余梁

“這是一屆真正無(wú)與倫比的冬奧會(huì)?！眹?guó)際奧委會(huì)主席巴赫在2022北京冬奧閉幕式致辭中表示，“奧林匹克精神之所以如此閃耀，得益于中國(guó)人民搭建了出色且安全的奧運(yùn)舞臺(tái)?！?/p>

冬奧會(huì)是各國(guó)冰雪健兒的比賽場(chǎng)，也是前沿科技的競(jìng)技場(chǎng)。跨度百余公里的3個(gè)賽區(qū)、26個(gè)場(chǎng)館，近百個(gè)國(guó)家數(shù)千名運(yùn)動(dòng)員的交流溝通、場(chǎng)館協(xié)作，需要依賴于大量先進(jìn)的技術(shù)。開放式5G網(wǎng)絡(luò)、云計(jì)算、物聯(lián)網(wǎng)、人工智能等技術(shù)，200多項(xiàng)科技應(yīng)用，使奧運(yùn)網(wǎng)絡(luò)系統(tǒng)空前復(fù)雜，更給網(wǎng)絡(luò)安全保障帶來(lái)了空前的挑戰(zhàn)。

“零事故”是冬奧網(wǎng)絡(luò)安全官方贊助商奇安信對(duì)冬奧的莊嚴(yán)承諾，其背后離不開網(wǎng)絡(luò)安全“黑科技”的強(qiáng)大保障。在本屆冬奧會(huì)的“隱蔽戰(zhàn)線”———網(wǎng)絡(luò)安全保障工作中，有大量前沿創(chuàng)新的“黑科技”，首次在大會(huì)中成功落地和應(yīng)用。

克制0day漏洞采用了第三代安全技術(shù)天狗引擎

0day漏洞，被認(rèn)為是網(wǎng)絡(luò)安全領(lǐng)域珠穆朗瑪峰級(jí)的高難度問(wèn)題。根據(jù)全球風(fēng)險(xiǎn)咨詢機(jī)構(gòu)Kroll公司最新報(bào)告顯示， CVE/零日漏洞利用現(xiàn)已占到安全事件案例的26.9 %，這表明攻擊者越來(lái)越善于利用漏洞，在某些情況下，甚至在概念驗(yàn)證漏洞出現(xiàn)的同一天就利用了這些漏洞。

本次冬奧會(huì)有超過(guò)10 000臺(tái)終端，分布于12個(gè)競(jìng)賽場(chǎng)館、26個(gè)非競(jìng)賽場(chǎng)館、188個(gè)服務(wù)場(chǎng)站中，地理位置非常分散，平臺(tái)類型復(fù)雜多樣，0day漏洞無(wú)疑是冬奧網(wǎng)絡(luò)安全保障面臨的最大威脅之一。

“作為第三代安全技術(shù)的代表，基于指令執(zhí)行序列檢測(cè)技術(shù)的新一代安全引擎天狗，首次在冬奧中實(shí)戰(zhàn)應(yīng)用?！逼姘残盘旃芬尕?fù)責(zé)人表示，天狗引擎在邊界防御、系統(tǒng)防護(hù)之外，額外增加了內(nèi)存攻擊指令執(zhí)行檢測(cè)的防護(hù)，可以有效防御利用系統(tǒng)或可信程序的漏洞發(fā)起的攻擊。同時(shí)，天狗引擎還可以利用指令流反溯技術(shù)，定位攻擊者所利用漏洞的具體位置，第一時(shí)間發(fā)現(xiàn)0Day漏洞并進(jìn)行封堵，在根源上杜絕了攻擊持續(xù)發(fā)生及大規(guī)模爆發(fā)的可能。

在2021年底的史詩(shī)級(jí)Log4j漏洞事件中，“天狗”一戰(zhàn)成名，無(wú)需更新就能直接防御Log4j漏洞。在本次冬奧網(wǎng)絡(luò)安全保障中，以天狗引擎為代表的第三代安全技術(shù)，為“零事故”立下了重要一功。

能力、效率雙提升“安全中臺(tái)”首次應(yīng)用于國(guó)家級(jí)指揮平臺(tái)

對(duì)于冬奧網(wǎng)絡(luò)安全保障來(lái)說(shuō)，這是一個(gè)整體，是奇安信所有前沿安全能力的匯集，產(chǎn)品的標(biāo)準(zhǔn)化、統(tǒng)一化和關(guān)聯(lián)化是重要課題，產(chǎn)品部署絕不能各自為營(yíng)。在“六全”體系的指導(dǎo)下，本次冬奧采用中臺(tái)化處理，以大禹平臺(tái)等為代表的平臺(tái)化架構(gòu)在實(shí)戰(zhàn)中發(fā)揮了積極的作用，為所有產(chǎn)品提供了相關(guān)能力的輸出，保證產(chǎn)品一體化，而不是產(chǎn)品的堆疊。

“定位于實(shí)戰(zhàn)，做整個(gè)行業(yè)的安全中臺(tái)”是大禹平臺(tái)的目標(biāo)。在本次冬奧中，作為“安全中臺(tái)”能力的核心，大禹平臺(tái)被廣泛集成在了態(tài)勢(shì)感知等多項(xiàng)安全產(chǎn)品中，其中包括某國(guó)家級(jí)指揮中心的態(tài)勢(shì)感知指揮平臺(tái)。大禹平臺(tái)提供了面向大數(shù)據(jù)安全的通用開發(fā)平臺(tái)及配套的內(nèi)置安全能力，其核心能力包括安全資產(chǎn)管理和運(yùn)營(yíng)、數(shù)據(jù)接入、數(shù)據(jù)治理、云地協(xié)同、威脅聯(lián)合分析、事件管理與處理和安全設(shè)備接入控制等。

“這是大禹平臺(tái)首次應(yīng)用于國(guó)家級(jí)態(tài)勢(shì)感知指揮平臺(tái)，安全中臺(tái)在復(fù)雜大型實(shí)戰(zhàn)化項(xiàng)目的應(yīng)用，大幅度提升了安全建設(shè)、安全管理和安全運(yùn)行的效率?！贝笥砥脚_(tái)負(fù)責(zé)人左文建介紹，態(tài)勢(shì)感知是安全領(lǐng)域最復(fù)雜的產(chǎn)品，尤其是冬奧網(wǎng)絡(luò)安全保障所需要的態(tài)勢(shì)感知產(chǎn)品。“大禹平臺(tái)匯聚感知分析類安全數(shù)據(jù)，集成行業(yè)安全能力，能夠持續(xù)滿足實(shí)戰(zhàn)建設(shè)需要。從結(jié)果來(lái)看，大禹平臺(tái)也確實(shí)經(jīng)得起實(shí)戰(zhàn)的考驗(yàn)?！?/p>

海量數(shù)據(jù)精準(zhǔn)發(fā)現(xiàn)利用人工智能安全分析引擎

據(jù)奇安信網(wǎng)絡(luò)安全保障中心統(tǒng)計(jì)，冬奧會(huì)期間，日均監(jiān)測(cè)各類系統(tǒng)日志超40億條，監(jiān)測(cè)日志數(shù)量累積達(dá)1 189億條。面對(duì)海量的多源異構(gòu)數(shù)據(jù)，如何從中精準(zhǔn)發(fā)現(xiàn)潛在的威脅和安全風(fēng)險(xiǎn)，降低誤報(bào)率和漏報(bào)率，這對(duì)奇安信冬奧重保團(tuán)隊(duì)來(lái)說(shuō)，是一個(gè)非常嚴(yán)峻的考驗(yàn)。

為了提升冬奧會(huì)賽事網(wǎng)絡(luò)與系統(tǒng)的安全性，奇安信首創(chuàng)利用基于人工智能安全分析的引擎———賽博威引擎（Sabre）實(shí)現(xiàn)基于海量數(shù)據(jù)的精準(zhǔn)告警。該引擎可針對(duì)多類型的網(wǎng)絡(luò)攻擊智能化提取特征，構(gòu)建基于深度學(xué)習(xí)的攻擊行為模型。通過(guò)采集北京冬奧會(huì)組委會(huì)信息網(wǎng)絡(luò)中的流量及相關(guān)設(shè)備和系統(tǒng)的日志，開展多源數(shù)據(jù)關(guān)聯(lián)分析，進(jìn)而從中挖掘攻擊行為的關(guān)聯(lián)性。通過(guò)數(shù)據(jù)與攻擊行為的對(duì)齊，實(shí)現(xiàn)了威脅的智能發(fā)現(xiàn)及威脅檢測(cè)方法的優(yōu)化，達(dá)到了減少告警的誤報(bào)和冗余的目標(biāo)，從而能夠更精準(zhǔn)、更有效地應(yīng)對(duì)未來(lái)所面臨的未知威脅。

Sabre引擎具備以下優(yōu)勢(shì)：其一，Sabre引擎支持接入全量數(shù)據(jù)，從而保證分析結(jié)果的準(zhǔn)確性，這一點(diǎn)對(duì)APT攻擊的發(fā)現(xiàn)和溯源至關(guān)重要；其二，Sabre引擎可實(shí)現(xiàn)實(shí)時(shí)計(jì)算和實(shí)時(shí)統(tǒng)計(jì)，比如，在IT系統(tǒng)中，防火墻會(huì)持續(xù)過(guò)濾數(shù)據(jù)包，公司辦公系統(tǒng)會(huì)持續(xù)被訪問(wèn)，只有計(jì)算速度夠快才能保證實(shí)時(shí)輸出結(jié)果；其三，快速建模是Sabre的核心優(yōu)勢(shì)，安全分析師可借助Sabre引擎，用圖形拖拽的方式，就能把自己想要檢測(cè)場(chǎng)景轉(zhuǎn)化成對(duì)應(yīng)的檢測(cè)規(guī)則，下發(fā)到分析引擎運(yùn)行。

情報(bào)內(nèi)生體系支撐冬奧閉環(huán)安全運(yùn)行

“數(shù)據(jù)驅(qū)動(dòng)安全”的初期，是利用互聯(lián)網(wǎng)數(shù)據(jù)生成威脅情報(bào)，提升威脅檢測(cè)和響應(yīng)效率。而在內(nèi)生安全時(shí)代，數(shù)據(jù)驅(qū)動(dòng)安全需要全面利用內(nèi)部信息化和業(yè)務(wù)數(shù)據(jù)，與信息化系統(tǒng)深度結(jié)合、全面覆蓋，而威脅情報(bào)從生產(chǎn)、應(yīng)用到運(yùn)行的全流程都要與信息化結(jié)合。

威脅情報(bào)驅(qū)動(dòng)的威脅運(yùn)營(yíng)是一個(gè)運(yùn)行閉環(huán)，威脅情報(bào)從生產(chǎn)、應(yīng)用到運(yùn)行要在政企機(jī)構(gòu)落地，不能僅依賴于外部的IOC情報(bào)數(shù)據(jù)，更需要“嵌入”內(nèi)部的信息化和業(yè)務(wù)系統(tǒng)和流程中，并作用于積極防御，建立自身的情報(bào)生產(chǎn)和消費(fèi)能力，挖掘出潛在和未知威脅，并及時(shí)有效地彌補(bǔ)防御弱點(diǎn)，這個(gè)過(guò)程就是情報(bào)內(nèi)生。

尤其對(duì)于冬奧會(huì)這樣的重大活動(dòng)，以及關(guān)鍵基礎(chǔ)設(shè)施單位和組織，針對(duì)他們的高級(jí)威脅攻擊目標(biāo)選擇有高度的定向性，互聯(lián)網(wǎng)上能看到攻擊載荷的概率很低，更需要通過(guò)在內(nèi)部信息化和業(yè)務(wù)系統(tǒng)上構(gòu)建威脅情報(bào)能力來(lái)生產(chǎn)與自身密切相關(guān)的情報(bào)，安全企業(yè)可以向這些單位和組織輸出平臺(tái)、流程、人和數(shù)據(jù)能力。

在本次冬奧網(wǎng)絡(luò)安全保障中，奇安信基于情報(bào)內(nèi)生的理念，部署了包括威脅情報(bào)平臺(tái)、分析運(yùn)營(yíng)平臺(tái)、各類威脅檢測(cè)引擎等核心組件的完整情報(bào)內(nèi)生解決方案。利用冬奧大型網(wǎng)絡(luò)內(nèi)的海量多維基礎(chǔ)數(shù)據(jù)，通過(guò)成熟高效的運(yùn)營(yíng)流程和高度自動(dòng)化的平臺(tái)工具，結(jié)合經(jīng)驗(yàn)豐富的運(yùn)營(yíng)團(tuán)隊(duì)，生產(chǎn)和拓展高質(zhì)量的威脅情報(bào)，支持多類安全檢測(cè)和防御設(shè)備進(jìn)行自動(dòng)化的威脅阻斷，為安全分析人員對(duì)威脅對(duì)象研判提供了全面的助力，協(xié)助監(jiān)管機(jī)構(gòu)打擊威脅背后的攻擊團(tuán)伙。

技術(shù)驅(qū)動(dòng)樹立標(biāo)桿

有了這些“黑科技”的落地應(yīng)用，更有從2019年以來(lái)800多天的全力備戰(zhàn)，和冬奧期間3 500多名員工近1個(gè)月的晝夜奮戰(zhàn)，奇安信順利實(shí)現(xiàn)了網(wǎng)絡(luò)安全“零事故”目標(biāo)，兌現(xiàn)了對(duì)冬奧會(huì)網(wǎng)絡(luò)安保承擔(dān)“完全、徹底、端到端”責(zé)任的莊嚴(yán)承諾。奇安信集團(tuán)董事長(zhǎng)齊向東表示，“零事故”標(biāo)志著北京冬奧會(huì)的網(wǎng)絡(luò)安全保障全面超過(guò)往屆，達(dá)到了前所未有的高度，也充分證明奇安信的技術(shù)實(shí)力是世界領(lǐng)先的，樹立了行業(yè)新標(biāo)桿。