弭患無形，重慶萬國網(wǎng)絡(luò)安全建設(shè)實踐

摘要： 重慶萬國半導(dǎo)體科技有限公司（簡稱“重慶萬國”，下同）成立于2016年，是全球首家集12英寸芯片制造、封裝、測試、集成于一體的功率半導(dǎo)體企業(yè)，擁有全球領(lǐng)先的電源管理及功率器

重慶萬國半導(dǎo)體科技有限公司（簡稱“重慶萬國”，下同）成立于2016年，是全球首家集12英寸芯片制造、封裝、測試、集成于一體的功率半導(dǎo)體企業(yè)，擁有全球領(lǐng)先的電源管理及功率器件的芯片制造與封裝測試技術(shù)。重慶萬國自2018年試生產(chǎn)以來，其產(chǎn)品/技術(shù)已經(jīng)先后應(yīng)用于手機、PC以及服務(wù)器為代表的數(shù)據(jù)中心設(shè)備電源器件內(nèi)，憑借產(chǎn)品自身過硬的品質(zhì)技術(shù)獲得客戶的一致認(rèn)可。

隨著重慶萬國功率半導(dǎo)體業(yè)務(wù)規(guī)模的不斷擴大，企業(yè)網(wǎng)絡(luò)安全的重要性也日益凸顯，尤其是包括英偉達、三星、臺積電與富士康等制造大廠都先后遭遇黑客攻擊，被勒索，還伴有核心數(shù)據(jù)泄露風(fēng)險。這些給重慶萬國安全團隊敲響了警鐘，是否有足夠的能力應(yīng)對新型威脅？
 

把脈問題 理清思路
 

重慶萬國企業(yè)IT架構(gòu)目前主要有三張“網(wǎng)”組成：企業(yè)辦公網(wǎng)、用于支撐生產(chǎn)辦公的IT網(wǎng)，以及生產(chǎn)網(wǎng)（OT網(wǎng)絡(luò)），三張網(wǎng)之間邏輯隔離，互不通信。其中辦公網(wǎng)和IT網(wǎng)在建設(shè)之初部署了防火墻、IPS（入侵防御系統(tǒng)）與數(shù)據(jù)防泄漏等解決方案，在辦公終端上也部署有防病毒軟件。但隨著黑客技術(shù)的更新，尤其是結(jié)合了社會工程學(xué)的網(wǎng)絡(luò)釣魚等攻擊方式，傳統(tǒng)安全解決方案很難滿足安全生產(chǎn)的需求。

對大量已公開的黑客攻擊案例進行分析，并結(jié)合自身安全建設(shè)，重慶萬國安全團隊認(rèn)為，辦公網(wǎng)是黑客入侵最常用的突破點，比如釣魚郵件就是一種技術(shù)簡單但成功率高的入侵方式。尤其是出于業(yè)務(wù)需要，重慶萬國部分員工有遠(yuǎn)程、移動辦公的需求，這進一步增大了安全風(fēng)險。

所以，從防御新型威脅的角度來看，提升辦公網(wǎng)安全防護能力，尤其是保證遠(yuǎn)程、移動辦公設(shè)備的安全就極為關(guān)鍵，這也是重慶萬國安全團隊優(yōu)先考慮的網(wǎng)絡(luò)安全建設(shè)目標(biāo)。

被入侵的員工終端通常只是一個“跳板”，黑客會在內(nèi)網(wǎng)橫移搜尋最終目標(biāo)，這會產(chǎn)生異常流量，利用NDR流量檢測類產(chǎn)品理論上能很好地檢測并響應(yīng)黑客攻擊，通過對流量進行觀測也能更好地把握內(nèi)網(wǎng)安全狀態(tài)。

針對黑客攻擊過程這兩個環(huán)節(jié)的特點，在經(jīng)過反復(fù)測試和對比之后，重慶萬國選擇了微步在線推薦的OneDNS+TDP組合方案，OneDNS是一款位于云端的互聯(lián)網(wǎng)安全DNS服務(wù)，通過攔截惡意代碼發(fā)起的域名反連，簡單高效地讓企業(yè)辦公網(wǎng)絡(luò)擁有防范新型威脅的能力；TDP則是一款深度融合情報的實戰(zhàn)化檢測與響應(yīng)平臺，通過對出入站流量進行全量分析，并結(jié)合資產(chǎn)盤點與風(fēng)險發(fā)現(xiàn)等功能，為企業(yè)提供基于全局視角的威脅感知能力。通過OneDNS+TDP組合聯(lián)動，重慶萬國不僅在原有網(wǎng)絡(luò)安全解決方案基礎(chǔ)上補足應(yīng)對新型網(wǎng)絡(luò)威脅的能力，同時還對企業(yè)資產(chǎn)有更清晰的全局視野與威脅感知能力，極大地豐富和完善了企業(yè)的網(wǎng)絡(luò)安全建設(shè)。
 

重慶萬國采用OneDNS+TDP組合方案，利用OneDNS提升辦公網(wǎng)安全防護能力，TDP則對內(nèi)網(wǎng)流量進行檢測并響應(yīng)

 

辦公網(wǎng)防護：御敵于攻擊發(fā)起之時
 

辦公網(wǎng)面臨的安全形勢可能是最復(fù)雜的，也是黑客攻擊最青睞的突破點，常用方式包括（0day）漏洞利用、釣魚郵件等；另一方面，傳統(tǒng)終端安全方案通常以防病毒為主，很難應(yīng)對新型威脅；同時員工參差不齊的網(wǎng)絡(luò)安全防范意識也增加了不確定性。
但分析黑客在這一階段的行為，有一個很重要的特點，就是在入侵之后，必然要反連C&C服務(wù)器，以獲得權(quán)限維持能力。攔截反連就成為阻斷黑客攻擊的關(guān)鍵，據(jù)統(tǒng)計數(shù)據(jù)顯示，91.3%以上的惡意代碼都通過域名反連C&C服務(wù)器，這是重慶萬國選擇OneDNS的一大原因：利用DNS域名解析環(huán)節(jié)來攔截反連。

OneDNS是一款經(jīng)威脅情報賦能的公共DNS服務(wù)，將要解析的域名與云端威脅情報庫進行碰撞，如果是正常域名，就返回正確的IP地址；發(fā)現(xiàn)是黑客攻擊/惡意代碼發(fā)起的域名請求，則直接返回攔截頁面地址，達到阻斷黑客攻擊的目的。具體如下圖所示：
 

OneDNS不僅能夠自動攔截包括挖礦、釣魚、勒索等惡意軟件發(fā)起的惡意反連，企業(yè)還可針對特定類型的網(wǎng)絡(luò)進行一鍵封禁，有助于網(wǎng)絡(luò)帶寬效率，提升員工專注力
 

除了攔截惡意反連之外，OneDNS還提供定位、溯源、取證等功能，實現(xiàn)安全閉環(huán)。比如通過安裝在本地DNS上的VA（虛擬轉(zhuǎn)發(fā)器）來定位發(fā)起惡意反連的終端（無需終端安裝Agent），而如果終端上安裝了輕量級Agent還可以溯源取證，以發(fā)現(xiàn)問題的源頭；輕量級Agent還讓遠(yuǎn)程、移動辦公終端也擁有與辦公內(nèi)網(wǎng)終端同等的安全防護能力。

在提升了辦公網(wǎng)防護能力之后，重慶萬國還利用微步在線的流量檢測與響應(yīng)平臺TDP來對整個企業(yè)內(nèi)網(wǎng)進行監(jiān)測，清晰地看到各類流量的“來龍去脈”，及時檢測到異常流量并響應(yīng)，從流量緯度為企業(yè)內(nèi)網(wǎng)又建立一道防線。

掌控全局：讓攻擊無處遁形
 

對抗黑客攻擊，就像一場發(fā)生在企業(yè)內(nèi)網(wǎng)、爭奪企業(yè)核心資產(chǎn)控制權(quán)的“戰(zhàn)爭”。但對于大多數(shù)企業(yè)而言，這場戰(zhàn)爭極其不對稱。外部原因在于黑客攻擊技術(shù)的快速迭代、漏洞利用方式層出不窮，以及攻擊手段花樣繁多，讓企業(yè)疲于應(yīng)對、防不勝防。

而對于企業(yè)安全運營人員而言，及時發(fā)現(xiàn)并阻斷黑客攻擊的關(guān)鍵是要有一個趁手的工具：一個能對企業(yè)資產(chǎn)進行全面梳理以最小化攻擊面的工具，一個能準(zhǔn)確告警且無漏報的工具，一個可以溯源以定位風(fēng)險點的工具，一個簡單易用、信息呈現(xiàn)清晰簡明的工具……

重慶萬國安全團隊在明確了自己的需求之后，選擇了TDP威脅感知平臺，以旁路方式接入核心交換機，基于雙向全流量分析，結(jié)合攻擊者手法特征和攻擊者情報推導(dǎo)攻擊意圖，識別針對性威脅，自動判定攻擊成功失敗。通過降低威脅噪聲，讓安全團隊不必再對大量告警進行分析研判，消除了繁瑣重復(fù)的無效行為，極大地提升了整個安全團隊的工作效率。借助TDP的精準(zhǔn)告警能力與簡潔方便的管理控制臺，僅需一人運營TDP即可掌控全局，進出站流量與安全態(tài)勢一目了然。
 

TDP通過高質(zhì)量威脅情報、機器學(xué)習(xí)模型、規(guī)則特征識別和動態(tài)文件分析引擎等技術(shù)/功能，檢測能力完整覆蓋網(wǎng)絡(luò)攻擊殺傷鏈各個環(huán)節(jié)的攻擊手法
 

除了全面、精準(zhǔn)的檢測能力之外，重慶萬國安全團隊還利用TDP的全面梳理能力對網(wǎng)絡(luò)資產(chǎn)和服務(wù)進行盤點，TDP通過被動監(jiān)聽流量的方式來識別發(fā)現(xiàn)資產(chǎn)，并自動進行風(fēng)險提示，無需進行掃描，對現(xiàn)有網(wǎng)絡(luò)架構(gòu)無任何影響。通過對企業(yè)內(nèi)網(wǎng)的資產(chǎn)進行盤點，自動化登錄入口梳理和登錄風(fēng)險識別，極大地降低了重慶萬國被攻擊突破的風(fēng)險。

掌控全局 弭患無形
 

重慶萬國利用OneDNS的快速部署、高級威脅檢測，與靈活的安全策略配置等功能，極大地提升了企業(yè)辦公網(wǎng)絡(luò)的安全防護能力。TDP威脅感知平臺的精準(zhǔn)告警、聯(lián)動處置、事件聚合和簡單易用等特性，在提升企業(yè)安全防護能力的同時，還將安全運營人員從繁瑣重復(fù)的告警研判中解放出來，極大地提高了重慶萬國安全運行效率。
通過OneDNS+TDP的組合，在面對網(wǎng)絡(luò)攻擊之時，重慶萬國能夠做到早識別、早預(yù)警、早發(fā)現(xiàn)、早處置——御敵于攻擊發(fā)起之時，掌控全局，弭患無形。