郑州市,史谓“天地之中”,河南省省会、特大城市,中国中部地区重要中心城市。
郑州位于全国铁路网正中心,中国国家地理运输的战略中心,京广、陇海、焦柳、京九四大干线在此交汇,是立足中原、服务四方的交通命脉,承东启西、连接南北的经济走廊,被称为“中国铁路心脏”。
在2024年春运期间,运送乘客1800万+人次,中国铁路郑州局集团有限公司(下文简称“郑州铁路局”)就是这样一个承载着如此庞大吞吐量的关键基础设施单位。
信息化建设是加速器
安全建设是稳定剂
对于郑州铁路局来说,基础建设千头万绪,信息化的推进是重中之重。
郑州铁路局信息化建设开始于1985年,是信息化建设的先驱单位。自2010年前后,郑州铁路局开始强化信息化建设,过程中结合生产实际,制订了《郑州铁路局信息化建设规划》、《“十四五”郑州局集团公司网络安全和信息化规划》等指导文件,提出“数字郑铁”建设目标和“1578”实施战略,实现综合计算机网与数据通信网的“双网融合”。
郑州铁路局智慧铁路的建设如火如荼,网络安全的建设也一直紧随其后。
如此重要的交通枢纽,不仅是国家的,也是民生的,它有着单日承接83万+量级旅客、数百万次访问交互的信息系统,不能有一丝闪失。
在信息化建设不断冲锋、突破的很多年时间,在当时主要以合规驱动的网络安全建设的大背景中,郑州铁路局就早已布局了很多先进的网络安全保障技术和工具,并有体系化的标准和制度规范日常工作,保证这艘信息化巨轮平稳前行。
从安全实战化
到攻防常态化
我们都要走在前面
2018年,郑州铁路局真切的感受到了网络安全实战化的时代之风,攻击的流量在时间上是集中的,招式和套路的落点是分散的。
在攻防演练的对抗中,郑州铁路局完成了安全建设的第一次跃迁,补齐安全防御盲点。在外服网的纵深布局中--查缺补漏,对安全工具的检验中--优胜劣汰,完成了外服网网络节点、流量、终端的覆盖,同时安全扫描、安全管理、主动防御等手段也都布局完成,布设安全工具10余类。
安全工具布局示意图
到此为止,故事还远远没有结束。工具的种类增加安全性随之增加是好事,但是工作量的成倍增加,就没法再令人开心了。
我们都知道,安全工作的效果要辅以人工的运营支撑,站在郑州铁路局的角度想一下,每到战役拉响,安全运营工程师要登录近十个工具的平台查看日志,监控数据,反反复复,一轮又一轮,有时连基本的休息都保证不了,简直是崩溃状态。
攻防演练在行业和主管单位的驱动中,已经趋向常态化,这些问题,想每一次光靠着“熬过去”肯定是不行的,要去解决,而且要尽快。
在召集了多位专家的会议上,工作推进犯了难。很多时候,具体事情的推进不是难在不知道如何去解决,而是难在找不到合适的伙伴愿意去投入、解决。
从战略上,郑州铁路局非常明确,现阶段要把不同阶段部署的各类安全设备化零为整,加入一个安全运营平台来收集、汇总、分析所有安全数据,协同运营工作者分析、判定风险,统一看板,展示安全态势,减少消耗性的工作。
而从战术上,对郑州铁路局来说,历史产品的采购时间、版本、厂商之间的差异性等等问题切实存在,更多产品具有很强的“排他性”,想要它们整齐化一,不仅从技术上是个考验,也确实是个挺“复杂”的事儿。
在对的时间相遇
搭建平台, 革新能力
在新一轮的安全建设规划中,郑州铁路局要做的是自我革新,要追求能扛住猛烈实战冲击的,领先行业的安全建设水准。
正是这个时候,郑州铁路局和长亭科技相遇了,在初步的建设方案沟通中,凭借大量实战防护经验的积累和样板间交付,长亭科技提出的“实战化安全运营建设方案”和郑州铁路局的战略想法一拍即合。
安全运营建设体系规划概念架构图
第一紧要的建设方向,是先把安全运营平台搭起来,再把现有的安全工具接进去。
这里面涉及到了两个维度的难点,一个是要求平台本身要具备开放性,从底层的架构是能够接收其他设备的日志并具备良好的数据泛化能力。另一个是需要投入人力去完成与各家产品接入的前期沟通,这需要大量的配置工作完成对接。
虽然过程复杂且繁琐,效果却也是显著的。产品接入平台之后,郑州铁路局就仅仅凭借这一个动作完成了安全运营入口统一的建设,只需要登陆长亭万象(COSMOS)安全分析与管理平台就可以完成多个安全设备的数据监测。
在历史工作的推进中,还是有很多力不从心的地方,在长亭提出的立体防御架构方案中,点、线、面的覆盖缺一不可。但在端点服务器中上安全监控手段,涉及到核心业务的稳定性。所以在端点安全设备的考核上标准就更高一些。
要有优于市场的检测能力:在对比多款产品的测试中,着重测试了对关键主机入侵手段——WebShell检测的能力,在最终结果中,长亭的牧云(CloudWalker)实时检出WebShell和反弹Shell的速率和数量,均优于同时竞争测试中的其他产品。
从技术角度分析,牧云(CloudWalker)这款产品内嵌智能语义分析引擎,可以通过机器学习、数据建模形成自主研发的智能防护模型,并将ATT&CK、CKC等威胁模型融入,智能化WebShell检、基于多向量评分模型的反弹Shell检测、攻击行为命令记录、恶意文件多引擎交叉验证,发现潜在的主机入侵和攻击威胁。能够满足攻防场景下对端点安全的全面监控。
保证探针稳定不能影响业务:产品自身稳定性的把控中,长亭牧云(CloudWalker)通过融合经受过200万+主机运行经验的安骑士稳定性优势,可满足大规模agent节点部署需求,成为轻量部署+稳定架构为一体的主机防护安全产品。这也在稳定性维度给郑州铁路局吃了一颗定心丸。
在一波又一波的实战攻击流量中,单一流量监测手段难免有疏忽,郑州铁路局决定双管齐下,无论是Web应用流量,还是网络流量,都在保留原有检测工具的情况下,补充了在实战场景中具有更出色检出能力的长亭全悉(T-ANSWER)高级威胁分析预警系统和长亭雷池(SafeLine)下一代Web应用防火墙并入防御体系中,实现双层过滤。
在实战对抗中,运营人员同时在全悉(T-ANSWER)高级威胁分析预警系统和雷池(SafeLine)下一代Web应用防火墙上监测到“远程修改JDBC MYSQL敏感属性”告警。运营人员先通过全悉(T-ANSWER)查看告警详情,研判该攻击为fastjson利用JDBC MYSQL进行反序列化,再通过告警详情中的响应数据包,发现该攻击已被拦截。同时监测雷池(SafeLine)存在同一攻击IP的同类型告警日志,且告警日志为已拦截状态。两款产品实时向安全运营平台发送攻击日志,由万象(COSMOS)安全分析与管理平台实时进行聚合分析,形成攻击事件,实时进行自动化处置与IP封禁,仅在1分钟内,完成该安全事件从监测、聚合、分析、处置的闭环。
主动防御能力是对抗攻防不对等关系的一个有效手段,其中欺骗技术是最有效的技术方式之一,在实战体系中,郑州铁路局不可避免的要考虑蜜罐产品,长亭谛听(D-Sensor)伪装欺骗系统,通过Web语义分析、智学习仿真能力、拟态技术、联动防御等多项技术方案的加持,在大幅降低欺骗防御部署和使用门槛的同时,提升伪装和诱捕的效果,帮助用户收获攻击诱捕、溯源、干扰和阻断的主动防御能力。
在主机Agent部署后,凭借两类产品互通形成覆盖度更广的主动诱捕蜜网,将主机安全平台的特定开放端口的流量重定向至高交互蜜罐,引诱攻击者进入高交互蜜罐组成的蜜网环境中,延缓攻击者攻击进程,实现内网横向流量的全面监测,和对攻击者的追踪溯源。
在“实战安全运营体系”的运转中,实现分钟级响应
“实战安全运营体系”的初步建设成果在新一轮的实战对抗中凸显成效。依托于万象(COSMOS)安全分析与管理平台,郑州铁路局的运营工作实现了一张看板,一键分析、自动封禁,在达到了项目建设预期的基础上,也遇到了很多惊喜。
万象(COSMOS)安全分析与管理平台兼容主动、被动的主流数据获取能力,不仅满足郑州铁路局现阶段的接入需求,也支持未来更多工具的接入。
Syslog、文件FTP/SFTP、数据库、全流量镜像等,支持接入监控并管理设备
内置20+主流厂商、80+种类设备自动化解析能力,可直接接入标准日志
支持零基础数据泛化,可以JSON、XML、键值对、正则等多种方式解析,同时支持嵌套解析
支持API方式对接威胁情报系统,支持自定义导入、导出、编辑威胁情报,形成本地化、多来源的威胁情报管理平台,增强分析效果
实际运营工作界面图
安全运营平台建设的关键成果之一,不仅是要能把所有数据接进来,还要能把所有数据有效的用起来。将防火墙、WAF、流量检测、主机防护等多个品类的检测日志汇聚,快速定位恶意IP/用户及攻击手法,在万象(COSMOS)的加持下提供日志payload以供溯源分析,完成策略调整,将主动防御与被动信息处理相结合,形成“拦截/报警-响应-修复-归档”自动化处置流程,实现安全正向循环。
在郑州铁路局的运营工作中,自动化的流转流程为实际工作带来了很多便捷,节约了很多繁杂、简单、重复的工作量,这部分工作的建设也是极为重要的,当初在共创自动化运营剧本时,双方都很重视。
在SOAR流程建设的前置条件中,我们要确定进到流程中的日志是否做到了全面覆盖,检测与封禁的策略是否具备适应不同场景的调整空间。
合作双方对诸多问题给出了切实可落地的解决方法,并健康的运行中:
借助技术手段,保障平台分析能力“正循环”
运营分析平台的结果很大程度依赖前期的准备工作,如果不能积极、灵活的调整进入自动化处置流程中的日志和分析策略,那整个运营流程也将如一滩死水。
郑州铁路局借助BAS等工具,定期对安全设备防护策略的有效性和覆盖度进行检查,并进行调优,根据业务系统运行、变更情况,投入安全运营专家调整防护策略,为后续基于SOAR的自动化研判处置打下基础。
快速处理海量的网络数据和安全日志,以实时的速度发现恶意IP行为,进行聚合分析及研判处置,是保障封禁的时效性的重要前提。
郑州铁路局安全运营人员时刻关注安全设备的运行情况、运营平台的各项规则的运转情况,以保障安全事件自动处置的时效性。
一是定义明确清晰的封禁触发条件,比如攻击频率阈值、恶意行为类型组合(如多次尝试不同账号的暴力破解同时伴随端口扫描)等,二是区分不同严重程度场景下的封禁时长(临时封禁、长期封禁等)和封禁范围(IP、IP子网段等)。
根据业务的关键性维护白名单库,包含但不限于内部网络IP(服务器、办公电脑等)、业务关键IP等,防止误封导致业务中断和内部网络通信问题;并保持白名单更新和维护机制,确保新的合法IP能及时加入白名单库。
依托于安全运营平台的自动化处置流程图
在这套SOAR流程的运转中,郑州铁路局收获了人员效率有提升、运营工作可量化等诸多成果。
能够在发现潜在威胁的瞬间自动实施封禁,大大缩短了从威胁出现到被遏制的时间窗口。
无需人工时刻监控和手动操作封禁流程,降低了因人为疏忽或判断失误导致的安全漏洞。以大规模的DDoS攻击为例,自动化封禁能够迅速应对,避免了人工操作可能的延迟和错误。
郑州铁路局能够清晰地看到自动化封禁功能所带来的安全指标的提升,如封禁次数、阻止的攻击数量等,从而对自身的安全状况有更准确的评估和把握。
中原千年史韵
吾自坚守一隅
这座自夏朝而兴起的“豫州之域”,铁路交通枢纽建设自清代末期距今已有数百年历史。
从郑州铁路局网络安全工作的推进中,我们也能看到这座城市的性格缩影,踏实做事,稳扎稳打,追求卓越,不轻言放弃。从安全设备的单点布设,到体系化纵深防御布局,再到实战化立体化的安全运营体系搭建,郑州铁路局都走在前沿。
在面向实战化的攻防局势中,我们已经取得了阶段性的胜利,但在守护“中国铁路心脏“的道路上,只有持续的进阶的与超越,才能以更加从容的姿态迎接所有挑战。