作为最基本的能源之一,电是现代社会稳定运行的基础。云南电网有限责任公司(简称“云南电网”,下同)不仅承担着为省内超4600多万常住居民的供电任务,还肩负着极其重要的“西电东送”任务。云南电网积极探索云计算、大数据等新技术在电力行业的应用,在数字化转型过程中,云南电网不断遭遇网络攻击的袭扰,并意识到在现有网络安全体系下,应对新型网络威胁的准确性、及时性、有效性还有进一步提升的空间。
结合云南电网安全建设现状,云南电网信息中心提出了四点新的安全建设需求:
1、针对安全设备多、告警多现象,需降噪聚焦真实威胁,并进一步提升检测能力;
2、分公司多,地域分布广,要统一运营,需精准发现威胁并及时处置;
3、面对新型未知威胁,需更加高效的工具和手段,以保证隔离内网安全无虞;
4、重视重保,需更广泛也更详细的攻击团伙情报数据,以深入溯源分析。
针对云南电网的网络安全需求,微步在线提出以威胁情报切入的思路获得云南电网信息中心认可,确定了以本地威胁情报管理平台TIP+威胁感知平台TDP+OneRisk的组合方案,这一方案不仅帮助云南电网增强了应对新型威胁所需的检测与响应能力,还助力云南电网通过了国家级攻防演练活动的考验,并在冬奥、两会等国家重大活动期间,顺利保障了云南居民用电和西电东送两大任务。
云南电网信息中心网络安全架构示意图
情报赋能 让安全团队“抓住”真实威胁
很早之前,云南电网信息中心就构建了安全大数据平台,用以接收包括来自防火墙、网关、IPS等网络安全设备、系统发出的各类日志与告警信息,但每天收到的告警信息中有大量无效告警,只能靠安全管理员人工排除,费时费力。
从2019年开始,云南电网信息中心将TIP接入安全大数据平台,利用TIP内置威胁情报和多源情报管理等功能进行告警降噪,让安全管理员可以将精力聚焦在真实威胁之上,极大地提升了日常安全运营的效率。在2022年,南网总部也使用TIP平台作为情报生产下发统一平台,云南电网迅速无缝接入,利用TIP本地情报生产能力共享行业情报,实现联防联控,成为电力行业网络安全技术标杆。
在国家级攻防演练中,云南电网综合利用TIP、 TDP、OneRisk以及微步安服等服务提供的不同安全能力,顺利通过了攻防演练的考验。并且,在冬奥、两会等国家重大活动期间,还通过TDP发现了境外黑客攻击事件,基于威胁情报进行拓线分析,完整还原了黑客团伙的攻击过程,并进行身份关联分析,迅速锁定了目标,然后形成事件溯源分析报告,为行业内联防联控做出了表率。
加强办公网防护 提升整体安全水平
办公网正成为企业网络安全的薄弱环节。
一方面由于办公终端使用者的安全意识参差不齐,容易被黑客利用,比如最典型的就是钓鱼,尤其是结合了社工的钓鱼,历来是安全管理员比较头疼的难题;另一方面,如云南电网分公司众多,且地域分散,分公司防范新型威胁的需求与集团总部同样强烈,但预算、人员水平缺很难与总部持平。且分公司办公网一旦被黑客突破,其后续影响可能并不亚于数据中心被突破。
云南电网信息中心在办公网的网络出口部署TDP,并与TIP联动。基于高质量的威胁情报,TDP针对网络流量进行双向检测,利用情报、流量、规则、机器学习等检测引擎对流量、日志进行监测,并从多个维度综合分析,由此精准识别威胁。
在部署TDP后,有效检出了云南电网办公网内的挖矿、钓鱼、恶意软件等违规外联,并自动锁定内网失陷主机,极大地方便了安全管理员处置动作。通过TIP与TDP的联动,不仅极大地提升了云南电网办公网的安全防护能力,还有效降低了日常安全运营人员的压力。
资产清点 让攻击面收敛到最小
网络攻防本质上是人与人的较量。防守方要做到“无懈可击”,必然要将可供黑客利用的攻击面收敛到最小,并覆盖所有攻击敞口。而这进行这一切的基础是资产清点,让所有资产都了然于胸。
云南电网信息中心利用TDP的资产清点功能,通过流量监听实现对企业业务资产的识别,自动化构建资产台账,帮助安全团队摸清家底。并且这种非侵入式被动监听方式不会对企业主机和网络带来压力和负担,对业务零影响。除资产清点,TDP还能发现内网中弱密码、开放端口、应用漏洞等风险,及时提醒安全管理员进行整改。
云南电网信息中心的相关负责人表示:“微步提供的解决方案和服务,能够快速检测、发现针对性攻击,高质量的本地情报生产更好地支撑了联防联控战略,让我们能够集中精力快速响应重大安全事件;同时,微步解决方案所具备的实战能力,能够快速定位攻击、还原攻击路径、迅速锁定攻击者。尤其是在攻防演练期间,微步在线不仅帮助我们提升了安全防护能力,还极大地降低了安全人员压力,让我们能够以更佳的状态去迎接攻击队的挑战,从而在演练中提升自身实战水平和安全运营能力。”
来源:中国经济新闻网
评论