全感知動態響應安全防控體系建設
文 / 中國農業銀行數據中心 溫景容 董金程 齊巖
近年來,金融業面臨著來自客戶需求、競爭格局的革命性變化,商業銀行數字化轉型、開放銀行的大潮不可避免,銀行業務互聯網化成為必然趨勢。與此同時,網絡安全形勢又日益嚴峻,網絡暗戰無時無刻不在發生,商業銀行面臨來自個人、組織,甚至國家層面的網絡安全威脅,監管要求也愈發嚴格,《網絡安全法》《信息安全技術網絡安全等級保護基本要求》,以及實戰化攻防演習等都給商業銀行的網絡安全工作帶來前所未有的考驗。在此背景下,各商業銀行多數已建立縱深防御體系,但在實戰考驗下仍暴露出一些弱點。農業銀行以“全方位、全周期”為目標,從網絡出口、內網安全、主動預防、動態響應四個方面構建完善總、分行一體化的全感知動態響應安全防護體系,為數字化轉型和更好地服務客戶提供安全保障。
方案概述
農業銀行前期已建立了較為完善的縱深防護體系,開展了攻擊阻斷、深度檢測、主動預防等工作,但在實戰對抗中,面對各類有組織、有謀略、多手段的針對性攻擊行為,仍需進一步完善防御體系。
全感知動態響應安全防控體系整體建設思路,包括建立各網絡出口的全面防御體系、內網安全和主機防御體系、安全漏洞的運營管理體系,以及動態的安全事件應急響應體系。具體包括:一是開展全面感知,擴展防護面,加強分支機構防御能力,以及對來自第三方合作伙伴攻擊的檢測發現能力,并對郵件出口進行重點防御;二是在縱深防護基礎上,加強對內網橫向移動和主機異常行為的檢測能力,應對零日漏洞攻擊等引起的邊界防護“失聰”;三是建立動態響應和持續運營機制,及時發現并處置相關安全問題,形成閉環高效的應急響應和自動處置機制,最終形成“三橫一縱”的全面防御體系,如圖1所示。
圖1 “三橫一縱”安全防護體系
關鍵技術特色
1.網絡出口全面防御體系。作為國有大型商業銀行,農業銀行早在2006年就已完成全國數據大集中,實現了“全國一網,一網打盡”的目標,并完成了全行互聯網出口的集中,通過總行數據中心統一對外提供服務,但由于分行的特色業務經營需要,各分行還保留著和第三方合作伙伴的專線連接。面對日益嚴峻的網絡安全形勢,以及有謀劃、有組織的攻擊行為,一些小的合作伙伴可能因自身安全能力不足而被攻擊淪陷,成為對我行攻擊的跳板。
對此,農業銀行積極部署、全面布防,在技術層面將第三方網絡區域視為不信任,開展了外聯安全監測與防護項目建設,部署入侵阻斷系統、防APT及流量回溯、病毒流量檢測等系統,并引入流量監測設備動態分析防火墻策略,精細化管理,嚴守邊界。同時,確定了“全覆蓋、免打擾、非現場”的目標要求,建設總分一體化外聯安全監測系統,實現總行及37家分行近4000個應用的全面覆蓋、全程納管、自動分析、持續監測、統一管理。
同時,針對日漸盛行的釣魚郵件攻擊和數據安全問題,農業銀行采用圍繞郵件接收和發送建立雙向的郵件防控體系,實現出入站全覆蓋。在郵件接收方向,對病毒、釣魚、勒索、廣告等垃圾郵件進行智能識別和威脅阻斷,并建立了基于情報的高級郵件威脅防護和基于異構沙箱檢測的綜合防護架構;同時從郵件、流量、終端三個維度共同組建對惡意軟件的立體防控能力,實現了威脅類型全覆蓋。在郵件發送方向,采用分類分級的方式,根據敏感程度自動觸發不同的響應處置動作,同時集成高效、無縫對接我行辦公和郵件系統,實現自動阻斷和手動審批相結合,在嚴防泄露的同時滿足真實業務需求,提升了審批效率。
2.內網及主機防御體系。隨著開源及各類通用軟件的廣泛應用,各種高危安全漏洞頻繁發生,特別是零日漏洞也被越來越多地使用在網絡攻擊中,傳統的邊界防御已經很難“御敵于國門之外”,內網的安全防護亟需加強。農業銀行基于攻擊殺傷鏈和ATT&CK等模型,針對攻破邊界的后滲透環節設立了層層關卡,重點對內網橫向移動和主機上異常行為進行監測。
在內網安全方面,除了傳統的網絡分區分域、防火墻精細化隔離,還在內網區域間、總分行之間,通過內網旁路流量檢測、區域流量回溯、高密度蜜罐系統等建立起“隔離、監測、誘捕、調查”多維度的內網防線,將縱深防御擴展到全方位防御。
在主機安全方面,農業銀行建立了金融業領先的全行主機安全防線,覆蓋了總、分行近4萬臺服務器,部署規模位居同行前列,搭建了集安全、管理、運維為一體,系統阻斷、應用防護相結合,包括威脅檢測、資產管理、訪問隔離、基線核查、黑白名單等為主要功能的系統防線,形成了打、防、管、控的立體防御。同時創新實施方案,采用多條線配合、適配性測試、自定義規則等方式,解決“組織難、匹配難、監控難”的問題,推動整個項目圓滿實施。此外,在用戶終端層面采用兩網隔離、準入控制、終端安全管控、防病毒等手段,共同形成全網最后一道防線。
3.漏洞運營管理體系。農業銀行建立了安全漏洞全生命周期運營管理制度,自主研發了安全漏洞運營管理系統,固化漏洞排查處置管理流程,形成了線上閉環管控機制。同時將PDRR模型與漏洞應急響應融為一體,建立起覆蓋總分行、境外機構、分子公司的全集團漏洞運營管理體系,利用滲透測試、安全眾測、漏洞掃描、紅藍對抗、威脅情報、風險評估等手段,實現早識別、早發現、早預警和早處置。
同時,安全漏洞運營管理系統從安全的視角重新審視信息系統資產,根據各類安全要素建立S-CMDB,一方面利用威脅情報的漏洞信息,結合資產的安全屬性,實現快速定位,建立“資產—屬主—漏洞”的橫向關聯,為漏洞處置提供決策依據;另一方面通過系統實現工單自動流轉,減輕安全人員、運維人員人為操作負擔,提高漏洞排查處置效率,并建立漏洞修復時長、修復比例、成功率等可追蹤、易衡量的關鍵指標,對單個資產及全量資產脆弱性評估進行可視化呈現,實現由脆弱性驅動安全能力全面提升的效果。
4.動態應急響應體系。為提升安全告警響應效率,從海量安全告警中提取真正有價值的威脅行為,快速壓制惡意攻擊,農業銀行建立了安全告警雙路動態響應機制,從傳統的應急預案方式轉換為基于自研告警策略集的自動化響應機制,解決安全告警響應策略少、效率低、調整難的問題。
農業銀行基于自身安全防護架構和業務特點,自研了一系列告警策略,基于安全日志、網絡流量、系統日志、應用日志、威脅情報等,采用多場景、多級別、多層嵌套的方式,從事件場景、攻擊頻度、情報匹配等多個維度,針對不同的攻擊手段、攻擊渠道、攻擊階段等研制了多套策略集合,且策略間可以進行多層靈活嵌套調用,不同策略集合可根據外部安全態勢靈活調整,快速切換。一方面實現了對高確定度、無實質性影響的攻擊行為直接進行封禁壓制;另一方面對于隱蔽的高可疑攻擊行為,通過關聯模型進行深挖,提升告警準確性,進行人工分析處置。通過近200個多維度場景模型設計,確保了監控能力的全面性。同時,還自研了智能化的編排封禁功能,綜合考慮業務影響、IP危害度、IP信譽度、地域信息等多種因素,且可根據歷史信息進行自學習,最終確定封禁的時長,并聯動封禁系統,實現精細化、自動化、智能化的攻擊壓制。從整體上有效提升了策略的靈活性、告警的準確性、處置的高效性。
應用價值及意義
未來隨著物聯網、區塊鏈、人工智能等新技術的發展普及和信息系統復雜性的增加,網絡安全攻擊手段必然更加多樣,黑客黑產對銀行造成的威脅也將更加嚴重。農業銀行經過全感知動態響應安全防控體系建設,進一步提升了整體安全防護水平,經受住了內外部實戰檢驗,建立了“三橫一縱”的安全防護架構,加強了總分行第三方合作伙伴外聯區域及郵件出口的安全防護能力,并實現了一體化外聯區域管理,提升了總、分行科技人員的網絡安全綜合能力。同時建立了同業最廣泛的主機安全防線,積累了安全策略庫、內部情報庫、資產漏洞庫等多類具有高復用價值的信息安全知識性資產,實現了全集團安全漏洞運營的線上化、指標化、提前化,以及攻防對抗中的實戰化、體系化、常態化。整個體系建設為農業銀行的數字化轉型和金融科技發展提供了強大的安全保障,也為農業銀行客戶的信息安全和資金安全保駕護航。
(欄目編輯:張麗霞)
