打破孤島,協同聯防——某運營商打造全省市跨域跨網統一威脅感知自運營樣板
“如果把某省運營商近20個市分公司四通八達的DCN網絡比作全國道路交通網,網絡流量就可以類比成車流量。當網絡安全遭遇‘交通事故’時,就會導致DCN網絡運行不通暢,引發集團在線交易、電商平臺、政務云等業務癱瘓。”該省運營商網絡安全部門相關負責人表示,不光要重視省公司網絡安全,所有地市公司的業務網絡威脅可視、可控也是當下亟需解決的問題。
隨著網絡通信技術和計算機技術的不斷發展,電信業的網絡安全問題日益引起通信運營商的重視,因為這直接影響著運營商的生存和發展。通常,運營商受網絡攻擊后,黑客可能會秘密偵聽電信網絡傳遞的信息內容,盜取運營商大量的用戶數據,還有可能利用電信網絡作為通路,偵測各種信息業務系統,甚至投遞蠕蟲病毒、木馬病毒,擁塞電信網絡,惡意控制和破壞網絡,使得電信網絡全面癱瘓。
由此可見,通信運營商的網絡安全問題不容小覷,建立健全適應于通信業務、技術發展的網絡安全管理體系,落實常態化運行機制是通信運營商的首要之舉。
某運營商作為國內三大運營商之一,是國家網絡安全保障的主力軍,承擔著從底層提升網絡安全的重任。而某省運營商作為該運營商最大的省級分公司,下轄包括近20個市分公司,服務網點覆蓋城市和鄉村。在此基礎上,該省運營商對內要保障省公司和所有地市管理網的安全,對外還要保證各類業務系統正常運轉的安全,確保為制造、能源、醫療教育等不同行業的客戶及個人用戶提供安全穩定的電信服務。
基于運營商的網絡安全現狀,以及全省、各地市公司的安全需求,某省運營商于2019年起陸續與奇安信天眼達成四期合作,通過多期流量擴容,以“分布式集群”的部署方式,實現省公司對全省近20個地市公司150G業務流量的全面監測,達到了跨域跨網統一流量威脅感知的目標,對該省運營商業務出口的威脅防范起到了關鍵作用,提升了省、市公司網絡安全協同聯防能力及電信網絡安全風險管理水平。
電信網絡復雜,三大網絡安全痛點亟需破解
不同于其他行業的關鍵信息基礎設施,承載話音、數據、消息的電信網絡與絕大多數其他行業的關鍵信息基礎設施不同,電信網絡要復雜得多。電信網絡會涉及移動接入網絡、固定接入網、傳送網、IP 網、網管支撐網等多個通信網絡,任何一個網絡被攻擊,都會對承載在電信網上的話音或數據業務造成影響,尤其是面對高級威脅時候,可能會導致網絡癱瘓,甚至更嚴重的后果。
因此,某省運營商在沒有部署天眼之前,面臨的第一個問題是:
安全設備老舊,缺乏發現高級威脅的能力:電信網絡的復雜程度使得某省運營商的網絡安全變得極其脆弱,而安全問題并非傳統意義的安全設備所能解決,尤其是難以發現隱蔽APT威脅,這些高級威脅一旦被忽略就會繞過運營商原有的安全防護設備,對集團重要的數據資產造成泄露、破壞或篡改等嚴重損失。
其次,作為內部支撐業務的“數據通信網”,DCN網絡信息資產的價值不斷提高,其安全問題也日益顯現出來,除了會遭到物理攻擊破壞外,還會面對惡意軟件攻擊、內部員工誤用、黑客入侵破壞等網絡攻擊。某省運營商DCN網絡匯聚省干核心層和地市匯聚層,部署節點遍布全省各地市。而由于DCN組網方式隨意性很強,網絡區域之間邊界不清晰,互通控制管理難度大,因此一旦遭遇網絡攻擊就很容易擴散。
基于此,該運營商面臨的第二個問題是:
無法掌握全局安全態勢,全省各市缺乏協同聯防的能力:當網絡資源比較分散的近20個市公司DCN網絡受到攻擊的時候,省公司如何無一遺漏的做到全面感知、可視監測、統一指揮。
另外,通常情況下,攻擊者在進行攻擊之前總是會搜集各種情報,包括開放的端口、聯網的硬件設備資產、辦公軟件漏洞等等,有了這些信息,攻擊者可以針對性構建攻擊武器和攻擊載荷,從而大幅度提升攻擊的成功率。但是處于防守角色的客戶卻不同。在部署天眼之前,該省運營商部署了防火墻、WAF等各類設備,但是卻無從得知攻擊者會利用什么樣的漏洞、采用什么樣的手法來入侵其系統,入侵后也不知道威脅究竟潛伏在哪里。
所以,該省運營商面臨的最后一個問題是:
威脅數據不能貫通,無法追溯到攻擊源頭:當該省運營商的任一家分支單位遭受攻擊,省公司又如何發現攻擊者是否對其他分支單位也進行了攻擊,以及攻擊者具體的攻擊信息,并溯源到攻擊者的源頭,防止攻擊者再次入侵其他分支單位。
分布式集群部署,省、市網絡安全協同聯防
基于某省運營商的網絡安全現狀,以及下屬市分公司整體情況,天眼與該省運營商達成合作。天眼通過“分布式集群”部署模式,對運營商省公司DCN出口、互聯網出口、云平臺出口,以及省內近20個地市公司DCN出口總計約150G大流量實時監測,幫助該運營商實現省公司、各地市公司流量的全面采集與威脅檢測,最終達到告警在省平臺統一分析和展示的目標,提升了省、市公司網絡安全協同聯防能力。
圖 某省運營商APT高級攻擊態勢監測項目
在省公司側,通過部署在省機房的天眼流量傳感器對省公司DCN出口、互聯網出口、重點業務出口逾100G流量進行采集監測。經天眼探針檢測分析后,把相應的告警數據及流量日志轉發到本地機房的天眼分析平臺集群,同時把還原出的文件轉發至本地機房的天眼文件威脅鑒定器。接著,文件威脅鑒定器對文件進行檢測分析后將告警數據轉發至分析平臺集群。分析平臺再通過對收集到的探針、沙箱數據進行整體分析后,精準定位省公司存在的網絡安全威脅。
在各地市側,將天眼探針部署至近20個地市公司機房,對各地市DCN流量進行采集分析,并將檢測后的告警數據、流量日志通過專線轉發至省機房的分析平臺,分析平臺基于收到的數據進行集中分析,實現省公司對各地市公司網絡威脅的統一監測與管理。
應用效果明顯,自運營讓天眼價值最大化
“部署了天眼之后,我們現在可以通過省統一的分析平臺可視化查看到全省及所有地市公司的安全態勢,包括威脅事件態勢、資產態勢、脆弱性態勢等各類展現攻擊情況的態勢。”正如該省運營商網絡安全部相關負責人所說,天眼幫助運營商全省各市公司持續監控攻擊、統一處理威脅,就像交通路網智能監測系統一樣,可以對重大突發事件預測預警及應急處置,還可以對全省路網運行及重大交通突發事件指揮調度。
省各地市單位部署了天眼之后,分別將流量的原始數據和日志數據傳輸到省公司天眼分析平臺,與省公司各節點探針搜集上來的數據進行碰撞、綜合關聯分析,自動將數以萬億的零散告警形成智能化的攻擊事件鏈條,并對受害目標及攻擊源頭進行精準定位,最終達到對攻擊者入侵途徑的研判與溯源。“原來近20個地市的網絡安全各做各的,現在天眼幫我們把省市的安全都串聯起來,換個角度講,只要攻擊者從任何一個市進來,我們都能掌握他的行蹤軌跡,看他是否也侵犯到了其他市,從而追溯到攻擊源頭。”該省運營商網絡安全部相關負責人表示,天眼系統幫助集團有效提升了網絡安全持續防護能力,保證了省運營商業務的正常開展。
不光在攻擊檢測有效性上發揮了作用,在事件響應處置高效自動化方面,天眼與終端、防火墻等設備協同聯動的能力,也切實幫助該省運營商快速定位到感染主機和惡意軟件,及時阻斷威脅,提升了威脅響應和處置的效率。
終端上檢測出惡意軟件,通常需要調用殺毒軟件盡快查殺;檢查出內網在連接外部非法IP,可能需要調用防火墻去封禁...這些設備都需要去人工調用,費時費力,威脅響應效率不是很高。“而天眼的自動化能力,則完全擺脫了這種模式。我們日常發現惡意告警之后,通過天眼平臺可以1秒內聯動其他設備下發操作,比如聯動防火墻封禁IP”。該省運營商客戶表示,有了天眼之后,安全人員的威脅運營效率大大提升。
2021年,為滿足政企客戶“建黨百年慶典期間”對信息基礎設施的安全防護與保障需求,助力各級政府、企事業單位營造建黨百年的良好氛圍,該省運營商啟動建黨百年“守護行動”,活動期間防護準確率100%,有效保障了關鍵信息基礎設施和政企客戶的網絡安全穩定。
“我們沒有用乙方的安服同事,運營天眼設備的人員都是我們集團內部自己的人,因為天眼設備的易用性,讓我們有信心把天眼設備用好,天眼設備的管用性,也讓我們想投入自己的人員去運營。”該省運營商網絡安全部相關人員表示,從威脅監測到響應處置,再到溯源分析,每一個環節他們都親歷過,也真真實實感受到天眼在檢測能力和檢測效率上的優勢,他們愿意主動投入人員自運營,讓天眼的價值充分發揮。
