回望“一帶一路”峰會網安保障 海事局攜手亞信安全智斗“永恒之藍”
客戶需求:在2017年“一帶一路”高峰論壇期間,“永恒之藍”勒索蠕蟲爆發(fā),中國海事局急需對所有終端桌面和各類服務器進行安全加固,快速實現(xiàn)漏洞修補,防止病毒爆發(fā)。
解決方案:亞信安全利用防毒墻網絡版(OfficeScan)與服務器深度安全防護系統(tǒng)(Deep Security)的智能化防御特性,啟用病毒爆發(fā)阻止策略和虛擬補丁功能,對一帶一路高峰論壇期間各類業(yè)務保障系統(tǒng)提供了應急處置與安全加固,未發(fā)生一起病毒感染事件,確保海事局信息系統(tǒng)正常運行。
效果/客戶證言:海事局承擔著“讓航行更安全,讓海洋更清潔”的崇高使命,信息化將擔當重任。通過此次勒索軟件防御工作的總結,雖然我們以“零事件”的成績完成了保障工作,但也發(fā)現(xiàn)了許多不足,不僅需要亞信安全提供的機器學習引擎和人工智能技術為安保助力,更需要在自身管理上找出問題,以更積極主動的安全管理能力去應對未知威脅。——海事局相關領導
【海事局承擔著“讓航行更安全,讓海洋更清潔”的崇高使命(照片來自海事局官網)】
在“互聯(lián)網+”時代下,中華人民共和國海事局(以下簡稱:海事局)將海事信息化作為持續(xù)發(fā)展的核心要務之一,在推動各級單位落實創(chuàng)新工作的同時,緊抓信息安全管理工作。在2017年“一帶一路”高峰論壇期間,海事局攜手亞信安全共抗“永恒之藍”勒索蠕蟲,利用亞信安全防毒墻網絡版(OfficeScan)與服務器深度安全防護系統(tǒng)(Deep Security)的智能化防御功能,對一帶一路高峰論壇保障系統(tǒng)提供了應急處置與安全加固,確保相關業(yè)務系統(tǒng)的正常運行。
“永恒之藍”突然來襲,海事局遇到棘手難題
2017年,是勒索軟件在全球加速蔓延的一年,特別是5月12日,“永恒之藍”勒索蠕蟲(WannaCry)在全球多個國家爆發(fā)。在“永恒之藍”事件中,至少有150個國家、30萬名用戶中招,造成的損失達80億美元,我國政府、教育、交通等多個行業(yè)也遭受不同程度的影響,這使人們對于勒索軟件的關注達到了空前的高度。
WannaCry病毒爆發(fā)的時間點,正值“一帶一路”高峰論壇舉辦之際。作為承擔海事局重要業(yè)務系統(tǒng)安全運維保障工作的海事局信息科技處,在第一時間接到亞信安全的網絡威脅預警后,立即啟動了阻止該病毒爆發(fā)的緊急處理工作。
但是,通過對WannaCry病毒傳播原理和自身網絡情況的分析,海事局信息科技處發(fā)現(xiàn)這個勒索蠕蟲并不容易應對:
第一,“永恒之藍”主要利用445文件共享端口實施破壞,但由于海事局內網終端用戶文件、打印共享等需求,之前并未作此限制,仍然存在大量開放的445端口。
第二,要應對“永恒之藍”,就需要統(tǒng)一安裝Windows操作系統(tǒng)補丁,為每臺終端修補MS17-010漏洞,但面對數量龐大的內網終端,逐一安裝部署補丁會耗用大量的時間,可能會給勒索蠕蟲的攻擊帶來機會。
第三,作為企業(yè)級運行環(huán)境,海事局已經禁止了相關服務器的自動更新,以防止對生產服務器造成未經測試的變化。針對之前的漏洞,工程師都會在更新到業(yè)務服務器之前,在實驗室環(huán)境中花時間來測試和驗證軟件補丁和更新,而在生產服務器上安裝未經測試的MS17-010補丁是否會對業(yè)務造成影響,這是個未知數。
啟動爆發(fā)阻止功能,“虛擬補丁”見奇效
在勒索軟件事件爆發(fā)后的第一時間,海事局更新了OfficeScan服務器病毒特征庫,并通過策略和防毒代碼推送的方式,在終端層實現(xiàn)了勒索軟件的查殺。在此基礎上,在亞信安全工程師的輔助下,海事局信息科技處有針對性的啟用了OfficeScan內置的防御功能,成功封堵漏洞。
工程師首先通過防毒墻集中控制臺,封閉所有終端的445端口,拒絕勒索軟件相關文件的寫入控制,快速實現(xiàn)了勒索軟件威脅擴散的有效防御,第一時間阻斷了此病毒的網絡通路。其次,啟用OfficeScan的行為監(jiān)控模塊,對于異常加密的性能實現(xiàn)智能檢測,實現(xiàn)了不依賴病毒碼和補丁的情況下,也能抵御勒索軟件攻擊。最后,利用亞信安全OfficeScan產品的病毒爆發(fā)阻止功能,檢測病毒和共享文件夾會話的閾值,在病毒代碼未完成擴散之前,自動對網絡中的病毒傳播途徑進行控制。
在服務器層面,海事局利用亞信安全服務器深度安全防護系統(tǒng)(Deep Security)提供的虛擬補丁(Virtual Patch)功能,對物理和虛擬服務器進行病毒免疫加固,在無需重新啟動系統(tǒng)的前提下,在數分鐘內將這些規(guī)則應用到所有虛擬主機上,避免了黑客利用修補漏洞的“時間差”。值得一提是, Deep Security還自動保護了處于運行狀態(tài)和休眠狀態(tài)的虛擬機,讓數據中心從容有序的完成了“永恒之藍”防御工作。
應急服務十分到位,期待“機器學習”正式入駐
“一帶一路”國際合作高峰論壇在北京召開,除了線下論壇的安全需要保障之外,線上網絡安全也是重中之重。恰逢“永恒之藍”勒索病毒的肆意爆發(fā),亞信安全連夜應急處理,并協(xié)助海事局對全部服務器和桌面終端進行了安全防護,其技術和服務都贏得了客戶的贊許。
海事局相關領導表示:“一帶一路”戰(zhàn)略的提出,是對“海洋強國”戰(zhàn)略的具體化,使得“海洋強國”戰(zhàn)略能夠付諸實踐。在此次勒索軟件防御工作中,雖然我們以“零事件”的成績完成了“一帶一路”論壇的保障工作,但也發(fā)現(xiàn)了許多不足。未來,我們將進一步在自身安全管理上尋找問題,以更積極主動的安全管理能力去應對未知威脅,還希望借助亞信安全提供的機器學習引擎和人工智能技術,為安保助力。
據悉,在這場勒索病毒“防御戰(zhàn)”的對抗中,除了中國海事局之外,所有亞信安全服務客戶,通過以機器學習技術為核心的安全解決方案,成功抵御住了這次勒索病毒的瘋狂攻擊,成為國內首個、廣泛利用三代安全融合技術抗擊大規(guī)模網絡攻擊的成功案例。
