東方證券辦公網防護建設:網絡防護更輕松,只因做對三件事
證券是金融行業的重要組成部分,對網絡安全非常重視,然而券商機構的安全建設也存在著諸多痛點,既要滿足合規和效果的雙重需求,也要克服組織結構與人員能力的制約。券商如何克服行業性痛點,建設效果顯著的安全防護體系?從東方證券的辦公網安全建設經驗中,我們或許能探知到一些答案。
回顧這兩年證券行業對網絡安全的需求,一些變化已經悄然發生:
“等保2.0”合規要求已經從文件到落地。
2021年9月3日,證監會發布《證券期貨業網絡安全等級保護基本要求》、《證券期貨業網絡安全等級保護測評要求》2項金融行業標準。這意味著券商在做網絡安全建設的合規工作時,所依照的要求和要規劃的工作將變得更加清晰;
網絡安全態勢的變化,要求安全建設要以效果導向。
面向行業、企業的針對性攻擊增加,勒索軟件猖獗且短時間內無法根治,新的攻擊手法和團伙層出不窮。作為金融行業的重要組成部分,上接各大金融主體,下承萬千用戶,券商的網絡安全建設也必須與時俱進,引入新技術、新產品、新方法論,能夠防護不斷出現的新威脅、高級威脅。
而反觀證券行業現有的安全建設,多多少少都會有下面這幾點問題:
安全建設跟不上業務發展需求,缺少統一管控
由于技術能力和資金投入所限,券商機構無法在成立初期就構思出完善、合理的安全建設體系,安全能力無法跟上業務發展的速度,往往缺少統一管控、調度的規章制度,很難進一步制定并下發統一安全策略。這必然導致安全能力無法全局覆蓋,從而出現安全盲區。
分支機構網絡安全需求和人員素質之間的矛盾
券商往往有許多分公司、營業部,資產多、攻擊面廣,資產的上下線和開放關閉都不受安全團隊管控。而由于成本和人員能力限制,防火墻、上網行為管理等網絡防護設施很難在分支機構出效果,分支機構的安全建設水平無法與總部相比,在攻防演練中,從分支機構攻擊總部的事件屢見不鮮。
匯報結構制約安全能力發揮
在一些券商的組織架構中,安全團隊往往需要向網絡部、IT部匯報,安全措施推動落地難,調動資源難,溝通成本高,需要為業務犧牲。這不僅導致日常安全運營效果打折扣,也會影響大型攻防演練成果。
東方證券的安全團隊需要管理總部與170余家分支營業部的網絡安全。而僅從辦公網防護來看,東方證券已經能做到1小時內快速響應事件,并具備較好的高級威脅防護能力。那么,東方證券做對了哪幾件事?
01從組織架構和職責范圍下手,讓安全團隊更有戰斗力
與大部分券商不同,東方證券的安全團隊是“垂直化管理”,邊界安全、負載均衡、waf、防火墻等全套安全防護設施都歸安全團隊管轄,寫規則和測試都在安全團隊內部完成,阻斷和響應只需在團隊內部循環,在日常應急響應和大型攻防演練中,協同成本較低,戰斗力較強。
但安全團隊也不是什么都管。服務器和應用的安全基線,如弱密碼、用戶管理、服務器補丁、代碼安全等問題,還是需要安全團隊和其他部門協同完成。
在當今網絡環境中,IT基礎設施建設、IT運維、應用開發等場景都離不開網絡安全,東方證券的應對之法將安全團隊的職責進行了明確,在擴大安全團隊能力邊界的同時,也聚焦了安全團隊所需要應對的場景,確保了安全團隊的應急響應能力。
02IT基礎架構充分考慮網絡安全需求
東方證券在IT基礎架構上與大部分券商最大的不同,在于東方證券的170余家營業部也做了內外網隔離,杜絕辦公網和互聯網之間的訪問互通。
首先,營業部的內外網隔離能部分代替權限管理的工作,關閉了部分設備對外訪問、下載的通道。其次,內外網隔離也能讓資產管理和攻擊面收斂更容易,無論在總部還是分支營業部,資產、服務和端口上新都需要經過安全團隊確認,還能統一下發安全策略。
雖然實施起來有一定成本,但效果也顯而易見。東方證券對營業部進行內外網隔離的做法,不僅降低了后續的管理成本,更重要的是縮減了對外暴露的攻擊面,極大減輕了網絡安全風險,這對于日常運營和大型攻防演練都大有裨益。
反之,如果分公司、營業部多種機構在IT基礎架構層面未曾考慮網絡安全需求,則會造成權限管理混亂、資產和攻擊面不清晰等后果,不僅增加安全人員的工作量,安全效果也會大打折扣。
因此,券商機構在規劃IT基礎架構建設時,應當將網絡安全也作為考慮因素,在建設伊始就為后續的集中管控創造條件。
03根據總部和分支機構的不同業務特點,進行安全產品的選型和部署
在辦公網防護方面,東方證券根據總部和分支營業部的不同業務特點,對安全產品進行了具有針對性的選型和部署。
在總部,東方證券針對流量側部署了NTA和NDR類產品,做分析和檢測;針對終端側則部署了防病毒、上網行為管理,在較外層服務器上還部署了EDR設備,確保對高級威脅的快速發現和定位。
同時,東方證券還搭建了一套日志平臺,接入waf、沙盒、防病毒軟件、NTA/NDR、EDR等安全設備的日志,統一進行分析和編排,并通過防火墻完成阻斷。
證券行業對分支營業部的安全管理較為松散,東方證券主要部署了上網行為管理,殺毒軟件和桌管軟件,對營業部的PC進行初步管控。然而,東方證券很快發現,由于能訪問互聯網,分支營業部的PC容易被新型威脅和高級威脅侵入,而上網行為管理和殺毒軟件無法對這類威脅進行防護和檢測,更不用說處置響應。同時,東方證券也發現,總部需要對新型、高級威脅進行防護。
“我們需要把安全工作左移,防患于未然。”因此,在了解過市場上的諸多防護方案以后,東方證券選擇了OneDNS企業版。
這款基于DNS的輕量級防護SaaS軟件結合了微步在線的威脅情報能力,能夠自動攔截木馬、蠕蟲、惡意軟件發起的C&C連接,做到讓威脅不出網,還能統一下發安全策略,做到一定程度的統一管控,很適合多職場、多分支機構的使用場景。
根據總部終端較為集中、辦公網分區較為完備的特點,東方證券采取統一更改DNS指向的方式,數分鐘則可完成對總部的防護。而針對分支營業部無專業IT人員支持、人員計算機水平不高的特點,東方證券則要求各營業部一鍵安裝agent,也能在很短時間內完成部署。
目前,東方證券的總部及170余個營業部已經全面接入OneDNS,不僅能做到對網絡威脅的即時檢出和防護,還能對出問題的終端進行精準定位和取證。
談到未來對辦公網防護的設想,東方證券安全團隊表示,券商機構應當尋求IT基礎設施、組織架構和網絡安全需求之間的最優解。東方證券正在規劃讓辦公網終端的進域,從而進行統一的訪問、軟件下載等權限的管理.
同時也在進一步規劃各個檢測和防護產品之間的聯動系統,在檢測層面,嘗試流量和終端聯動,在響應和處置層面,嘗試更高級的編排和更多樣化的自動阻斷處置方式。“劃分安全邊界,確保邊界范圍內可控,相關權限可以細顆粒度管理,這就是我們接下來在辦公網防護上的目標。”
