首页 > 关于我们 > 安恒动态 > 2023 > 正文

亚运“零事故”，从1到0的1049天，有你不知道的那些事

阅读量：次 文章来源：bg大游官方入口

自2020年11月23日正式成为杭州亚运会官方网络安全服务合作伙伴以来，bg大游官方入口历经1049个日夜，横跨杭州、宁波、温州、湖州、绍兴、金华6大赛区，部署网络安全设备41款1184台，涉及87个场馆、40余个核心赛事系统、覆盖10000+台终端，从安全开发、暴露面监测、边界防御、威胁狩猎、应急响应五个核心攻防对抗域开展常态化安全运营，持续度量和迭代优化安全保障能力，打造了集态势感知、通报预警、信息共享、指挥协调的一体化安全运营体系，并在行业内真正建立起一支专注服务于大型体育赛事、国际性展览会议的精英网络安保队伍，续写15年重保“零事故”辉煌战绩！

持续化体系化安全运营，相辅相成助辉煌

bg大游官方入口董事长范渊认为，亚运安全保障“零事故”的背后，依靠的是“技术的可靠+人的可靠”，“团队的责任感、代际传承，是这支队伍能够实现15年重保零事故的关键所在”。面对如此复杂的网络环境和严苛的安全要求，安恒是如何确保亚运零事故？通过持续化体系化安全运营健全安全能力，实现安全能力全覆盖、安全管理全统一、安全响应全协同，运用实战化安全运营保障亚运安全效果，实现具有攻防对抗技战术能力和智能化场景化的闭环安全运营。

亚运保障“最后一公里”关口在哪

终端安全防护就是本次亚运重保一体化安全运营体系闭环中的最后一环，即“零米”防护，扮演着守护资产的贴身特勤。在攻击侧，新型攻击方式层出不穷，一些高端攻击技术越来越平民化，可以预见亚运终端受到威胁勒索的形势更加严峻；再次，从需求侧，亚运保障更注重效果、发现、运营和实战。如果要保护的单位像工厂一样是由一个个房间、一个个业务单元组成的话，部署流量和日志类产品，就像部署在大楼的出口或者楼道里面监控探头，看见的是南北向和东西向的流量，看见的是楼层和楼层之间和进出这栋楼的流量。但黑客和坏人不总是从大楼的正门和楼道进入，有可能从后门、窗户、通风管道进去，也有可能是以快递的形式带来威胁。终端安全防护产品则相当于在工厂内每一个房间都安装了一个特别轻的传感器、摄像头，用户能够清晰地看见这一个房间里发生所有的行为，终端安全防护产品实时采集并送入本地/云端安全运营专家做分析，可以和常规流量检测产品相互补充，从而更好的发现威胁。

安恒是如何捍卫这“最后一公里”生死线

拒绝单兵作战要端网联动持续运营

端网联动能力，终端安全防护产品要从网络和终端两个维度保证办公终端安全。如通过将云端威胁情报与DNS相结合，可从网络流量侧检测威胁，通过阻断恶意样本反连、阻止新样本下载、防止打开钓鱼链接等方式保护亚运终端安全；利用AI行为监测等技术对终端行为日志进行检测分析，提供包括隔离进程、文件、网络乃至终端等多种处置策略。通过将终端行为与网络流量相结合，可以对终端威胁进行更全面威胁覆盖，处置策略更丰富、更灵活，随时随地为终端提供全面、精准、高效的安全防护能力。

终端安全产品从最早期满足合规的防威胁产品，已经演变成包含管理、监测分析、响应处置等功能于一体的体系化防御阶段。”随着安全风险的持续性变化，终端安全防护也需要向持续化运营的方向转变。在终端资产管理的过程中就有必要加入运营的思路，满足合规化部署与持续化管控的双方面需求；应用持续检测和响应的手段，来构建快速迅捷的主动防御；与平台化产品形成联动，提供持续化的安全运营服务。

流程式场景化联合防御主动预防风险闭环

持续验证可信基线保障每一台接入设备都是安全的

在大型体育赛事中，人员多且杂，设备多样性会给网络接入侧的安全性带来极大的挑战。为了实现事前防御，保障终端灵活使用体验和兼顾安全的要求，安恒终端安全秉持两个原则：人员明晰化、终端透明化。人员明晰化，是基于人作为研判风险的因素，通过终端准入产品特有的身份准入控制，与各场馆交换机人员信息进行匹配，确保每一个接入的人员身份信息是得到验证的，杜绝任何身份可疑的人员设备接入亚运赛事网络。终端透明化，是基于端作为研判风险的因素：第一，通过终端入网安全检查能力，同时将人员信息+设备MAC信息强制绑定，双重保险杜绝设备仿冒事件发生，设备运行期间，累计成功拦截13458次非法终端接入，确保每一台接入的终端都是可信的。第二，利用基线检查能力，包括系统配置评估、漏洞扫描等维度，快速对系统或设备进行全面的安全评估和发现潜在的隐患。第三，安恒通过勒索诱饵引擎，确保勒索威胁对诱饵文件进行操作时，立即告警并结束操作进程，保障赛事期间勒索事件“零概率”。

全方位威胁处置保障数据不泄露

赛事重保中，终端设备可能受到各种威胁攻击，实时监测和分析终端设备上的活动，及时发现潜在的安全威胁并采取相应的防御措施来阻止和应对各类入侵的攻击行为，是非常必要的，安恒从威胁威胁防护、内容防护、数据安全防护三大场景出发，解决安全隐患。本次亚运保障中，安恒首创的无文件攻击防御起到了关键作用，自研的E-RASP引擎可以对Web服务器的内存空间进行实时监测，通过捕获Web服务器代码执行过程，分析代码执行链路，发现Webshell内存马注入行为，并阻断内存马的注入。使用内存注入、内存插桩、内存马原理性分析等技术，能够实时发现已知和未知的各种类型的内存马。

威胁威胁场景：针对于赛时高发的高级威胁的入侵行为，安恒终端安全产品内置的自定义防范策略可根据场馆需求量身定制防范策略，让防御变得更加灵活、精准、主动，全面保障终端资产及业务数据安全。此外，EDR不仅可以阻止已知勒索威胁的执行，而且在面对未知类型勒索威胁时，凭借独家专利级诱饵引擎能够在未知类型勒索威胁试图加密时发现并阻断其加密行为，并对调用进程的威胁文件溯源查杀。在保障期间，EDR可用于防护高风险威胁攻击，有效守护主机安全，利用文件保险柜添加访问控制策略，为文件安全提供双重保障。

内容防护场景：网页篡改也是比赛期间极为频发的终端安全事件，本次亚运会涉及的资讯官网、票务系统网站等都是面向大众的，如果网页遭到篡改，很有可能引发大规模信息泄露事件，相关单位会受到严重威胁，此外，如果网页被篡改，相关单位形象和信誉也会受到极大损失。因此，网站防护，不容有一丝失误。针对常见的网页篡改手段，安恒利用专利级的Web入侵检测技术，可以对网站进行多层次的安全检测分析，有效保护网站静态/动态网页及后台数据库信息。

终端数据场景：亚运赛时数据作为十分敏感的内容，亚组委高度重视对其的防护和流转，既能保护好数据，又要释放数据价值，是安恒此次亚运数据防护的主题：在保护层面，我们紧抓两个管控，一个是数据源头上管控，一个是数据外发通道管控。在源头上我们通过文件智能透明加解密数据安全防护，将关键、敏感、机密的文件进行无感加密，在外发通道上，我们通过对超过20种数据外发通道的管控，有效防范数据的违规传播，亚运保障期间，零起数据泄露事件，是对产品能力最好的印证。

快速发现快速处置流程全局可见可运营

亚运赛事，安全事件数不胜数，针对于终端的攻击，安恒一体化终端安全平台提供全视角终端安全运营能力，包括终端运维视角、终端风险视角、流量通信视角、入侵威胁风险视角等等全视角洞察全网终端安全态势。

我们将零散的日志事件进行聚合，通过对关键事件的总结和形象化展示，清晰的展示出风险在哪、严重程度如何、整体安全防护效果如何等等。提高管理效率降低管理，同时通过全视角的运营能力将整个安恒一体化终端安全平台的产品价值充分发挥出来。

人机协同，规模化协同作战

圆满保障也离不开于众多产品及应用的辅助支撑，今年5月正式启用的MSS亚运天穹——新一代主动防御运营中心，在上线前进行了超50次模拟演练，在亚运会期间全面协助赛事场馆的各项网络安全保障工作，云端实现资产的全面发现、漏洞的全面管理、威胁的实时检测响应、“7×24小时”的云端安全专家持续守护，为杭州亚运会提供全天候、全场景、全过程、全闭环的安全运营保障服务。同时，人工智能的应用也再次赋能网络安全保障，提升安全运营成效、牢筑安全守护屏障。今年8月，bg大游官方入口恒脑·安全垂域大模型首次公开亮相，基于大模型的安全运营平台全新升级首次发布。在本届亚运会期间，该平台以智能辅助形式应用于各个方面，安全运营成效提升70%以上。作为一款结合AI人工智能、机器学习技术与安全编排的产品，不仅有强大的数据整合和分析功能，还能够从各种安全工具和数据源中收集、整合和分析信息，并与态势感知、资产管理系统、威胁情报平台、漏洞管理系统等相集成，从而实现全面的威胁情报分析和事件响应。

亚运会场馆所涉及到的终端范围广，管理难度大，一旦发现威胁必须做到分钟级响应，因此，bg大游官方入口成立终端安全亚运保障小组，提供全天候技术服务支撑。整个保障小组共计投入4000+人天，日均扫描500000+个文件和梳理1200+个策略，在保障期间，对3700+次事件反馈进行了高效处理。高效、专业的重保团队，不仅是对赛事网络安全的负责，也是在强大产品力之外的最后一道保障，为赛事兜底，为客户服务，是真正的亚运“隐形守护者”。人机协同，方能事半功倍，圆满完成任务。