作為最基本的能源之一,電是現(xiàn)代社會穩(wěn)定運行的基礎。云南電網(wǎng)有限責任公司(簡稱“云南電網(wǎng)”,下同)不僅承擔著為省內超4600多萬常住居民的供電任務,還肩負著極其重要的“西電東送”任務。云南電網(wǎng)積極探索云計算、大數(shù)據(jù)等新技術在電力行業(yè)的應用,在數(shù)字化轉型過程中,云南電網(wǎng)不斷遭遇網(wǎng)絡攻擊的襲擾,并意識到在現(xiàn)有網(wǎng)絡安全體系下,應對新型網(wǎng)絡威脅的準確性、及時性、有效性還有進一步提升的空間。
結合云南電網(wǎng)安全建設現(xiàn)狀,云南電網(wǎng)信息中心提出了四點新的安全建設需求:
1、針對安全設備多、告警多現(xiàn)象,需降噪聚焦真實威脅,并進一步提升檢測能力;
2、分公司多,地域分布廣,要統(tǒng)一運營,需精準發(fā)現(xiàn)威脅并及時處置;
3、面對新型未知威脅,需更加高效的工具和手段,以保證隔離內網(wǎng)安全無虞;
4、重視重保,需更廣泛也更詳細的攻擊團伙情報數(shù)據(jù),以深入溯源分析。
針對云南電網(wǎng)的網(wǎng)絡安全需求,微步在線提出以威脅情報切入的思路獲得云南電網(wǎng)信息中心認可,確定了以本地威脅情報管理平臺TIP+威脅感知平臺TDP+OneRisk的組合方案,這一方案不僅幫助云南電網(wǎng)增強了應對新型威脅所需的檢測與響應能力,還助力云南電網(wǎng)通過了國家級攻防演練活動的考驗,并在冬奧、兩會等國家重大活動期間,順利保障了云南居民用電和西電東送兩大任務。
云南電網(wǎng)信息中心網(wǎng)絡安全架構示意圖
情報賦能 讓安全團隊“抓住”真實威脅
很早之前,云南電網(wǎng)信息中心就構建了安全大數(shù)據(jù)平臺,用以接收包括來自防火墻、網(wǎng)關、IPS等網(wǎng)絡安全設備、系統(tǒng)發(fā)出的各類日志與告警信息,但每天收到的告警信息中有大量無效告警,只能靠安全管理員人工排除,費時費力。
從2019年開始,云南電網(wǎng)信息中心將TIP接入安全大數(shù)據(jù)平臺,利用TIP內置威脅情報和多源情報管理等功能進行告警降噪,讓安全管理員可以將精力聚焦在真實威脅之上,極大地提升了日常安全運營的效率。在2022年,南網(wǎng)總部也使用TIP平臺作為情報生產下發(fā)統(tǒng)一平臺,云南電網(wǎng)迅速無縫接入,利用TIP本地情報生產能力共享行業(yè)情報,實現(xiàn)聯(lián)防聯(lián)控,成為電力行業(yè)網(wǎng)絡安全技術標桿。
在國家級攻防演練中,云南電網(wǎng)綜合利用TIP、 TDP、OneRisk以及微步安服等服務提供的不同安全能力,順利通過了攻防演練的考驗。并且,在冬奧、兩會等國家重大活動期間,還通過TDP發(fā)現(xiàn)了境外黑客攻擊事件,基于威脅情報進行拓線分析,完整還原了黑客團伙的攻擊過程,并進行身份關聯(lián)分析,迅速鎖定了目標,然后形成事件溯源分析報告,為行業(yè)內聯(lián)防聯(lián)控做出了表率。
加強辦公網(wǎng)防護 提升整體安全水平
辦公網(wǎng)正成為企業(yè)網(wǎng)絡安全的薄弱環(huán)節(jié)。
一方面由于辦公終端使用者的安全意識參差不齊,容易被黑客利用,比如最典型的就是釣魚,尤其是結合了社工的釣魚,歷來是安全管理員比較頭疼的難題;另一方面,如云南電網(wǎng)分公司眾多,且地域分散,分公司防范新型威脅的需求與集團總部同樣強烈,但預算、人員水平缺很難與總部持平。且分公司辦公網(wǎng)一旦被黑客突破,其后續(xù)影響可能并不亞于數(shù)據(jù)中心被突破。
云南電網(wǎng)信息中心在辦公網(wǎng)的網(wǎng)絡出口部署TDP,并與TIP聯(lián)動?;诟哔|量的威脅情報,TDP針對網(wǎng)絡流量進行雙向檢測,利用情報、流量、規(guī)則、機器學習等檢測引擎對流量、日志進行監(jiān)測,并從多個維度綜合分析,由此精準識別威脅。
在部署TDP后,有效檢出了云南電網(wǎng)辦公網(wǎng)內的挖礦、釣魚、惡意軟件等違規(guī)外聯(lián),并自動鎖定內網(wǎng)失陷主機,極大地方便了安全管理員處置動作。通過TIP與TDP的聯(lián)動,不僅極大地提升了云南電網(wǎng)辦公網(wǎng)的安全防護能力,還有效降低了日常安全運營人員的壓力。
資產清點 讓攻擊面收斂到最小
網(wǎng)絡攻防本質上是人與人的較量。防守方要做到“無懈可擊”,必然要將可供黑客利用的攻擊面收斂到最小,并覆蓋所有攻擊敞口。而這進行這一切的基礎是資產清點,讓所有資產都了然于胸。
云南電網(wǎng)信息中心利用TDP的資產清點功能,通過流量監(jiān)聽實現(xiàn)對企業(yè)業(yè)務資產的識別,自動化構建資產臺賬,幫助安全團隊摸清家底。并且這種非侵入式被動監(jiān)聽方式不會對企業(yè)主機和網(wǎng)絡帶來壓力和負擔,對業(yè)務零影響。除資產清點,TDP還能發(fā)現(xiàn)內網(wǎng)中弱密碼、開放端口、應用漏洞等風險,及時提醒安全管理員進行整改。
云南電網(wǎng)信息中心的相關負責人表示:“微步提供的解決方案和服務,能夠快速檢測、發(fā)現(xiàn)針對性攻擊,高質量的本地情報生產更好地支撐了聯(lián)防聯(lián)控戰(zhàn)略,讓我們能夠集中精力快速響應重大安全事件;同時,微步解決方案所具備的實戰(zhàn)能力,能夠快速定位攻擊、還原攻擊路徑、迅速鎖定攻擊者。尤其是在攻防演練期間,微步在線不僅幫助我們提升了安全防護能力,還極大地降低了安全人員壓力,讓我們能夠以更佳的狀態(tài)去迎接攻擊隊的挑戰(zhàn),從而在演練中提升自身實戰(zhàn)水平和安全運營能力。”
來源:中國經(jīng)濟新聞網(wǎng)
評論