终端作为金融行业日常办公、业务处理、系统维护的设备,承载着重要的金融数据。终端是企业外部与内部系统连接的切入点,在严峻的外部网络环境下面临非法访问、病毒入侵、信息泄露等安全风险。随着移动办公、远程办公需求的不断增长,终端安全面临更大的挑战。如何加强终端的安全管理,抵御外来攻击,确保数据得到有效保护是金融行业面临的重要课题。
金融行业终端安全概述
金融行业的终端安全管理对象主要包括传统终端、移动终端、业务终端这三类终端。传统终端主要是指台式计算机、笔记本电脑、柜员用于业务操作的柜面终端、人工坐席、生产运维操作终端等,是员工日常办公使用的终端。移动终端主要是指iOS、Android、Windows平板电脑、手机等便携式移动智能终端,是员工处理业务或移动办公的终端。业务终端主要是指现金类自助设备(如ATM)、非现金类自助设备(如自助终端),是对外提供金融服务的设备。
1、传统终端安全
传统终端使用范围广、终端环境复杂,是外部攻击的重点对象。传统终端安全管理大体上包括行为安全、数据安全、边界安全、系统安全四大方面,内容涵盖非授权软件管理、互联网访问控制、行为监控与处置、敏感信息扫描、文档加密、数据外发管控、防火墙、漏洞防护、病毒查杀、网络准入、外联及移动存储管控等,详见图一。
图一:传统终端安全管理通用架构
2、移动终端安全
对于移动终端的安全管理,金融行业普遍基于移动终端沙盒技术实现移动终端安全管理整体解决方案(EMM),通过统一的接入平台和接入标准,实现统一的用户身份认证、设备管理(包括设备注册、使用、注销在内的生命周期管理)、数据加密、数据隔离以及企业应用商店等,详见图二。
图二:移动安全支撑平台
3、业务终端安全
相对传统终端,金融行业的业务终端网络环境相对封闭,终端上运行的软件也是标准化的。业务终端的安全管控主要为病毒防护、漏洞防护、外设连接管控、网络访问控制等,同时通过定制程序运行界防止桌面暴露给客户,通过软件远程分发系统进行应用程序、系统补丁等的更新,不需到现场进行维护。
金融行业终端安全面临的挑战
金融行业经过多年的探索和建设,已逐步建立了适合自身业务发展的终端安全管理体系。但随着计算机技术的发展及攻击手段的提高,终端安全面临着严峻的挑战。从系统安全、边界安全、数据安全三个方向分析,终端安全面临如下挑战:
(一)网络边界防护不再安全
金融企业构建网络安全体系时,通常会把网络划分为外网、内网、DMZ 区等不同的安全区域,然后在网络边界上通过部署防火墙、WAF、IPS 等网络安全技术手段进行重重防护,构筑企业业务的数字护城河。传统的基于边界防护和一次性安全认证的访问机制面临巨大挑战:VPN体系的0day漏洞长期暴露在互联网下,存在较大风险;基于IP地址和端口的访问控制策略控制较粗,存在用户访问权限过大的问题;认证通过后进入内网后访问过程中的用户及终端异常行为和状态的感知能力、动态处置能力不足。
(二)被动防御难防外部攻击
一方面,基于特征比对的杀毒模式受限于病毒样本的数量,单一特征值已经不能完全应对越来越多的新型攻击技术和战术;另一方面,在大部分 APT 攻击中,攻击者针对不同的攻击目标会采用不同的策略,并在攻击前有针对性的进行信息收集,准备特定的攻击工具,攻击发起的整个过程时间可长可短,少则数小时,多则潜伏数月、数年,由于这些攻击均会使用高级免杀技术以逃避传统安全设备的特征检测,隐蔽性极强。
(三)信息防泄露存在安全隐患
信息防泄露是金融行业终端安全管理工作的重中之重。通过相关信息防泄露(DLP)产品的防护,企业的信息安全已得到基本的保护。然而,目前金融行业仍存在如下信息泄露问题:
1、接入企业网络的终端变得多元化,游离于传统安全防护体系之外的终端缺乏安全保护措施,企业内部数据容易被泄露。
2、屏幕水印或网页水印未推广使用,有意或无意的拍照通过社交软件流传开来,存在较大的信息泄露风险。
3、源代码在终端上的存储、访问管理不严,时有源代码泄露的事件发生。
金融行业终端安全应对策略
(一)加强网络身份认证与访问控制
加强终端网络身份认证与访问控制,目前业界较为成熟的解决方案是零信任安全访问技术。从 2020 年开始,“零信任”受到中国用户的追捧,不仅大型传统安全厂商纷纷宣布推出零信任产品或解决方案,而且涌现出不少零信任创业公司,不少从事 IAM、SDP、MSG 的厂商也纷纷给自己打上零信任公司的标签。
1、零信任的概念
零信任的概念是认为人可能被收买,人的身份验证信息可能被窃取,设备也可能被攻破,因此没有任何一个人、设备或系统应该是被无条件的、长久信任的,应当收集尽可能多的信息,对人、设备、系统、被访问资源进行动态风险评估,从而给予用户或设备对资源访问的实时、动态访问授权,在零信任实践中,身份的验证大多是无感的,仅在风险评估结果变化时,可能会要求进一步的身份验证,比如进行多因子身份验证。
图三 零信任架构
2、零信任产品的能力与技术
CSAGCR(云安全联盟大中华区)最早定义了零信任的三大核心技术:软件定义边界技术 SDP、身份管理技术 IAM、微隔离技术 MSG,缩写为:SIM,是在国内会议上解读 NIST SP800-207 时参考而来。但零信任思想发展至今,范围在不断扩大,除了身份识别与管理、授权管理、动态访问控制技术之外,终端安全评估与终端安全防护技术、安全分析与决策技术、沙箱技术、自动化响应与编排能力、国密标准支持、第三方产品与服务集成能力也越来越重要,零信任逐渐成为一种解决方案能力。
3、零信任在终端安全领域的应用场景
随着数字化转型进程及自身业务发展的需要,远程办公已经成了金融行业更为灵活的办公方式。传统解决方案是通过 VPN 连接设备建立传输隧道进入。但员工所处区域并非公司内部、所持设备也不一定是公司资产,访问资源被暴露在互联网中,存在较大的风险。零信任解决方案比较传统解决方案有以下优势:
一是传输隧道加密基础上执行多点验证和检查,保证用户身份真实性;二是除身份验证,同时进行设备绑定和环境安全性验证;三是访问资源隐藏;四是结合身份做细粒度应用访问控制等。
结合上述分析,金融行业除了在远程办公可以应用零信任方案之外,异地办公、出差、远程运维等场景也可以应用零信任方案。目前部分国有商业银行及股份制银行已在终端准入、VPN、运维等场景小范围开展零信任方案的试点。
(二)提高终端主动防御能力
提高终端安全的主动防御,可通过EDR(Endpoint Detection & Response)来实现。终端是EDR的主战场,与传统安全产品被动检测、以管代防的思路不同,EDR并不依赖已知攻击特征,而是主动采集数据,通过情报碰撞、威胁模型分析等方式综合研判,发现未知威胁。并且EDR能够主动寻找攻击痕迹进行威胁溯源,通过全量信息关联,为发现高级威胁提供更有力的数据支撑。
图四 EDR技术架构
1、EDR核心能力
(1)未知威胁与高级可持续威胁检测
传统的端点杀毒软件由于依赖规则库,无法应对这些基于未知漏洞,以及基于人员的威胁。EDR基于各个端点数据的关联分析能力,能够通过IOA和IOC发现遭到攻击的设备,将受害情况尽可能在早期限制在可控制范围内。
(2)威胁响应
在对威胁的检测之上,EDR还能对发现的威胁采取一定的措施。除了传统的杀毒软件中会进行的查杀行为之外,EDR能尽可能将威胁控制在受攻击端点的隔离能力。微隔离技术能够和EDR结合,更好地实现威胁控制。
(3)溯源取证
EDR能对检测到的攻击进行溯源。基于端点的数据信息,通过对攻击的追踪溯源,发现自身端点设备中存在的安全隐患,从而采取后续的安全手段,降低之后攻击的成功率。
2、EDR未来趋势
当前来看,EDR作为单一标准化解决方案占大多数,但是从未来来看,EDR能力会朝着解决方案的一部分的方向发展。EDR本身的出现是为了弥补传统杀毒的短板,因此其本身就带有一定的附属性质。从能力目标来看,要实现的主要还是针对未知威胁的防御以及溯源效果,其技术核心就是针对端点数据的采集与分析。从这个角度来看,EDR很难单独承担完整的端点安全功能,因此更倾向于作为整体端点安全解决方案的补充。在未来,金融行业开始意识到EDR的必要性时,会逐渐加大EDR作为整体解决方案的一部分或者部分定制化集成与交付。
目前个别国有商业银行和股份制银行已在现有防病毒系统的基础上扩充了EDR的功能,开展了小范围的试点。
(三)提升终端信息防泄露水平
针对非标准终端、数字水印、源代码、数据扫描方面信息防泄露水平的提升,可以从如下几方面加强。
1、填补Mac终端、特种终端安全管理的空白
针对部署了MacOS、Android、Linux系统且又必须接入金融企业内部网络的终端,引入相应的安全管理商业产品,实现对这些终端的安全管理,包括网络准入、内外网访问控制、外设连接防护、非授权软件管理、病毒查杀、数据扫描、行为审计,同时制定相应管理流程、审批流程,定期进行安全审查,防止企业敏感信息外泄。
2、提高数字水印安全防范能力
采用隐水印取代现有的明水印,通过在全屏范围嵌入肉眼难以发现的点阵式水印或图层式水印(含数字信息),实现外流照片和打印文档的追踪溯源,有效震慑拍照、截图等方式的违规行为。
3、加强源代码的管理
源代码的编写环境优先考虑桌面云,在不具备桌面云的条件下考虑本地沙箱的方式,尽量降低源代码在终端落地的风险。同时要求源代码提交到后台代码库统一管理,并对代码库按照最小授权的原则,为每个代码库建立单独的访问权限。
4、完善数据扫描功能
一方面实行全盘文档定期扫描,对敏感文档进行自动加密(包括版式和流式文档),另一方面增加对图片的扫描(通过OCR将图片内容转换成文字,然后进行内容扫描),防止员工将敏感文档输出为图片格式绕开扫描,从而导致信息泄露。
针对上述四方面信息防泄露能力提升,各家金融企业的管理要求有所不同,基本上只实现了部分提升。工商银行目前已具备图片扫描自动加密方面能力,通过云桌面+代码库的方式实现了源代码的管理。
研究总结
终端安全没有绝对的安全、永久的安全。传统的网络接入访问控制、外部入侵防御、信息防泄露管理,随着时间推移和环境变化,已无法满足当前安全管理需求,零信任、EDR及其他安全加固产品也因此应运而生,而且金融行业也逐步开始了尝试。
面对复杂的生态环境,建议金融行业结合监管的要求、自身业务的发展以及外部安全威胁的变化,与时俱进,打造可持续发展的终端安全体系,确保金融系统稳定运行、确保金融信息安全流转和存储。
作者系:工商银行金融科技研究院 系统一部研究团队
声明:本文来自银行科技研究社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。