揭秘：ISC大會億級流量背后的安全運營保障實踐

摘要： 2022全球數(shù)字經(jīng)濟大會數(shù)字安全峰會暨第十屆互聯(lián)網(wǎng)安全大會（簡稱ISC 2022）于7月30日在北京國家會議中心正式開展。

2022全球數(shù)字經(jīng)濟大會數(shù)字安全峰會暨第十屆互聯(lián)網(wǎng)安全大會（簡稱ISC 2022）于7月30日在北京國家會議中心正式開展。大會首創(chuàng)線下大會與線上元宇宙沉浸平臺同頻聯(lián)動的數(shù)字融合新模式，創(chuàng)造了1億+平臺總點擊量、900w+平臺訪問人數(shù)以及1400w+N世界ISC數(shù)字安全展瀏覽量。

這場數(shù)字安全元宇宙盛宴為線上辦會打開了一扇新門，N世界全量業(yè)務數(shù)據(jù)上云也讓運營保障工作難度徒增。360數(shù)字安全運營中心（簡稱360 SOC）由360數(shù)字安全大腦賦能，構建動態(tài)的安全防御體系，在大會期間高效運營保障線下展會與N世界的安全。
 
 
以云上多元態(tài)勢感知“看見”威脅

本次ISC2022大會服務規(guī)模龐大，包含100萬長連接服務器、2TB直播帶寬流量、5億PV API服務器。N世界-ISC大陸利用數(shù)字孿生技術復刻了線下場景和功能，實現(xiàn)線上線下協(xié)同共振、虛實場景深度融合的模式，實時同步所有活動。
 
N世界全量業(yè)務數(shù)據(jù)上云，構建在360技術中臺混合云架構和容器云平臺上，復雜的云地協(xié)同環(huán)境、多樣的數(shù)據(jù)格式和應用場景，以及云原生技術引入新的防護目標和風險，使得運營保障工作難度升級，其中首要目標就是在云原生環(huán)境下“看見”威脅。
 
360數(shù)字安全大腦匯集了300億+惡意樣本、22萬億安全日志，全球90億域名信息、2EB以上大數(shù)據(jù)，通過情報云、知識云、漏洞云、測繪云、專家云、沙箱云、查殺云等開放安全云服務將安全可見能力賦能本地安全大腦，結合XDR完善的原生神經(jīng)元體系，在N世界的云原生環(huán)境中構建安全數(shù)據(jù)采集能力進行監(jiān)測和響應，發(fā)現(xiàn)了很多傳統(tǒng)檢測手段難以看見的威脅，對N世界進行全方位的威脅感知。
 
360本地安全大腦XDR與多個安全平臺（包含全面部署的CWPP、NDR、EDR、WAF等多種安全產(chǎn)品）進行跨數(shù)據(jù)中心的全局關聯(lián)分析，通過聚合關聯(lián)多維數(shù)據(jù)結合專家規(guī)則和AI模型，充分發(fā)揮其多維檢測、分析引擎的能力，對N世界云上業(yè)務搜集到的樣本、情報、主機和終端異常行為等進行檢測，多維度關聯(lián)分析及自動化進行溯源，能精準判定線下展會及線上N世界所受到的各類威脅場景和網(wǎng)絡攻擊，并高效進行應急處置。

 
 

實戰(zhàn)化建設云上安全防護體系
 

在ISC大會期間，360數(shù)字安全運營中心通過鏡像會場工作區(qū)流量和接入WiFi流量，以NDR實時感知網(wǎng)絡側安全威脅。會場所有辦公電腦部署360終端安全管理系統(tǒng)，通過虎安主機代理采集云上流量和主機EDR數(shù)據(jù)，結合本地安全大腦的EDR模塊實時感知終端側和主機側的安全威脅。
 

 
同時，為進一步保障本地安全大腦防護能力，新增網(wǎng)絡側及終端側檢測規(guī)則80+條、新增安全場景模型10余個，并通過入侵者模擬攻擊及會前攻防演練，主動發(fā)現(xiàn)漏洞風險，針對告警數(shù)據(jù)進行持續(xù)清洗和降噪，提升精準度。為更貼合云上攻防場景，在SOAR中針對云原生服務的挖礦木馬、勒索攻擊、蠕蟲傳播、APT攻擊等常見威脅場景優(yōu)化云上的應急處置預案，其次業(yè)務資產(chǎn)的威脅告警及安全漏洞進行自動化響應編排，從海量告警威脅中篩選出高風險事件形成響應工單，并通過安全專家去除誤報進入標準的SOP流程，全面提升安全運營效率。再者借助虎安的云原生安全檢測能力，對容器鏡像構建、系統(tǒng)運行、集群安全進行全方位的監(jiān)控和檢測，自動獲取節(jié)點和倉庫中的鏡像，并從漏洞庫、可疑歷史操作、敏感信息泄露、可疑進程信息、可疑文件操作等多個維度對容器進行安全監(jiān)控。
 
此外，為確保N世界穩(wěn)定運行，360依托于自身的混合云建設架構規(guī)劃了DDOS防御方案，在保證防御效果有效性的同時最大程度降低了業(yè)務干擾和實施成本。當攻擊流量低于20G時，業(yè)務通過360自研的分布式云WAF磐云對各類基于TCP協(xié)議的DDOS攻擊進行識別和清洗；當攻擊流量高于20G時，業(yè)務域名解析到到公有云高防IP，經(jīng)過清洗的業(yè)務流量經(jīng)混合云專線接入360IDC機房，實現(xiàn)大流量清洗。
 
打造“六位一體”監(jiān)測響應體系

360SOC通過“資源可利用、能力可擴展、效果可衡量”的標準模塊化迭代安全運營體系，依附本地安全大腦結合磐云、EDR、NDR、虎安打造集態(tài)勢感知、安全防護、威脅預警、通報預警、信息共享、應急響應“六位一體”的運營體系保障N世界。
 
為進一步強化實戰(zhàn)能力及運營效率，360 SOC安全專家團隊分為監(jiān)控組、研判組、應急處置組、安全分析組。監(jiān)控組對各個入侵路徑進行“多錨點”的安全監(jiān)控；研判組針對發(fā)出的告警進一步研判其是否為真實威脅；應急處置組在大會前開展前期制定應急處理方案，將有效告警第一時間進行處置工作，同時將提取出的惡意樣本交給分析組；分析組借助360數(shù)字安全大腦的能力，將提取出的樣本特征反饋給應急處置組做封禁阻斷等應急處置，形成完整閉環(huán)。專家團隊通過全方位“看見”能力以及體系化運營和自動化管理，7x24小時保障大會安全運行。
 
在上述運營服務下，360SOC線上線下部署服務器共3290臺，感知會場威脅告警數(shù)量5062條，云端攔截WEB網(wǎng)絡攻擊12942次，安全運營預警數(shù)量 39 條，告警平均響應時間1分鐘，DDOS共1次，攻擊流量約為 30 Gbps，攻擊流量18671次，攻擊成功安全事件告警數(shù)量0次。其中被攻擊子域名占比46.67%，Web攻擊IP數(shù)183個，受到攻擊防護6835次，CC攻擊IP31個，受到攻擊防護507次，爬蟲IP104個，受到攻擊防護746次。
 
數(shù)據(jù)可見，360SOC安全專家團隊在此次大會期間通過持續(xù)不斷的分析跨組織網(wǎng)絡、終端、服務器數(shù)據(jù)活動，在 7x24 模式下對信息安全事件進行全天候響應，實現(xiàn)零重大安全事件，全面保障會場網(wǎng)絡、云端服務安全穩(wěn)定運行。
 

ISC現(xiàn)場圖文快

 

 
會場在測試機的模擬環(huán)境下隨機抽取了安全事件進行模擬攻擊演示，為參展人員展示了直觀的安全運營流程，對現(xiàn)場發(fā)現(xiàn)的威脅進行自動化的響應和處置。
 
 
360SOC是由360全球數(shù)字安全大腦賦能的“安全基礎設施”，協(xié)同360頂尖安全專家服務體系，進行安全風險核查、XDR威脅感知能力、安全編排與自動化響應以及安全可視化工作。從首次ISC大會開始，高效保障展會相關基礎設施穩(wěn)定運行，迄今已有8年經(jīng)驗，從未出現(xiàn)過重大風險。
 
ISC 2022完美落幕，
360SOC也圓滿完成大會安全保障任務。
明年我們再會，共創(chuàng)數(shù)字安全未來！
 
 
 

360SOC安全守護體驗
 
360安全大腦分析平臺：
https://sc.360.net/
360數(shù)字本地安全大腦：
https://360.net/product-center/security-intelligence-brain/index
360終端安全管理系統(tǒng)（EDR）：
https://360.net/product-center/Endpoint-Security/management-system
360高級持續(xù)性威脅預警系統(tǒng)（NDR）：
https://www.360.net/product-center/360-industrial-security/advanced-threat-warning
SaaS化主機安全運營防護平臺虎安:
https://hooan.#