观点 | 商业银行攻防检测体系建设思考
欢迎金融科技工作者积极投稿!
投稿邮箱:newmedia@fcmag.com.cn
——金融电子化
文 / 中国光大银行信息科技部 李烨琦
当前,国际国内网络安全形势复杂严峻,国家级、组织级黑客频频对我金融行业的关键信息基础设施实施攻击,网络安全已经上升到国家层面、攻守双方技术博弈瞬息万变,同时,经过多年的国家级演习洗礼,“实战”攻防时代已经到来。金融业作为关键信息基础设施重要运营企业,应贯彻落实网络安全“实战化、体系化、常态化”的工作要求,建立“攻防兼备的”金融行业防护队伍,与时俱进,以应对日益严峻的网络安全挑战。
进一步加强攻防检测体系建设的
驱动因素
1.法律约束、监管政策要求提高
近年来,国家连续出台《网络安全法》《数据安全法》,监管机构提出“三化六防要求”、发布《网络安全审查办法》《关键信息基础设施安全保护条例》等,都对网络安全攻防能力建设提出了新的要求和挑战,各商业银行作为国家金融行业重要基础设施运营者,更应建设适用于自身特点、具有攻防兼备能力的信息安全体系。
2.行业实战攻防水平提升
实战攻防的核心在于对抗,近年来通过实战对抗、真攻真防,大大提高了金融业对安全的认知,推动了金融业安全能力的升级。在国家级演习中,依靠单兵能力对金融行业的互联网边界进行突破几乎变成了“不可能完成的任务”,攻击方往往需要雄厚的工具、平台、漏洞、团队等体系化作战能力方能有所斩获,而攻防技术水平的提升,也使得攻防演习更加贴近实战APT对抗,对金融行业自主攻防能力建设提出新要求。
3.业务数字化蓬勃发展
随着金融科技数字化、智能化转型要求以及业务扩张需要,金融科技在提升客户体验、提高运营效率、促进业务转型方面扮演着越来越重要的角色。手机APP、公众号、小程序如雨后春笋蓬勃发展。而在业务方开疆拓土的同时,也造成了行业网络安全边界的扩张。如何适应数字化转型,集中攻防能力为大量的新业务新应用做好安全保障,也为攻防检测体系建设提出了新的课题。
4.黑产势力活动频繁
相比于传统的金融犯罪手段,互联网金融犯罪具有门槛低、隐蔽性高、难以追溯的特点,因此仿冒钓鱼网站、金融诈骗、“羊毛党”等违法犯罪行为屡禁不止。如何利用攻防能力建设助力业务方,做好黑产行为的识别、防护、溯源、反制,是银行业金融机构应尽的社会责任,也是保障用户财产安全、维护金融财产安全的重要支撑。
新型攻防检测体系建设思路
1.自动巡检,提高效率
互联网漏洞中,低危漏洞占比过半,对低危漏洞的挖掘占据了安全巡检中相当的时间。对于整体安全来讲,低危漏洞危害有限、弃之不可,但如果将大量时间用于低危漏洞的验证和闭环,势必会影响攻防能力提升的进程。同时,目前对于外部攻击者,自动化攻击工具和资源已经形成生态系统,地下黑市销售的、技术论坛分享的各种工具几乎可以让攻击链的每个环节都实现自动化,一键式上传“内存马”、持久型APT远控等技术已经不需要攻击者花费数周、数月才能研发完成,这使得攻击者的攻击成本和攻击门槛大大降低。面对数量众多的自建及托管互联网应用,传统的人工漏洞挖掘手段暴露出了效率低、响应慢等问题,制约团队安全保障能力。
基于此,可以在两方面进行能力提升,其一是通过商用自动化攻防工具,效仿“安全防御监测”进行互联网7×24小时“漏洞监测”,自动化发现安全风险,以邮件形式进行告警通知,解放部分安全漏洞巡检人员的生产力,使其得以更多投入高级技术研究、高级攻防对抗中;其二针对漏洞统计中较易发现但商用自动化攻防工具支持程度有限的漏洞,采取自研组件的形式进行补充,通过自研安全工具插件,在人工分析过程中自动化发现漏洞,作为自动化攻防工具的有效补充。
2.群策群力,扩大战场
网络安全的尺度是人,人永远都是安全中不可或缺的要素。随着攻防技术不断的发展变化,在大型攻防演习中依靠单兵突破已经难有建树,打造一套集工具、平台、团队为一体的体系化能力,尤其是打造一支知业务、懂技术的网络安全攻防队伍是大势所趋。商业银行应成立由总分行技术人员组成的“网络安全攻防”柔性队伍,并投入实战攻防工作。同时应建立网络安全攻防队伍管理细则,通过“自愿报名、择优录取、量化评价、可进可出”的原则,明确队伍管理机制,确定队伍工作内容及要求,量化队伍评价体系,推出队伍个人、团队、所属单位的激励机制。未来,还应进一步提高总行实战队伍对安全保障的专家作用,扩大安全攻防战场,群策群力,共建安全体系。
3.主动验证,防患未然
一直以来,安全能力建设的难点,更多在于做不做以及行不行,多年来的国家级网络安全演习,基本解决了做不做的问题,大量企业在一次次被“打穿”中也大大提升了对安全重要性的认知。然而,我们在日常工作中发现,依靠攻防演习结果来判断防御能力的高下并不能真正反映行不行的问题。
首先,攻防演习以点突破的属性、以得分为目标的原则,注定了攻击方会对边界突破、核心权限、重要数据趋之若鹜,而以单点为目标的原则往往会因为人员能力参差、漏洞时效不同而存在一定的偶然性。
再者,传统的“背靠背”演习方式使得攻击方对防守方的防御纵深体系并不了解,难以精准发现脆弱性所在。对此,光大银行前瞻性地引入了安全防护有效性技术,未来应结合“有效性防护矩阵平台”建设,丰富安全验证场景,深入验证数据安全、AD域安全、邮件安全、免杀后门等攻防热点领域的防护策略是否有效,在攻防纵深体系的各个环节是否能够应对新型攻击技术的持续打击,推动安全防护能力提升。
此外,应在“背对背”演习的同时,增加“面对面”风险排查的环节,与一线运维、开发、防护人员加强技术互补,深入了解可能存在且被忽视的风险点,推动专项场景化演习,在了解业务脆弱性的基础上进行主动验证,针对性发现、明确风险,推动防御能力提升。
4.热点追踪,主动创新
早期在很多攻击探测者的眼中,以Web为入口,直接从正面突破是最快速有效的方式,而随着实战攻防水平的不断提升,以Web为正面突破的战法成本大大提高,此时攻击专家开始探索更加丰富的入侵手段。2018、2019年,VPN攻击崭露头角,2020年,隐蔽隧道、钓鱼邮件、内存马技术广泛使用,2021年,供应链攻击大行其道。与此同时,监管部门检查重点也逐渐向实战化、新技术方向倾斜。基于此,在攻防探测过工作中更应提前洞悉攻击技术热点发展方向,提前部署检测能力,掌握主动权。例如以下三个方向,值得重点研究。
一是攻击视角资产探测,根据大型演习中攻击方自动化、平台化的特点,大多数攻击队都会提前进行攻击视角的资产摸排。攻击视角资产监测主要在传统的域名、端口等信息的基础上,加入了智能指纹识别,提前掌握中间件、开发框架、开源组件部署情况,一旦出现0day漏洞,可以立即批量利用。
二是供应链安全。供应链安全是在2021年国家级演习中首次被大量使用的攻击方式,供应链企业防护相对薄弱但又手握大量源码、一旦被攻击后果不堪设想。作为新的技术热点,攻防探测体系中应充分考虑供应链攻击的可能性,结合攻击视角资产摸排结果梳理重点供应链企业,展开集中风险排查,忧盛危明、防患未然。
三是近源攻击,经过了近两年演习的洗礼,我们对类似于钓鱼邮件等远程社会工程学攻击的防护水平大大提高。而近源攻击技术方兴未艾,随着物联网发展的大势,将会有大量新型IOT设备出现。同时传统的摄像头、业务终端同样存在近源攻击风险,对此攻防探测也应提前布局,深入解析近源攻击技术,以应对可能存在的风险。
5.提高能力,对外输出
作为技术导向性的工作,攻防检测体系的核心仍然是实战攻防能力的提升,其最终目的是最大限度地提升防护水平。针对目前的安全形势,可提出以下两方面设想。
其一,近年来的攻防演习中,0day漏洞整体呈现井喷趋势,我们发现曾经作为攻防“核武器”的0day漏洞,对于顶尖攻击队更似“常规武器”可以信手为之,这为传统的基于修补漏洞的防御体系提出了重大挑战。所以,新型实战攻防能力提升的方向一定程度上应转向漏洞原理,漏洞被利用后的安全特征等方向。无论使用何种0day漏洞,其最终目的还是对服务器进行控制,而“人过留名,雁过留声”既然要控制服务器则必然会留下痕迹,这些痕迹可能是内存特征、进程特征或日志特征,而一线运维人员、系统管理员往往对这些特征不甚了解,导致安全人员在引导其进行攻击分析时效果有限。攻防人员可以依托攻击经验,整理不同攻击方式的特征,开发自动化证据链提取工具,可以在实战攻防对抗时助力溯源分析工作。
其二,对于外部黑产行为,业务方一般采取“先发现,后治理”的方法,这也导致“薅羊毛”等行为时有发生,对正常业务发展造成影响,安全攻防人员可据此,结合外部黑产分析情报,以及黑产身份溯源、黑产工具分析等工作,提前为业务部门进行预警,减小黑产攻击损失,助力业务安全。
(栏目编辑:韩维蜜)
往期精选:
(点击查看精彩内容)
● 观点 | 区块链在跨境金融领域的研究和探索——中国银行关于跨境金融区块链平台应用及展望
● 观点 | 增强业务融合,提升价值创造,深入推进金融安防数字化转型
● 观点 | 构建智慧安防体系,服务金融高效发展——中国农业银行打造企业级智慧安全管理平台
新媒体中心:主任 / 邝源 编辑 / 傅甜甜 张珺 邰思琪