從容應對服務安全風險 眾邦銀行的服務器安全進階之路
“當我們管理的服務器數量只有幾臺時,一個安全工程師就完全能應對;當需要管理的服務器數量達到幾十臺、上百臺的時候,就必須要一個安全團隊的介入了;而當服務器的數量達到上千,甚至上萬臺規模的時候,就不是靠簡單靠堆人就能解決的了,可能前腳我們把這批服務器的漏洞給修復了,后腳其他服務器又爆出新的0day漏洞,或者在某個機房還有幾臺早該下線的服務器還在運行,安全人員始終要處于一個提心吊膽的狀態。
服務器安全其實是一個量變到質變的過程,你管的服務器越多,攻擊面暴露就越多、安全風險越高、被入侵的可能性越大,尤其是云計算帶來的云主機&容器數量激增、生命周期變化、安全邊界模糊、東西向缺乏管理以及多云混合環境等問題,都給我們的服務器安全管理帶來了巨大的挑戰。”
武漢眾邦銀行成立于2017年,是國內首家專注服務小微大眾的互聯網交易銀行,目前位于國內民營銀行第一梯隊,服務客戶數超過3500萬。
成立以來,眾邦銀行始終秉承“專注產業生態,幫扶小微企業、助力大眾創業”的使命,以交易場景為依托,以線上業務為引領,以供應鏈金融為主體,以大數據風控為支撐,著力打造三個銀行,即“打通交易與場景的互聯網交易銀行,致力于產融深度融合的供應鏈金融銀行,數字化驅動科技賦能的開放型數字銀行”。
服務器安全面臨的三大難題
為應對層出不窮的網絡攻擊,眾邦銀行現已建成了完善的邊界安全的體系,防火墻、IPS、WAF對常見的網絡攻擊形式有非常良好的發現和阻斷效果。
然而,加密流量攻擊、內存馬無文件攻擊、0day等新型高級攻擊手法開始大行其道,僅依靠邊界防御很難實現對這些攻擊的完全阻斷,一旦黑客繞過邊界防御體系并入侵到服務器本地,就很難從外圍做攻擊監測和溯源。
與此同時,隨著眾邦銀行的業務規模不斷擴大,服務客戶數量不斷提升,日益增加的服務器數量,使得系統、應用、端口等核心資產快速增加,管理難度日益增加。
“目前,眾邦銀行數據中心資產數量已經相當可觀,再通過傳統人工方式清點資產的方式效率非常低,無法實時了解主機上的細粒度資產變化。”
眾邦銀行安全負責人表示,例如Web中間件資產、影子資產、應用版本、系統賬號信息等;暴露面、資產梳理顆粒度粗放、資產運營機制缺失等資產管理問題,嚴重制約了網絡安全水平提升,成為阻礙當前網絡安全建設與運營的一道鴻溝。主要體現在以下幾個方面:
第一,傳統掃描工具存在識別效率低、誤報高、業務影響大等問題,對服務器操作系統、中間件、Web應用的漏洞弱口令等資產的脆弱面風險發現,缺乏精細化的管理工具,無法快速定位。
第二,加密流量、免殺Webshell、無文件攻擊等對抗手法持續升級,單純通過網絡層面很難做到體系化的安全防御,無法對主機層面的惡意賬號、非法/可疑進程、混淆操作指令等主機入侵行為進行監測,傳統網絡監測手段只能覆蓋20%左右的攻擊行為。
第三,高級威脅潛伏安全事件發現周期長,安全事件發生后難以快速檢測并溯源,難以追蹤攻擊行為如何進入主機、惡意文件是如何獲得對計算機的訪問權限并嘗試運行的,及時發現,并溯源響應。
三大舉措從容應對服務器安全挑戰
“服務器安全作為數字資產安全最后也是最重要的一道門,其重要性不言而喻。”眾邦銀行安全負責人說。
眾邦銀行希望通過奇安信椒圖服務器安全管理系統(以下簡稱:椒圖)針對現網資產進行自動梳理,實現資產“心中有數”;依托椒圖主機入侵檢測和溯源能力,提前發現主機上的安全風險,并結合現網NGSOC建設全網監測閉環體系,實現先進性、完整性、針對性的實戰效果,大幅提升現網安全建設成熟度。
經過一段時間的磨合與實戰化運營,眾邦銀行實現了以下幾個目標:
首先是資產管理,全局在握。
通過在云主機上部署椒圖輕量級agent,眾邦銀行構建了基于資產視角細粒度自動化資產庫,包括服務器配置信息、應用、端口、進程、賬戶、計劃任務等13多類、數百項服務器核心資產,實時感知資產變化,讓資產管理準確、高效;同時支持全局資產搜索功能,可快速搜索全量資產數據,當出現最新的漏洞時,可以在快速定位受影響的業務資產。
在此基礎上,眾邦銀行實現了對分散在多個數據中心服務器的統一管理,將系統、版本、業務狀況放在全局統管視角,并及時對存在問題的資產進行了快速排查,避免了因為shadow it導致的安全風險。
其次是風險識別,自我洞見。
椒圖風險檢測模塊,能夠從多個維度對眾邦銀行所有服務器進行脆弱性掃描和整體評估分析,幫助安全運營團隊隨時掌握系統中漏洞和病毒、Webshell、弱口令等其他風險情況。眾邦銀行負責人表示,目前椒圖可以幫助眾邦銀行自動識別系統和應用高危漏洞數量近700項,基本覆蓋所有主流可利用的漏洞。
除了風險識別的功能外,眾邦銀行還基于椒圖系統配置核查、系統服務核查、web應用核查等多維度基線檢查能力,構建自動化風險檢測體系,實現攻擊面的及時發現和有效管理。
第三是聯防聯動,能力進階。
服務器安全從來不是“單打獨斗”,而是需要協同聯動。
基于EDR智能分析引擎、實戰化威脅情報等多維度的威脅檢測技術的聯動,眾邦銀行實現了對服務器端發生的命令執行、文件操作和網絡IO進行持續監控,還原基于ATT&CK框架的完整攻擊鏈,并自動生成多維度溯源報告,包括前、中、后階段的:暴力破解、異常登陸、后門檢測、反彈shell、本地提權、Webshell、無文件攻擊、橫向移動等,甚至包括進程樹、可疑文件下載等多維度信息,大幅提升了椒圖告警的可研判性。安全運營團隊能夠通過運營、不斷優化規則及檢測引擎,持續降低誤報率。
同時,眾邦銀行還將椒圖的服務器告警信息,實時推送至公司已經部署的奇安信態勢感知與安全運營平臺(NGSOC),包括資產信息、失陷主機信息、惡意文件信息、以及服務器端全量行為日志進行記錄和分析,對云上、云下的安全事件進行統一梳理和分析,從而構建全網監測閉環體系;當安全事件發生后,安全運營團隊還通過NGSOC下發處置動作到椒圖SSK引擎,實現聯防聯動、快速處置,縮小安全事件影響范圍和影響時間,提高大幅提升處置效率。
以硬實力獲得客戶認可
眾邦銀行安全負責人表示,奇安信椒圖資產清點、風險識別及入侵檢測能力,幫助眾邦銀行構建了服務器端“預防-響應-溯源”的主動防御體系,讓服務器安全原本的“無從下手”到如今的“從容應對”,以更貼近實戰化的安全方案方案,提升了現網的安全成熟度和聯防聯動能力,匹配了攻防常態化的安全需求。
