文 / 中国农业银行科技与产品管理局 何启翱
“没有网络安全就没有国家安全”“要筑牢网络安全防线,提高网络安全保障水平”……党的十八大以来,习近平总书记多次发表关于网络安全的重要论述,将网络安全提升到前所未有的新高度。农业银行牢牢把握国家网络安全战略目标,花大力气、下真功夫加强自身建设,建立了较为完善的安全防护体系。同时随着国际网络安全攻防对抗升级,农业银行转变思路、主动作为,从被动防守向主动防御、动态防御转型,聚焦传统攻防演练的不足,结合金融行业特点,迭代优化沉淀经验,自主形成了网络安全实战对抗体系。
传统攻防演练面临的瓶颈与挑战
近年来,网络安全攻防演练已经成为发现安全短板、提升网络安全整体防护能力的通用方法和有效手段。业界成熟的攻防演练模式,攻防双方多采用“背靠背”自由攻防的模式,适用于多机构横向比拼竞技的场景。但对于单一机构以发现自身防御短板为目的的演练效果欠佳,在覆盖面、精准度、有效性方面存在一定的不足。
农业银行经过多年信息化建设,信息资产规模庞大,线上渠道用户数量众多,信息系统承载大量业务流量,核心系统交易峰值超十亿笔。为了实现对信息资产的有效安全保障,已经建立了较为成熟的网络安全防护体系。在从主动防御向以“对抗能力建设”为特点的动态防御提升转变这一关键阶段中,农业银行在治理思路上遇到了与同业类似的瓶颈与挑战,即传统攻防演练方式难以满足对自身深层次问题发现的诉求。主要表现在以下几个方面。
一是缺少金融特色的演练场景设计。从演练攻击方设计的技术方案来看,由于投入成本、信息缺失、思维惯性等因素影响,国内外攻防演练通常以攻击视角,基于通用攻击场景开展,往往缺少针对金融行业架构特点和业务特色的场景,演练结果与预期效果往往存在一定差距。二是资产测绘手段与防护体系不适配。国内外主要采用主动探测与被动探测相结合、分布式多点探测的方式,对于已建立健全防护体系的大型企业来说,当存在反爬虫限制、路径复杂的信息资产时,现有技术手段仍然存在资产发现不全面的问题。三是效果评价体系缺少演练过程维度相关指标。通用模式中对演练发现的风险能够完成修复,并实现从发现到处置的闭环管理,但仍属于单点的、离散的事件驱动方式,基于过程驱动、数据驱动的模式仍未形成,难以实现过程化、数据化的精准评价。
为此,农业银行迫切需要更为先进的治理思路和检验模式,通过采用有针对性的攻防演练设计,更加全面、深层次地发现潜在风险,推动网络安全防护体系更为精准有效提升。
实战对抗体系建设的创新实践
农业银行围绕上述目标,设计了一套覆盖攻防对抗全生命周期的立体化全场景网络安全实战对抗体系,采用“战前划定战场范围,选择对抗关键要点,统一武器和整体布防,战时指挥调度,全程审计监控,战后精准评价”的总体设计思路,从资产测绘、场景设计、武器库与布防、指挥调度、审计监控、评价指标等六个方面设计构建了网络安全实战对抗体系的整体架构。
1.建立启发式资产测绘平台,实现全途径全资产测绘。引入基于无头浏览器的动态爬虫技术、启发式路径发现引擎、智能表单填充引擎和图形验证码自动识别引擎,解决了网站登录访问、反爬虫等保护限制。从网页、APP、微信全访问途径开展了主动资产测绘,并结合代理网关和生产流量开展被动测绘,最后以多维立体可视化的形式,为攻防对抗提供全场景数据支撑。
2.设计立体化全覆盖场景,为同业在金融特色业务网络安全方面提供范例。农业银行在演练场景的体系完备性、覆盖范围、攻击深度、趋势响应等方面进行深入探索,总结了7个大类39个通用攻击场景,并在此基础上拓宽思路,设计了包括业务合作供应链、线上业务风险、金融云平台及云上资产、办公类社工钓鱼、零日漏洞和银行网点近源等六个金融业务特色攻击场景,覆盖更全、手段更多、强度更高。
3.攻击一体化和整体布防,在攻防两端分别实现攻击武器统一管控和全集团的联防联控。在攻击一体化方面,以战法研究为驱动,基于搜集平台、攻击平台、控制平台和保障平台,构建了集“侦、打、控、保、指”一体的支撑保障平台。标准化建设覆盖信息搜集、攻击打点、持续化控制和后渗透阶段的14类222项攻击武器,并统一入库管理。在整体布防方面,通过部署旁路阻断设备,基于十万余条策略规则,实现会话级精准阻断,将阻断效率控制在0.1秒级别,告警自动化处置率达到99.9%;在全域部署服务器安全防护工具,监测和阻断服务器的可疑风险行为;开展常态化网络攻击溯源反制,向20余家金融机构共享威胁信息和风险提示。
4.建立集团“安全大脑”,统一指挥调度。农业银行在企业架构层面成立独立的“网络安全运营中心”,作为全集团安全的指挥调度中枢,是网络安全一体化运营和网络安全攻防能力建设的“安全大脑”,肩负“集团指挥、应急处置、监控分析、资产管理、漏洞治理、信息交互”六方面职能。一是承担集团指挥中枢,建立7×24小时集团安全监控机制、高效信息交互流程和全集团事件联动机制。二是承担监控分析中心职能。自研告警策略集、分支机构特色业务告警规则集。三是作为安全资产中心,将安全资产与CMDB关联,与外部三大漏洞库关联。四是作为脆弱性管理中心,实现外部漏洞预警与内部安全资产中心的自动化关联匹配通报预警。五是作为信息交互中心,建立集团级联络机制,从交互平台、工单流转、值班处置三个层面确保告警信息传达及时和准确。六是作为应急处置中心,定义场景化预案,实现安全事件的自动化编排响应,缩短响应和处置时间,节省人力投入,减少人为操作风险。
5.全流程监控审计,保障攻击全程可知可控。搭建攻防演练监控审计平台,实现对攻防演练攻击人员的认证、授权、审计的有效管理。一是基于攻击目标、访问时间、平台用户等多维度配置策略,实现细粒度强管控访问控制。二是全流程监控记录,利用流量解析、流量记录等技术方式,对攻击行为数据进行“集中存储、精准区分”,支持攻击人员和行为的准确定位。三是攻击行为审计分析,对记录的全过程流量数据统计分析、Web数据包分析,实现对常见应用攻击的有效检测与识别。
6.结构化指标体系,精准评价攻防演练过程效果。通过可量化的指标体系,对多次实战演练效果进行对比,在安全运营和安全管理能力方面,对企业级安全运营中心(SOC平台)发现能力、应急响应与处置能力、人员安全意识等方面进行分析,对全集团各单位提出针对性指导建议及排查整改方向。目前农业银行攻防体系已经在安全运营和安全管理能力方面设置36个指标,能力提升幅度约36%,在SDL安全开发能力方面设置7个评价指标,能力提升幅度约24%,在对抗场景覆盖能力方面设置22个评价指标,能力提升幅度约31.5%。
实战对抗体系的成果与价值
网络安全实战对抗体系实现了在农业银行全集团范围的应用与推广,通过多次迭代优化,日臻完备,有效推动了农业银行网络安全防护能力精准提升。基于对抗体系构建了实战化治理模式,自主挖掘高威胁、高价值信息安全风险,及时补全系统短板,防止了因网络攻击可能造成的业务中断、客户信息泄露、资金损失等安全事件发生,避免了潜在的经济和法律风险,有效保护客户的金融资产安全,提升了客户的信任与认可,助力打造农业银行有责任、有担当的品牌形象。
在树立良好口碑的同时,本体系的建设也起到了先进的行业示范作用。一方面攻防体系中包含的指挥调度机制、攻击演练场景、标准评价体系,为行业内安全防护体系建设和安全治理提供了参考借鉴。另一方面,攻防体系实践为金融行业新技术、新领域的新问题探索出了治理思路与方法。例如基于演练发现的多起业务合作供应链安全风险,验证了数字化转型以来互联网线上业务发展可能带来的安全隐患,及时发现并弥补管理盲区,为同业提供了供应链安全治理的示范性经验。
发展与展望
维护国家金融网络安全稳定任重道远,作为系统重要性银行,农业银行始终服务国家网络安全战略,持续检验和提升网络安全防护能力。在当前已建立的攻防体系的基础上,未来,将持续推动攻防体系的价值提升与转化。一是平战结合强化安全运营,将攻防演练构建的全集团协同防御能力,逐步转化为常态化网络安全运营能力。二是探索建设自动化的安全检查工具。基于启发式资产发现技术、全流程攻击数据等进行能力整合集成,自主打造平台级的自动化安全检查工具。三是深化数据价值为安全治理赋能。将演练孵化出的量化指标体系、沉淀的资产数据,与科技治理进行有机结合,支撑农业银行信息科技高质量精细化发展。
声明:本文来自金融电子化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。