背景:智能能源,网络安全迫在眉睫
随着信息技术与电力系统的不断融合,电力行业面临的网络安全形势日益严峻,安全事件频发。
2015年,黑客利用0day漏洞攻击乌克兰电网电力系统,引发大面积停电。
2017年,美国国土安全部DHS和联邦调查局FBI等预警电力公司提防黑客攻击,同时怀疑攻击者可能是俄罗斯相关组织。
2018年,印度UHBVN电力公司被黑客攻击窃取用户账单数据,并勒索1000万卢比
需求:智能电网,如何保障系统安全运行
网络对抗日趋激烈,传统以“防”为主的防御体系暴露出越来越多的问题,无法有效解决电力行业面临的威胁,尤其是境外黑客有组织、高强度的网络攻击。
如何在大规模复杂网络中提前发现资产漏洞、后门等,将关口前移,防患于未然?
如何在海量的告警中,及时发现隐蔽的威胁,尤其是0-day、钓鱼邮件等未知威胁?
如何进行溯源,了解攻击者的来源、攻击手段、攻击过程等,做到知己知彼?
如何实现大型集团内网络安全的统一调度、展示、管理,实现态势感知、联动联防?
解决方案:用攻击溯源守护电力安全
鉴于电力行业的特性和安全现状,中睿天下利用攻击溯源技术,构建了覆盖攻击全生命周期的新一代监测体系。
(1)资产管理——发现隐患
基于自动化的主、被动技术相结合的资产信息采集机制,识别“幽灵”资产,快速筛选定位后门。同时通过基于业务访问合理性的访问关系,识别内网中无恶意特征的隐藏威胁,尤其是高级攻击中的内部渗透、横向扩展环节。
(2)发现攻击——洞察威胁
从攻击者视角反向捕捉攻击行为进行建模,监控所有端口及多种通讯协议的应用,实时监测并发现各种恶意入侵行为,包括利用0-day的APT攻击和定向的钓鱼邮件攻击。
(3)自动研判——3分钟运维
采集并解析威胁数据,结合攻击链模型,通过基线分值判定、交互流量检测、全局行为分析等检测机制,快速、精准、有效辨别攻击事件是否成功,判断攻击状态,并自动识别攻击手法及攻击影响,进而进行优先级判断,提升应急处置效率。
(4)攻击溯源——知己知彼
基于对攻击者所有行为的综合分析,了解攻击的全过程,并进行攻击场景复现,多维度还原攻击事件的详细过程。同时关联分析进行黑客画像,包括黑客来源、目的,及使用的攻击工具、攻击手段等,一方面帮助电力企业聚焦真实的威胁,另一方面更有针对性地进行安全加固与防护。
(5)统一管理——上帝视角来做网络安全
在大型企业级网络环境里大量部署web、邮件等攻击溯源产品实现全网监测的基础上,通过统一调度中心“睿云”实现对整个集团的统一监控、预警、调度、指挥、联动等,有效支撑不同部门、省公司甚至跨行业的联动联防。
“威胁感知、自动研判、攻击溯源、联动联防”,中睿天下帮助电力企业快速建立一套全球领先的威胁监测体系,使企业瞬间拥有优异的威胁检测和处置能力,从容地应对各类高级未知威胁。
睿眼产品界面
成功案例:攻击溯源 精准防护
作为全球最大的公用事业企业,国家电网一直高度重视网络安全,并把确保网络安全,保障电网安全稳定运行作为公司的首要任务和政治责任。
国家电网简介 图片来自国家电网官网
国家电网“积极开展安全预警和态势感知能力建设,全面构建覆盖全公司的网络安全防护体系,并在央企率先建立网络安全红蓝对抗机制”,是全球安全运行水平最高的电网之一。 当前,中睿天下的攻击溯源解决方案已成功覆盖国家电网总部、27个网省公司和国网直属单位,并纳入国家电网常态化监控体系,协助国家电网构建安全的全球能源互联网,保障电网的安全稳定运行。
左为“睿眼”界面 图片来自电网头条
预告:电力创新成果交流会,安全再起航
11月27日-28日,2018年电力创新成果交流会与全国电力行业两化融合推进会将在四川成都举办。
会上将发布《中国电力行业信息化年度发展报告2018》,并对2018年电力创新奖评审结果进行颁奖。
11月27日下午,中睿天下将受邀出席会议并进行主题演讲,详细阐述「攻击溯源」技术,并分享「攻击溯源」技术在电力行业实现有效威胁监测的探索和成功经验。