事件背景

9月5日,关于《西北工业大学遭受境外网络攻击的调查报告》对外发布,报告披露:美国国家安全局下属的“特定入侵行动办公室”多年来对我国国内的网络目标实施了上万次的恶意网络攻击,控制了相关网络设备(网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等),疑似窃取了高价值数据。

调查报告显示,一直以来,美国国家安全局针对我国各行业龙头企业、政府、大学、医疗机构、科研机构甚至关乎国计民生的重要信息基础设施运维单位等机构长期进行秘密黑客攻击活动。其行为或对我国的国防安全、关键基础设施安全、金融安全、社会安全、生产安全以及公民个人信息造成严重危害,值得我们深思与警惕。

教育行业不仅是我国的民生行业之一,以全国高等院校为例,各项事业开展已经离不开信息化建设提供的IT支撑环境,而信息化建设涉及师生个人、学校各项业务相关的数据采集、存储、处理、交换、分享,因此各业务系统主机安全管理将会成为高校网络安全工作的一个重要组成部分。主机位于IT基础架构的核心,它承载着各行业最有价值、最敏感的信息,因此也被视为网络攻击的头号目标,不安全的主机是重大的业务风险,并可能导致许多网络安全问题。主机安全的目的就在于保护主机上保存的数据和资源。

近几年国家和教育部门出台一系列政策法规,建立教育系统网络安全责任体系、覆盖数据全生命周期的数据安全防护技术,全面加强网络安全保护能力。

针对高校当前网络安全、数据安全的现状,优炫软件认为最急迫的工作:建立综合安全管理平台,树起资产管理、技术防护、用户意识、应用合规四道防护墙,基于此,优炫软件提供基于自适应安全架构的主机安全管理平台RS-CDPS,助力用户构建高效的核心数据安全能力体系。

基于自适应安全架构的主机安全解决方案

风险资产梳理,减少资产暴露面

通过轻量级agent探针,全面采集业务主机内部的各项资产信息,有效识别进程、账号、端口、软件、web等资产信息,及资产存在的漏洞、弱口令、缺失配置等安全风险,及时进行安全预警,通过闭环的风险管理协助用户进行优化修改。增加口令强度、及时修复系统漏洞/应用漏洞,以及强化端口管理,除必要业务之外,应关闭135、139、445、3389等高危端口。减少资产的暴露面,降低被攻击的可能性。

持续监控,及时发现入侵行为

从攻击者角度进行分析,确定入侵行为的核心节点,基于关键节点设置多锚点监控。通过对这些关键节点的持续监控和分析,有效及时发现入侵行为并阻止。和传统IDS产品相比,HIDS产品的报警准确率更高,和传统硬件安全产品组合搭配,助力用户构建纵深防御体系。

根源免疫,让未知威胁无处遁形

进程运行管控是应对未知威胁的有效办法,即不被授权的进程禁止运行,这样即使病毒进入到主机内,也无法运行,成为垃圾文件,可以说从根源上彻底对勒索病毒进行了免疫。优炫通过机器学习等机制,优化了进程白名单采集机制,增强了对合规应用程序的判断,减少了用户在实际使用中的配置步骤。

东西向隔离,阻止病毒的横向移动传播

区别于传统防火墙IP方式,优炫采用了自然语言模型来建设策略。通过针对主机进行标签建设,减少了90%以上的策略数量。即使主机发生了移动或者其他变化,微隔离可以根据标签追踪,自适应将策略覆盖到该主机。另外为了更方便的建设微隔离策略,优炫通过大量研究内网流量业务模型,内置自动策略生成机制,即使从未使用过微隔离产品,也能快速上手进行策略建设。这样就可以及时隔离失陷的主机,控制安全事件的扩大化,不至于让整个业务系统中断,为安全管理人员解决问题赢取了宝贵时间。

值得一提的是,该平台近期成功中标西南民族大学,为其提供全方位的安全保护,包括资产管理、漏洞管理、合规基线、微隔离等功能,真正做到事前防范和事中控制,满足高校用户对主机的安全风险管理、安全合规等需求。

面对不断变化的恶意攻击行为,优炫软件团队正在不断探索新的技术,并将先进的安全技术运用到产品中,努力为我们的用户提供安全可靠、专业高效的最佳实践方案