2022全球数字经济大会数字安全峰会暨第十届互联网安全大会(简称ISC 2022)已经圆满落幕。由于大会采用线下大会与线上元宇宙沉浸平台同频联动的数字融合模式,因此整体线上数据呈现出巨大增长,据官方给出的数字来看,包括平台总点击量超过1亿、平台访问人数超过900万以及N世界ISC数字安全展浏览量超过1400万等都可谓是创造了该大会的记录。
就像我们常说的,大会采用数字模式,其背后的数字风险也会急剧增长,那么在这一数量级之下,其大会自身的运营保障工作难度也会大幅增加。作为大会的主办方,360本身就是一家安全企业,自然不会忽视这一模式背后所面临的风险,据了解,本次大会的安全保障工作整体由360数字安全运营中心(简称360 SOC)构建,借助360数字安全大脑的能力,他们成功构建了一套动态的安全防御体系,在大会期间高效运营保障线下展会与N世界的安全。
以云上多元态势感知“看见”威胁
通过官方提供的另一组数据可以看出,本次ISC2022大会服务规模可谓极为庞大,包含100万长连接服务器、2TB直播带宽流量、5亿PV API服务器等等。由于N世界-ISC大陆利用数字孪生技术复刻了线下场景和功能,从而实现线上线下协同共振、虚实场景深度融合的模式,实时同步所有活动。
N世界全量业务数据上云,构建在360技术中台混合云架构和容器云平台上,复杂的云地协同环境、多样的数据格式和应用场景,以及云原生技术引入新的防护目标和风险,使得运营保障工作难度升级,其中首要目标就是在云原生环境下“看见”威胁。
而实现“看见”的背后,是汇集了300亿+恶意样本、22万亿安全日志,全球90亿域名信息、2EB以上大数据的360数字安全大脑,通过情报云、知识云、漏洞云、测绘云、专家云、沙箱云、查杀云等开放安全云服务将安全可见能力赋能本地安全大脑,结合XDR的原生神经元体系,在N世界的云原生环境中构建安全数据采集能力进行监测和响应,发现了很多传统检测手段难以看见的威胁,对N世界进行全方位的威胁感知。
360近期主打的重要产品——360本地安全大脑XDR在本次活动中也发挥了重要作用,通过其与多个安全平台(包含全面部署的CWPP、NDR、EDR、WAF等多种安全产品)进行跨数据中心的全局关联分析,通过聚合关联多维数据结合专家规则和AI模型,充分发挥其多维检测、分析引擎的能力,对N世界云上业务搜集到的样本、情报、主机和终端异常行为等进行检测,多维度关联分析及自动化进行溯源,实现精准判定线下展会及线上N世界所受到的各类威胁场景和网络攻击,并高效进行应急处置。
实战化建设云上安全防护体系
在ISC大会期间,360数字安全运营中心通过镜像会场工作区流量和接入WiFi流量,以NDR实时感知网络侧安全威胁。会场所有办公电脑部署360终端安全管理系统,通过虎安主机代理采集云上流量和主机EDR数据,结合本地安全大脑的EDR模块实时感知终端侧和主机侧的安全威胁。
同时,为进一步保障本地安全大脑防护能力,新增网络侧及终端侧检测规则80+条、新增安全场景模型10余个,并通过入侵者模拟攻击及会前攻防演练,主动发现漏洞风险,针对告警数据进行持续清洗和降噪,提升精准度。为更贴合云上攻防场景,在SOAR中针对云原生服务的挖矿木马、勒索攻击、蠕虫传播、APT攻击等常见威胁场景优化云上的应急处置预案,其次业务资产的威胁告警及安全漏洞进行自动化响应编排,从海量告警威胁中筛选出高风险事件形成响应工单,并通过安全专家去除误报进入标准的SOP流程,全面提升安全运营效率。再者借助虎安的云原生安全检测能力,对容器镜像构建、系统运行、集群安全进行全方位的监控和检测,自动获取节点和仓库中的镜像,并从漏洞库、可疑历史操作、敏感信息泄露、可疑进程信息、可疑文件操作等多个维度对容器进行安全监控。
此外,为确保N世界稳定运行,360依托于自身的混合云建设架构规划了DDOS防御方案,在保证防御效果有效性的同时最大程度降低了业务干扰和实施成本。当攻击流量低于20G时,业务通过360自研的分布式云WAF磐云对各类基于TCP协议的DDOS攻击进行识别和清洗;当攻击流量高于20G时,业务域名解析到到公有云高防IP,经过清洗的业务流量经混合云专线接入360IDC机房,实现大流量清洗。
“六位一体”监测响应体系保障大会安全运行
360SOC通过“资源可利用、能力可扩展、效果可衡量”的标准模块化迭代安全运营体系,依附本地安全大脑结合磐云、EDR、NDR、虎安打造集态势感知、安全防护、威胁预警、通报预警、信息共享、应急响应“六位一体”的运营体系保障N世界。
为进一步强化实战能力及运营效率,360 SOC安全专家团队分为监控组、研判组、应急处置组、安全分析组。监控组对各个入侵路径进行“多锚点”的安全监控;研判组针对发出的告警进一步研判其是否为真实威胁;应急处置组在大会前开展前期制定应急处理方案,将有效告警第一时间进行处置工作,同时将提取出的恶意样本交给分析组;分析组借助360数字安全大脑的能力,将提取出的样本特征反馈给应急处置组做封禁阻断等应急处置,形成完整闭环。专家团队通过全方位“看见”能力以及体系化运营和自动化管理,7x24小时保障大会安全运行。
在上述运营服务下,360SOC线上线下部署服务器共3290台,感知会场威胁告警数量5062条,云端拦截WEB网络攻击12942次,安全运营预警数量 39 条,告警平均响应时间1分钟,DDOS共1次,攻击流量约为 30 Gbps,攻击流量18671次,攻击成功安全事件告警数量0次。其中被攻击子域名占比46.67%,Web攻击IP数183个,受到攻击防护6835次,CC攻击IP31个,受到攻击防护507次,爬虫IP104个,受到攻击防护746次。
数据可见,360SOC安全专家团队在此次大会期间通过持续不断的分析跨组织网络、终端、服务器数据活动,在 7x24 模式下对信息安全事件进行全天候响应,实现零重大安全事件,全面保障会场网络、云端服务安全稳定运行。
会场在测试机的模拟环境下随机抽取了安全事件进行模拟攻击演示,为参展人员展示了直观的安全运营流程,对现场发现的威胁进行自动化的响应和处置。
360SOC是由360全球数字安全大脑赋能的“安全基础设施”,协同360顶尖安全专家服务体系,进行安全风险核查、XDR威胁感知能力、安全编排与自动化响应以及安全可视化工作。从首次ISC大会开始,高效保障展会相关基础设施稳定运行,迄今已有8年经验,从未出现过重大风险。