杭州G20峰會9月5日在浙江杭州落下帷幕。其間,綠盟科技受主管機構指派參與G20峰會網絡安全保障工作,涉及G20相關網站及系統、杭州區域內相關站點及行業客戶等。綠盟科技結合歷年數十次重大活動安保經驗,協同多部門順利完成峰會期間網絡安全保障工作。
陣容大 勤演練 分秒盯 及時報
為保證在峰會期間綠盟科技客戶的網絡基礎設施安全、重點網站和業務系統能夠正常運行,并在各種異常情況下能快速應對,根據客戶及上級部門的安全要求,綠盟科技成立G20峰會網絡安全保障團隊,由副總裁陳珂為總指揮,下設G20峰會網絡安全應急響應小組及杭州本地服務小組。整個團隊抽調了綠盟科技全國各服務及產品團隊中的精英成員,共計10多個部門118人,為峰會期間的安保工作提供全力支持。
在安保過程中,綠盟科技威脅態勢感知方案TSA、綠盟科技威脅情報中心NTI、綠盟威脅分析系統TAC、綠盟網站安全監測Websafe、綠盟云以及5大明星產品悉數登場。
網絡信息安全保障工作是一項專業又復雜的系統性工程,涉及近百相關單位,涉及的細節更是無比繁雜,單就綠盟科技參與的部分來說,大致涉及三個方面,包括事前網站安全檢測、事中網站安全監測、本地應急值守服務。
G20開幕前夕 勤演練 及時報
從7月下旬開始奔赴客戶一線,全面支持保障前的評估、加固、演練等重要工作。根據以往的經驗,在這些工作中著重強化兩個方面的演練工作:
頁面篡改應急演練
(1)演練方案:首先綠盟科技提交綠盟科技提交演練方案,在客戶的牽頭、指導下,召集所有第三方運維團隊做前期準備,包括熟悉流程、應急預案等
(2)滲透測試:由綠盟科技安保團隊通過模擬入侵手段,修改客戶首頁信息并通知客戶頁面已經篡改。
(3)即時防御:客戶得到通知后,立即指揮第三方運維團隊對被篡改頁面進行斷網處理,同時開展各項數據被備份、查找漏洞、修補漏洞、恢復網站環節。
(4)總結改善:總結演練過程,查漏補缺。
DDoS 攻擊應急演練
(1)建立策略:通過綠盟流量分析系統NTA對客戶業務系統進行異常流量分析和建模,理解其業務特性,配置相應的抗拒絕服務系統防護策略;
(2)模擬攻擊:在未開啟抗拒絕服務系統ADS防護的情況下,從公網模擬各種DDoS攻擊形式,測試業務系統可能遭遇到的攻擊場景;
(3)防護上線:啟動綠盟抗拒絕服務系統及防護策略之后,系統主機CPU、內存占用率立刻降到正常范圍,異常流量被清洗,業務恢復正常。
安全檢測也不能少
在G20開幕之前安全檢測過程中,NTI綠盟科技威脅情報中心截獲了某惡意IP,從關聯數據分析這個IP在8月18-19日對外發動過DDoS攻擊,安保團隊隨即將這個信息上報。
為行業客戶進行的安全檢測工作中,綠盟威脅分析系統TAC發現了一例典型的內網木馬,該木馬用于竊取用戶賬戶信息、機構證書,一旦受害者執行了這個木馬就會發生用戶數據泄露。綠盟科技安保團隊隨機將這個信息上報。我們將在后續的文章中進行詳細分析。
在對主管機構、黨政機關單位、企事業單位的1萬多個站點的安全檢查中,發現了發現611356個安全漏洞。
為行業客戶提供安全保障是非常必要的,其意義有兩個方面,1重要行業客戶在G20期間不能出問題;2運營商客戶也在為G20提供通信保障,安全更不能出問題。綠盟科技安保團隊共為客戶防御WEB攻擊事件169919次,其中運營商客戶129823次,金融客戶40096次。尤為重要的是,安保團隊為客戶清理后門及加固高危安全漏洞190處,并為客戶提供產品方面的支持。
G20開幕 分秒盯 及時報
9月4日,G20開幕,萬眾矚目。為了保證值守過程的工作效率和監控有效性,綠盟采用7*24小時三班倒的模式,確保監控數據精確、事件響應及時、事件處理妥當。監控過程主要依托綠盟成熟的產品體系,做到分秒盯、及時報。而這些防御工作的順利實施,得益于事前客戶側的演練工作。
(1)ADS日志監控:重點監控G20官網、各門戶等,清洗異常流量;
(2)NIPS日志監控:重點監測異常的網絡訪問,弱口令破解、非法外聯等;一旦發現立即處理;
(3)WAF日志監控:針對WEB漏洞利用行為、漏洞掃描行為,立即記錄IP并加入黑名單處理,同時上報客戶。
(4)WSM日志監控:檢測到頁面篡改告警立即上報處理;
(5)WebSafe站點監控:檢測到網頁篡改、黑鏈植入事件立刻上報;
G20尾聲 快總結 及時報
2016年9月6日星期二09時58分27秒,安保活動進入尾聲,綠盟科技G20峰會網絡安全保障團隊進行團隊內總結。本次安全保障工作共為客戶監測、評估站點及重點頁面1127個,梳理互聯網暴露面資產359830個。
從9月1日到9月6日,綠盟科技為主管機構、黨政機關單位、企事業單位發現了:
(1)實時監控12728個站點,發現18436個次安全漏洞,頁面篡改、黑鏈植入等安全事故298起。
(2)檢查12728個網站,發現漏洞611356個次,其中高中危漏洞24663個。
綠盟科技為客戶成功防御了:
(1)防御針對G20官網攻擊次數為133254次,其中DDoS攻擊次數為1984次,成功清洗流量41.2TB,其中成功攔截Web頁面篡改行為15次。
(2)防御針對杭州區域內站點的Web攻擊事件2075590次。
(3)防御針對行業客戶的攻擊次數超過194萬次,其中金融客戶803874次,運營商客戶1134884次,能源客戶3578次。
重大活動網絡安保需要經驗
多年來,綠盟科技針對重大活動安保工作,總結了事前網站安全檢測+事中網站安全監測+本地應急值守服務的一體化安保解決方案。
在網站監測方面
重大活動安保主要包括幾個方面的監測,
網站平穩度監測:監測網站的通斷事件和高延遲事件,主要用于發現DDoS引起的業務可用性受損。
篡改、暗鏈、敏感內容:網站頁面發布或被攻擊者替換有色情信息、賭博信息、不良廣告、反動勢力或團體政治主張、邪教相關的頁面。
掛馬:網站頁面被設置了含有惡意代碼或惡意文件的頁面
Webshell:網站頁面被加載Webshell,作為攻擊者訪問和控制網站系統的后門。
在應急值守方面
重大活動安保包括幾十項事前、事中、事后的工作內容,細節較為復雜,這里將主要的項目介紹如下:
應急組織設置,需要結合實際的業務情況,協同多個部門組建應急領導小組,并落實到人員構成及職責分工;
應急響應體系,與實際的業務流程相結合,協同多個部門做好應急響應及執行程序,這包括信息系統監控、信息系統基線分析、事件分類分級、事件報警與通知、應急分析與恢復、緊急故障隔離;
通知和報告,在應急事件報告的流程中,為保證信息傳遞的準確性和效率,報告應簡明扼要、事實清楚,報告的通訊工具需要參考實際情況明確,一般來說以如下順序選擇,辦公電話、手機、短信、郵件等;
應急處理體系,各單位、各部門可根據自身情況,自我檢查應急環境準備或者建立應急前準備措施;
安全故障處理手冊,可以針對事前的網站安全檢測中發現的問題,以及一些典型的攻擊類型及場景,準備應急處置方法、流程、工具等,包括可能的二次開發;
故障隔離,在確認故障無法短時間內恢復和處理完畢的情況下,需要采取的臨時故障隔離手段,確保不影響全面的互聯網服務區系統運行或規避出現重大社會影響事件;
演練要求,為了提高應急處理的速度,提高應急響應工作組成員對門戶網站安全事件處理的熟練程度,應定期對預案進行演練。
綠盟科技歷年重大安保活動
憑借歷年來數十次的重大活動網絡安保中的成功經驗,綠盟科技安保團隊將進一步發揮自身技術優勢,積極配合主管部門切實做好每一次重大活動的網絡安全保障工作,更好地服務于國家網絡安全工作的需要,努力維護國家、行業和用戶安全,為營造健康有序的網絡環境,做出積極的貢獻!
