基于威胁情报,教育局如何构建实战化安全监管体系?
发布日期:2023-04-07 作者: 来源: 分享:
当前,随着教育信息化的不断发展,教育信息系统面临的网络攻击、数据泄露、“挖矿”和勒索病毒入侵等网络风险也日益突出。如何有效应对校园网络空间威胁,筑牢校园网络安全防线?在日前举行的教育行业网络安全研讨会上,微步在线行业专家与上海市教委及各区教育局信息中心相关负责人,围绕“基于威胁情报的教育信息系统安全应用方案”进行了深入研讨。
研讨会现场,老师们结合自己区内的安全建设情况发表见解和设想,引发热烈讨论
我国历来重视教育信息化建设工作,经过多年发展实践,据统计目前全国中小学联网率达到100%,出口带宽达到100兆的学校占99.9%,约3/4的学校实现无线网络覆盖,99.5%的中小学拥有多媒体教室,教师终端基本普及,教育信息化条件明显改善。然而,随着网络边界的模糊化,暴露的攻击面越来越多,防御手段的相对滞后,使得教育行业成为网络攻击选择的理想目标。近年来,随着网络安全“三法一条例”扎实推进,以及国家对“挖矿”活动的全面整治,教育行业监管要求越来越严格,监督考核机制和常态化巡检驱动教育系统不断提升网络安全防护能力。微步行业专家认为,后等保时代安全建设复杂化,安全事件和业务发展驱动着安全体系不断改革,教育行业网络安全主要面临以下三大痛点:针对日渐高级的攻击手法(0day、无文件攻击),日益剧增的APT(高级持续性威胁),传统静态检测方法失效;学生终端/环境变化,管控难度加大。攻击技术快发展,内网检测响应能力跟不上;发生安全事件入侵与响应时间不对等,造成安全事故后难以闭环。后等保时代大量资源投入安全防护体系建设,导致事件重复告警;安全信息碎片化,看不见问题防护设备各自为战,互不协同。
显然,传统的安全防御已难以有效应对教育行业面临的挖矿、失陷、钓鱼、勒索、反连等一系列新的安全威胁。而威胁情报作为新一代的安全技术和生产力,将传统的被动防御变为主动防御,可以让企业的安全防护做到联防联动,知己知彼。“威胁情报的核心不在具体某个数据,而是一整套威胁发现和分析的能力。目前,微步通过‘云+流量+端点’的结合,打造了全方位的威胁检测响应产品矩阵,能够全面赋能教育行业安全能力体系建设。”微步行业专家在会上分享了基于威胁情报的多个安全应用场景,涵盖OneDNS、OneSEC、OneSIG、TDP、OneCare等微步旗下多款核心产品和安全服务。以教育行业大力整治的“挖矿”为例,这项工作涉及网络安全管理中的资产盘点、漏洞检测、威胁发现、事件响应、追踪溯源等环节,不仅需要部署专业的威胁检测产品,更需要专业化的团队对恶意样本进行深入研究。对此,微步基于五步走标准流程统一构建自动化分析、响应、处置方法,实现威胁预警、事件通报、溯源分析和处置响应闭环管理,能够全面提升研判、处置等工作时效性。
在威胁预警环节,通过微步X企业版进行互联网资产梳理和漏洞风险预警,防止监管通报;在威胁检测环节,通过OneDNS构建互联网出口统一安全防护体系,补齐安全短板;在溯源分析环节,通过TDP进行精准溯源分析,快速定位内部失陷主机;在处置响应环节,通过OneCare安全服务为客户供专家资源池,补充高阶安全人才、快速扩展安全能力。
某教育局在构建符合等保规范的网络安全监管体系过程中面临以下需求:一是针对统一出口,需要对辖区内中小学上网做监管,任何一所学校出现挖矿及木马等安全风险,急需找到问题根源进行处理;二是传统安全设备无法发现高级威胁,需要专业设备对核心流量做检测,发现并阻断威胁;三是辖区中小学数量众多,教育局希望可以进行安全统一管控,能够实时掌握普教单位的安全情况。
经过多方调研分析,该教育局最终选择了微步互联网安全接入服务OneDNS和威胁感知平台TDP。首先,SaaS化的OneDNS防护方案,可以将中小学出网/自身上网DNS请求转发至OneDNS,实现安全访问互联网;其次,在本地核心交换机处旁挂TDP镜像流量,对内网/中小学流量做实时分析与威胁发现,通过TDP精准匹配IOC发现失陷问题,并和防火墙形成联动规则有效阻断恶意流量。此外,通过OneDNS提供的统一监控与管理能力,可实时查看辖区中小学的恶意挖矿及其他威胁攻击情况,整体情况一目了然,并可根据实施情况下发统一的安全配置策略,实现统一监管、安全可见可控。这套以“流量、终端协同检测”、“云端安全DNS”为能力核心,以“精准检测、全面威胁分析、威胁自动化处置”为总体目标面向实战化建设的网络安全体系,全面提升了交易局数据中心、办公网、管辖中小学的安全防控、运营、闭环处置能力。目前,微步基于威胁情报赋能的安全产品和服务得到越来越多的教育客户的测试验证和认可,已经成为教育行业整体网络安全防护体系不可或缺的一环。