7月13日,2022北京网络安全大会线上开幕,中国工程院院士、中央网信办冬奥会网络安全专家研判组组长方滨兴,在开幕式&冬奥零事故峰会中发表“‘盾立方’网络安全防御体系中的探查维度——‘四蜜’探查结构”主题演讲。他表示,在北京冬奥的防护实践中,以蜜点、蜜罐、蜜网、蜜洞形成的“四蜜”探查结构,助力发现威胁来源、跟踪威胁行为,有效地应对APT等未知攻击类型。
方滨兴表示,常规的网络攻击具有系统渗透和系统压制两个维度,由此产生了三种攻击形态:控制攻击、试探攻击与破坏性攻击。与之相对应,常规的网络安全防御模式分为自卫模式与护卫模式两类,前者依靠自身强化安全以自卫,后者以外部协助防御来护卫。
他指出,在现代信息战中,相比较完全的自卫模式,通过外置系统保护的护卫模式是更有效的根本模式。作为外置安全技术的“盾立方”,通过设伏探查技术设置相应陷阱发现异常,通过关联分析技术确认攻击嫌疑源头,通过管控阻断技术部署拦截点阻断异常ip进入,进而形成了三维构造对外部威胁进行护卫。
方滨兴分享道,“盾立方”的设伏探查主要靠“四蜜”实现,分为:蜜点、蜜罐、蜜网、蜜洞。“四蜜”结构有效地构建了核心更加强大的防护模式,有效应对APT等未知攻击类型,在北京冬奥网络防护中提供了强有力支撑。
“蜜点”是一组人为设置的网络访问点,部署在被保护系统的周边,内部承载着防御者精心设置的“哨兵”进程,外部形态是被保护对象的仿真系统。当攻击者实施渗透侦查活动时,将会无感记录其探测行为。
“蜜网”是一个前置于被保护系统的应用网关(WAF)。被保护系统无条件只接受来自蜜网或者其他白名单中的访问请求,并对白名单用户的访问过程进行记录和审计。对外,被保护系统的域名所解析的地址都指向蜜网,外部访问需要通过蜜网来进行。
“蜜罐”是被访问系统的前置机,相当于被访问系统的部分功能。对于牵引到蜜罐中的可疑目标对象,既能够真实地提供初期的服务,还能够观察和分析其行为活动,若最终判定为良性用户,则通过流量牵引到真实系统环境中。
“蜜洞”部署于靠近攻击者侧的真实网络中。当检测到疑似攻击或非合规访问时,蜜洞系统释放溯源认证工具决定是否放行这一访问,认证放行的前提是访问者需要提供证明其来源和途径的信息,即身份认证凭据。蜜洞部署提升了自动化攻击的成本代价,一方面让访问者知晓面临被溯源风险,从而形成威慑;另一方面,可以搜集关联情报。
方滨兴总结“四蜜”为具有一体化探查能力的结构,解决了想知道有什么问题、哪块有问题的需求,通过冬奥网络安全防护实践,成为了“盾立方”中设伏探查的重要技术。
据冬奥网络安全赞助商奇安信统计数据显示,在冬奥会开始到冬残奥会闭幕式结束期间,共检测日志数量累积超1850亿,日均检测日志超37亿,累计发现修复漏洞约5800个,发现恶意样本54个,排查风险主机150台,累积监测到各类网络攻击超3.8亿次,跟踪、研判、处置涉奥舆情和威胁事件105件,最终创造了冬奥历史上首个网络安全“零事故”的世界纪录。
此前,北京网络安全大会已连续成功举办三届,代表了中国网络安全的高水平和前沿声音。2022年北京网络安全大会采用“四地双会场 动态召开”的创新模式,在北京、长沙、重庆和深圳四地,举办线上线下超融合的网络安全大会。
(来源:新视线)