2016数博会刚刚结束,会议由国家发改委、工信部、商务部、网络安全和信息化领导小组、贵州省人民政府主办,活动超过9万人参与,具有规模大、规格高、时间长、要求严等特点,意义重大,绿盟科技及友商团队受主管机构指派,顺利完成大会的网络安全保障工作,而这其中“绿盟科技威胁态势感知方案”的贡献不小。
专业技术 防御攻击
3万次DDoS攻击,瞬间攻击流量峰值达到272.2M,攻击包数达到每秒70.3K个。 这种流量的攻击从过往经验来看并不算大,但其攻击数据包较多,对大会官网造成不小的影响,此时,绿盟科技的DDoS防护系统迅速启动,将流量牵引到DDoS防护设备ADS上,2分钟后,官网核心系统恢复正常访问。
之所以能够实现业务的快速恢复,得益于事前的应急预案。早在大会开幕之前,绿盟科技安保团队就与客户一起进行了实战演练,演练过程中通过绿盟流量分析系统对数博会官网、会务系统等核心业务系统进行异常流量分析和建模,理解其业务特性,配置相应的抗拒绝服务系统防护策略。
事实再一次证明了,在面对混合式复杂攻击的情况下,就看攻守方谁更理解业务特性,谁就能最后胜出。设备只是一个方面,更重要的是攻守双方人与人的较量。这些现象、观点及应对办法,在《2015 DDoS威胁报告》中均有所提及。
758次入侵防护,如今的攻击者并不是如此简单,DDoS攻击之下掩盖的是更多的“暗度陈仓”。在峰会安保过程中,绿盟入侵检测及防护系统发现并阻止了来自境外入侵动作多达758次,攻击IP主要以俄罗斯、法国和美国为主,这些攻击主要针对的目标是大会的人数统计系统、会务系统,进行了大量的恶意探测、暴力破解和远程登录行为。
追踪溯源 定位攻击
据绿盟安全态势感知平台的不完全统计,发现大部分攻击源来自美国、日本、荷兰、德国等境外国家,尤其以美国最多。而国内的攻击源主要来自广东、福建、浙江、江苏、北京等区域,这可能是攻击者控制的僵尸网络,安保团队随即将这些信息上报。
在峰会期间,前端防护系统发现攻击并通告了攻击源IP属地,但IP属地范围过大,给排查取证带来了较大困难。为此,绿盟科技安保团队基于平台信息采取技术手段,通过分析该IP的行为,定位了具体的经纬度和具体街道楼层,为网安破案提供了有力支撑。
渗透测试 发现漏洞
在峰会期间,现场绿盟科技安保团队受网监指派,对重点网站做了详细的渗透测试报告,发现大会官网、某某厅官网、某某政府官网等存在不同程度的漏洞,并提供了修复建议,整个工作得到了8家用户单位的高度认可。尤其是协助处理某某网站被暗链攻击的事件中,由于工作成绩突出,得到用户的高度赞扬。
网站监测 掌控全局
在此次安保活动中,绿盟科技安保团队除了后端网络和信息系统的安全防护任务之外,同时也协助网安对重点网站进行了网站监测,并将网站平稳度、网页篡改、网页挂马盗链、敏感信息泄露和webshell的异常情况实时短信和邮件通知用户。
态势感知 大显身手
绿盟科技在此次安保工作中应用了绿盟安全态势感知解决方案,该解决方案能预警攻击威胁,溯源攻击事件源头,感知并掌控宏观安全态势,从而让各个环节的工作更加得心应手。绿盟安全态势感知解决方案(TSA)是绿盟科技智慧安全2.0战略的重要组成部分。
巨人背后的专家
在多次重大活动的背后,总有绿盟科技安保团队的身影,也让绿盟科技积累了大量的网络安保经验,尤其是在应急值守方面形成了一套工作体系,并不断的将成熟方案加入进来,进一步发挥自身技术优势,积极配合主管部门切实做好每一次重大活动的网络安全保障工作,更好地服务于国家网络安全工作的需要,努力维护国家、行业和用户安全,为营造健康有序的网络环境,做出积极的贡献!