西南交通大学是教育部直属全国重点大学,国家首批“双一流”“211工程”“特色985工程”“2011协同创新计划”重点建设并设有研究生院的研究型大学,座落于中国历史文化名城、国家中心城市——成都。现有九里、犀浦、峨眉三个校区,在校师生6万余人。
随着信息化的快速发展,网络攻防的技术门槛不断降低、攻击方式呈现多样化,特别是勒索病毒等未知威胁开始泛滥。面对新时代的网络安全挑战,西南交通大学如何保障6万多在校师生上网的安全可靠性,避免恶意病毒感染,成为当下学校安全运维工作的重点。
锐捷网络如何助力西南交大完成安全预警分析?故事要追溯到2018年。
(一)安全态势感知平台初体验
早在2018年,西南交大网络中心就部署了一套锐捷安全态势感知平台BDS,用它收集和标准化全网信息设备日志数据,构建安全大数据仓库。通过BDS的大数据关联建模分析,从海量数据中分析和定位出核心安全风险,帮助学校有效预防了潜在安全事件的发生。
近两年,随着网络攻防技术的不断发展,单纯日志维度的分析能力日渐不能满足学校对新型攻击检测和分析预警的需求。西南交大在原有安全态势感知平台的基础上扩容了流量探针,对学校出口流量进行深度分析。“日志+流量”双重维度的安全分析,发现很多学生终端感染了病毒,存在继续横向扩散的风险,很可能会成为“肉鸡” (可以被黑客远程控制的机器)。
但是,网络“边缘侧”的安全依旧是监测的盲区,因为态势感知与流量探针一般部署在中心机房,接入层的横向感染不会上升到核心交换机。在理论上,可通过在每一台接入交换机侧部署一台流量探针,但这样投入巨大,不太可能落地。如何通过技术手段低成本实现横向安全检测,打破安全建设“重中心、轻边缘”的屏障,就成为了西南交大亟需解决的一个难题。
(二)当态势感知平台与 sFlow交换机联动
在这样的情况下,锐捷提出对接学校已有交换机,识别横向感染的“网络+安全”方案。该方案不绑定品牌,只要支持sFlow协议的交换机即可构成该方案的组成部分,通过态势感知平台与 sFlow交换机联动,实现全网节点安全监测,协助用户完成勒索病毒1号病人分析定位,便于管理员及时采取对应的处置措施,将网络安全风险扼杀在摇篮中。
西南交大综合态势感知平台经过不断升级和扩容,逐步给用户带来了“日志+流量”综合态势感知分析价值、联动sFlow交换机横向威胁检测等价值,取得了一些实战成果:
(1)通过对已接入的资产进行综合管控与分析,为用户提供加固整改建议,经过不断加固和完善,目前整体安全度高达85分。
2)通过流量探针深度分析,发现一些学生终端中病毒,这引起了管理员的重视,是否存在大面积扩散的风险?通过设计采集楼层交换机的sFlow样本进行横向威胁分析,发现采集到的这台主机正在扩散感染。进一步分析后,我们发现它正在感染的目标为8个IP地址。最终,找到了1号感染源及8个被扩散的主机,学校老师第一时间进行了清查。
定位1号感染源
识别出被感染目标
(三)网络+安全,网络更安全
以前对学校整网安全分析,基本很难实现,也不能快速进行病毒定位及分析,一旦发生安全事件,就需要耗费很长时间逐步排查,费时又费力。现在通过日志+流量综合分析模式,并结合sFlow交换机联动,只需要日常查看安全态势感知平台BDS的高危告警,即可完成全网风险评估及预警,同时也能快速溯源1号“病人”,有效防止了大面积扩散。
锐捷“网络+安全”整网解决方案,让交换等网络设备都作为安全态势感知的安全探针,同时发挥网络SDN智能协防、网络准入实名日志、网络安全一体化运维的优势,告别安全孤岛,构建整网联动的安全保障体系,实现安全预测、防护、分析和响应等安全问题自动化全流程闭环,充分满足了各单位对等保2.0、网络安全法的合规需求,让网络更安全。
特别提醒:本网信息来自于互联网,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。