網安警察智斗黑客探秘:實現區內公安網絡動態

  網絡安全預防措施     |      2019-02-28 09:24

近日,《法制日報》記者深入天津市濱海新區公安局科技信息化支隊(以下簡稱科信支隊),了解這支幕后隊伍與黑客不見面的交鋒。

上醫治未病

趕在黑客前修復網站漏洞

2019年全國兩會即將召開,科信支隊嚴陣以待。

去年全國兩會期間成功處置的一起案件,讓科信支隊科長楊連群記憶猶新。

當時,科信支隊在網上巡查中發現某企業官網流量異常。訪問企業網站時,會在本機生成一個程序,自動鏈接到某境外惡意域名。

“經進一步分析發現,這個網站被植入了木馬程序。我們立即通知相關部門,責令這家企業官網整改,堵塞漏洞?!睏钸B群說,如果公安機關沒有發現那個漏洞,不法分子很可能利用它鏈接到非法網站,甚至是暴恐音視頻網站,從而產生惡劣影響。

從2014年開始,濱海新區公安局建設第一期網絡安全系統,當時是為了進行公安專網內部管理。后來在實踐中發現,公安內網也受到許多嗅探攻擊,物理隔離已不能滿足安全需求。于是建設了第二期互聯網安全防護體系,確保濱海新區公安系統內網外網整體安全。參照前期建設思路,2016年在視頻物聯網建設時,設計了整體縱深防御體系。

縱深防御體系基礎安全防護覆蓋物理、網絡、主機、應用、數據等方面,利用技術管控,形成事前防范、事中監控、事后追溯全流程安全運維閉環。

0Day漏洞、勒索病毒、Kuzzle病毒……近年來,網絡安全對抗態勢愈演愈烈,攻擊變得更有針對性。面對重要行業、政府機關的攻擊數量增多,方式和手段翻新。

記者從科信支隊保留的截圖中看到一次網絡攻擊場景,縱深防御體系起到“上醫治未病”的效果。

2018年3月29日,監控系統發出異常警告,某行政審批業務應用系統主機收到來自某IP的網站頻繁登錄請求。一個登錄頁面,用戶名處簡單填寫了一個漢語拼音名字,密碼空白。

多年前,濱海新區成立行政審批局后,原來分散在18個不同單位的216項審批職責歸入一個部門,一枚公章取代了109枚公章。公安系統也推出網上便民舉措,開通網上行政審批功能。

“一般而言,對行政審批網站的訪問應該來自轄區內。域外的類似訪問,很有可能是在嘗試找到系統漏洞?!睏钸B群告訴記者,黑客發起攻擊前,往往先對網站是否存在漏洞進行嗅探,嘗試拿到高級權限進入后臺,實施違法行為。

“就像某種病原體尋找人群中免疫系統有問題的目標準備下手?!笨菩胖ш犆窬谓蛐裾f,警方迅速行動,對行政審批網進行體檢,趕在黑客前發現網站確實存在的漏洞。第一時間通知責任部門關閉這項功能,修復后再行上線,及時堵住漏洞。

網絡安全防護工作的要求不斷深化,濱海新區公安的工作方法和思路相應發生很大變化?!翱v深防御體系由人工智能建模,積累大量數據實時進行安全分析,民警有針對性地添加安全策略,從事后處理轉變為事先預防?!睏钸B群說。

“這些還都是可視化的?!彼谓蛐裱a充道。

辯證論治

防止病毒縱向感染橫向傳播

“雖說上醫可以治未病,但是真地病了怎么辦?”面對記者的提問,楊連群操作手邊的電腦,調出兩次與WannaCry(意為想哭)勒索病毒交手的數據。在縱深防御體系的輔助下,民警猶如實施精準的手術治療中毒設備。

勒索病毒爆發時,銀行、教育、企業感染病毒的系統無法使用,面臨數據被破壞無法恢復的情況。

勒索病毒最早爆發時的安全管理監控系統界面上,有一些粉色和紅色的圈,顏色越深、面積越大說明異常越嚴重。

2017年5月13日10時20分許,科信支隊民警接到公安內網一臺電腦無法使用的電話反映,現場查看發現,這臺電腦中了勒索病毒。一臺電腦從被攻擊到被攻陷大約需要14分鐘,14分鐘后,這臺電腦便會變成病毒源散播病毒。

科信支隊迅速召集全體民警進行排查,確定新區公安機關有16臺終端及設備中毒,對中毒電腦采取斷網、斷電措施的同時,通過縱深防御體系全方位添加安全策略及防范措施。兩小時內,值班工程師及各系統相關廠商人員陸續到場,完善安全策略,進一步控制公安網內病毒傳播途徑,同時對病毒進行分析和處理。

此后的步驟類似于疫苗生產、疫苗注射,讓系統對病毒產生免疫力。病毒樣本立即被提取,送至殺毒軟件廠商手中。廠商完成分析并測試殺毒成功,把殺毒軟件升級包傳回,在公安網和互聯網中下發。

從科信支隊發現病毒到完成這些步驟,僅用時4小時10分鐘,而沒有類似縱深防御體系的大型網絡,要完全康復往往需要兩三周時間。