工业4.0的到来,标志着能源行业正式进入互联网时代。数字化转型的不断加快,以及信息互联互通程度的不断加深,使企业所面对的网络安全威胁相比任何时候都显得更加严峻。为应对复杂的网络安全威胁,国网内蒙古东部电力有限公司(以下简称“国网蒙东电力”)基于最新的XDR安全联动运营管理理念,全面联动亚信安全终端病毒防护OfficeScan、主机安全加固等覆盖云管端的安全防护产品,以及深度威胁分析设备DDAN、深度威胁发现设备TDA、高级网络安全调查取证设备CTDI以及态势感知平台(SSA)、VP、SpiderFlow、UAP、TMCM产品,形成了标准预案、专业调查工具、以及安全响应专家保障为核心的高级威胁治理防御体系。
电力系统亟需构建“主动安全”框架
国网蒙东电力主要负责内蒙古东部赤峰、通辽、兴安、呼伦贝尔四盟市电网的规划建设、运营管理、供电服务等工作,供电面积达47万平方公里(占内蒙古总面积的40%),供电人口达1160万(占内蒙古总人口的50%)。 近年来随着国网蒙东电力管理信息化、电网运行自动化、电力设备智能化的不断发展,信息安全愈发重要。
纵观整个行业,信息化已成为电力企业工作中的重要组成部分,各类工作对网络产生了高度依赖,一旦信息网络被攻破,轻则会导致指令错误、服务中断、信息泄漏等恶性事件,重则甚至会危及生产和生命安全。细观电力行业的整体业务,已从单系统到跨系统,网络从零星分散到大型化、复杂化,现有信息安全防护技术和手段已经不能满足现阶段的管理需要,亟需从传统的“知防不知攻”的被动防御向“知攻知防”的纵深积极防御转变,建立全面的信息安全防护体系。
更为重要的一点是,黑客对能源网络有组织、高强度的攻击日趋激烈,近年来国外电力公司遭受攻击的事件更是屡见不鲜;此外,全球爆发的大规模比特币勒索病毒软件“Wannacry”(简称勒索病毒)感染等事件,更是对电力企业的网络应急响应能力提出了巨大挑战。
XDR实现网络安全“自动化”
自工业革命以来,“自动化”就在人类社会中扮演着重要角色,电力自动化设备、自动化的控制网络就是典型的代表。而在每个行业的自动化成长空间里,网络安全行业也不例外。
2017年,Gartner提出了“安全编排、自动化及响应”(SOAR)这个术语,用以描述事件响应、安全自动化、案例管理和其他安全工具的一系列新兴平台。SOAR理念的后续影响是巨大的,包括许多安全厂商产品研发以及用户层面的未来规划,其中就包括亚信安全XDR解决方案。
通过标准化的预案、专业化的调查工具和安全响应专家团队的合力,形成的亚信安全XDR解决方案采用了包含安全编排(Security Orchestration)、自动化(Automation)和响应(Response)的SOAR框架,包括“准备、发现、分析、遏制、消除、恢复、优化”这7个阶段,利用精密编排的智能联动将安全产品以及安全流程链接和整合起来,进而协助用户实现安全防御能力的进阶。
亚信安全XDR获得了金融、政府、电力、医疗等众多行业用户的广泛认可,这其中就包括国网蒙东电力。在已经使用深度威胁发现设备TDA、OfficeScan防毒墙网络版的基础上,国网蒙东电力后续又部署了服务器深度安全防护系统 Deep Security、深度威胁分析设备DDAN、高级网络安全调查取证设备CTDI以及态势感知平台(SSA),并且在携手亚信安全的专业化技术团队,重新梳理和制定安全响应流程,实现了各个产品的适配联动。
在以XDR为框架的纵深防御体系中,每套产品的分工职能不同,却又相互协同工作。以管理和设置全公司的防毒策略的OfficeScan为例,机器学习引擎可以通过高级文件特征分析和启发式进程监控来保护网络不受新威胁、以前未识别的威胁或未知威胁的侵扰,当检测未知威胁的可疑文件后,态势感知平台(SSA)自动将样本发送到DDAN沙盒虚拟平台以供进一步分析。确认威胁存在后,CTDI进行调查取证、验伤、评估影响范围,并通过云端立即更新并同步到所有客户端,以防威胁在整个网络中传播,完成威胁阻断。
XDR的落地,为内蒙电力的网络安全管理能力实现了巨大突破。在应用期间,亚信安全终端防病毒系统检测并截获了多个勒索变种病毒,有效保护了其服务器和虚拟主机安全;此外XDR更提高了虚拟化服务器的安全性和抗攻击能力,以及对于未知威胁的预防能力,保证了业务系统安全稳定的运行。
国网蒙东电力信息安全相关领导表示:“亚信安全XDR可以有效利用海量数据,通过编排和自动化,帮助我们从每个终端、虚拟化服务器、网络设备的恶意代码中自动响应,从云端收集威胁情报,将之转译成全网统一的黑名单。然后基于最新的威胁情报重新配置每个产品的安全阻断策略,无需人工干预即完成了主动安全强化。”