我国金融行业的数字化转型工作近年来取得了显著的成果,通过Web应用、APP和小程序等多种形式为广大用户在处理各类金融业务时带来了极大的便利。但是在数字化重塑业务服务模式的同时,线上金融业务不断扩大也给金融机构带来更庞大的边界暴露面以及更复杂的内部网络环境,面临的安全风险防护形势也就愈发严峻。潜伏在暗处的攻击者可能在任何时间从任何方向完成突破、入侵,金融机构则需要建立安全运营体系做到纵深防御的面面俱到。这种攻防双方极度不对等的态势需要防守者长期保持“高度警惕”的状态,给安全建设工作带来了极大的挑战,正所谓道高一尺、魔高一丈。相应的,综合考虑实战攻防形势、金融行业现状、国际环境等多纬度因素,包括人民银行、银保监会、证监会等对于金融行业科技发展和安全建设也指出了一系列发展方向,给金融机构在安全自主可控、风险识别处置、安全管理控制等安全运营工作上都带来更高的挑战,例如: | | |
| | - 践行安全发展观,运用数字化手段不断增强风险识别监测、分析预警能力,切实防范算法、数据、网络安全风险,共建数字安全生态。
|
| | - 加强金融网络安全能力评估、风险排查、安全防御、漏洞管理等标准建设,助力提升网络安全威胁发现、监测预警、应急处置、攻击溯源能力。
|
| | - 构建云环境、分布式架构下的技术安全防护体系,加强互联网资产管理,完善纵深防御体系,做好网络安全边界延展的安全控制。
- 建设安全运营中心,充分利用态势感知、威胁情报、大数据等手段,持续提高网络安全风险监测、预警和应急处置能力,加强行业内外部协同联动。
|
| | - 持续改进信息安全管理体系;加强行业信息安全顶层设计;加强行业网络安全防护;持续提升安全运营水平。
|
| | - 加强处置应对,不断提高监测、预警能力,制定完善的应急处置预案。
- 持续推进网络安全保障能力建设,强化安全管理整体协同、统筹协调,构建安全运营中心,以面向新型未知威胁、大规模网络安全事件的监测预警作为重点,持续提升网络安全威胁态势感知能力。
|
金融行业因为其天然离“钱”近的属性,往往是不法分子的重点攻击对象,也因此金融监管部门对金融机构有着较高的网络安全建设要求。但我们都知道攻和防是一个持续博弈的关系,随着防御手段的升级,攻击的手段也愈发变得隐蔽、刁钻,攻击方的不断精进在攻防演练中总能给到防守方意想不到的“惊喜”,提醒着防守方在安全建设或运营方面仍有需要加强的部分。那么,从实战攻击技术演进角度,金融行业主要面对怎样的挑战呢?攻击武器自动化
据Recorded Future分析表明,自动化的攻击工具和资源已形成生态系统,地下黑市销售的各种工具能够让攻击链几乎每个环节都实现自动化,从攻击面侦察、网络侵入到有效负载投递、逃避检测、泄露数据以及被盗数据货币化。在过去,这些自动化工具需要攻击者花费数月时间才能开发、测试和部署,现已可以“开箱即用”。另一方面,随着近几年无数次实战攻防演练的打磨,经验丰富的攻击团队慢慢都积累了自研的专属武器库,将之前大量需要人工试探的步骤自动化,大大提升了入侵的成功率和效率,也是攻击武器自动化的佐证。这使得金融机构也不得不进一步提升防护体系建设的自动化能力:
- 对于自动化攻击行为尽可能多的布置探针进行发现诱捕;
- 全局盘活各类安全设备,统一运营、分析,实现高效防护。
深挖Web应用攻击
实战攻防中,Web应用攻击是最常使用的攻击手法之一,只需通过互联网即可发起攻击达到获取数据、执行命令、控制服务器等目的,直接威胁企业安全。围绕金融行业Web应用的攻击也随着技术演进而进化:攻击面方面,除传统Web系统外,公众号、小程序、API、移动APP等也在逐年扩大;攻击手法上,随着Java应用和中间件兴起,针对Fastjson、Weblogic、Shiro等的反序列化攻击可更快速突破目标撕开防线;攻击目标方面,攻击者针对各类OA、邮箱、CMS等可直接获取敏感数据或权限的系统进行了更充分的漏洞挖掘,并采用更加细腻而隐蔽的入侵流程。这使得金融机构需要进一步加强Web侧的攻击检测和防护:
- 在不影响业务的同时,要尽可能的自动化拦截掉所有攻击流量。
供应链攻击
金融行业在银行、证券、保险三大细分行业内都有较相似的业务构成,相应的其IT架构组成和安全设备构成也具备较高的通用性,这使得针对供应链低成本、高收益的攻击方式成为不可忽视的一个环节。近年来SolarWinds、Codecov等事件的爆出,也无一不展示了供应链攻击的巨大威力。攻击者已着力针对金融行业供应链开展大量的调研和信息搜集工作,并发现目前很多软件供应商安全建设非常滞后,甚至可以获取到软件源码进行漏洞研究。于是在实战开始后,可以迅速定位金融机构使用供应链软件特征,拿出积累的研究成果快速实现边界突破甚至拿下集权控制系统。这要求金融机构在加强安全设备、软件系统、硬件设备等安全性准入要求的同时,也要尽可能地对自身全局的资产及其可能存在的漏洞等安全风险信息做到全面、准确、及时的掌握和防护应对。在金融行业不断加强的安全建设要求背景之下,以及持续演进的攻击技术压力下,金融机构的安全运营也自发进行着持续演进。在长亭科技视角下看来,安全运营演进正按照从被动运营到主动运营,再迈向敏捷运营的过程。被动到主动
在金融行业大量盛行实战攻防演练前,大多数金融机构以满足合规、能够救火、不出安全事件为目标进行被动响应式的安全运营;随着过去五年来,大量安全建设相对靠前的金融单位参与了实战攻防演练,其安全运营目标转向了协同联动、主动防御、全局集中管理。相应的在运营中所做的主要工作也从合规、基础建设转向了威胁预警处置、协同联动分析等,如下图所示:做到主动安全运营还不够,面对持续演进的攻击技术,安全运营工作需要借助攻击能力持续验证防护能力和相应策略,同时运营方也需要结合防护情况持续强化自身的攻击能力,才能做到更敏捷的攻防相长“内循环”,保证面对实战攻击时成熟、全面、有效的安全运营效果。近来,长亭科技陪伴部分金融机构开始了从主动运营进一步向敏捷运营演进的过程,可以发现其日常安全运营目标转向了持续度量、体系化和自动化,提升整体安全运营的成熟度、有效性和覆盖度:- 建立运营评价指标,实现对人员、流程及设备能力成熟度度量;
- 稳定有效地应对安全威胁,识别安全能力保护范围覆盖度;
- 以攻量防(有效性+覆盖度),持续度量,进而持续提升;
攻防能力成熟度模型
迭代优化的思路流程,需要有理论模型的支撑。那么,要如何更准确的定位以攻量防中的攻击能力、防护能力呢?我们着眼于企业安全建设过程管理的高弹性、可扩展、可度量需求,结合业界权威的多个安全建设模型,构建了攻防能力成熟度评估体系。并在为超过50家企业提供攻防能力成熟度评估以求解决运营目标的过程中,持续优化此模型,迭代出2.0版本:攻防能力成熟度模型认为,能力是“人、流程、技术”综合作用后产生的对业务的支撑力,并将攻防能力细化为7大能力纬度进行成熟度评估量化。我们将敏捷运营思路与攻防能力成熟度评估模型相结合,抽取出其中最关键的攻击能力、防护能力和保护对象:一体&三中心
有了明确的迭代方法和对应各模块的能力要求模型,那具体要怎么将敏捷运营给运作起来呢?敏捷安全运营的目的是通过在企业内部明确、培养攻击能力,进而“内循环”模拟道高一尺、魔高一丈的攻防态势,避免企业在毫无防备的情况下面对高水平攻击而手足无措,其中需要实现四个主要动作有:一体
为了完成上述动作,敏捷运营依托于一体化攻防知识库,进而搭建自动化工具平台、安全度量体系,这三个关键要素的主要内容有:- “一体”:构建涵盖靶场环境、漏洞信息、PoC、威胁情报和防御方案的攻防知识库;
- 自动化工具平台:集合各类安全产品、技能攻击工具、知识运营平台和技能实训平台;
- 安全度量体系:根据攻防能力成熟度评估模型,持续度量团队的攻击能力、防守能力和人才培养能力。
并在运营过程中,通过攻防知识库赋能工具平台、能力度量,再反过来通过度量结果分析问题本质,进而反哺工具平台和攻防知识库,使运行体系具备持续自我迭代的能力。三中心
有了敏捷运营的思路、体系性的攻防成熟度评估模型、能够自我进化的一体化攻防知识库,剩下要做的便是根据安全运营中最常见的事件响应处置、联动交互防御、能力持续提升这3类运营场景分类构建事件运营中心、交互防御中心和安全能力运营中心,并结合前述思路、模型进行“攻防量控”理念下的实践。攻击和防守是不断博弈、进化的两面,充分构建和利用好攻击能力能够梳理出更明确的防守提升方向,将二者结合方能实现持续自我迭代的敏捷运营路径,希望这些视角能给安全建设工作带来一些启发。尹振玺,长亭科技金融行业技术总监,安全研究员,有丰富的实战攻防对抗经验,助力多家企业开展安全防护体系建设。
大湾区专刊集合了全国数十家金融和科技机构的网络安全工作经验总结,内容涉及防护体系、资产管理、研发安全、攻防演练、安全运营、数据安全、业务安全七大主题方向,希望能为从业者提供网络安全防护方面的整体思路,向行业传播可持续金融创新和实践经验,为推动可持续金融生态发展汇聚智慧与力量。
文章来源: https://mp.weixin.qq.com/s?__biz=MzIwNDA2NDk5OQ==&mid=2651386080&idx=2&sn=25199696966e3d1c14ffc0f083de4064&chksm=8d398168ba4e087e31e45f9a1d033b1a20860688c03e519a0619ec7e0531303e346b8387d2db&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh