,潜伏渗透周期可达数年甚至十数年,其目的是通过攻击国防、制造业、金融、能源、科研等单位,获取政治、情报、数据、经济利益等,严重威胁国家安全。典型的APT攻击事件,如伊朗核电站感染震网病毒造成核能相关发展停滞、委内瑞拉因网络攻击造成大面积断水断电、某国总统大选期间绝密邮件遭泄漏影响选情等。


「看见」有哪些价值?

360作为数字安全运营商,以「看见」为核心,为数字安全时代贡献360方案,以服务为核心价值,为政府、企业、城市和中小微企业的数字化转型保驾护航。

服务国家:面向各大监管部门,以SaaS化方式输出全网安全数据,提供数据赋能。

服务企业:集中建设以安全大脑为核心的安全运营中心,通过汇聚数据和分析能力集中建设,提供统一态势感知、威胁检测、联动响应;对基层单位支持和赋能,联防联控。

服务城市:创新城市数字安全建设新模式,把过去的“卖药”的模式升级为建设城市“数字安全医院”,构建城市网络安全与数字化发展长效机制,打造以数字安全大脑为核心的城市数字安全能力体系,为当地政府部门和企业提供SaaS化安全服务。

服务中小微企业:依托全面SaaS架构实现从本地到远程、从终端到网络的硬件、软件、数据、行为、人的全方位数字化管理。

服务个人用户:以免费安全守护亿万消费者安全用网,提升国民网络安全整体水平。



下期预告:

了解了本次演习「不破防」的核心方略,那么在战术层面,防守单位还使出了哪些必胜技?敬请关注下一期《精兵揭秘篇》。