文 / 中国光大银行 霍璟艳 薛涛 马晨怡 张嘉伟
随着银行数字化建设的推进,商业银行积累了大量的域名、IP、系统、应用系统等网络空间安全资产,使得银行的互联网暴露面大大增加。与此同时,随着网络安全法、数据安全法、个人信息保护法、关键信息基础设施保护条例等法律法规相继发布,中国人民银行、金融监督管理局等监管机构也都对银行业安全资产管理提出了明确的合规要求。一个机构的安全资产往往存在着覆盖范围广、内容多、技术繁杂、无边界、不可控等诸多特点和问题,所以理清互联网资产,及时收敛风险暴露面便成了银行构筑网络安全防线的根基。
商业银行互联网暴露面威胁
对于商业银行来说,随着数字化转型道路的持续推进,除了已被纳管的安全资产存在的不当暴露风险,更多的风险和隐患来自于不受管控的未知资产,或称为“影子资产”,即指那些不在企业和组织IT部门掌握下的设备、软件及服务等。这类资产往往是攻击者关注的重点目标,一旦被拿下,就可成为突破银行防线的入口,也为银行的互联网暴露面管理带来诸多难题。
一是扩大互联网暴露面。此类影子资产往往不由银行自建,而是业务部门或分支机构由于业务发展需要和快速上线考虑等多重因素,委托第三方公司代为建设或运营的系统(外部托管系统),并通过移动互联网面向客户或内部员工提供服务,由于资产所有权仍归属于银行,其在无意中扩大了银行的互联网暴露面。
二是数据安全难以管控。有些外部托管系统由于业务需要,可能在外存储和处理银行客户或其他敏感信息,这些外部系统的安全性未知,导致存储于外部环境中的数据存在发生泄露、篡改或丢失等风险。
三是安全风险无法识别。对于银行自建的系统,在上线前和上线后都要按照银行规定经过一系列标准化的安全渗透性测试,并在运营过程中纳入银行纵深防御体系实现安全监测和防护,而外部托管系统由于其建设方和运营方的安全能力参差不齐,导致难以发现和防护其中可能存在的安全风险,进而无法保证系统的稳定性和安全性。
商业银行互联网暴露面管理探索与实践
如何有效地发现和管理安全资产成为支撑银行的信息安全运营工作的核心关键。为了及早发现和收敛互联网暴露面,需按照持续建设、逐步覆盖、多手段、自动化的整体思路开展日常监控和及时处置等工作。
1.建立统一的数字化安全资产库
在安全运营及态势感知平台上建设独立的安全资产中心,可自动对接行内数十个数据源系统的资产库,汇聚IP、域名、URL、应用系统、端口、防火墙策略、人员机构等资产信息,依附动态配置的融合策略对资产数据进行提炼加工,提供适用于各类场景使用的安全资产数据,以满足网络攻防对抗、安全监测处置等使用需求,如安全监测处置过程中对告警资产的关联匹配、漏洞预警的快速风险排查和响应、针对监管资产数据报送的自动加工、互联网资产的攻击面管理等。
除此之外,安全资产数据与威胁情报、安全检测和防护设备、态势感知、安全数据湖等形成联动,自动补全资产的安全属性形成安全资产360度画像,如所处网络安全域、检测防护设备(如RASP、WAF、HIDS、网页防篡改等)覆盖情况、关联情报、历史告警数据和安全事件处置情况等,便于安全人员站在资产全方位角度开展安全运营工作。
2.主动探查互联网资产暴露面风险
通过提取的商业银行相关线索关键字组合,包括名称、域名、icp、证书、icon等等,结合大网测绘、流量分析、定向爬虫等技术进行互联网资产暴露面风险探查,包括影子资产风险、品牌风险、数据泄露风险、已知资产的脆弱性风险、已下线系统复活风险等,以自动筛选为主,辅助人工确认,输出风险清单,并开展后续的闭环处置收敛。
(1)在全互联网范围内开展影子资产探查。基于商业银行相关的关键词线索与网页内容、域名等特征的结合,通过全球互联网测绘、信息挖掘、资产情报等进行探查发现,对资产发现结果进行信任度、归属、威胁评估,识别暴露在互联网上可能与银行相关的资产,包括应用系统、APP、微信公众号、微信小程序、支付宝生活号、支付宝小程序等,开展调查并寻找归属;同时建立面向科技条线、业务部门、分支机构的未知资产公示机制,配合进行认领,进而确认资产类型,如自建、托管、三方、仿冒等,后续根据不同的资产类型进行不同的处置,并及时补充至安全资产库。
(2)多来源实时监控外部恶意钓鱼网站、仿冒APP。通过海量网站爬取、网空测绘数据、浏览器数据、图转文识别技术等排查发现银行相关的钓鱼仿冒类网站。通过监测主流APP应用市场及搜索引擎排查发现银行在各安卓、IOS应用市场发布的APP资产,并通过下载分析、对比评估发现仿冒APP资产。发现后及时开展内部验证,并联动厂商进行下架处置,降低品牌和声誉风险。
(3)开展数据资产泄露监测。通过关键字及关键字组合,排查各类互联网网盘、论坛、文库、代码托管平台上泄露的内部文档、客户数据、源代码、非法数据交易等敏感信息,发现与银行相关的敏感数据文档泄露情况和数据贩卖情况,及时开展验证和举报下架处置,降低数据泄露风险。
(4)已知范围内的互联网资产风险监测。通过主动探测技术排查高危端口、高危敏感服务和网站组件信息暴露的敏感链接等风险情况;通过探活等方式识别IP及端口资产的变更情况,如IP上线/下线、端口变动,形成IP、端口资产变更时间线等;通过机器学习、图片识别、特征库、云沙箱等技术对相关互联网网站进行内容安全监测,及时发现网站存在的篡改、涉黄涉政涉恐、死链、恶意链接、风险外链、异常状态、网站可用性、挂马、漏洞等风险内容,及时发现上述网站暴露风险后,结合人工验证并快速收敛。
(5)系统存活情况跟踪监测。针对银行已下线的资产,如前期已按要求处置的外部托管系统等,在下线后进行首次验证,并在下线一周后进行二次专项验证,同时保留包含验证时间的快照证明,建立针对托管应用清单的专项定期探活机制,针对不同状态的系统建立不同的监测机制,监测其复活状态,及时发现再次上线风险。如发现复活及时开展快照取证,并开展调查整改,为影子资产的安全治理工作提供有力的技术支撑。
3.建立互联网安全资产运营机制
在开展日常工作的过程中,需不断积累实践经验,提取形成标准化闭环互联网安全资产运营机制,实现安全资产运营流程标准化,将经验和案例形成知识库,同时建立AB岗工作机制,以保证安全资产运营和暴露面管理工作有序且不间断开展。
(1)以制度作为依托开展全行互联网暴露面管理工作。制定相关管理办法和实施细则等管理依据,如移动互联应用资产管理及登记管理办法、托管应用安全管理细则等,明确对互联网安全资产管理的工作内容和工作要求,同时通过制度直播课、科技大讲堂、标准化工作流程、制度执行检查等手段推动制度的落地,并结合内部科技巡检,发现制度执行过程中的问题,以检验制度的执行效果。
(2)分析在运营过程中暴露的痛点难点,不断优化技术手段。一方面,持续优化互联网资产探查机制,通过监控分析各类互联网资产特征,分析在互联网资产探查发现手段的不足,及时优化和调整探查规则和频度,丰富更加宽泛的关键词,同时通过自动化脚本加工替代资产运营人员人工确认的工作量,进一步提升安全资产运营效果。另一方面,拓展更多互联网资产应用场景,建立多项平台化工具技术手段,逐步推进资产数据处理和互联网风险处置工作流程线上化、自动化,使收集整理的安全资产数据对下游提供支持,用于资产管理治理、安全监控分析、安全度量、应用查询、工单处置等,发挥安全资产价值。
(3)结合宣传培训、评价考核、竞赛评奖等管理手段,提升运营成效。一是加强宣贯力度,定期开展针对业务部门及分支机构的技术分享和交流,通过分享帮助其更加深刻地理解安全资产管理与暴露面收敛的意义,提升对互联网暴露面的重视程度,进而更好地配合开展资产管理工作,缩短调查和确认时间。二是加强评价考核力度,将互联网资产登记和管理纳入信息科技管理评价指标,针对未登记或登记不准确等情况进行扣分处理,通过管理手段督促资产登记和管理,提升资产的上报率和登记率,以及登记的准确率。三是加强总分协同力度,通过组织安全劳动竞赛和评奖鼓励全行内部人员主动开展影子资产、钓鱼网站、仿冒APP、互联网渠道上数据泄露等互联网资产风险的主动发现和快速处置,以及自动化资产管理工具和手段建设使用,从而进一步加强全行安全资产协同运营。
总 结
针对商业银行互联网资产暴露面管理机制,需建立“运营+管理+技术”的协同模式,深入探索和实践互联网暴露面的发现和收敛,并在实践过程中持续开展常态化安全资产运营,同时加强互联网资产探查力度、优化探查机制,使得各类资产暴露风险的发现率呈现下降趋势,进而有效支撑安全运营工作,全方位加固商业银行安全防御体系,构筑牢固的金融科技安全防线。
(此文刊发于《金融电子化》2024年1月下半月刊)
声明:本文来自金融电子化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。