黑客肆虐，看信息界黄埔军校如何应对

 

北京邮电大学是教育部直属、工业和信息化部共建的全国重点大学，是一所以信息科技为特色、工学门类为主体、工管文理协调发展的多科性大学。北邮是我国信息科技人才的重要培养基地，在业界享有“信息界黄埔军校”的美誉。

 

 

或许正是因为这样的学校背景，北邮网络成为众多黑客的试金石。北邮的校园网和数据中心经常受到大量外部攻击，同时也会受到内部渗透攻击。过去固若金汤的安全防线，在新一代安全威胁面前，早已千疮百孔。

 

项目背景

北邮在多年前便已建立了完善的边界安全防护体系，但随着近年来攻击手段的不断丰富，城防式的传统防护体系不断被攻破，突出表现为以下安全问题：

1、数据中心内部安全问题无法主动感知，只能被动的等待问题发生后进行补救。因此，经常会发生内部主机被感染后，管理者无从知晓，直到内部服务器信息被篡改发生时，才被动响应，查找定位相关问题；

 

2、数据中心对托管的业务无法进行深度防护。作为数据中心的主管单位学校信息中心，除了维护自身的业务外，还要维护各院系、各职能单位托管的服务器及服务器上所承载各种服务。这些系统对信息中心来说就像是一个个黑盒子，无法逐个深入了解每台主机上的业务和应用。当这些主机被攻陷用于恶意行为时，也无法轻易感知到问题。

 

这些潜在的问题，如同一颗颗定时炸弹，增加了数据中心的安全隐患。尽管管理员也时刻感受到了涌动的暗流，无奈在传统安全设备上看清数据中心所承载的海量应用几乎是不可能完成的任务，更不要说防范蕴藏在海量应用中的风险。

 

新思路应对新挑战

网康解决北邮校园网安全问题的核心思路是要对数据中心的网络安全和威胁进行深度检测，先发现问题，再解决问题。就此，网康提出了网络威胁感知的解决方案，通过对数据中心的网络行为、安全日志、流量日志进行空间和时间维度的关联分析，发现校园网中潜在的失陷主机，然后基于大数据溯源技术，帮助客户找到问题发生的根本原因，采取对应的解决方案。

 

部署拓扑如下：

  

在数据中心边界，部署慧眼云探针，该探针镜像部署，采集各种行为日志、安全日志、流量日志，并将这些日志实时发送到网康下一代威胁感知系统慧眼云上。

 

全网可视化让失陷主机无处遁形

慧眼云在北邮网络部署一个月后，共发现失陷主机11台，包括一台失陷的网络设备。下面以这台网络设备为例，分析整个失陷的过程。

STEP1：

通过查看失陷主机二维分布图，可以发现有一台IP地址为10.3.8.90的主机（事后确认为某厂商的流控设备）处于黄色区域，说明该主机失陷的可能性比较大，而且很可能已经被利用产生恶意行为。

 

STEP2：

通过对这台主机的钻取，可以看到这台主机被感染的详细情况。从8月10日开始，这台主机一直处于风险系数比较高的状态。

 

STEP3：

继续对这台主机的详细威胁活动进行分析，发现其威胁活动集中在异常扫描和发送大量垃圾邮件上。

 

 

STEP4：

通过对这台主机的流量行为进一步分析，发现这台主机发送大量的SMTP，并且目的地址离散，进一步确认了该台网络设备已经成为垃圾邮件发送器。后来经过检查确认主机已经被入侵，并且被植入了木马。

 

看清了问题之所在，解决问题变得易如反掌。网康工程师对木马进行清除，并升级系统，该台主机很快就从失陷地图上消失。

 

不断失陷的网络，靠什么拯救

权威机构的一项研究表明，在PC数量超过5000的大型企业网络中，有超过90%的企业均存在活跃的失陷主机，而攻陷这些主机的原因多种多样。由于失陷主机受控或发起恶意行为往往难寻规律、隐蔽性极强，绝大部分已存在失陷主机的组织根本无法感知。

网康慧眼云方案，可以帮助客户发现内网中的问题隐患，同时基于大数据日志分析，追根溯源，找到失陷的根本原因，对症下药，从而从根本上提升了安全防护能力。

看得见贼才捉得住贼。慧眼云，助力安全看得见。

 

更多下一代防火墙案例

比服务器被黑了更痛苦的事儿是啥？