2022年北京冬奥会举办在即,成为国际社会新的期待。外媒曾有报道称,作为第一个举办过夏季奥运会、又将举办冬季奥运会的城市,北京将创造历史。而网络安全,是北京冬奥会安保工作的重要环节。东京奥组委曾表示,2021年夏季东京奥运会与残奥会期间,共遭遇约4.5亿次网络攻击;不过所有攻击均得到阻止,奥运会并没有受到实际干扰。近日,darkreading网站上发布了Radware网络威胁情报部门研究主管丹尼尔·史密斯的一篇文章,现在此作部分摘译,以供读者参考。
一、网络威胁将如何影响北京冬奥会?
NTT 帮助国际奥委会在东京躲过了一劫。世界将拭目以待,看看它能否在北京为即将到来的冬奥会实现类似的壮举。
虽然 2021年东京夏季奥运会在财务上并不成功(据估计耗资 300 亿美元),但它在一个领域表现出色:网络安全。东京夏季奥运会的网络安全结果与前期威胁预测的匹配程度如何?这一情况对即将于2022年2月举行的北京冬季奥运会又意味着什么呢?
东京夏季奥运会的网络安全预测
网络威胁联盟 (CTA) 的奥林匹克网络安全工作组在原定的 2020年东京奥运会前夕举行了多次会议。CTA为比赛准备了威胁分析并报告了其调查结果。但由于疫情,东京奥运会被推迟到2021年。 2021年4月,CTA在新报告中指出, 自 2020年夏季奥运会报告发布以来,勒索软件组织带来的危险急剧增加。新报告还预测,以奥运会或奥运会相关组织为目标的威胁行为者,会使用数据窃取和虚假信息活动或有针对性的系统中断等技术,来增加威胁。 CTA指出,由于威胁行为者可能认为日本的网络安全能力因疫情和其他国内因素而被削弱,因此该组织警告说威胁会增加。
(东京奥运会比赛场馆。图片来源:NTT官网)
东京夏季奥运会的成果
NTT Communications为东京夏季奥运会提供了电信服务和网络安全,包括管理约11,000个Wi-Fi接入点。在事件发生之前,NTT预测网络犯罪分子可能会利用分布式拒绝服务 (DDoS)、勒索软件或其他针对关键基础设施的直接攻击。
在 NTT 2021年10月发布的奥运会后的新闻稿中,该公司称,尽管活动有所增加,但由于实施了网络安全和网络安全措施,没有网络事件最终影响奥运会或残奥会。被阻止的安全事件总数(包括与奥运网站未经授权的通信)为4.5 亿——这是一个难以想象的庞大数字。NTT 将成功归功于其“网络安全战略的整体方案”,它表示,其中包括持续的威胁情报监控和分析、SOC服务、完整的安全解决方案包以及由 200多名网络安全专家组成的团队。
北京冬奥会展望
与东京夏季奥运会一样,2月份即将举行的北京冬奥会和3月份举行的北京冬残奥会都不开放外国人入境观赛,因而世界其他地区的赛事直播需求再次凸显。由此,我们有理由预计,届时将有至少5亿起网络攻击事件直朝北京冬奥会袭来。我们还从NTT报告中了解到,从2020年到2021年,包括威胁行为者及其战术、技术和程序 (TTP) 在内的威胁形势,发生了重大变化,带来了新的挑战——因此我们预计2022年冬季奥运会将继续保持这种趋势。
NTT 将再次为冬奥会提供安全保障,但我们认为它必须再次重新分配资源并重建部分安全基础设施,以适应威胁形势的发展变化,并确保与东京奥运会相同的网络稳定性水平。除了大型 DDoS 攻击的威胁之外,NTT还必须特别注意小型DDoS攻击的危险,小攻击累积也可能会破坏直播或关乎数字化奥运会成功与否。
数字化奥运会仍将持续
虽然许多人希望亲自参加东京夏季奥运会和北京冬季奥运会,但我相信疫情已迫使从体育迷到信息安全专业人士,都意识到我们将无法像以往那样常去参加奥运会这样的盛事了。我们将更加依赖远程和流媒体服务来观看、交流和互动。因此,企业需要制定完善的网络安全策略。
二、 NTT的东京奥运会网安保障的“工作总结”
2021年10月下旬,NTT发布了题为《东京020奥运会·残奥会中NTT的贡献~从通信服务和网络安全的观点出发~》的报告,从以下几个方面作了总结。
NTT提供的支持东京奥运会稳定运营的通信服务
包括广播用网络(光缆1900km,专用线1000km)、大会用数据网络(会场LAN,其中光缆1200km,金属电缆3900km)、CATV机顶盒6800台、Wi-Fi 10000个接入点、移动电话19600台、固定电话2800台。l
总计约1万名NTT相关人员(包括合作公司)为奥运会服务,其中奥运会期间在会场工作的NTT公司员工约650人,在技术操作中心工作的NTT员工约350人,在安全操作中心工作的NTT员工约90人。
防止网络攻击
l网络攻击趋势
1)勒索软件攻击
•人工攻击
•双重威胁(数据恢复、窃取数据的擅自公开、各自要求赎金)
•供应链攻击和服务停止攻击的混合战略
l2)供应链攻击
•由于对ICT服务运营商的攻击而带来的广泛影响
3)攻击重要基础设施
•不仅仅是IT(信息技术),还对OT(运用技术)进行攻击
•加密资产的赎金要求
NTT总结的成功原因(4个T)
T1: Threat Intelligence & Monitoring(威胁信息和监控)
借鉴了平昌2018奥运会,关注恶意软件(影响LAN/Wi-Fi/宽带服务)、窃取运营信息(ID、密码、个人信息)APT攻击等内容;并注意内部外部的威胁信息监控,内部包括NDR(网络检测与响应)、EDR(端点检测和响应)、UEBA(用户和实体行为分析),外部包括NTT-CERT(集中的公开信息监控)等;除网络外,还实施物理监测,包括通信电缆、线路、逻辑结构,通信设备及其软件,密码变更情况等。
T2: Total Security Solutions(综合安全解决方案)
为应对复杂的ICT环境,根据白名单(仅列出可能的通信协议)形式,维持“网络卫生(Cyber Hygiene)环境”,包括ID(个人认证:包括多要素认证的活用);应对通信量变化、在奥运会召开前短期内进行细致的设备检查;通过活用多个经营者产品进行防护(实现多层防御);应对本公司准备的终端和相关人员带入终端;R&D成果的活用(检测篡改的真伪判定技术等)。
lWide Angle MSS–管理安全服务包括NTT全球威胁信息平台共享的数据、蜜罐(特别是易于被攻击的电脑)的大规模网络;将分散活动的碎片组合起来,应对复合模式的分析引擎。
l安全操作中心(SOC)解决方案包括自动化、规则制定、权限转让;与东京奥组委及NTT安全操作中心的紧密合作;高水平专家的综合分析。
T3: Talent, Mind & Formation(人才、心态、姿态)
l包括实时共享信息,对网络的所有方面阻止负面影响;程序标准化等。
•在NTT communication的研修子公司,对SOC操作员进行短期集中两周的训练(内容为中心运营、脆弱性/恶意软件分析等),期间也促成了受训人员之间的团队合作;
•与专业的安全技术人员组成团队,提升操作人员的能力,并由NTT的安全子公司实施实践训练;“红队”(通过疑似攻击发现脆弱性的团队)与ICT服务经营者、其他重要基础设施相关人员及官方机构等保持联系,同时实现“进攻安全”;
•反复验证会发生什么、以及如何应对;
•排除低优先级项目,通过正确的数据学习,维持安全设备的性能。
2022年之后,200多名熟练成员(包括SOC操作员、红队成员),将在NTT集团(NTT东日本/西日本/communications/DoComo)启动新的网络安全任务,以实现NTT集团内部骨干系统的安全水平的维持及提高、维护和提高顾客服务的安全水平等。
T4:Team 2020–复杂的参与方管理
lICT服务商包括ICT-ISAC Japan-SICT主要经营者的安全信息联络、日本互联网供应商协会/全球Tier1(世界的各大网络供应商)、相关广播公司、相关IT服务经营者、安全服务供应商等。
l重要基础设施相关机构包括日本内阁网络安全中心、网络安全演习(包括远程工作环境)风险评估网络安全理事会、总务省、日本第三方协议会各公司等。
官方机关包括日本警察厅、警视厅、防卫省、JPCERT协调中心、FIRST(Formo of Incident Response and Security Teams)、CTA(Cyber Threat Alliance)以及地方自治体(东京都等),特别是与IOC(国际奥委会)/东京奥组委进行了包括风险方案分析、网络战棋在内的各种类型的合作。
回顾所面临的挑战l
包括举办时间推迟1年(网络威胁环境的变化、重新开展工作、不确定的实施方式),以及疫情的影响(很多比赛都是无观众举办因而使得通信服务在历届奥运会中变得最为重要、医疗体制的保障、假网站/钓鱼网站等)
背景补充
NTT是日本最大的电信运营商。现NTT集团主要由日本电信电话株式会社(负责集团整体经营战略的制定和基础研究开发的推进)、NTT docomo(负责移动通信业务)、NTT东日本和NTT西日本(负责地区通信业务)、NTT DATA(负责数据通信业务)、NTT communications(负责日本国内通信业务)及NTT Ltd.(负责国际通信业务)等组成。2020年的「财富」世界500强企业排行榜中,NTT名列第62位。
三、 写在文末
(图片来自网络)
2021年10月21日至12月5日,北京冬奥会国际滑联短道速滑世界杯等系列测试赛在北京、张家口地区成功举办。工信部网站12月7日发布消息称,信息通信行业圆满完成北京冬奥会系列测试赛网络安全保障任务,在网络安全漏洞、移动恶意程序、恶意IP地址、僵尸网络等网络安全威胁监测与处置过程中,累计屏蔽恶意程序发送端IP地址9000余个、组织修复漏洞隐患200余个,处置网络安全事件300余个。
相信我们一定能再次为世界奉上一届既安全又精彩的奥运盛会,让我们共同期待2022年北京冬奥会的圆满成功吧。
(来源:日本NTT官网、darkreading等。本文参考内容均来源于网络,仅供读者了解和掌握相关情况参考,不用于任何商业用途。侵删)
