圖：冬奧閉幕式 新華社記者 曹燦 攝

冬奧會，是各國冰雪健兒的比賽場，也是前沿科技的競技場。跨度百余公里的三個(gè)賽區(qū)、26個(gè)場館，近百個(gè)國家數(shù)千名運(yùn)動員的交流溝通、場館協(xié)作，需要依賴于大量先進(jìn)的技術(shù)。開放式5G網(wǎng)絡(luò)、云計(jì)算、物聯(lián)網(wǎng)、人工智能等技術(shù)，200多項(xiàng)科技應(yīng)用，使奧運(yùn)網(wǎng)絡(luò)系統(tǒng)空前復(fù)雜，更給網(wǎng)絡(luò)安全保障，帶來了空前的挑戰(zhàn)。

圖：奇安信冬奧網(wǎng)絡(luò)安保工作圓滿結(jié)束

“零事故”，是冬奧網(wǎng)絡(luò)安全官方贊助商奇安信對冬奧的莊嚴(yán)承諾，其背后離不開網(wǎng)絡(luò)安全“黑科技”的強(qiáng)大保障。在本屆冬奧會的“隱蔽戰(zhàn)線”----網(wǎng)絡(luò)安全保障工作中，有大量前沿創(chuàng)新的“黑科技”，首次在大會中成功落地和應(yīng)用，為奇安信交上冬奧安?！傲闶鹿省蓖昝来鹁硖峁┝藞?jiān)實(shí)后盾。

克制0day漏洞 首創(chuàng)采用了第三代安全技術(shù)天狗引擎

0day漏洞，被認(rèn)為是網(wǎng)絡(luò)安全領(lǐng)域珠穆朗瑪峰級的高難度問題。根據(jù)全球風(fēng)險(xiǎn)咨詢機(jī)構(gòu)Kroll公司最新報(bào)告顯示,CVE/零日漏洞利用現(xiàn)已占到安全事件案例的26.9%，這表明攻擊者越來越善于利用漏洞，在某些情況下，甚至在概念驗(yàn)證漏洞出現(xiàn)的同一天就利用了這些漏洞。

本次冬奧會有超過10000臺終端，分布于12個(gè)競賽場館、26個(gè)非競賽場館、188個(gè)服務(wù)場站中，地理位置非常分散，平臺類型復(fù)雜多樣，0day漏洞無疑是冬奧網(wǎng)絡(luò)安全保障面臨的最大威脅之一。

“作為第三代安全技術(shù)的代表，基于指令執(zhí)行序列檢測技術(shù)的新一代安全引擎天狗，首次在冬奧中實(shí)戰(zhàn)應(yīng)用。”奇安信天狗引擎負(fù)責(zé)人表示，天狗引擎在邊界防御、系統(tǒng)防護(hù)之外，額外增加了內(nèi)存攻擊指令執(zhí)行檢測的防護(hù)，可以有效防御利用系統(tǒng)或可信程序的漏洞發(fā)起的攻擊。同時(shí)，天狗引擎還可以利用指令流反溯技術(shù)，定位攻擊者所利用漏洞的具體位置，第一時(shí)間發(fā)現(xiàn)0Day漏洞并進(jìn)行封堵，在根源上杜絕了攻擊持續(xù)發(fā)生及大規(guī)模爆發(fā)的可能。

在去年底的史詩級Log4j漏洞事件中，“天狗”一戰(zhàn)成名，無需更新就能直接防御Log4j漏洞。在本次冬奧網(wǎng)絡(luò)安全保障中，以天狗引擎為代表的第三代安全技術(shù)，為“零事故”立下了重要一功。

能力、效率雙提升 “安全中臺”首次應(yīng)用于國家級指揮平臺

對于冬奧網(wǎng)絡(luò)安全保障來說，這是一個(gè)整體，是奇安信所有前沿安全能力的匯集，產(chǎn)品的標(biāo)準(zhǔn)化、統(tǒng)一化和關(guān)聯(lián)化是重要課題，產(chǎn)品部署絕不能各自為營。在“六全”體系的指導(dǎo)下，本次冬奧采用中臺化處理，以大禹平臺等為代表的平臺化架構(gòu)在實(shí)戰(zhàn)中發(fā)揮了積極的作用，為所有產(chǎn)品提供了相關(guān)能力的輸出，保證產(chǎn)品一體化，而不是產(chǎn)品的堆疊。

“定位于實(shí)戰(zhàn)，做整個(gè)行業(yè)的安全中臺”是大禹平臺的目標(biāo)。在本次冬奧中，作為“安全中臺”能力的核心，大禹平臺被廣泛集成在了態(tài)勢感知等多項(xiàng)安全產(chǎn)品中，其中包括某國家級指揮中心的態(tài)勢感知指揮平臺。大禹平臺提供了面向大數(shù)據(jù)安全的通用開發(fā)平臺及配套的內(nèi)置安全能力，其核心能力包括安全資產(chǎn)管理和運(yùn)營、數(shù)據(jù)接入、數(shù)據(jù)治理、云地協(xié)同、威脅聯(lián)合分析、事件管理與處理、安全設(shè)備接入控制等。

“這是大禹平臺首次應(yīng)用于國家級態(tài)勢感知指揮平臺，安全中臺在復(fù)雜大型實(shí)戰(zhàn)化項(xiàng)目的應(yīng)用，大幅度提升了安全建設(shè)、安全管理和安全運(yùn)行的效率?！贝笥砥脚_負(fù)責(zé)人左文建介紹，態(tài)勢感知是安全領(lǐng)域最復(fù)雜的產(chǎn)品，尤其是冬奧網(wǎng)絡(luò)安全保障所需要的態(tài)勢感知產(chǎn)品。“大禹平臺匯聚感知分析類安全數(shù)據(jù)，集成行業(yè)安全能力，能夠持續(xù)滿足實(shí)戰(zhàn)建設(shè)需要。從結(jié)果來看，大禹平臺也確實(shí)經(jīng)得起實(shí)戰(zhàn)的考驗(yàn)?！?/p>

海量數(shù)據(jù)精準(zhǔn)發(fā)現(xiàn) 首創(chuàng)利用人工智能安全分析引擎

據(jù)奇安信網(wǎng)絡(luò)安全保障中心統(tǒng)計(jì)，冬奧會期間，日均監(jiān)測各類系統(tǒng)日志超40億條，監(jiān)測日志數(shù)量累積達(dá)1189億條。面對海量的多源異構(gòu)數(shù)據(jù)，如何從中精準(zhǔn)發(fā)現(xiàn)潛在的威脅和安全風(fēng)險(xiǎn)，降低誤報(bào)率和漏報(bào)率，這對奇安信冬奧重保團(tuán)隊(duì)來說，是一個(gè)非常嚴(yán)峻的考驗(yàn)。

為了提升冬奧會賽事網(wǎng)絡(luò)與系統(tǒng)的安全性，奇安信首創(chuàng)利用基于人工智能安全分析的引擎---- Sabre（賽博威引擎）實(shí)現(xiàn)基于海量數(shù)據(jù)的精準(zhǔn)告警。該引擎可針對多類型的網(wǎng)絡(luò)攻擊智能化提取特征，構(gòu)建基于深度學(xué)習(xí)的攻擊行為模型；通過采集北京冬奧會組委會信息網(wǎng)絡(luò)中的流量及相關(guān)設(shè)備和系統(tǒng)的日志，開展多源數(shù)據(jù)關(guān)聯(lián)分析，進(jìn)而從中挖掘攻擊行為的關(guān)聯(lián)性；通過數(shù)據(jù)與攻擊行為的對齊，實(shí)現(xiàn)了威脅的智能發(fā)現(xiàn)及威脅檢測方法的優(yōu)化，達(dá)到了減少告警的誤報(bào)和冗余的目標(biāo)，從而能夠更精準(zhǔn)、更有效地應(yīng)對未來所面臨的未知威脅。

具體而言，Sabre引擎具備以下優(yōu)勢：其一，Sabre引擎支持接入全量數(shù)據(jù)，從而保證分析結(jié)果的準(zhǔn)確性，這一點(diǎn)對APT攻擊的發(fā)現(xiàn)和溯源至關(guān)重要;其二，Sabre引擎可實(shí)現(xiàn)實(shí)時(shí)計(jì)算和實(shí)時(shí)統(tǒng)計(jì)，比如，在IT系統(tǒng)中，防火墻會持續(xù)過濾數(shù)據(jù)包，公司辦公系統(tǒng)會持續(xù)被訪問，只有計(jì)算速度夠快才能保證實(shí)時(shí)輸出結(jié)果;其三，快速建模是Sabre的核心優(yōu)勢，安全分析師可借助Sabre引擎，可以用圖形拖拽的方式，就能把自己想要檢測場景轉(zhuǎn)化成對應(yīng)的檢測規(guī)則，下發(fā)到分析引擎運(yùn)行。

首創(chuàng)情報(bào)內(nèi)生體系 支撐冬奧閉環(huán)安全運(yùn)行

“數(shù)據(jù)驅(qū)動安全”的初期，是利用互聯(lián)網(wǎng)數(shù)據(jù)生成威脅情報(bào)，提升威脅檢測和響應(yīng)效率；而在內(nèi)生安全時(shí)代，數(shù)據(jù)驅(qū)動安全需要全面利用內(nèi)部信息化和業(yè)務(wù)數(shù)據(jù)，與信息化系統(tǒng)深度結(jié)合、全面覆蓋，而威脅情報(bào)從生產(chǎn)、應(yīng)用到運(yùn)行的全流程都要與信息化結(jié)合。

威脅情報(bào)驅(qū)動的威脅運(yùn)營是一個(gè)運(yùn)行閉環(huán)，威脅情報(bào)從生產(chǎn)、應(yīng)用到運(yùn)行要在政企機(jī)構(gòu)落地，不能僅依賴于外部的IOC情報(bào)數(shù)據(jù)，更需要“嵌入”內(nèi)部的信息化和業(yè)務(wù)系統(tǒng)和流程中，并作用于積極防御，建立自身的情報(bào)生產(chǎn)和消費(fèi)能力，挖掘出潛在和未知威脅，并及時(shí)有效的彌補(bǔ)防御弱點(diǎn)，這個(gè)過程就是情報(bào)內(nèi)生。

尤其對于冬奧會這樣的重大活動，以及關(guān)鍵基礎(chǔ)設(shè)施單位和組織，針對他們的高級威脅攻擊目標(biāo)選擇有高度的定向性，互聯(lián)網(wǎng)上能看到攻擊載荷的概率很低，更需要通過在內(nèi)部信息化和業(yè)務(wù)系統(tǒng)上構(gòu)建威脅情報(bào)能力來生產(chǎn)與自身密切相關(guān)的情報(bào)，安全企業(yè)可以向這些單位和組織輸出平臺、流程、人和數(shù)據(jù)能力。

在本次冬奧網(wǎng)絡(luò)安全保障中，奇安信基于情報(bào)內(nèi)生的理念，部署了包括威脅情報(bào)平臺、分析運(yùn)營平臺、各類威脅檢測引擎等核心組件的完整情報(bào)內(nèi)生解決方案。利用冬奧大型網(wǎng)絡(luò)內(nèi)的海量多維基礎(chǔ)數(shù)據(jù)，通過成熟高效的運(yùn)營流程和高度自動化的平臺工具，結(jié)合經(jīng)驗(yàn)豐富的運(yùn)營團(tuán)隊(duì)，生產(chǎn)和拓展高質(zhì)量的威脅情報(bào)，支持多類安全檢測和防御設(shè)備進(jìn)行自動化的威脅阻斷，為安全分析人員對威脅對象研判提供了全面的助力，協(xié)助監(jiān)管機(jī)構(gòu)打擊威脅背后的攻擊團(tuán)伙。

技術(shù)驅(qū)動 樹立標(biāo)桿

有了這些“黑科技”的落地應(yīng)用，更有從2019年以來800多天的全力備戰(zhàn)，和冬奧期間3500多名員工近1個(gè)月的晝夜奮戰(zhàn)，奇安信順利實(shí)現(xiàn)了網(wǎng)絡(luò)安全“零事故”目標(biāo)，兌現(xiàn)了對冬奧會網(wǎng)絡(luò)安保承擔(dān)“完全、徹底、端到端”責(zé)任的莊嚴(yán)承諾。奇安信集團(tuán)董事長齊向東表示，“零事故”標(biāo)志著北京冬奧會的網(wǎng)絡(luò)安全保障全面超過往屆，達(dá)到了前所未有的高度，也充分證明奇安信的技術(shù)實(shí)力是世界領(lǐng)先的，樹立了行業(yè)新標(biāo)桿。