“网安强国 电力先行”,电力是国民经济和社会发展的重要基础设施之一,其安全性和可靠性需要进行重点保障。
某电力公司是国家电网全资子公司、特大型国有骨干企业,承担着建设、运行维护全省电网和全供电区安全可靠供电的任务。
该公司网络安全建设早期以边界安全防护为主,随着网络攻击技术的不断演进,以“防”为主的传统防御体系暴露出越来越多的安全问题,无法有效解决电力行业面临的安全威胁,存在内、外网网络威胁检测难、定位难、溯源难、清除难等问题,对风险难以进行感知、预警和管理。
鉴于当前网络安全的威胁及环境的变化,作为国家关键信息基础设施,该公司主要面临以下问题:
1. 如何在庞杂的网络环境中提前精准识别并预警网络威胁,避免重大网络安全事件的发生?
2. 如何在海量的告警日志中,准确定位失陷资产并及时处置响应?
3. 如何在繁杂的威胁线索中及时有效溯源,明晰攻击过程,做到了如指掌?
4. 如何实现调度网、信息网网络威胁的全面检测,实现网络威胁态势感知?
为了满足该公司业务安全需求以及运维管理需求,通过在关键节点以及互联网出口旁路部署安天探海威胁检测系统,在不影响现网拓扑及业务的前提下,实现企业内外网网络流量的持续监测,实时检测网络流量中的网络威胁。
探海部署示意图
该电力公司包括调度网、信息网,业务系统分散,通过在关键节点以及互联网出口旁路部署探海系统,实现南北流量以及东西向流量的全面检测。探海搭载安天国产自主恶意代码检测引擎(AVLSDK引擎),内置5000w+条高质量病毒特征,同时结合行为检测、威胁情报等技术手段,提供国内领先的威胁检测能力,低误报率,高准确率,可实时检测网络蠕虫、特种木马、钓鱼邮件、勒索软件以及各类扫描攻击、DDoS攻击等网络威胁,实现网络威胁活动的精准检测与告警,布防网络出口,防止威胁造成大面积影响。
在该公司海量告警日志中,探海从包、流、会话、文件、协议元数据、网络行为、文件行为等多个层次进行深度检测,同时获得威胁信誉、威胁名称、核心行为等多个维度的信息,可以有效防止攻击者对分析机制、威胁向量等的绕过,结合情境化分析、模型分析等技术,为客户提供高级威胁检测以及网络威胁定位能力,同时联动追影、智甲以及其他第三方安全设备进行威胁响应,助力企业安全事件处置。
基于流量侧海量的威胁线索,如何做到有效溯源分析,是网络安全检测重要的一环,区别于全流量缓存记录的方式,安天探海基于流量侧的细粒度协议解析和还原,支持对网络元数据、应用层传输要素、载荷对象要素等要素信息进行全要素留存,为攻击溯源提供更精准更全面的威胁线索,同时基于恶意代码传播关系、命令与控制关系、恶意文件关联等维度,进行网络侧威胁事件自动化关联分析,更有效地支撑安全分析人员进行威胁研判、追踪溯源,从而帮助客户高效回溯分析网络攻击行为、还原攻击路径、分析感染影响状况。
通过在关键节点以及互联网出口旁路部署探海,实现了调度网、信息网网络威胁的全面检测,为大规模网络提供网络威胁现状的全局监控视图,全天候全方位感知网络安全态势,提升网络安全检测能力和及时响应能力。通过探海威胁检测系统的部署,安天赋能该电力公司网络安全检测体系建设,产品充分满足该公司对网络威胁检测及预警、威胁定位、攻击溯源的需求,达到了对全网威胁了如指掌的目的。以全面、精准的已知威胁检测能力,和未知威胁深度挖掘能力助力其真正及时感知网络威胁、发现风险资产,通过内外部联动,高效处置安全隐患。探海系统自运行以来,给客户带来的安全价值如下:
• 精准识别并预警网络威胁数量达20余万,避免了重大网络安全事件的发生;
• 协助处理高危安全事件上百次,完成50余次安全事件回溯,帮助客户做到了知己知彼;
• 实现对全省电网恶意程序发生和传播情况的集中监控和管理,对整体网络安全态势做到全局把控,提升了网络安全管理水平;
• 企业内、外网遇到网络病毒爆发事件时,探海威胁检测能力的及时性和准确性助力客户有效应对突发安全事件,赋能企业安全运营。