编者按:在巴黎奥运会即将于7月26日开幕前夕,巴黎奥组委首席信息安全官兼网络安全总负责人弗朗茨·雷古尔接受媒体专访,披露巴黎奥运会网络安保计划情况。
弗朗茨·雷古尔表示,巴黎奥运会网络安全机构的核心是一个全天候运行的网络安全运营中心(CSOC),该中心发挥着“安全瞭望塔”的作用,位置保密,拥有15名轮流在现场工作的人员,以及约30名远程工作人员;巴黎奥组委选择思科和Eviden公司作为主要网络安全合作伙伴,其中思科是领先的软硬件技术提供商,Eviden是主要服务提供商,两家公司围绕“网络治理”和“网络运营”两个主轴制定了循序渐进的网络策略,并提供了近100名员工致力于维护奥运网络安保;为通过全面方法来部署强大网络,并为奥运会保护关键系统,巴黎奥组委还与其他安全提供商合作,以确保重要服务的冗余性;面对奥运会的独特网络任务,巴黎奥组委设定了具体的目标,这类似于在网络成熟的大型企业中实施安全控制;为做好安全准备工作,巴黎奥组委在系统启动后启动了渗透测试、红队测试、漏洞赏金、桌面演习和安全意识培训等活动。
弗朗茨·雷古尔还透露,巴黎奥组委网络安全团队与法国国家网络安全局密切合作以保障赛事的网络安全,为确定灾难发生期间需要优先保护的资产,双方定义了四类组织(重要性由高到低),具体包括:一是对组织奥运会至关重要的系统,如票务门户、物流平台和解决方案、运动员住宿和体育基础设施进出系统等;二是巴黎奥组委及其合作伙伴所依赖的系统,如奥组委成员的终端、运营后端等;三是基础设施运营商,如交通、医院、行政等;四是与奥运会或法国相关的其他组织,如体育提供商、在法国运营的公司等。其中,巴黎奥组委负责第一类和第二类的安全,法国国家网络安全局负责第四类的安全,第三类的安全由双方共同负责。根据网络事件的严重程度和受影响组织的类别,巴黎奥组委网络安全团队与法国国家网络安全局将实施预先确定的安全措施。此外,巴黎奥组委网络安全团队还拥有广泛的威胁情报能力以及与所有合作伙伴的信息共享机制。
弗朗茨·雷古尔认为,巴黎奥运会面临前所未有的网络安全威胁,巴黎奥运会基础设施和法国政府近几个月遭遇了数次分布式拒绝服务攻击和企图;巴黎奥运会面临的网络威胁可归结为四类,即针对赛事涉及的基础设施和人员的威胁、数据泄露威胁、利用赛事品牌和网站的威胁以及信息操纵和虚假信息威胁;巴黎奥组委网络安全团队通过国际奥委会获取了赛事安保的经验,并与往届奥组委团队联络了解情况,如2020年东京夏季奥运会和2022年北京冬季奥运会的团队;经过权衡,巴黎奥组委决定放弃主要基于数据中心的网络,转而采用基于云的环境和分散的系统;CrowdStrike中断事件影响了巴黎奥运会部分终端,导致制服和认证交付延迟,但事件影响只持续了几个小时,巴黎奥组委在不到48小时内就完全恢复了系统和运营。
奇安网情局编译有关情况,供读者参考。
巴黎奥运会将有15000名运动员参加,分布在40个场馆,并将播出超过350000小时的视频。网络安全对于确保本届奥运会顺利、安全地进行至关重要。
2024年巴黎奥组委首席信息安全官兼网络安全总经理弗朗茨·雷古尔是这场数字防御的先锋。
由于网络威胁行为者已经利用该赛事进行欺诈,弗朗茨·雷古尔领导了一支专门的团队,负责保护这场历史性赛事的数字核心。
弗朗茨·雷古尔在接受采访时分享了他与国际奥委会(IOC)和法国政府机构共同领导的四年努力,以确保运动员和观众的安全奥运体验。他还探讨了巴黎奥组委在世界顶级体育赛事期间将依赖的网络机构。
记者:随着2024年巴黎奥运会的临近,你的网络安全团队是否已经做好充分准备?
弗朗茨·雷古尔:我们正处于我们刚开始时想要达到的境地。对于巴黎奥组委来说,2024年巴黎冒险始于四年前,当时包括我在内的成员被任命。
四年前,巴黎奥组委大约有100名员工,我是其中唯一负责网络安全的人。现在,我领导着一支由15名左右的人组成的团队,他们全心全意致力于网络安全,而巴黎奥组委共有3000名员工。
此外,我们的合作伙伴思科和Eviden(法国科技巨头Atos旗下公司)提供了近100名员工与我们一起致力于奥运会的安全保障。
在这四年里,我们花了必要的时间仔细进行风险分析,挑选我们的网络安全合作伙伴,他们都是各自领域的高技能专家,并围绕两个主轴制定了循序渐进的网络策略,即网络治理和网络运营。
我们知道奥组委的网络任务是多么独特,因为我们必须在短时间内保护系统,而这些系统将在赛事结束后被拆除。
但是,我们决定为自己设定具体的目标,类似于在网络成熟的大型企业中实施安全控制。
记者:为了确保奥运会的安全,你采取了哪些最重要的举措?
弗朗茨·雷古尔:首先,我们必须挑选官方技术合作伙伴。我们希望确保我们不会仅仅根据公司的支出来选择,还要根据他们提供的产品和服务来选择。
我们进行了两次咨询对话,选择思科作为领先的技术提供商(硬件和软件),选择Eviden作为主要服务提供商。
虽然它们的解决方案解决了一些问题,但我们需要更全面的方法来部署强大的网络,并为奥运会保护关键系统。我们与其他安全提供商合作,以确保这些重要服务的冗余性。
我们首先在资助成员中挑选解决方案(巴黎奥组委96%的资金来自私营部门),然后通过公开招标程序。我们不会透露任何其他供应商。
系统启动后,我们启动了一项私下测试计划,有200多人参与,包括道德黑客。该计划包括渗透测试、红队测试、漏洞赏金和桌面演习。
然后,我们开展了几次意识培训和活动,有时用奖品和礼物激励我们的合作伙伴。
2024年巴黎奥运会的大部分IT系统于2023年夏季投入运营。在过去的几周里,数以万计的志愿者加入了我的团队,在赛事前和赛事期间为我们提供支持。
记者:你能向我们介绍一下你和你的团队为确保奥运安全而实施的关键安全措施吗?
弗朗茨·雷古尔:作为2024年巴黎奥运会安全机构的核心,我们运营着一个全天候网络安全运营中心(CSOC)。该中心有15名轮流在现场工作的人员,还有两倍于此数量的远程工作人员。
CSOC的位置,我们的“安全瞭望塔”,是保密的。
我们与法国国家网络安全局(ANSSI)密切合作,该机构是我在巴黎奥组委的团队与法国政府之间在奥运会期间有关网络安全问题的唯一联络点。
为了确定在灾难发生期间需要优先保护的资产,法国国家网络安全局和巴黎奥组委网络团队定义了四类组织,按重要性从高到低排列:
1. 对组织奥运会至关重要的系统(票务门户、物流平台和解决方案、运动员住宿和体育基础设施进出系统……)
2. 巴黎奥组委及其合作伙伴所依赖的系统(奥组委成员的终端、运营后端……)
3. 基础设施运营商(交通、医院、行政……)
4. 与奥运会或法国相关的其他组织(体育提供商、在法国运营的公司……)
巴黎奥组委负责第一类和第二类的安全,而法国国家网络安全局负责第四类。第三类组织的安全是共同的责任。
根据网络事件的严重程度和受影响组织的类别,将实施预先确定的安全措施。
我们还拥有广泛的威胁情报能力以及与所有合作伙伴的信息共享机制。
记者:法国国家网络安全局表示,预计巴黎奥运会期间将发生约40亿次网络攻击。你预计奥运会期间将出现哪些主要网络威胁?
弗朗茨·雷古尔:首先,我们巴黎奥组委倾向于谨慎并避免公布数字,因为网络攻击、网络事件甚至是企图但失败的恶意活动间的界限可能很模糊。
但有一件事是肯定的,我们会受到攻击。事实上,我们已经受到攻击了,过去几个月里,奥运会基础设施和法国政府遭遇了数次分布式拒绝服务(DDoS)攻击和企图。
我们还发现,利用与活动相关的品牌,通过虚假网站和售票门户网站欺骗游客的企图日益增多。
我不会过多地谈论这个方面,但总结一下,我们面临四种类型的网络威胁:
1. 针对赛事涉及的基础设施和人员的威胁
2. 数据泄露,尤其是运动员和游客的数据
3. 利用我们的品牌和网站的威胁
4. 信息操纵和虚假信息
记者:往届奥运会对你们团队确保本届奥运会安全的方法有何影响?
弗朗茨·雷古尔:从一开始,我和我的团队就一直与国际奥委会合作,国际奥委会的成员分享了他们确保此类活动安全的经验,并让我们与之前的奥组委团队取得联系,包括来自2020年东京夏季奥运会和2022年北京冬季奥运会的团队。
2021年,我在东京担任观察员,这让我看到了我的任务所面临的挑战。
我们评估了这些团队做得好的地方和可以改进的地方。有时,我们还必须做出与以前的团队不同的选择,这要么是因为我们的运营环境(文化差异和每个国家现有系统的特点),要么是因为我们必须考虑到技术从那时起已经发生了变化。
例如,我们决定放弃主要基于数据中心的网络(即2021年在东京选择的基础设施),转而采用基于云的环境。
我们还选择了一个不太集中的系统,运营基础设施和团队成员分散在法国各地。
就像我在2021年东京奥运会上一样,我们邀请了两位未来的奥组委成员加入我们的团队。这些成员将参与2028年洛杉矶夏季奥运会和米兰科尔蒂纳冬季奥运会期间的系统安全工作。
记者:据报道,7月18日CrowdStrike公司Falcon更新故障导致重大IT中断,影响了2024年巴黎奥运会的IT运营,主要影响了制服和认证的交付。这对你们的团队来说是一个警钟吗?
弗朗茨·雷古尔:此次中断确实影响了我们的部分终端,但影响非常有限。这意味着我们在交付认证时会面临几个小时的延迟。
是的,这很不幸,因为在奥运会前夕,每天都有数百项认证需要办理,但我要强调的是,这次中断只持续了几个小时。
感谢我们的合作伙伴、与我们一起努力的专家以及我们在过去四年中为确保最佳弹性而进行的所有测试,我们能够在不到48小时内完全恢复我们的系统和运营。
然而,我们总会从这样的事件中学到一些东西,而这次事件让我们能够做出进一步的调整,以确保它不再发生。
推荐阅读
网安智库平台长期招聘兼职研究员
欢迎加入“安全内参热点讨论群”
文章来源:奇安网情局