以資料為核心,新東方這樣構建新防禦體系
說起新東方,很多人並不陌生,它以語言培訓為核心,業務涵蓋了教育培訓、教育產品研發、教育服務等方面,服務物件覆蓋了學前、中小學、高中、大學、在職員工等眾多人群。
不過作為一家教育培訓機構,新東方在資訊保安保護上卻有著很多行業體會不到的苦惱,那就是保護資料安全的重要性,其中主要包括培訓教育的知識成果和敏感的客戶資訊,這兩者可視為一家教育培訓機構開展業務的核心。
在北京中關村,這裡遍佈著大大小小的各類教育機構,競爭激烈,誰能提前一步獲取使用者資料,誰就優先掌握了競爭優勢。事實上,由於教育機構競爭環境導致的資料販賣、通過非法手段獲取資料的事情發生並不稀奇。
新東方教育科技集團資訊保安負責人楊寧
作為一家大型綜合性教育科技集團、中國大陸首家海外上市的教育培訓機構,新東方面臨的資料安全保護挑戰巨大。新東方教育科技集團資訊保安負責人楊寧告訴至頂網,新東方每月遭受的應用層攻擊(如掃描、SQL%E6%B3%A8%E5%85%A5/">SQL注入等攻擊嘗試)高達上千萬次。除了面臨外部攻擊風險,內部資料洩露也是巨大的潛在風險之一,在電商、銀行、電信等行業由內鬼導致的資料洩露事件屢見不鮮。
所以,保護資料安全是楊寧工作的重中之重。另外,也許是源於對資料安全的重視,至今新東方部署到公有云環境中的業務都不包含核心業務,新東方根據業務應用的重要程度依次劃分為P1-P4的等級級別,P1自然是最核心的業務,例如網上報名系統等。因此,P1-P3前三類業務均是部署在由3個萬兆環網互聯的私有云資料中心中。
資訊保安防護從“以產品/系統為核心”到“以資料為核心”
可以看出,保護資料安全是一家教育培訓機構資訊保安工作的核心要務。在新東方資訊保安建設的早期階段是以部署產品、系統為核心,楊寧稱之為救火式的安全體系。然而,以產品/系統為核心的安全不能提供全面的安全保護、難以應對各類安全威脅,尤其是隨著防護邊界越來越模糊、攻擊複雜度越來越高,這種防護思路漸漸失效。
並且隨著合規要求的監管政策越來越高,例如國內的《網路安全法》、歐盟GDPR等法規要求實施生效。內外部環境下,新東方開始轉變資訊保安防護思路,也就是“以資料為中心”。楊寧將這種轉變總結為4個能力建設:網路解耦+主機防護;安全資料整合;安全能力建設;行為異常檢測。
這其中的關鍵在於圍繞資料安全事件的全鏈條防護,在事件發生之前:能夠做到很好的評估+預防,識別風險;事中:進行實時的監控、分析和告警,及時發現問題;事後:提升應急響應和處置的效果。
要達到這樣的目標,主機安全防護變得異常重要。圍繞主機安全,新東方主要關注三個方面:
•系統功能:包括資產管理、風險發現、漏洞識別、入侵檢測、基線合規、日誌及告警、服務介面整合、入侵事件的誤報率和漏報率;
•Agent:包括支援的伺服器作業系統平臺、Agent效能及影響、Agent自身的安全、Agent異常監控及響應;
•廠商及產品:包括技術支援能力、應急響應能力、產品部署模式等等。
楊寧表示,“經過半年的評估和調研,青藤雲產品在我們關注的各項功能和效能指標方面表現出眾,且部署模式靈活,技術支援也很到位。新東方最終選擇了青藤雲的主機自適應安全平臺作為主機安全防護系統。”
建立起一個實時有效的防護體系
“青藤的主機自適應安全平臺為新東方在系統入侵防護方面提供了事前的風險識別、事中的監控告警、及事後的分析取證,幫助我們在主機安全層面建立起了一個實時有效的防護體系,並拓展了我們在遠端分支機構及公有云端的系統安全防護能力。”楊寧說。
入侵前:漏洞檢測及基線檢查,彌補了不帶信任憑證漏洞掃描的缺陷。青藤雲的產品提供了資產的統計,便於對主機部署的系統元件、服務、埠、賬號進行識別和統計,由於Agent部署的優勢,提供了深度的主機及應用漏洞檢測和基線檢查能力。
入侵中:實現主機系統的實時安全監控,入侵的實時告警和響應。青藤雲的產品不僅基於特徵(Web和系統後門的識別、本地提權過程識別、暴力破解識別等)防範已知的入侵方法或後門,還基於異常(登陸異常、異常操作,系統性能異常等)檢測防範未知的漏洞或病毒攻擊。同時,可以快速部署的蜜罐功能能夠捕獲來自內部的蠕蟲或橫向滲透攻擊。
入侵後:進行系統被入侵後的系統分析和取證,以及應急響應。青藤雲的主機安全產品,將新東方主機安全入侵事件人工調查取證時間降低了80%,而且入侵過程和行為識別更加精準,很大地提升了應急響應的效率。
並且基於此,新東方正在搭建安全私有云平臺,以保障集團400多業務應用的執行。楊寧表示,目前資訊保安私有云平臺在不斷建設完善之中,安全服務能力平臺將會以私有云的模式為集團各業務提供自服務。
新東方的目標是將安全能力融入到企業的每一個業務條線,每一個業務應用中去。從而保護知識成果和敏感資料資訊不洩露,確保業務運營安全合規,保障核心業務應用安全、持續、穩定運營,實現線上及線下業務應用和活動中的資訊保安風險可識別、可管理、可控制。