安恒信息董事長范淵認為，亞運安全保障“零事故”的背后，依靠的是“技術(shù)的可靠+人的可靠”，“團隊的責任感、代際傳承，是這支隊伍能夠?qū)崿F(xiàn)15年重保零事故的關(guān)鍵所在”。面對如此復(fù)雜的網(wǎng)絡(luò)環(huán)境和嚴苛的安全要求，安恒是如何確保亞運零事故？通過持續(xù)化體系化安全運營健全安全能力，實現(xiàn)安全能力全覆蓋、安全管理全統(tǒng)一、安全響應(yīng)全協(xié)同，運用實戰(zhàn)化安全運營保障亞運安全效果，實現(xiàn)具有攻防對抗技戰(zhàn)術(shù)能力和智能化場景化的閉環(huán)安全運營。

終端安全防護就是本次亞運重保一體化安全運營體系閉環(huán)中的最后一環(huán)，即“零米”防護，扮演著守護資產(chǎn)的貼身特勤。在攻擊側(cè)，新型攻擊方式層出不窮，一些高端攻擊技術(shù)越來越平民化，可以預(yù)見亞運終端受到威脅勒索的形勢更加嚴峻；再次，從需求側(cè)，亞運保障更注重效果、發(fā)現(xiàn)、運營和實戰(zhàn)。如果要保護的單位像工廠一樣是由一個個房間、一個個業(yè)務(wù)單元組成的話，部署流量和日志類產(chǎn)品，就像部署在大樓的出口或者樓道里面監(jiān)控探頭，看見的是南北向和東西向的流量，看見的是樓層和樓層之間和進出這棟樓的流量。但黑客和壞人不總是從大樓的正門和樓道進入，有可能從后門、窗戶、通風管道進去，也有可能是以快遞的形式帶來威脅。終端安全防護產(chǎn)品則相當于在工廠內(nèi)每一個房間都安裝了一個特別輕的傳感器、攝像頭，用戶能夠清晰地看見這一個房間里發(fā)生所有的行為，終端安全防護產(chǎn)品實時采集并送入本地/云端安全運營專家做分析，可以和常規(guī)流量檢測產(chǎn)品相互補充，從而更好的發(fā)現(xiàn)威脅。

端網(wǎng)聯(lián)動能力，終端安全防護產(chǎn)品要從網(wǎng)絡(luò)和終端兩個維度保證辦公終端安全。如通過將云端威脅情報與DNS相結(jié)合，可從網(wǎng)絡(luò)流量側(cè)檢測威脅，通過阻斷惡意樣本反連、阻止新樣本下載、防止打開釣魚鏈接等方式保護亞運終端安全；利用AI行為監(jiān)測等技術(shù)對終端行為日志進行檢測分析，提供包括隔離進程、文件、網(wǎng)絡(luò)乃至終端等多種處置策略。通過將終端行為與網(wǎng)絡(luò)流量相結(jié)合，可以對終端威脅進行更全面威脅覆蓋，處置策略更豐富、更靈活，隨時隨地為終端提供全面、精準、高效的安全防護能力。

終端安全產(chǎn)品從最早期滿足合規(guī)的防威脅產(chǎn)品，已經(jīng)演變成包含管理、監(jiān)測分析、響應(yīng)處置等功能于一體的體系化防御階段。”隨著安全風險的持續(xù)性變化，終端安全防護也需要向持續(xù)化運營的方向轉(zhuǎn)變。在終端資產(chǎn)管理的過程中就有必要加入運營的思路，滿足合規(guī)化部署與持續(xù)化管控的雙方面需求；應(yīng)用持續(xù)檢測和響應(yīng)的手段，來構(gòu)建快速迅捷的主動防御；與平臺化產(chǎn)品形成聯(lián)動，提供持續(xù)化的安全運營服務(wù)。

在大型體育賽事中，人員多且雜，設(shè)備多樣性會給網(wǎng)絡(luò)接入側(cè)的安全性帶來極大的挑戰(zhàn)。為了實現(xiàn)事前防御，保障終端靈活使用體驗和兼顧安全的要求，安恒終端安全秉持兩個原則：人員明晰化、終端透明化。人員明晰化，是基于人作為研判風險的因素，通過終端準入產(chǎn)品特有的身份準入控制，與各場館交換機人員信息進行匹配，確保每一個接入的人員身份信息是得到驗證的，杜絕任何身份可疑的人員設(shè)備接入亞運賽事網(wǎng)絡(luò)。終端透明化，是基于端作為研判風險的因素：第一，通過終端入網(wǎng)安全檢查能力，同時將人員信息+設(shè)備MAC信息強制綁定，雙重保險杜絕設(shè)備仿冒事件發(fā)生，設(shè)備運行期間，累計成功攔截13458次非法終端接入，確保每一臺接入的終端都是可信的。第二，利用基線檢查能力，包括系統(tǒng)配置評估、漏洞掃描等維度，快速對系統(tǒng)或設(shè)備進行全面的安全評估和發(fā)現(xiàn)潛在的隱患。第三，安恒通過勒索誘餌引擎，確保勒索威脅對誘餌文件進行操作時，立即告警并結(jié)束操作進程，保障賽事期間勒索事件“零概率”。

賽事重保中，終端設(shè)備可能受到各種威脅攻擊，實時監(jiān)測和分析終端設(shè)備上的活動，及時發(fā)現(xiàn)潛在的安全威脅并采取相應(yīng)的防御措施來阻止和應(yīng)對各類入侵的攻擊行為，是非常必要的，安恒從威脅威脅防護、內(nèi)容防護、數(shù)據(jù)安全防護三大場景出發(fā)，解決安全隱患。本次亞運保障中，安恒首創(chuàng)的無文件攻擊防御起到了關(guān)鍵作用，自研的E-RASP引擎可以對Web服務(wù)器的內(nèi)存空間進行實時監(jiān)測，通過捕獲Web服務(wù)器代碼執(zhí)行過程，分析代碼執(zhí)行鏈路，發(fā)現(xiàn)Webshell內(nèi)存馬注入行為，并阻斷內(nèi)存馬的注入。使用內(nèi)存注入、內(nèi)存插樁、內(nèi)存馬原理性分析等技術(shù)，能夠?qū)崟r發(fā)現(xiàn)已知和未知的各種類型的內(nèi)存馬。

亞運賽事，安全事件數(shù)不勝數(shù)，針對于終端的攻擊，安恒一體化終端安全平臺提供全視角終端安全運營能力，包括終端運維視角、終端風險視角、流量通信視角、入侵威脅風險視角等等全視角洞察全網(wǎng)終端安全態(tài)勢。

我們將零散的日志事件進行聚合，通過對關(guān)鍵事件的總結(jié)和形象化展示，清晰的展示出風險在哪、嚴重程度如何、整體安全防護效果如何等等。提高管理效率降低管理，同時通過全視角的運營能力將整個安恒一體化終端安全平臺的產(chǎn)品價值充分發(fā)揮出來。

圓滿保障也離不開于眾多產(chǎn)品及應(yīng)用的輔助支撐，今年5月正式啟用的MSS亞運天穹——新一代主動防御運營中心，在上線前進行了超50次模擬演練，在亞運會期間全面協(xié)助賽事場館的各項網(wǎng)絡(luò)安全保障工作，云端實現(xiàn)資產(chǎn)的全面發(fā)現(xiàn)、漏洞的全面管理、威脅的實時檢測響應(yīng)、“7×24小時”的云端安全專家持續(xù)守護，為杭州亞運會提供全天候、全場景、全過程、全閉環(huán)的安全運營保障服務(wù)。同時，人工智能的應(yīng)用也再次賦能網(wǎng)絡(luò)安全保障，提升安全運營成效、牢筑安全守護屏障。今年8月，安恒信息恒腦·安全垂域大模型首次公開亮相，基于大模型的安全運營平臺全新升級首次發(fā)布。在本屆亞運會期間，該平臺以智能輔助形式應(yīng)用于各個方面，安全運營成效提升70%以上。作為一款結(jié)合AI人工智能、機器學習技術(shù)與安全編排的產(chǎn)品，不僅有強大的數(shù)據(jù)整合和分析功能，還能夠從各種安全工具和數(shù)據(jù)源中收集、整合和分析信息，并與態(tài)勢感知、資產(chǎn)管理系統(tǒng)、威脅情報平臺、漏洞管理系統(tǒng)等相集成，從而實現(xiàn)全面的威脅情報分析和事件響應(yīng)。

亞運會場館所涉及到的終端范圍廣，管理難度大，一旦發(fā)現(xiàn)威脅必須做到分鐘級響應(yīng)，因此，安恒信息成立終端安全亞運保障小組，提供全天候技術(shù)服務(wù)支撐。整個保障小組共計投入4000+人天，日均掃描500000+個文件和梳理1200+個策略，在保障期間，對3700+次事件反饋進行了高效處理。高效、專業(yè)的重保團隊，不僅是對賽事網(wǎng)絡(luò)安全的負責，也是在強大產(chǎn)品力之外的最后一道保障，為賽事兜底，為客戶服務(wù)，是真正的亞運“隱形守護者”。人機協(xié)同，方能事半功倍，圓滿完成任務(wù)。