揭秘:ISC大会亿级流量背后的安全运营保障实践

阅读量34440

发布时间 : 2022-08-23 10:32:21

2022全球数字经济大会数字安全峰会暨第十届互联网安全大会(简称ISC 2022)于7月30日在北京国家会议中心正式开展。大会首创线下大会与线上元宇宙沉浸平台同频联动的数字融合新模式,创造了1亿+平台总点击量、900w+平台访问人数以及1400w+N世界ISC数字安全展浏览量。

这场数字安全元宇宙盛宴为线上办会打开了一扇新门,N世界全量业务数据上云也让运营保障工作难度徒增。360数字安全运营中心(简称360 SOC)由360数字安全大脑赋能,构建动态的安全防御体系,在大会期间高效运营保障线下展会与N世界的安全。

 

以云上多元态势感知“看见”威胁

本次ISC2022大会服务规模庞大,包含100万长连接服务器、2TB直播带宽流量、5亿PV API服务器。N世界-ISC大陆利用数字孪生技术复刻了线下场景和功能,实现线上线下协同共振虚实场景深度融合的模式,实时同步所有活动。

N世界全量业务数据上云,构建在360技术中台混合云架构和容器云平台上,复杂的云地协同环境、多样的数据格式和应用场景,以及云原生技术引入新的防护目标和风险,使得运营保障工作难度升级,其中首要目标就是在云原生环境下“看见”威胁

360全网数字安全大脑汇集了300亿+恶意样本、22万亿安全日志,全球90亿域名信息、2EB以上大数据,通过情报云、知识云、漏洞云、测绘云、专家云、沙箱云、查杀云等开放安全云服务将安全可见能力赋能本地安全大脑,结合XDR完善的原生神经元体系,在N世界的云原生环境中构建安全数据采集能力进行监测和响应,发现了很多传统检测手段难以看见的威胁,对N世界进行全方位的威胁感知。

360本地安全大脑XDR与多个安全平台(包含全面部署的CWPP、NDR、EDR、WAF等多种安全产品)进行跨数据中心的全局关联分析,通过聚合关联多维数据结合专家规则和AI模型,充分发挥其多维检测、分析引擎的能力,对N世界云上业务搜集到的样本、情报、主机和终端异常行为等进行检测,多维度关联分析及自动化进行溯源,能精准判定线下展会及线上N世界所受到的各类威胁场景和网络攻击,并高效进行应急处置。

 

实战化建设云上安全防护体系

在ISC大会期间,360数字安全运营中心通过镜像会场工作区流量和接入WiFi流量,以NDR实时感知网络侧安全威胁。会场所有办公电脑部署360终端安全管理系统,通过虎安主机代理采集云上流量和主机EDR数据,结合本地安全大脑的EDR模块实时感知终端侧和主机侧的安全威胁。

同时,为进一步保障本地安全大脑防护能力,新增网络侧及终端侧检测规则80+条、新增安全场景模型10余个,并通过入侵者模拟攻击及会前攻防演练,主动发现漏洞风险,针对告警数据进行持续清洗和降噪,提升精准度。为更贴合云上攻防场景,在SOAR中针对云原生服务的挖矿木马、勒索攻击、蠕虫传播、APT攻击等常见威胁场景优化云上的应急处置预案,其次业务资产的威胁告警及安全漏洞进行自动化响应编排,从海量告警威胁中筛选出高风险事件形成响应工单,并通过安全专家去除误报进入标准的SOP流程,全面提升安全运营效率。再者借助虎安的云原生安全检测能力,对容器镜像构建、系统运行、集群安全进行全方位的监控和检测,自动获取节点和仓库中的镜像,并从漏洞库、可疑历史操作、敏感信息泄露、可疑进程信息、可疑文件操作等多个维度对容器进行安全监控。

此外,为确保N世界稳定运行,360依托于自身的混合云建设架构规划了DDOS防御方案,在保证防御效果有效性的同时最大程度降低了业务干扰和实施成本。当攻击流量低于20G时,业务通过360自研的分布式云WAF磐云对各类基于TCP协议的DDOS攻击进行识别和清洗;当攻击流量高于20G时,业务域名解析到到公有云高防IP,经过清洗的业务流量经混合云专线接入360IDC机房,实现大流量清洗。

 

打造“六位一体”监测响应体系

360SOC通过“资源可利用、能力可扩展、效果可衡量”的标准模块化迭代安全运营体系,依附本地安全大脑结合磐云、EDR、NDR、虎安打造集态势感知、安全防护、威胁预警、通报预警、信息共享、应急响应“六位一体”的运营体系保障N世界。

为进一步强化实战能力及运营效率,360 SOC安全专家团队分为监控组、研判组、应急处置组、安全分析组。监控组对各个入侵路径进行“多锚点”的安全监控;研判组针对发出的告警进一步研判其是否为真实威胁;应急处置组在大会前开展前期制定应急处理方案,将有效告警第一时间进行处置工作,同时将提取出的恶意样本交给分析组;分析组借助360全网数字安全大脑的能力,将提取出的样本特征反馈给应急处置组做封禁阻断等应急处置,形成完整闭环。专家团队通过全方位“看见”能力以及体系化运营和自动化管理,7×24小时保障大会安全运行。

在上述运营服务下,360SOC线上线下部署服务器共3290台,感知会场威胁告警数量5062条,云端拦截WEB网络攻击12942次,安全运营预警数量 39 条,告警平均响应时间1分钟,DDOS共1次,攻击流量约为 30 Gbps,攻击流量18671次,攻击成功安全事件告警数量0次。其中被攻击子域名占比46.67%,Web攻击IP数183个,受到攻击防护6835次,CC攻击IP31个,受到攻击防护507次,爬虫IP104个,受到攻击防护746次。

数据可见,360SOC安全专家团队在此次大会期间通过持续不断的分析跨组织网络、终端、服务器数据活动,在 7×24 模式下对信息安全事件进行全天候响应,实现零重大安全事件,全面保障会场网络、云端服务安全稳定运行。

 

ISC现场图文快报

会场在测试机的模拟环境下随机抽取了安全事件进行模拟攻击演示,为参展人员展示了直观的安全运营流程,对现场发现的威胁进行自动化的响应和处置。

 

往年SOC展台

360SOC是由360全球数字安全大脑赋能的“安全基础设施”,协同360顶尖安全专家服务体系,进行安全风险核查、XDR威胁感知能力、安全编排与自动化响应以及安全可视化工作。从首次ISC大会开始,高效保障展会相关基础设施稳定运行,迄今已有8年经验,从未出现过重大风险。

ISC 2022完美落幕,
360SOC也圆满完成大会安全保障任务。
明年我们再会,共创数字安全未来!

 

360SOC安全守护体验👇👇👇

360安全大脑分析平台:
https://sc.360.net/
360数字本地安全大脑:
https://360.net/product-center/security-intelligence-brain/index
360终端安全管理系统(EDR):
https://360.net/product-center/Endpoint-Security/management-system
360高级持续性威胁预警系统(NDR):
https://www.360.net/product-center/360-industrial-security/advanced-threat-warning
SaaS化主机安全运营防护平台虎安:
https://hooan.360.cn

本文由360安全应急响应中心原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/278537

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
360安全应急响应中心
分享到:微信

发表评论

360安全应急响应中心

360安全应急响应中心(360 Security Response Center,简称360SRC)是360公司致力于保障产品及业务安全,促进白帽专家合作与交流的平台。诚邀白帽专家向我们反馈360产品安全漏洞、威胁情报,共筑数字安全基石,保障数亿用户业务和产品的安全。

  • 文章
  • 36
  • 粉丝
  • 4

热门推荐

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66