金融行业“3+1”联控应对APT攻击实践

文 / 中国光大银行金融科技部  李烨琦 牟健君 薛涛 刘馥源 张嘉伟

近年来，随着网络安全内外部形势的不断变化、金融科技水平的不断发展，金融行业面临的安全风险与日俱增，其中有“高隐蔽性、高持续性、高新技术性”特点的APT攻击，是外部威胁中最难应对的一环。面对不断进化的APT攻击手段，更需要金融行业多方协同、联防联控、多维并举、并肩作战，在筑牢安全能力底座的基础上，融合国家级、行业级、企业级安全能力，打造“3+1”级APT应对体系，共同促进金融科技安全稳定发展，为金融业务保驾护航。

构建“3+1”联防体系

近年来，伴随国际形势的日益变化，境外攻击者愈发活跃，同时随着国家不断出台整治网络安全违法犯罪的相关政策，并持续开展各类专项打击行动，使得境内网络犯罪难度不断加大，网络攻击国际化的趋势愈加明显。随着APT组织的国际化、链条化、逐利化发展，大量APT组织有着足以匹敌国家的攻击能力，而金融科技不断发展的同时，安全边界的不断延展客观上也暴露了更多的互联网攻击面。在此背景下，金融机构采取“单打独斗”的方式越来越难以与国际APT组织进行对抗，联防联控、协同作战的工作方式成为新时代应对境外针对性APT攻击的必由之路。

光大银行依托多年来安全防护体系建设经验，筑牢安全能力底座，融合国家级情报、行业级平台、企业级安全能力，打造“3+1”级APT应对体系，有效应对境外针对性APT攻击，为金融科技、业务安全保驾护航（如图所示）。

图  “3+1”联控

APT攻击特点分析

1.“隔山打牛”——高隐蔽性攻击。近年来，国内外公有云业务蓬勃发展，而云厂商大量业务增长的同时，使得境外互联网成为一片APT组织的“养鸡场”，大量攻击者可以轻易对长期无人运维、欠安全防护的云主机进行攻击甚至持久化控制，并以之为跳板机对第三方目标进行隐秘攻击。同时，各类隐秘隧道、内存木马、域前置、云函数等技术也为APT攻击者提供了更多可能性。在多层代理、隐秘隧道的隐藏下，APT攻击者不会暴露真实身份，隐匿在暗处操纵跳板机，对于单个企业来说，往往难以对攻击目标进行分析溯源。

2.“细水长流”——高持续性攻击。APT直译为高级持续威胁，顾名思义存在高级持续性的特征。对于几年前的APT攻击者来说，使用DOS、分布式攻击使被攻击目标致瘫致痪的现象司空见惯。近几年，攻击者往往采用细水长流的方式，每次采取少量的攻击尝试对单个或多个目标进行精准攻击，配合企业固有的业务流程，利用水坑、鱼叉、路过式下载、“0day”漏洞等手段进行攻击，配合跳板机的使用，可以更加有效地隐藏攻击者身份，鲜有命中单个企业的防范关注点。

3.“道高一尺”——高新技术攻击。APT攻击者的链条化、逐利化属性，导致了攻击者往往能掌握最新型的攻击技术，如当年黑客组织方程式被披露的顶级后门“Bvp47”，利用未公开的“0day”漏洞，轻松地长期对超过45个国家的目标进行持续攻击。随着金融科技不断发展，金融行业所使用的开发框架、产品、开源代码与日俱增，且在未来时间内继续呈增长趋势，而埋藏在业务冰山下的大量“0day”漏洞也为APT攻击者提供了更多的攻击面。同时“云大物智移”等新型技术的不断发展，也成为APT攻防的“新型战场”。

“3+1”联控机制建设实践

针对APT攻击者重隐匿、难追溯的现状，依靠单一单位、企业的情报汇聚能力可能难以进行有效对抗，此时金融行业单位更加需要多级协作、协同作战，形成攻防一体的APT组织防御战线，将APT对抗中“敌暗我明”的态势彻底扭转。光大银行依托国家级、行业级、企业能力三级能力部署，搭配安全能力底座，协同开展安全防护，使针对性的APT攻击无所遁形。

1.第一级：善用渠道，对接国家级情报。当下网络安全情报来源千头万绪，各类关键信息基础设施单位都会面临大量的境外APT攻击，光大银行通过引入全行业安全数据情报，获取实时汇聚、加工、分析后的网络威胁情报数据，起到“海纳百川”的效果。在各行业态势情报基础之上，实时对接光大银行现有安全防护手段，对于高危攻击源进行自动化阶梯级封禁加人工再分析的处置方式，一方面实现“全网监测、实时阻断”的效果，依托国家级数据进行快速响应，人工研判；另一方面将光大银行信息系统被攻击的态势数据上传平台，为“全国态势一盘棋作业”提供行业支撑。将“敌暗我明”的被动局面，转化为“敌明我暗”的先手契机。

2.第二级：科技赋能，联动行业级态势。相较于国家级情报，同为金融行业的受攻击情报在刻画攻击者画像时更具代表性。光大银行依托行业级态势感知平台，将行业级数据收集、再加工，协同国家情报、外部安全头部公司情报，丰富安全情报源头。同时为辅助安全运营分析人员更加精准、快速地定位攻击行为，追溯攻击链，确认当前攻击阶段，实现自动化处置，光大银行建设了一体化威胁情报中心，汇聚多源情报，通过情报处理、多源情报融合等途径，为下游情报消费方提供统一的情报查询接口，并通过与光大银行态势感知平台、人员研判作战室、自动化封堵平台相联动，实现“可封、可查、可验证”的一体化威胁情报中心。同时通过对数据进行深度加工后，每日向行业级态势感知平台提供海量安全情报，为同业提供攻击者画像参考，真正实现行业级态势联动，促进行业联防联控，共同应对外部攻击。

3.第三级：勤思巧变，加强溯源与处置。在国家级、行业级联动之外，光大银行依托现有金融科技体系搭建了高度仿真的蜜网体系，对外在域名、页面、响应等方面对现有信息系统进行高度仿真，协同WAF等安全防护设备对存在明显恶意意图的流量进行动态引流，尝试捕捉攻击者行为身份；对内组建了全方位多层次的蜜网系统，即使攻击者突破互联网边界，其内部横向攻击也会在高度仿真的多层蜜网体系中无所遁形，通过内外结合的方式为境外APT攻击者摆下迷阵。在安全运营方面，发现重大攻击事件后，第一时间进行事件报告和处置，形成临时事件指挥处置小组与作战指挥室，在法律允许的范围内对恶意攻击资产进行溯源分析，识别攻击者攻击行为，尝试获取攻击者信息，甚至在授权的情况下进行尝试性反制，为后续向监管部门的持续汇报工作提供支撑；同时梳理攻击者攻击特征，描绘攻击者攻击画像，“举一反三”，对于同类攻击行为、同类攻击目标进行聚类分析，绘制APT组织攻击态势，反哺行业、国家级态势，实现三级联防联控闭环。

4.能力底座—枕戈待旦，注重攻防能力积累。习近平总书记曾指出：“网络安全的本质在对抗，对抗的本质在于攻防两端能力的较量”，对于针对性强、隐秘度高、技术先进的新型APT攻击组织们，安全防护运营者们更应积极筑牢底层能力，以应对随时可能发生的安全技术对抗。一方面，不断发展的防御体系技术，是驱动安全能力提升的内生因素。在安全建设初始阶段，安全防御还拘泥于堆砌安全设备，虽然是“深挖洞、广积粮”，但安全设备之间各自为战，缺乏串联与协同联动。后来随着攻击技术的发展，逐渐注重边界安全、安全运营，使得防御水平进一步升级，随着对抗强度进一步提升，形成了目前的安全纵深防御体系。而APT攻击技术的不断发展，迫使企业防御者们向更加动态、自主可信的防护方式进行转变，这也为金融行业提出了更高的安全要求，“固本强基”加强安全防护体系化建设，是攻防能力积累的客观保障。另一方面，打造自有网络安全攻防技术队伍，是保障攻防能力先进性的必然要求。当前的攻防对抗态势已然不是“两三厂商、七八驻场”能够应对的，“知己知彼，方能百战不殆”，针对APT攻击者使用的高级攻击技术，金融机构应组建一支能分析、能实践的网络安全攻防队伍，持续进行网络安全攻防技术研究，打磨安全技术能力，在安全赋能、攻击技术复现等方面发挥更大的价值。

随着网络安全攻防态势的不断变化，金融行业作为国之重器，也应守正创新、担当作为，而能力积累是一项长期工作，难以“毕其功于一役”，需要持续不断地对安全体系进行改革、对安全人员进行培养、对多方联动机制进行落地。光大银行必将在“3+1”级联控的基础上，继续固本强基、锐意创新，在应对APT攻击、提升金融安全防护能力方面为国家、行业、金融业务做出更大的贡献。

声明：本文来自金融电子化，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。