文 / 中信建投证券股份有限公司信息技术部  朱成 张建军 肖钢

近年来,伴随网络攻击技术的发展,各类攻击手段层出不穷,对安全防护的要求也日益增强。随着《中华人民共和国网络安全法》的颁布施行,对于网络安全防护的要求已经上升到法律层面。传统安全重边界防护的理念已经不能适应有针对性的网络攻击,对于APT攻击更是几乎无发现可能,只有采用纵深的安全防护体系,才能通过层层检测发现隐蔽的攻击行为。纵深防护体系如同在攻击者进入的道路上设置层层红外检测,只要攻击者不小心触碰了一条红外线,就会被防守方发现,从而通过应急响应清除入侵者。证券公司作为金融行业的一员,不论从法律合规还是自身安全防护的角度,对于安全均有强烈需求。如何保护好信息系统安全稳定运行,如何防止客户个人信息泄露,均依赖于纵深防护体系的建立。

纵深防护体系建设基本方式

纵深防护体系不是安全设备或系统的简单堆积,而是在各个层面有针对性且合理地部署安全防护或检测系统,形成系统间的优势互补,从而实现对安全态势的全面感知能力。通常纵深防护体系包含物理、网络、主机、终端、应用、数据几个层面。下面对每个层面涉及的防护系统建设做简要的描述。

对物理层面而言,主要按照等级保护要求做好门禁、视频监控、风、火、雷、电等基础防护工作,并划分好各类服务器物理区域。有特殊要求的还应考虑电磁屏蔽机柜的建设。一般证券公司对选用机房的规格要求均较高,基础物理安全方面大多控制良好,在此不过多赘述。

对网络层面而言,生产网络边界从外至内应部署抗DDoS设备、下一代防火墙、IPS设备、NTA类设备。在防火墙外应采用透明模式串联部署抗拒绝DDoS攻击设备并采购运营商流量清洗服务,用以第一时间发现并抵御DDoS攻击。通过防火墙严格控制出入双向IP和端口网络访问,可以在减少暴露面的同时大幅增加攻击者反向连接CC服务器的难度,有效阻止木马上线。部分防火墙具备通过启用IPS模块对基本网络攻击进行拦截,否则应串联部署IPS设备对网络层面的扫描和攻击进行初步拦截和阻断。

NTA类设备细分为全流量威胁检测类和全流量分析溯源类。全流量威胁检测类的设备重在入侵检测,在检测规则和入侵行为判定方面具有一定优势,但对全流量数据包记录能力较弱。全流量分析溯源类的设备具备较强的全流量数据包记录能力,可以对全网数据包进行记录,通过数据包回溯可为入侵分析溯源工作提供极大的便利。

办公网络边界处主要通过防火墙和上网行为管理严格控制出网流量,并禁止通过办公网对外暴露端口和服务,同时在边界处部署全流量威胁检测类设备对办公网出口进出流量进行检测,可以在一定程度上发现办公机被安装后门的情况。

对主机层面而言,这里主机泛指生产环境服务器、虚拟机或者容器。应针对主机部署主机入侵检测系统及防病毒软件,同时使用漏洞扫描系统定期检测主机存在的安全漏洞以推进修补。主机入侵检测系统作为安全检测的最后一道防线,对于检测弱口令、后门、Webshell、命令执行、组件漏洞等均有较好的效果,属于纵深防御体系的重中之重。如无特殊原因,必须要将所有资产均部署主机入侵检测系统。

由于容器的特殊性,传统的主机入侵检测系统并不适用,可以选用专用的容器安全产品以保障容器自身及其运行时的安全。防病毒软件对于各类木马、病毒和勒索软件的查杀具备优势,可以和主机入侵检测系统形成互补,进一步增强主机检测和阻断威胁的能力。

内网漏洞补丁更新不及时,导致内网漏洞较多,故通过部署漏洞扫描系统定期开展主机脆弱性扫描并推进修复也可以帮助增强内网安全水平。通常当攻击者攻入应用服务器主机后,会进行横向移动,扩大战果,故内网应部署蜜罐对攻击者进行诱捕以发现内网横向渗透行为。蜜罐部署需要精心设计以增强其甜度,吸引攻击者进入,从而帮助防御方发现攻击者并延缓其攻击行动。

对终端层面而言,近年来办公终端已经变为企业被攻击者攻破的主要入口之一。随着防守方对于生产环境安全的重视,生产环境的安全水平逐年提升,使攻击者从生产环境找到突破口的可能性越来越小。而办公终端由于被安全意识水平不同的全公司员工操作,且与互联网连通,已经逐步转变为攻防对抗的主要战场之一。

由于终端不对外暴露服务,攻击者通常为攻破办公终端会采取钓鱼邮件或者即时聊天工具社工的方式,诱使公司员工点击恶意链接或执行恶意程序。极少数攻击情况还会采取近源攻击方式,直接到企业职场攻破WIFI或者连接网线方式接入企业职场办公网络,但通常这类情况较少,且可以通过加强安保方式避免。在此我们主要讨论针对前述第一种远程攻击方式的防御体系。

对于办公终端的防护体系,主要应部署终端行为管理系统、终端准入系统、防病毒系统、反垃圾邮件及邮件沙箱系统及域控系统。终端行为管理系统用于规范办公终端的行为,如对U盘的使用、IM通讯的审计等。终端准入系统用于检查接入的终端是否满足终端安全管理要求,禁止不满足要求的设备入网。防病毒系统用于日常病毒、木马、勒索软件的检测与清除。反垃圾邮件及邮件沙箱用于垃圾邮件和钓鱼邮件的检测与阻断。域控用于同一管理办公终端用户权限和安全基线策略。

对应用安全而言,应建立安全开发生命周期管理体系,只有从开发源头减少漏洞,才能逐渐使安全团队摆脱救火队工作,有精力专心做好安全运营工作。安全开发生命周期管理涉及内容较多,因篇幅所限,在这里只讨论应用系统上线前需经过的安全检查与加固。对于一般应用程序,上线前应经过白盒和灰盒扫描器的检查,并通过人工的渗透测试。白盒扫描器即静态源代码检查系统,灰盒扫描器即被动式漏洞扫描,通过测试人员产生的流量进行漏洞发现。对于App类应用,除上述安全检查外,还应在发布前通过安全加固平台进行加固。上线时应用系统应通过统一的应用安全网关集群对SSL证书进行卸载,以使安全类设备可以获取到明文流量进行检测,同时接入Web应用防火墙(WAF)配置好拦截规则防护基本的Web类攻击。上线后应持续开展互联网侧的漏洞扫描,主动发现漏洞并推进整改修复工作。

对数据安全而言,主要应在数据的存储、使用、传输以及销毁方面建立相应的防护系统。在存储方面,应通过加密手段对重要数据进行加密,并写入数据库,再根据系统重要程度定期做好数据备份,同时使用数据库审计系统对数据库操作进行全面审计。条件具备的还可配备UEBA系统联动数据库审计系统发现异常的数据操作行为。

在使用方面,应使用数据脱敏系统对从生产环境放到测试环境的数据进行脱敏,脱敏后方可存在测试环境。系统应按照《JR/T 0171-2020个人金融信息保护技术规范》对个人信息进行保护,并记录敏感信息访问的日志,同时应部署数据接口分析类或API检测类产品,检查数据接口的异常调用或违规返回敏感数据的情况。

在传输层面,应统一使用HTTPS加密协议传输数据,跨区域间数据传输应通过文件摆渡系统。在办公网出口和办公终端部署数据防泄漏(DLP)产品,一定程度上可以发现通过网络向外传输敏感数据的情况。

在数据销毁层面,很多时候容易被忽略,导致仅做了简单文件删除的硬盘流出公司而造成数据泄露。应部署文件擦除设备对硬盘中文件进行擦除,对于报废的硬盘应统一用消磁机消磁后才可以处理。

流量与数据对于安全检测和防护不可或缺,上述基础安全设备和系统部署后,应通过建设安全运营中心将上述所有安全设备或系统的日志、信息和告警统一汇总并进行关联分析并展示,从而使安全运营人员可以洞悉企业整体安全态势。通常安全运营中心会内置部分关联分析规则,但还需要针对单位自身特点对安全运营中心进行增补和优化。

安全永远是人与人的对抗,不能完全依赖于设备或系统,所以安全团队人员建设也是纵深防护体系建设中的重要环节,单位应配备具备丰富经验的安全运营人员,持续优化更新安全设备及系统的告警规则和系统问题,不断发现并解决安全运营中存在的问题,使安全运营中发现的问题可以促进推动纵深防护体系建设。而纵深防护体系建设的优化又可以帮助安全运营工作更有效地开展,从而形成良性循环。

纵深防护体系建设目标

通过上述方式可以构建一个基本的纵深防护体系,但是纵深防护体系的建立离不开基础安全工作。基础安全工作做不好,纵深防护体系就如同房屋缺少地基,随时有倾覆的风险。将基础安全管理好,将纵深防护体系建好并用好,通过纵深布防,层层检测使整个体系中众多安全设备和系统能力得到充分释放发挥,通过关联分析增强单一设备或系统的检测能力,实现一加一大于二的检测和防御效果。同时配合持续不断的安全运营优化,使防护能力可以保持应对最新安全威胁的水平,让企业安全建设达到全天候全方位感知网络安全态势的目标。

声明:本文来自金融电子化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。