金融企業網絡安全縱深防御體系建設思考與實踐
隨著整個社會數字化、信息化、網絡化進程加速,支撐金融企業數字化轉型的IT系統越來越復雜,內部系統與外部空間的邊界也愈加模糊。與此同時,網絡攻擊手段越來越豐富,金融企業網絡安全狀況日趨嚴峻。如何構建金融企業網絡安全防御體系、有效抵御網絡安全威脅,成為亟需解決的問題。針對可能的攻擊路徑和現有的防范手段,結合筆者的研究和實踐經驗,本文提出了基于五道防線的網絡安全縱深防御體系建設思路。
第一道防線:邊界防護
網絡安全縱深防御體系中,第一道防線是指企業網絡邊界層面的防護。在“零信任”時代,雖然網絡邊界已經日漸復雜和不盡清晰,但仍是網絡防護的重要前沿。第一道防線的主要作用是拒絕非授權訪問、實現對外部攻擊的主動防御阻斷,筑起網絡安全縱深防御的第一道“墻”。
在眾多主動阻斷防御安全設備中,歷經時代變遷,防火墻仍然是第一道防線中最重要的安全防護設施,用以完成最基本和最有效的攻擊攔截。通過防火墻,企業僅僅向外暴露必要的IP和端口,最大程度減少攻擊面,一旦發現攻擊IP,可立即予以切斷式封禁。現代防火墻已具備更多的安全檢測和防御功能,但基于性能和專業性的考慮,建議僅使用其最基本的網絡封禁能力,而將基于攻擊特征及攻擊行為的檢測交給更為專業的安全工具。譬如同一道防線中的入侵防御系統IPS、應用防火墻WAF等,以及第二道防線中的APT防御、態勢感知等,多數工具可以和防火墻聯動,實現攻擊發現和阻斷的全自動化。
IPS、WAF也是第一道防線中的重要工具,IPS基于數據包的特征以及流量上下文對網絡攻擊行為進行判斷,進而通過控制數據包的轉發來實現阻斷。WAF對HTTP流量進行異常檢測,確保應用請求包安全合規,對可能的WEB攻擊行為進行阻斷或隔離,這兩類工具補充了防火墻網絡封禁的基本功能。
除了上面所列的串行阻斷工具,近年來基于旁路阻斷技術的工具也得到了廣泛應用。這類工具通過流量威脅檢測、威脅情報匹配、實時旁路阻斷等手段的聯動響應,利用Reset數據包實時阻斷,實現威脅檢測、分析、響應、處置的完整閉環。由于是旁路部署,其帶來的生產安全風險較小;由于具備威脅情報能力,可實現對惡意IP的主動阻斷,有較好的靈活性和實時性。
“動態安全防御”這類較新的產品也能在第一道防線起到較好的作用,其通過隱藏和混淆手段,阻礙和干擾攻擊者的認知過程,大幅提升網絡攻擊難度。動態安全防御的核心技術主要包括兩方面:一是對應用訪問中URL、Cookie等元素做動態變形和動態驗證,隱藏攻擊入口,增加WEB應用行為的“不可預測性”。二是通過插入JS代碼對用戶瀏覽器環境以及用戶訪問行為進行數據收集和監測識別,阻斷自動化攻擊嘗試和仿冒式訪問,從而有效防范重放攻擊、注入攻擊、越權訪問、應用層DDoS等各類自動化攻擊行為。
此外,抗DDoS等安全工具,也屬于第一道防線,這里不再展開介紹。第一道防線在傳統工具和新一代工具的合力下,可以從多角度、多層面形成立體式前沿防護。但攻擊者的手段層出不窮,不能寄希望在邊界防御所有可能的攻擊。因此,第二道防線乃至更多道防線是必須的。
第二道防線:監測響應
若攻擊者突破或繞過第一道防線,或者非法接入內網發起攻擊,或是內部人員發起內網攻擊,就需要第二道防線及時發現和阻斷。第二道防線主要通過對網絡流量的分析來發現攻擊,通過網絡全流量安全分析、APT防御、蜜網蜜罐等工具,使用規則推理、沙箱檢測、行為分析、威脅情報、大數據分析、人工智能等分析技術,在攻擊者和信息系統的交互中,及時發現和處置攻擊。
基于流量檢測的安全分析技術在第二道防線中使用較為廣泛,它對采集的網絡流量進行協議會話、文件數據的還原,依靠不同的檢測引擎對還原后的數據進行威脅檢測,產生與之對應的告警并進行自動阻斷或人工處置。單一的網絡流量安全分析產品很難做到網絡攻擊發現的全面覆蓋,通常應部署多個不同類型、不同廠家的此類系統,以達到較高的攻擊檢出率。
APT防御工具作為第二道防線中的重要組成部分,主要功能包括:一是檢測流量中的注入攻擊、跨站攻擊、后門上傳等常規類行為;二是通過靜態、動態沙箱、機器學習等檢測技術的綜合運用,發現魚叉、水坑、郵件,以及其他惡意文件;三是通過異常通信檢測、隱蔽信道檢測、黑客工具識別,發現可能的遠程控制活動。
態勢感知平臺也是第二道防線中的重要角色,其不僅匯聚了全網流量,同時也收集了各類應用系統的日志數據,通過集成威脅情報、蜜網蜜罐等產品,結合企業資產管理平臺信息,采用規則檢測、大數據分析、人工智能等安全檢測技術,自動化、可視化地感知并處置攻擊事件。
值得一提的是,第二道防線需要企業在內部建立起較為完善的網絡全流量匯聚平臺,通過構建跨數據中心的網絡流量集中管理平臺,實現跨中心、跨區域、跨機房間網絡流量的自由調配和按需分配,輸出到各類流量安全檢測設備,實現攻擊事件的偵測告警、響應處置及事件溯源。
第二道防線有效彌補了第一道防線僅關注邊界安全的短板,但其本質是“事中”甚至“事后”的檢測和防范手段,若要做到“事前”的技術防范,構建嚴格的訪問控制機制是根本方法,此即第三道防線。
第三道防線:訪問控制
基于零信任思想,構建嚴格訪問控制機制的第三道防線是預防和阻遏攻擊的“事前”防御手段,可有效防范攻擊者(包括內部人員)發起的各種攻擊嘗試。
訪問控制防線建立在多個層面之上,包括網絡訪問控制、應用訪問控制、文件訪問控制及計算和存儲資源訪問控制等。
網絡訪問控制,如通過網絡分區、VLAN隔離、策略管理等,能有效切斷依賴于網絡的滲透式攻擊及內網橫向拓展攻擊的通路;通過網絡準入工具,可實現基于用戶身份認證的網絡資源訪問控制,將不同類型的用戶劃分到不同的網絡區域,有效防御入侵者通過“抵近式”攻擊非法接入內網;通過上網行為管理或DNS安全工具,可以防范員工連接惡意網站或阻斷木馬回連;通過資產違規外聯監控手段,可以及時發現內外網隔離失效或員工違規私建信道訪問互聯網,提升攻擊防護能力。
應用訪問控制方面,主要是通過角色訪問控制、身份認證管理、權限管理等工具,實現對應用系統訪問的控制保護,有效減少應用系統風險的暴露面。值得一提的是,用戶名和口令的管理要格外注意,要實現自動、強制的口令修改政策。
文件訪問控制方面,常見的方式是文件加密控制,通過公鑰體制和對稱加密算法,在身份認證和加解密的基礎上,實現文件權限的控制,保障文件在全生命周期內的安全流轉和使用。
計算和存儲資源的訪問控制方面,可通過堡壘機、特權賬號管理、虛擬化訪問控制系統等工具,有效解決計算和存儲資源授權訪問的管控問題,同時可以實現網絡設備、數據庫等IT系統的訪問控制。
此外,部署數據防泄漏(DLP)系統、數據庫安全及審計系統、用戶行為審計系統等,可在另一個層面增強安全控制并及時發現安全事件。
綜上,第三道防線主要通過多個層面的訪問控制技術,有效降低企業內部網絡攻擊帶來的風險和損失。但訪問控制不代表安全監測,對于攻擊者的最終落腳點——服務器與終端,還缺乏一個專業和綜合性的安全監測和響應機制,這就是致力于端點防御的第四道防線。
第四道防線:端點防御
服務器和終端電腦,作為最主要的計算端點,承載著企業的核心價值數據,是網絡攻擊的目標靶點,也是第四道防線重點保護的對象,防御手段包含以下幾方面。
一是惡意代碼防御系統。目前主流的端點惡意代碼防御系統區別于傳統基于文件和靜態主體的防病毒技術,按照物理機、虛擬化、云端等不同部署環境,結合基于惡意代碼特征庫、黑白名單樣本庫等大數據分析技術及基于惡意代碼行為的多引擎檢測技術等,實現面向端點的已知和未知病毒防御、惡意軟件防護等惡意代碼防御能力。
二是端點安全檢測響應系統。這類系統通常采取Agent安裝、服務端集中控制的部署方式,主要包括以下幾方面功能:一是資產梳理功能,幫助企業厘清內部的IT資產,并以此為基礎信息開展安全監控工作;二是端點威脅檢測及處置功能,通過端點行為數據采集,結合大數據分析推理出可能的威脅攻擊,然后對威脅進行隔離和權限管控等處置;三是端點安全策略管控功能,結合預定義的安全檢查策略,實現對漏洞補丁、病毒庫更新以及未授權軟件的有效監控,構建端點安全防御能力。
三是桌面終端安全管控平臺。桌面終端安全管控平臺主要解決兩個問題:一是桌面終端信息安全,包括端口控制防止非法外聯設備接入、移動存儲介質管理控制移動介質的使用、數據加密或水印監督防止數據擴散、動態安全評估實現安全合規等;二是桌面終端運營安全,包括終端安全策略配置的統一管理與下發、安全補丁的統一更新、軟件的統一安裝使用等。
從邊界防護到監測響應,從訪問控制到端點防御,四道防線從技術的角度構建起“立體式、全方位”的網絡安全縱深防御體系。但網絡安全的靈魂在于人,所以構建人的防線是第五道防線的關注點。
第五道防線:組織體系
網絡安全攻防的較量歸根結底是人的較量。上述四道防線共同構建起網絡縱深防御的技術體系,然而所有的技術體系最終都離不開人的使用,網絡安全縱深防御體系最后也是最重要的一道防線,即網絡安全運營組織體系建設。
做好網絡安全,一個自上而下、層次分明、功能完善、權責清晰的網絡安全運營組織體系是必不可少的。
從層次上講,組織體系通常包括指揮層、運行層及保障層。指揮層主要是由企業內部高層掛帥的網絡安全領導小組,負責重大問題決策、企業內部資源協調及外部單位溝通等工作。運行層主要包括網絡安全運營協調中心、各專項保障組及各分支機構的協調小組等,負責體系的日常運行、資源調動、事件處置、匯報決策等工作。保障層主要包括業務條線、專業安全廠商、軟硬件開發商、系統集成商、服務提供商等。
從機制上講,組織體系應建立相對完善的網絡安全營運機制,實現網絡安全管理和運營的全流程覆蓋:環境、設備、介質等信息資產的定期全面梳理;操作系統、軟件版本等基線化管理;口令、密碼、密鑰等關鍵信息的強制性保護;生產變更、版本發布等標準化管理;內外部的定期檢查和審計等。
此外,企業員工安全意識建設也是第五道防線中至關重要的內容。網絡攻擊技術層出不窮,但基于人的社會工程學攻擊始終在攻擊體系中占據重要地位。企業需要在全體員工的認知層面建立起強大的安全防御意識,使得員工能針對典型場景做出正確響應。常見做法如開展覆蓋全員的網絡安全意識教育、社會工程學攻擊案例講解和行為指導、企業內部模擬攻擊測試等,培養全員正確響應攻擊嘗試的能力。
金融企業網絡安全縱深防御體系
實踐與展望
縱深防御體系的本質是多層防御,使得入侵者必須突破層層堡壘才能接觸到核心數據資產。防守方建立起縱深防御體系后,攻擊方的入侵難度和入侵成本將大幅度提高,通常遠未到終點時就會被發現,這就使得防守方有充足的時間響應和處置,從以前相對被動的地位轉為相對主動。
國家開發銀行在十余年來的逐步建設和不斷完善下,建成了涵蓋以上五道防線的網絡安全縱深防御體系。在邊界防護、監測響應、訪問控制、端點防御等方面建設部署有多類工具和平臺作為技術支撐。在組織體系上建設起協調有力、反應迅速、處置得當的多層次指揮、協調和行動團隊,在多次網絡安全滲透測試、模擬演練、實戰演練中,鍛煉和培養出一整套行之有效的安全運營機制,很好地保衛了國家開發銀行的網絡安全。
隨著安全攻防雙方技術的不斷發展,在大數據、人工智能等新技術的支撐下,網絡安全縱深防御體系將在技術和能力上進一步演化:一方面,隨著新的安全攻擊手段和應用場景的出現,新的網絡安全防御技術及防御工具也將不斷涌現,持續充實與完善現有網絡安全縱深防御體系;另一方面,伴隨企業內外的網絡安全基礎數據的積累和提煉,在現有防御能力基礎上,企業內部、金融同業乃至全網的安全數據有望進一步整合與共享,將不斷衍生出和業務場景深度融合的監測防御規則,各類網絡安全防御系統將不斷地自我學習、調整、進化,從抵御已知威脅,到抵御部分未知威脅,再到可以抵御絕大多數未知威脅,使網絡安全防御能力上升到一個全新高度。此外,隨著基于網絡空間廣泛存在的內生安全問題不斷得到解決和突破,網絡安全縱深防御體系在不久的未來,也有望得到質的飛躍。
