陜西省聯社:威脅情報驅動的數據安全主動防御平臺
“十四五”開局之年,陜西省聯社以數字化轉型為契機,切實履行保障客戶信息安全的社會責任,加強數據安全整體態勢感知,通過建設基于威脅情報驅動的數據安全主動防御平臺,持續提升數據安全防護水平。微步在線參與了該平臺的建設與實施。現該案例已入選第五屆農村中小金融機構科技創新優秀案例的“信息安全優秀案例”并在金科創新社網站“案例庫”中展示。
本文轉自金科創新社案例庫:http://www.fintechinchina.com/index/article/info.html?type=2&id=3651
項目背景及目標
伴隨著全球范圍的數字化浪潮,數據已經成為新一代核心生產要素,數據紅利背后的數據安全形勢日益嚴峻,數據泄漏、個人隱私竊取等安全事件呈現出突發的態勢。在此背景下,國家相繼頒布了《網絡安全法》、《數據安全法》、《個人信息保護法》等重要法律法規,數據安全防護已提升到國家安全戰略層面。銀行機構作為關鍵基礎設施單位,在經營活動中沉淀了大量個人客戶信息、金融信息、交易信息,形成全社會可信度最高的一類數據,自然成為數據安全重點保護的行業。
陜西省聯社積極落實國家數據保護法律法規,以自身數字化轉型為契機,切實加強個人金融信息保護,持續推動數據安全技術防護體系建設,完成了傳統數據安全防護系統建設,嚴守數據安全底線。但這些傳統安全防護系統采用“豎井式”部署架構,側重于基于網絡邊界的靜態防御,此種策略能夠應對傳統黑客攻擊,但無法防御新形勢下的高級可持續攻擊(APT),且不同防護設備之間的數據相對割裂,形成信息孤島,只能獲取局部的攻擊信息,無法構建出完整的攻擊鏈條,難以發現并追蹤真實的攻擊行為和攻擊者身份。在新形勢、新業態下急需建設一套覆蓋全網,具備全面深度威脅檢測、感知全網安全態勢的防御系統,抵御APT攻擊,降低金融數據泄露風險。
“十四五”開局之年,陜西省聯社以數字化轉型為契機,切實履行保障客戶信息安全的社會責任,加強數據安全整體態勢感知,通過建設基于威脅情報驅動的數據安全主動防御平臺,持續提升數據安全防護水平。該平臺將借助外部專業威脅情報信息,全面、及時、準確監測內外部威脅,降低網絡攻擊和數據泄露風險。結合異常規則、大數據、機器學習、威脅建模等先進檢測技術,對承載金融敏感數據的網絡進行檢測,通過對攻擊事件的聚合和關聯分析,全面提升針對攻擊威脅的檢測、發現、分析、定位和溯源能力,從正常行為中發現未知威脅事件,利用情報線索預測未來可能發生的安全事件,從“被動式”向“預判主動式”轉變,實現數據安全威脅的主動防御,構建適應新形勢下的數據安全防護體系,提升數據安全和個人金融信息防護水平。
項目方案
基于威脅情報驅動的數據安全主動防御平臺采取旁路流量鏡像部署方式,集中采集全網關鍵流量和傳統安全防護設備日志,實現省聯社數據中心安全檢測全覆蓋。結合威脅情報信息,高效匯聚真實有效攻擊數據,形成全網整體安全態勢,采用旁路阻斷技術,有效對發現的威脅進行封禁處置。
平臺總體上劃分為數據輸入模塊、數據標準化模塊、威脅檢測模塊、數據展示模塊和響應處置模塊,架構如下:
圖1 平臺總體架構圖
數據輸入模塊
包括流量數據、終端日志以及資產數據的接入。支持實時、全面地采集跨網絡訪問(南北向)和內網區域間訪問(東西向)的雙向流量;利用終端Agent采集接入終端的活動日志和可疑文件等;可通過Syslog、Kafka等方式接入各類網絡、主機和安全設備日志,如DNS日志、HTTP/HTTPS訪問日志、VPN登錄日志等。
數據標準化模塊
利用高性能協議解析引擎將接入的原始流量解析為結構化報文,通過范式化、數據抽取、字段解析和事件映射等技術將流量數據和日志數據深度解析成標準格式,在對資產數據進行內容豐富的同時,為進一步的威脅檢測做準備。
威脅檢測模塊
主要包含本地實時監測、本地異步分析和云端檢測三部分,運用威脅情報、機器學習、簽名特征檢測、異常檢測、行為基線、數據回撈等技術,在發現實時攻擊的基礎上,實現對歷史數據的關聯分析和智能聚合。
數據展示模塊
對資產發現情況和威脅識別情況進行全面展示,根據威脅類型和入侵程度展示失陷主機、攻擊成功事件、針對性攻擊、內網滲透、外部攻擊和敏感數據泄漏等事件,并展示攻擊過程鏈條。全面展示發現的業務資產情況,包括系統名稱、域名、IP、開放端口與服務、API接口及其訪問量等信息,以及后臺暴露面、弱口令、撞庫事件、敏感信息漏洞等風險。
響應處置模塊
對高可信攻擊IP和目標主機進行重點監控,根據歷史流量數據中的攻擊行為還原攻擊者畫像,為攻擊回溯提供支撐;支持對海量數據日志進行快速檢索查詢,支持以Syslog、HTTP API等形式將日志輸出至第三方系統;支持聯動第三方防火墻或旁路阻斷模塊/設備進行自動化封禁阻斷。
創新點
引入高可信威脅情報數據,提升網絡攻擊事件研判能力
1. 事前情報預警,提前防范
通過引入外部高質量情報,可提前發現針對銀行業的情報信息(攻擊者IP、特征、手法等)。將提前獲取的攻擊IP、域名、payload等情報提前加入到安全防護設備中,形成基于情報的事前預警機制,及時發現、分析、阻斷攻擊事件,做到“防患于未然,先人一步”,有效提升傳統安全設備防御能力。
2. 事中對威脅事件關聯分析,展示完整威脅攻擊鏈
將傳統防護設備的防護日志和自身流量檢測能力相結合,利用威脅情報對海量日志告警進行驗證過濾,對抽象告警信息進行上下文關聯豐富,按照攻擊者、攻擊告警時間等特征對同一黑客團伙行為進行歸類合并,形成攻擊者完整攻擊鏈條,運維人員可聚焦在真正的威脅上,降低安全運維壓力。
3. 形成黑客攻擊畫像,協助事后取證與樣本分析
利用沙箱等靜態與動態分析技術,進一步分析提取樣本的特征簽名與網絡行為等信息。結合威脅情報中的攻擊者特征與資產內容,發現該攻擊事件所屬團伙以及背景信息,明確攻擊者攻擊資產、攻擊工具、攻擊手段、攻擊特征等信息,形成攻擊者“畫像”,掌握攻擊者心態、意圖、手法,從而提升應急響應能力,做到“知己知彼”,彌補實戰攻防中不對等的態勢。
高效的威脅處置能力,集中阻斷全網威脅
1. 采用旁路網絡阻斷技術,解決威脅處置的短板
利用TCP協議原理,在檢測到威脅流量或事件時,以中間人身份,主動模擬發送重置連接數據包,中斷攻擊者與受威脅主機的網絡連接。在不改變網絡拓撲的情況下,對惡意連接進行了集中有效阻斷,實現了覆蓋全網的“分布式防火墻”功能,部署簡單,實戰效果好。
2. 聯動第三方阻斷類設備
對檢測發現的惡意攻擊IP、域名等信息,可自動同步給第三方阻斷類設備,通過阻斷類設備API或外部資源調用方式,聯動第三方阻斷類設備進行阻斷。
IT資產梳理全覆蓋,減少資產暴露面
1. 通過采集關鍵流量數據,并對流量進行識別,被動梳理出端口、服務、中間件、Web應用、域名等資產。特別是可梳理出應用系統開放的API接口,記錄API調用信息,識別使用弱口令的接口,滿足人民銀行《商業銀行應用程序接口安全管理規范》的安全運維管理要求。
2. 實時被動檢測數據資產,檢測數據調取情況,記錄調取數據的IP、指紋等信息,對異常訪問請求進行記錄。實時監測網內文件傳輸內容,以全局視角查看內部傳輸、外部上傳文件內容,有效抵御了內部數據泄露風險和外部上傳木馬風險。
3. 利用被動監聽技術實現對外暴露后臺和管理頁面的實時監控,及時發現后臺頁面對外暴露風險,識別對后臺頁面的撞庫行為,判斷撞庫是否成功。
技術實現特點
平臺依托高可信威脅情報數據,通過分析網絡流量、傳統安全防護設備日志、終端日志等安全數據,利用高精準規則、威脅情報、異常行為、機器學習、行為基線等技術,研究并動態識別出網絡中的資產、威脅及風險,發現持續針對性滲透攻擊、撞庫威脅、敏感數據竊取等事件,以及尚未掌握的新型攻擊手段、APT、0-Day等未知威脅。通過提取攻擊特征屬性、完整還原攻擊鏈條,對攻擊滲透路徑進行內部溯源,對攻擊團伙特征進行畫像,利用旁路阻斷技術集中防御。構建集持續檢測、深入分析、內外溯源、定位取證、隔離阻斷為一體的主動防御體系。
? 全網威脅感知
在不改變現有網絡結構的情況下,采集的全網鏡像流量,實現對內外部攻擊的精準識別,包括“外對內”、“內對內”、“內對外”等攻擊行為。通過對全網流量的深度檢測和對傳統安全設備日志匯總分析,為安全運維人員提供“上帝視角”,將全網安全威脅和攻防態勢輸出到威脅態勢圖中,為安全運維人員全面掌控風險和決策提供數據支持。
? 攻擊精準識別
聚焦于發現真正安全威脅,利用機器學習、異常分析、威脅建模、關聯分析等技術與威脅情報能力相結合,實現對零散、局部的攻擊告警信息的智能聚合。在大量告警日志中確認出針對性攻擊事件,自動為攻擊IP標注威脅特征標簽,判斷攻擊事件是否成功,并可還原網絡攻擊鏈條。
? 資產全面梳理
“萬物皆流量”,基于流量的資產識別能夠明確現有IT資產使用情況,以流量視角發現IP、域名、端口、協議、服務、WEB站點、API等資產及其開放情況,并自動識別其關聯關系。采用被動式流量進行資產識別,可實時掌握網內新增資產,特別是可以識別主動掃描類系統難以發現的API資產,有效彌補主動掃描類資產發現系統的不足。
? 攻擊團伙畫像
利用威脅情報數據與出入站流量、日志進行碰撞,對攻擊者進行畫像和手法分析。從攻擊特征、活躍度、攻擊手法、攻擊目標系統等多個維度分析攻擊行為,研判黑客的主要攻擊目標和最終意圖,實現對攻擊團伙的聚類分析,例如通過攻擊畫像聚合隱藏在大量代理IP、秒撥IP偽裝下的真實攻擊者身份。通過對攻擊者和攻擊目標的匯總和畫像,提前掌握黑客攻擊目標,可以做到提布防。
? 失陷主機檢測
通過多種手段發現失陷主機:一是利用高可信的C2地址、Webshell、特征文件等失陷指標(IOC)情報數據與網絡流量、日志進行碰撞,可以識別存在反連行為的被控失陷主機;二是基于深度學習的DGA域名模型和DNS隧道通信模型進行檢測,覆蓋常見典型入侵控制手法;三是建立主動外聯行為特征基線模型,實時檢測心跳連接、不常見域名連接等異常行為,發現未知威脅。
項目過程管理
本項目于2021年2月啟動,2021年8月正式投入運行,項目建設周期為7個月,項目主要經歷了需求分析、功能測試、部署實施、正式上線、持續運營等5個階段。項目具體建設過程如下:
需求分析階段
- 時間周期:2021年2月
- 工作內容:主要進行前期預研,根據本單位網絡安全現狀完成需求分析與功能的確認,并對系統技術架構、部署模式進行研究。
功能測試階段
- 時間周期:2021年3月至2021年4月
- 工作內容:根據前期預研形成的解決方案開展功能測試,驗證平臺各功能模塊與實際需求的符合情況,并與傳統WAF、IPS、SOC等安全設備效果進行對比,形成功能測試報告。
部署實施階段
- 時間周期:2021年5月至2021年7月
- 工作內容:根據實際網絡結構和平臺部署模式形成實施方案,完成全網關鍵節點雙向流量采集,并將部分傳統防護設備日志進行收集匯總;完成平臺的部署實施,配置檢測防護策略,完善防護資產信息。
正式上線階段
- 時間周期:2021年8月
- 工作內容:正式上線運行,對生產網絡數據進行分析,優化資產梳理情況,總結安全威脅與攻擊場景。協調開發和運維團隊對平臺中發現的業務系統脆弱性進行修復,根據發現的問題優化平臺策略。
持續運營階段
- 時間周期:2021年9月起
工作內容:上線后的持續運營階段,將平臺納入常態化安全運營流程中。基于威脅感知、資產梳理等能力,持續向WAF、IPS等安全設備輸出策略優化規則。定期向運維團隊反饋新增的業務系統脆弱性以進行整改,逐步收斂暴露面,消除安全威脅,降低數據泄漏風險。
運營情況
平臺自上線以來,共采集省聯社3個數據中心網絡的30余個關鍵網絡節點,覆蓋了全網主要業務流量數據。采集接入的網絡流量峰值達14Gbps。上線后共發現外部攻擊30萬余次,通過關聯聚合分析與智能判定,歸納出攻擊事件1500件,其中具有針對性的攻擊28起,尚未出現攻擊成功的安全事件。
通過全網流量自動準確發現關鍵資產1300余個,識別主要開放端口近2000個,其中確認涉及對外開放的服務約240項,并自動形成了域名、IP、端口、服務、API接口、對外開放情況的關系圖譜。
通過自主學習與異常分析,發現轄內法人機構190余臺終端請求訪問98個惡意DGA域名,部署終端取證Agent,對受感染終端上的惡意進程與程序進行了精確定位和與清除,彌補傳統終端安全軟件在此方面的不足。
項目成效
平臺的建設實現了全網統一安全運營、提升了安全運營時效,解決了傳統安全設備檢測率低、處置不及時、關聯分析不準確等問題,具體成效如下:
1)全網統一安全運營。只需一個安全管理中心即可實時掌握全網安全狀態,從外部攻擊、內網滲透、失陷破壞等多個維度展現了內外網攻擊事件,對全網整體安全態勢進行評估,幫助決策者快速感知全網安全等級,為日常安全運營以及重大安全決策提供支撐。
2)提升安全運營時效。改變了以往在大量告警日志中尋找可疑攻擊線索的局面,消除了大量誤報和無用日志的干擾。安全運維人員可以聚焦于針對性攻擊事件,結合威脅情報信息以及直觀的攻擊特征、原始報文展示信息,做到快速判研事件狀態并選擇處置措施。極大的提升了事件處置效率,縮減了投入的人力和時間。
3)梳理關鍵資產信息。通過自動化構建資產信息,明晰了關鍵資產的開放情況和暴露面,厘清了關鍵業務的訪問數據流,梳理了所有業務API接口。對資產存在的弱口令、撞庫、敏感信息泄漏等風險進行有效監測。
4)協同聯動處置響應。創新性采用旁路阻斷技術、聯動第三方阻斷設備和終端Agent檢測功能。在發現攻擊行為或惡意鏈接訪問后,可依據原本安排好的決策劇本,結合數據信息進行智能決策,自動阻斷惡意網絡連接,或聯動終端Agent程序定位惡意進程,實現網絡攻擊事件的智能聯動處置。
5)主動安全防御。引入了高質量的商業威脅情報數據,可以及時掌握國內外最新網絡安全態勢,并對本機構自身網絡威脅態勢進行精準研判分析。通過高準確度、高專業度、高更新率的情報服務能力,使得可以先人一步發現并阻斷最新網絡攻擊威脅,實現新型網絡攻擊形勢下的主動安全防御,防患于未然。
經驗總結
威脅情報驅動的數據安全主動防御平臺的建設創新性地引入威脅情報,推動了數據安全防護從被動向主動轉變,提升了主動應對數據安全威脅的能力。平臺運用了機器學習、大數據、異常檢測、威脅建模、行為基線等多種技術進行攻擊檢測,構建了統一安全防護大腦,提升了持續檢測、溯源取證、風險預警等安全能力,減少了網絡攻擊可能造成的數據泄露風險,為陜西省聯社數字化轉型筑牢了數據安全防線。該平臺具備部署簡單、覆蓋面廣、檢測準確率高等特點,對中小銀行機構數據安全防護具有一定的適用性,有利于中小型銀行在新形勢、新態勢下,利用科技手段提升數據安全性,減少數據泄露造成的經濟和聲譽損失,為銀行業務整體快速發展提供安全保障。
“十四五”期間,陜西省聯社將抓住改革浪潮機遇,積極向數字化、服務化轉型,加強數據安全治理,關注數據安全和個人信息保護,實現金融數據全生命周期的安全監測與防御,利用零信任、擬態防御、人工智能等新興安全技術,完善數據安全技術防護體系,持續提升數據安全與個人網絡安全防護能力,助力農村金融業務創新和快速發展。
