观点 | 金融企业网络安全纵深防御体系建设思考与实践
欢迎金融科技工作者积极投稿!
投稿邮箱:newmedia@fcmag.com.cn
——金融电子化
文 / 国家开发银行 卫剑钒 刘健
随着整个社会数字化、信息化、网络化进程加速,支撑金融企业数字化转型的IT系统越来越复杂,内部系统与外部空间的边界也愈加模糊。与此同时,网络攻击手段越来越丰富,金融企业网络安全状况日趋严峻。如何构建金融企业网络安全防御体系、有效抵御网络安全威胁,成为亟需解决的问题。针对可能的攻击路径和现有的防范手段,结合笔者的研究和实践经验,本文提出了基于五道防线的网络安全纵深防御体系建设思路。
第一道防线:边界防护
网络安全纵深防御体系中,第一道防线是指企业网络边界层面的防护。在“零信任”时代,虽然网络边界已经日渐复杂和不尽清晰,但仍是网络防护的重要前沿。第一道防线的主要作用是拒绝非授权访问、实现对外部攻击的主动防御阻断,筑起网络安全纵深防御的第一道“墙”。
在众多主动阻断防御安全设备中,历经时代变迁,防火墙仍然是第一道防线中最重要的安全防护设施,用以完成最基本和最有效的攻击拦截。通过防火墙,企业仅仅向外暴露必要的IP和端口,最大程度减少攻击面,一旦发现攻击IP,可立即予以切断式封禁。现代防火墙已具备更多的安全检测和防御功能,但基于性能和专业性的考虑,建议仅使用其最基本的网络封禁能力,而将基于攻击特征及攻击行为的检测交给更为专业的安全工具。譬如同一道防线中的入侵防御系统IPS、应用防火墙WAF等,以及第二道防线中的APT防御、态势感知等,多数工具可以和防火墙联动,实现攻击发现和阻断的全自动化。
IPS、WAF也是第一道防线中的重要工具,IPS基于数据包的特征以及流量上下文对网络攻击行为进行判断,进而通过控制数据包的转发来实现阻断。WAF对HTTP流量进行异常检测,确保应用请求包安全合规,对可能的WEB攻击行为进行阻断或隔离,这两类工具补充了防火墙网络封禁的基本功能。
除了上面所列的串行阻断工具,近年来基于旁路阻断技术的工具也得到了广泛应用。这类工具通过流量威胁检测、威胁情报匹配、实时旁路阻断等手段的联动响应,利用Reset数据包实时阻断,实现威胁检测、分析、响应、处置的完整闭环。由于是旁路部署,其带来的生产安全风险较小;由于具备威胁情报能力,可实现对恶意IP的主动阻断,有较好的灵活性和实时性。
“动态安全防御”这类较新的产品也能在第一道防线起到较好的作用,其通过隐藏和混淆手段,阻碍和干扰攻击者的认知过程,大幅提升网络攻击难度。动态安全防御的核心技术主要包括两方面:一是对应用访问中URL、Cookie等元素做动态变形和动态验证,隐藏攻击入口,增加WEB应用行为的“不可预测性”。二是通过插入JS代码对用户浏览器环境以及用户访问行为进行数据收集和监测识别,阻断自动化攻击尝试和仿冒式访问,从而有效防范重放攻击、注入攻击、越权访问、应用层DDoS等各类自动化攻击行为。
此外,抗DDoS等安全工具,也属于第一道防线,这里不再展开介绍。第一道防线在传统工具和新一代工具的合力下,可以从多角度、多层面形成立体式前沿防护。但攻击者的手段层出不穷,不能寄希望在边界防御所有可能的攻击。因此,第二道防线乃至更多道防线是必须的。
第二道防线:监测响应
若攻击者突破或绕过第一道防线,或者非法接入内网发起攻击,或是内部人员发起内网攻击,就需要第二道防线及时发现和阻断。第二道防线主要通过对网络流量的分析来发现攻击,通过网络全流量安全分析、APT防御、蜜网蜜罐等工具,使用规则推理、沙箱检测、行为分析、威胁情报、大数据分析、人工智能等分析技术,在攻击者和信息系统的交互中,及时发现和处置攻击。
基于流量检测的安全分析技术在第二道防线中使用较为广泛,它对采集的网络流量进行协议会话、文件数据的还原,依靠不同的检测引擎对还原后的数据进行威胁检测,产生与之对应的告警并进行自动阻断或人工处置。单一的网络流量安全分析产品很难做到网络攻击发现的全面覆盖,通常应部署多个不同类型、不同厂家的此类系统,以达到较高的攻击检出率。
APT防御工具作为第二道防线中的重要组成部分,主要功能包括:一是检测流量中的注入攻击、跨站攻击、后门上传等常规类行为;二是通过静态、动态沙箱、机器学习等检测技术的综合运用,发现鱼叉、水坑、邮件,以及其他恶意文件;三是通过异常通信检测、隐蔽信道检测、黑客工具识别,发现可能的远程控制活动。
态势感知平台也是第二道防线中的重要角色,其不仅汇聚了全网流量,同时也收集了各类应用系统的日志数据,通过集成威胁情报、蜜网蜜罐等产品,结合企业资产管理平台信息,采用规则检测、大数据分析、人工智能等安全检测技术,自动化、可视化地感知并处置攻击事件。
值得一提的是,第二道防线需要企业在内部建立起较为完善的网络全流量汇聚平台,通过构建跨数据中心的网络流量集中管理平台,实现跨中心、跨区域、跨机房间网络流量的自由调配和按需分配,输出到各类流量安全检测设备,实现攻击事件的侦测告警、响应处置及事件溯源。
第二道防线有效弥补了第一道防线仅关注边界安全的短板,但其本质是“事中”甚至“事后”的检测和防范手段,若要做到“事前”的技术防范,构建严格的访问控制机制是根本方法,此即第三道防线。
第三道防线:访问控制
基于零信任思想,构建严格访问控制机制的第三道防线是预防和阻遏攻击的“事前”防御手段,可有效防范攻击者(包括内部人员)发起的各种攻击尝试。
访问控制防线建立在多个层面之上,包括网络访问控制、应用访问控制、文件访问控制及计算和存储资源访问控制等。
网络访问控制,如通过网络分区、VLAN隔离、策略管理等,能有效切断依赖于网络的渗透式攻击及内网横向拓展攻击的通路;通过网络准入工具,可实现基于用户身份认证的网络资源访问控制,将不同类型的用户划分到不同的网络区域,有效防御入侵者通过“抵近式”攻击非法接入内网;通过上网行为管理或DNS安全工具,可以防范员工连接恶意网站或阻断木马回连;通过资产违规外联监控手段,可以及时发现内外网隔离失效或员工违规私建信道访问互联网,提升攻击防护能力。
应用访问控制方面,主要是通过角色访问控制、身份认证管理、权限管理等工具,实现对应用系统访问的控制保护,有效减少应用系统风险的暴露面。值得一提的是,用户名和口令的管理要格外注意,要实现自动、强制的口令修改政策。
文件访问控制方面,常见的方式是文件加密控制,通过公钥体制和对称加密算法,在身份认证和加解密的基础上,实现文件权限的控制,保障文件在全生命周期内的安全流转和使用。
计算和存储资源的访问控制方面,可通过堡垒机、特权账号管理、虚拟化访问控制系统等工具,有效解决计算和存储资源授权访问的管控问题,同时可以实现网络设备、数据库等IT系统的访问控制。
此外,部署数据防泄漏(DLP)系统、数据库安全及审计系统、用户行为审计系统等,可在另一个层面增强安全控制并及时发现安全事件。
综上,第三道防线主要通过多个层面的访问控制技术,有效降低企业内部网络攻击带来的风险和损失。但访问控制不代表安全监测,对于攻击者的最终落脚点——服务器与终端,还缺乏一个专业和综合性的安全监测和响应机制,这就是致力于端点防御的第四道防线。
第四道防线:端点防御
服务器和终端电脑,作为最主要的计算端点,承载着企业的核心价值数据,是网络攻击的目标靶点,也是第四道防线重点保护的对象,防御手段包含以下几方面。
一是恶意代码防御系统。目前主流的端点恶意代码防御系统区别于传统基于文件和静态主体的防病毒技术,按照物理机、虚拟化、云端等不同部署环境,结合基于恶意代码特征库、黑白名单样本库等大数据分析技术及基于恶意代码行为的多引擎检测技术等,实现面向端点的已知和未知病毒防御、恶意软件防护等恶意代码防御能力。
二是端点安全检测响应系统。这类系统通常采取Agent安装、服务端集中控制的部署方式,主要包括以下几方面功能:一是资产梳理功能,帮助企业厘清内部的IT资产,并以此为基础信息开展安全监控工作;二是端点威胁检测及处置功能,通过端点行为数据采集,结合大数据分析推理出可能的威胁攻击,然后对威胁进行隔离和权限管控等处置;三是端点安全策略管控功能,结合预定义的安全检查策略,实现对漏洞补丁、病毒库更新以及未授权软件的有效监控,构建端点安全防御能力。
三是桌面终端安全管控平台。桌面终端安全管控平台主要解决两个问题:一是桌面终端信息安全,包括端口控制防止非法外联设备接入、移动存储介质管理控制移动介质的使用、数据加密或水印监督防止数据扩散、动态安全评估实现安全合规等;二是桌面终端运营安全,包括终端安全策略配置的统一管理与下发、安全补丁的统一更新、软件的统一安装使用等。
从边界防护到监测响应,从访问控制到端点防御,四道防线从技术的角度构建起“立体式、全方位”的网络安全纵深防御体系。但网络安全的灵魂在于人,所以构建人的防线是第五道防线的关注点。
第五道防线:组织体系
网络安全攻防的较量归根结底是人的较量。上述四道防线共同构建起网络纵深防御的技术体系,然而所有的技术体系最终都离不开人的使用,网络安全纵深防御体系最后也是最重要的一道防线,即网络安全运营组织体系建设。
做好网络安全,一个自上而下、层次分明、功能完善、权责清晰的网络安全运营组织体系是必不可少的。
从层次上讲,组织体系通常包括指挥层、运行层及保障层。指挥层主要是由企业内部高层挂帅的网络安全领导小组,负责重大问题决策、企业内部资源协调及外部单位沟通等工作。运行层主要包括网络安全运营协调中心、各专项保障组及各分支机构的协调小组等,负责体系的日常运行、资源调动、事件处置、汇报决策等工作。保障层主要包括业务条线、专业安全厂商、软硬件开发商、系统集成商、服务提供商等。
从机制上讲,组织体系应建立相对完善的网络安全营运机制,实现网络安全管理和运营的全流程覆盖:环境、设备、介质等信息资产的定期全面梳理;操作系统、软件版本等基线化管理;口令、密码、密钥等关键信息的强制性保护;生产变更、版本发布等标准化管理;内外部的定期检查和审计等。
此外,企业员工安全意识建设也是第五道防线中至关重要的内容。网络攻击技术层出不穷,但基于人的社会工程学攻击始终在攻击体系中占据重要地位。企业需要在全体员工的认知层面建立起强大的安全防御意识,使得员工能针对典型场景做出正确响应。常见做法如开展覆盖全员的网络安全意识教育、社会工程学攻击案例讲解和行为指导、企业内部模拟攻击测试等,培养全员正确响应攻击尝试的能力。
图 金融企业网络安全纵深防御体系
实践与展望
纵深防御体系的本质是多层防御,使得入侵者必须突破层层堡垒才能接触到核心数据资产。防守方建立起纵深防御体系后,攻击方的入侵难度和入侵成本将大幅度提高,通常远未到终点时就会被发现,这就使得防守方有充足的时间响应和处置,从以前相对被动的地位转为相对主动。
国家开发银行在十余年来的逐步建设和不断完善下,建成了涵盖以上五道防线的网络安全纵深防御体系。在边界防护、监测响应、访问控制、端点防御等方面建设部署有多类工具和平台作为技术支撑。在组织体系上建设起协调有力、反应迅速、处置得当的多层次指挥、协调和行动团队,在多次网络安全渗透测试、模拟演练、实战演练中,锻炼和培养出一整套行之有效的安全运营机制,很好地保卫了国家开发银行的网络安全。
随着安全攻防双方技术的不断发展,在大数据、人工智能等新技术的支撑下,网络安全纵深防御体系将在技术和能力上进一步演化:一方面,随着新的安全攻击手段和应用场景的出现,新的网络安全防御技术及防御工具也将不断涌现,持续充实与完善现有网络安全纵深防御体系;另一方面,伴随企业内外的网络安全基础数据的积累和提炼,在现有防御能力基础上,企业内部、金融同业乃至全网的安全数据有望进一步整合与共享,将不断衍生出和业务场景深度融合的监测防御规则,各类网络安全防御系统将不断地自我学习、调整、进化,从抵御已知威胁,到抵御部分未知威胁,再到可以抵御绝大多数未知威胁,使网络安全防御能力上升到一个全新高度。此外,随着基于网络空间广泛存在的内生安全问题不断得到解决和突破,网络安全纵深防御体系在不久的未来,也有望得到质的飞跃。
(栏目编辑:张丽霞)
往期精选:
(点击查看精彩内容)
《金融电子化》新媒体部:主任 / 邝源 编辑 / 傅甜甜 潘婧