1
大器“小”用,蓝信免费对中小企业开放
今天,一场“网上新闻发布会”正式召开,数十家媒体、40多家协会及行业组织、总计2000多名代表“宅”在家里,共同参与。
“大企业,用蓝信”,久负盛名,长期为大型政企单位服务的蓝信移动工作平台,开始全面为中小企业服务,是当前抗击疫情的紧要关头下,所必须的举措。
这个时候,大器开始“小”用。奇安信集团董事长齐向东正式发布了这一重要的消息。而为了准备这次发布会,从未自己摆弄手机做直播的这些工程师和码农出身的理工男,搞得狼狈不堪……
2
奇安信情报团白皓文:
和“病毒”赛跑
新型肺炎疫情发展迅猛,超乎了很多人的想象,也扰乱了很多人假期的安静生活。
1月27日8时,农历大年初三,我还在睡梦中,就接到了star(汪列军)的通知:组建抗击疫情的情报团。由于头天晚上照顾生病的小孩儿,在接到电话的那刻,感觉头脑还在发懵,在听到是疫情相关的紧急任务后,我立即清醒过来。
疫情似火,刻不容缓!
根据我13年的从业经验,可以判断,非常时期,网络攻击者绝不会闲着。保障关键业务系统的安全稳定运行及敏感信息安全、重要网站的正常运转和内容不被篡改、防范和阻断利用疫情相关热点的黑产等网络攻击,成为我们网络安全从业者义不容辞的责任。尤其是国家卫健委、疾控中心等单位,是我国抗疫的关键节点,他们的高价值数据肯定会成为APT组织关心的首要目标,情况十分紧急。
我们必须跟攻击者赛跑。Star等同事在26日深夜就已经开展了相关工作。
27日上午8时30分,我也参与到了情报团的任务讨论和工作计划制定中,明确了负责的任务与目标:从威胁情报侧、恶意样本侧、天擎云查杀日志侧发现利用疫情热点的黑客攻击事件。
9:00,我们团队开电话会,与刘爽、何治秋等同事仔细商讨应对方案。攻击发现与防范的形势紧迫,但越是紧迫越不能仓促应对,以防忽略微小的可能形式。
12:00,我们最终确定了多个发现疫情相关攻击事件的发现流程方案,并与Star等人沟通,得到认可。
团队同事立即投入到开发工作中。在家中远程办公有个“好处”:十分利于没日没夜……刘爽、何治秋等团队成员承担了所有相关代码的开发工作,持续到深夜。
接近0点,开发工作终于完成,并稳定投入使用,上线了所有监控流程。
一天时间,从领到任务进行开发,到投入使用,我们真的是在与时间、与攻击者赛跑。
监控上线之后,新的挑战来了:在海量级的数据里发现和疫情相关的攻击事件犹如大海捞针。最初我们需要每4个小时才能输出一次攻击监测结果,这样显然不能满足需求。考虑到效率,我们不断进行改进,最终实现了接近于实时的攻击监控。
我们联合北京的APT攻防专家代慧平、奇安信CERT等小伙伴,发现并阻断了摩诃草、DarkHotel 等多个国家级APT组织针对我医疗健康机构、政府单位、一带一路相关人员的APT攻击行动,发现了多个黑客团伙利用疫情诱饵攻击企业、普通用户的恶意代码事件。
伴着新冠肺炎确诊及疑似病例数据的攀升,有关疫情内容访问不断飙升,“疫情”百度指数达到了80万以上。在这种情况下,保证医疗、疾控、卫生、公安等单位,在非常时期网站可用、正常运转,就变得非常重要。特别是,如果这些网站被篡改,正常内容被替换成谣言,后果不堪设想。
一般来说,网站常见的安全问题包括三种,一是网站漏洞被攻击者利用,致使网页被篡改,网站被挂马,敏感信息泄露;二是拒绝服务攻击导致网站无法正常工作;三是攻击者对网站域名服务商进行攻击,使得域名无法解析或者解析到其他错误的或恶意的网站。
安域团队大年初一就成立专班,投入到了战斗中。强哥他们针对疫情,迅速提供了基于优质带宽的多节点DDoS攻击防护、DNS攻击防护和网站加速功能,保证医疗机构相关网站在被大量、集中访问时依然快速、可用;
针对网页篡改,上线Web应用攻击防护、重保只读等功能,还成立了特别支持组,对卫健委等机构接入的网站防护提供高优先级、快速处理通道,保证卫健委等相关职能部门发布的政府公告及其他权威信息不被恶意篡改。
我看情报团的工作简报统计,疫情期间,近30个疫情防控相关单位的网站、近200个域名免费接入了奇安信的“安域系统”,拦截Web应用攻击超过150万次、CC攻击超过了3亿次。
我们还必须和网络黑产赛跑。
听刘浩鹏说,他也是26日深夜11点多接到的电话,当时正在跟家人聊天,他领到的任务是:通过白泽实时监测向武汉发起攻击的威胁者或组织,找到威胁程度高、活动频繁、定向医疗卫生站点的威胁者或组织。
白泽是公司目前在做的产品,能够从各个产品线的告警信息中,通过各种纬度,把不同IP关联成个人组织一类。
我很少看见刘浩鹏焦虑:这个任务确实挺有挑战性,差不多一天要出四份不同的报告,每一份报告还需要大量的调研、统计等工作。四份报告都很重要,容不得一丝敷衍,关键时刻,他只能紧急联系团队里的戴帆涛等小伙伴。在了解抗疫的需求后,戴帆涛毫不犹豫分担起了任务。
持续到27日凌晨3点,架构搭建工作完成,开始对疫期活跃的黑产团伙进行了有效的监测,并每天输出相关报告。
果不其然,我们发现高水平黑产团伙的自动化攻击从未停止,他们进行的虽然是非定向攻击,仍有很多疫情相关网站被发现攻击迹象。另外,他们还利用热门的疫情信息进行各种网络攻击,甚至在黑产之间发生了“黑吃黑”对同行的攻击行为。目前我们跟踪的黑产组织众多,其中较大规模的组织4个。
截至2月6日晚23点,情报团共输出每日监测报告11份,非定向威胁组织监测报告7份,非定向威胁组织统计报告1份;共监测到威胁者10638人,活动频繁的较大规模威胁组织4个;
在疫情期间,发现了2起国家级APT组织针对我国的攻击事件,发现黑产组织利用疫情热点通过邮件、QQ、微信、telegram等方式投递木马的攻击事件,捕获相关样本10余个。
奇安信支援新冠疫情防控动态播报
从总部到分区,从北京到各地,物资在运输,使命在传递,一切为了抗“疫”战争的胜利!
2月10日,大型政企远程办公平台蓝信召开线上产品发布会,宣布向所有企业开放远程办公平台,向中小企业提供免费在线合同服务,用现代化管理体系强健经济韧带,助力疫后中国经济韧性。
2月9日下午,奇安信集团对北京小汤山医院提供的疫情期间的网络安全产品及服务方案正式提交审批。
2月9日上午,奇安信集团对江西赣州医院提供的网络安全产品及服务捐赠方案正式确认。
2月8日16点,捐赠郑州第一人民医院港区医院(河南”火神山”医院)的设备物资正式交付医院。
2月8日上午,奇安信集团对吉林省结核病医院(吉林省指定的”火神山”医院)提供的疫情期间的网络安全产品及服务方案正式提交审批。
2月6日下午,蓝信首次直播活动顺利完成,峰值8000人同时在线,全程流畅,开拓了在线培训的应用场景。
2月5日,奇安信对南宁人民医院、青海人民医院提供的免费8项服务方案正式确认。
2月5日凌晨1点,奇安信员工仅用5个小时完成所有交付工作,提前11小时完成任务,撤离雷神山医院。
2月4日14点10分,从北京发往雷神山医院的捐赠物资完成交接,顺利抵达武汉;20点进入医院进行调试安装。
2月4日,奇安信安全服务针对医院、疾控等疫情防控相关机构推出免费APP隐私安全远程快速检测服务,涵盖了隐私政策检测、应用行为检测及主要人工检测项目,共7大类50+检测项。
2月3日,向温州医科大学附属第二医院瓯江口院区免费援助的价值百余万的专业网络安全产品已经发往医院,同时为医院信息系统提供网络安全运维服务,直至疫情结束。
2月3日,奇安信火神山小分队将网络安全设备正式交付给院方,并正式为火神山医院网络设施保驾护航,确保万无一失。同时,向武汉雷神山捐赠的150万专业设备和安全服务启动,援建雷神山医院的设施,已经从北京启程。
2月2日上午,价值300万的疫情防控网络安全专项捐赠项目已正式交付郑州市第一人民医院港区医院。奇安信工程师即将进驻现场进行安装部署,并为医院信息系统提供免费的网络安全运维服务,直至疫情结束。
2月1日15点37分,向武汉火神山医院捐赠的价值400万的安全设备,已经进场医院机房,奇安信一线九位“勇士”开始安装施工和部署设备。
2月1日11点28分,由奇安信紧急捐赠、价值近80万元的安全设备已经顺利交付给长沙市公共卫生救治中心(长沙市一医院北院),并完成签收。
2月1日9点32分,和北京协和医院达成捐赠意向的价值230万元网络安全产品和服务,正在完成最后流程。奇安信安服工程师已于1月26日进驻现场,7×24小时提供网络安全保障。
2月1日8点58分,捐赠郑州版“小汤山”医院、即河南郑州第一人民医院港区医院的网络安全设备,已经到达郑州,物流公司已从机场提出准备发货,正送往医院。
1月31日12点12分,经过全国接力,在9位员工的护送下,奇安信集团向火神山医院捐赠的首批价值400万元专业物资顺利交付给医院建设指挥部并履行完正式签收程序。
1月28日,奇安信宣布扩大捐赠范围,同时为武汉火神山医院捐献的首批价值400万元物资已经发出,第一批进入火神山医院负责网络安全应急保障的小分队即将奔赴前线。
1月25日,奇安信成立新型冠状病毒感染的肺炎疫情防控支援团,并第一时间开展工作,捐赠8项免费产品及服务。
(战“疫”仍在继续)
附:奇安信向全国疫情防控压力较大地区的医疗、疾控等一线机构,以及新建专业医院捐助安全产品和服务的计划仍在继续,凡符合捐赠条件的单位,可随时拨打“支援团”7×24小时免费服务热线4008136360-6,奇安信即可提供援助。
附:奇安信宣布的8项免费捐助产品及服务:
1、应急协同与指挥平台(蓝信)
2、终端杀毒(天擎)
3、自适应广域网组网系统(SD-WAN)
4、网站云监测(全球鹰)
5、网站云防护(安域)
6、SSL VPN(远程安全接入)
7、远程在线支持服务(7×24)
8、现场应急服务(7×24)