入侵檢測系統(IDS)在奧運官方網站的安全實戰
舉世矚目的北京奧運會已經勝利落下帷幕,全世界人民對4年一度的體育盛會投入了極大的熱情和關注,當然其中也包括網絡上的黑客和攻擊者。
據資料顯示,悉尼奧運會期間,奧運官方網站經受了113億次攻擊;雅典奧運會,16天的比賽中就有超過500萬起信息技術安全報警信息;北京奧運會無論從比賽規模還是參與人數都遠超以往,因此,奧運網絡與信息安全保障也被譽為“奧運安全的第二前線”。
對于承接奧運會官方網站安全保障工作的啟明星辰公司來說,如何保障網站穩定有效運行,是一項極富挑戰性的任務,需要有效的威脅信息收集系統、威脅分析和情況預警能力以及主動的安全事件響應能力。而事實證明,入侵檢測系統(IDS)在此過程中發揮了不可替代的作用。
奧運官網威脅分析
奧運官方網站安全服務項目旨在確保官方網站(www.beijing2008.cn)的安全運維和其它信息內容服務的安全性,保證奧運官網在賽時能夠提供安全、穩定的服務,特別是能夠承載大流量訪問,抵抗各類網絡攻擊,如DDoS分布式拒絕服務攻擊和網頁篡改攻擊。
奧運官網所面臨的威脅主要來自于兩個方面:一是黑客的入侵和攻擊,諸如運動員年齡資料被改寫成“9 5歲”這樣的玩笑,試圖改變奧組委通過因特網向世界發布的比賽最后結果、篡改獎牌運動員的名字等等是黑客們的拿手戲;另一方面,病毒和蠕蟲的入侵造成奧運官網的癱瘓同樣具有毀滅性的打擊。
啟明星辰作為奧運官網信息和網絡安全總服務商,自2008年6月起開始進行滲透測試、代碼審核、風險評估、安全加固等前期安全服務工作,為了有效地對網絡訪問實施監控,及時發現威脅,啟明星辰在奧運官網出口處署了天闐入侵檢測系統(IDS),結合安全工程師全天候職守,對網站進出流量進行監控。
“入侵檢測”一夫當關
天闐入侵檢測系統(IDS)為威脅監控提供了兩種途徑:
1. 實時報警
工程師可以通過實時報警顯示界面觀測到網絡中發生的安全事件,高中低不同級別的事件通過不同顏色加以區分。另外,對于重點關注的事件,比如最常見的拒絕服務攻擊,在自定義的窗口單獨對此顯示,工程師可以有針對性地在海量事件中提取有效信息。
2.實時流量圖
天闐還提供了實時的流量統計圖,通過流量曲線的變化,可以很直觀地看到網絡中各種應用的分布情況。在奧運期間就曾發現過某天夜間的網絡流量驟增,變化幅度超過正常范圍,現場職守工程師將這種流量異動結合報警信息進行分析,定位了威脅來源,發現是某一地域幾個IP地址頻繁對網站發起TCP半連接和掃描,可以判定為拒絕服務攻擊。
工程師向奧組委現場值班專家小組進行預警,網絡安全專家經過分析,結合其它安全設備,及時采取措施對攻擊行為進行了有效地防御,保護了正常的Web訪問。在奧運以及隨后的殘奧會期間,天闐IDS幫助工程師有效地發現、量化、定位了來自互聯網的威脅,并為威脅分析和響應提供了數據和指導。
威脅并非一成不變,黑客發起攻擊時,手段總是千變萬化,這就要求IDS能夠“隨需而變”,針對入侵和攻擊的變化,及時調整檢測策略。天闐IDS提供每日安全事件統計報表,并定時自動發送給安全專家小組成員。通過對每日統計事件變化的分析,安全專家可以在天闐系統上對原有檢測策略進行修改和添加,針對一些可疑事件自定義檢測規則,設定參數,從而來應對網絡攻擊的變化。
下圖所示就是8月23日和8月24日兩天,奧運會官方網站Top10事件統計柱形圖和事件次數統計表,從中可以看到網絡威脅的變化情況,作為調整檢測策略的參考。
為了保證天闐IDS 對最新攻擊的檢測能力,啟明星辰的攻防專家和安全事件研究人員一直保持對最新漏洞和攻擊的研究和跟蹤。奧運會期間,微軟等廠商相繼發布了最新的系統漏洞,啟明星辰及時升級天闐檢測規則庫,從常規的每周一次升級頻率提高到每日一次,一旦有利用這些漏洞的攻擊和最新病毒發生,天闐IDS 能夠精確檢測并報警,從而使應急響應專家能夠迅速采取措施,保護奧運官網業務不受干擾。
3. 全面守護奧組委核心網絡
在奧運會以及殘奧會期間,不僅是在奧運會官方網站,在奧組委辦公網絡中,天闐入侵檢測系統也成為安全監控的主力,就像是龐大計算機網絡中的攝像頭,記錄這網絡中發生的一切可疑行為和事件,實時將威脅有效的呈現給網絡安全管理人員,像那些真正的安全衛兵一樣保護著奧運會。
在啟明星辰承建的奧組委辦公網(管理網)網絡監控系統中,需要對部署的各種安全產品(包括防火墻、防病毒、應用系統、網絡設備等相關產品)和相關的應用系統進行數據收集,進行統一實時報警,幫助監控人員及時發現網絡中的各種安全事件和異常行為,并進行快速定位。這些都離不開天闐IDS的巨大作用。
奧運官網和奧組委辦公網的安全運行,不僅僅依靠天闐IDS的工作和維護,更依靠在天闐提供的數據基礎上的分析。在奧運會和殘奧會期間,啟明星辰安排了7×24小時現場值守工程師、安全專家小組以及應急響應隊伍,建立了科學的事件上報和處理流程,一旦發生安全問題,即可調動多方資源及時支持現場監控人員。
天闐IDS經受住了流量的考驗,體現了全面的檢測能力,在發現威脅、準確定位、量化威脅,從而科學分析事件和快速解決響應的過程中發揮了不可替代的作用。
全面負責奧運會安全保障項目的啟明星辰CTO劉恒博士評價說,IDS對于防范網絡攻擊尤其是DDoS攻擊可以起很大作用,在啟明星辰對產品做了策略優化配置之后,通過流量模塊管理功能和其它產品的關聯,提前發現和成功處置了奧運會官方網站90%以上的DDoS攻擊。
天闐IDS在奧運官網維護過程中的實戰經驗無疑為我們以后更合理地開發、使用和維護入侵檢測產品,更正確地認識和發揮入侵檢測產品的價值提供了借鑒和參考。
