实战 | 全感知动态响应安全防控体系建设
欢迎金融科技工作者积极投稿!
投稿邮箱:newmedia@fcmag.com.cn
——金融电子化
文 / 中国农业银行数据中心 温景容 董金程 齐岩
近年来,金融业面临着来自客户需求、竞争格局的革命性变化,商业银行数字化转型、开放银行的大潮不可避免,银行业务互联网化成为必然趋势。与此同时,网络安全形势又日益严峻,网络暗战无时无刻不在发生,商业银行面临来自个人、组织,甚至国家层面的网络安全威胁,监管要求也愈发严格,《网络安全法》《信息安全技术网络安全等级保护基本要求》,以及实战化攻防演习等都给商业银行的网络安全工作带来前所未有的考验。在此背景下,各商业银行多数已建立纵深防御体系,但在实战考验下仍暴露出一些弱点。农业银行以“全方位、全周期”为目标,从网络出口、内网安全、主动预防、动态响应四个方面构建完善总、分行一体化的全感知动态响应安全防护体系,为数字化转型和更好地服务客户提供安全保障。
方案概述
农业银行前期已建立了较为完善的纵深防护体系,开展了攻击阻断、深度检测、主动预防等工作,但在实战对抗中,面对各类有组织、有谋略、多手段的针对性攻击行为,仍需进一步完善防御体系。
全感知动态响应安全防控体系整体建设思路,包括建立各网络出口的全面防御体系、内网安全和主机防御体系、安全漏洞的运营管理体系,以及动态的安全事件应急响应体系。具体包括:一是开展全面感知,扩展防护面,加强分支机构防御能力,以及对来自第三方合作伙伴攻击的检测发现能力,并对邮件出口进行重点防御;二是在纵深防护基础上,加强对内网横向移动和主机异常行为的检测能力,应对零日漏洞攻击等引起的边界防护“失聪”;三是建立动态响应和持续运营机制,及时发现并处置相关安全问题,形成闭环高效的应急响应和自动处置机制,最终形成“三横一纵”的全面防御体系,如图1所示。
图1 “三横一纵”安全防护体系
关键技术特色
1.网络出口全面防御体系。作为国有大型商业银行,农业银行早在2006年就已完成全国数据大集中,实现了“全国一网,一网打尽”的目标,并完成了全行互联网出口的集中,通过总行数据中心统一对外提供服务,但由于分行的特色业务经营需要,各分行还保留着和第三方合作伙伴的专线连接。面对日益严峻的网络安全形势,以及有谋划、有组织的攻击行为,一些小的合作伙伴可能因自身安全能力不足而被攻击沦陷,成为对我行攻击的跳板。
对此,农业银行积极部署、全面布防,在技术层面将第三方网络区域视为不信任,开展了外联安全监测与防护项目建设,部署入侵阻断系统、防APT及流量回溯、病毒流量检测等系统,并引入流量监测设备动态分析防火墙策略,精细化管理,严守边界。同时,确定了“全覆盖、免打扰、非现场”的目标要求,建设总分一体化外联安全监测系统,实现总行及37家分行近4000个应用的全面覆盖、全程纳管、自动分析、持续监测、统一管理。
同时,针对日渐盛行的钓鱼邮件攻击和数据安全问题,农业银行采用围绕邮件接收和发送建立双向的邮件防控体系,实现出入站全覆盖。在邮件接收方向,对病毒、钓鱼、勒索、广告等垃圾邮件进行智能识别和威胁阻断,并建立了基于情报的高级邮件威胁防护和基于异构沙箱检测的综合防护架构;同时从邮件、流量、终端三个维度共同组建对恶意软件的立体防控能力,实现了威胁类型全覆盖。在邮件发送方向,采用分类分级的方式,根据敏感程度自动触发不同的响应处置动作,同时集成高效、无缝对接我行办公和邮件系统,实现自动阻断和手动审批相结合,在严防泄露的同时满足真实业务需求,提升了审批效率。
2.内网及主机防御体系。随着开源及各类通用软件的广泛应用,各种高危安全漏洞频繁发生,特别是零日漏洞也被越来越多地使用在网络攻击中,传统的边界防御已经很难“御敌于国门之外”,内网的安全防护亟需加强。农业银行基于攻击杀伤链和ATT&CK等模型,针对攻破边界的后渗透环节设立了层层关卡,重点对内网横向移动和主机上异常行为进行监测。
在内网安全方面,除了传统的网络分区分域、防火墙精细化隔离,还在内网区域间、总分行之间,通过内网旁路流量检测、区域流量回溯、高密度蜜罐系统等建立起“隔离、监测、诱捕、调查”多维度的内网防线,将纵深防御扩展到全方位防御。
在主机安全方面,农业银行建立了金融业领先的全行主机安全防线,覆盖了总、分行近4万台服务器,部署规模位居同行前列,搭建了集安全、管理、运维为一体,系统阻断、应用防护相结合,包括威胁检测、资产管理、访问隔离、基线核查、黑白名单等为主要功能的系统防线,形成了打、防、管、控的立体防御。同时创新实施方案,采用多条线配合、适配性测试、自定义规则等方式,解决“组织难、匹配难、监控难”的问题,推动整个项目圆满实施。此外,在用户终端层面采用两网隔离、准入控制、终端安全管控、防病毒等手段,共同形成全网最后一道防线。
3.漏洞运营管理体系。农业银行建立了安全漏洞全生命周期运营管理制度,自主研发了安全漏洞运营管理系统,固化漏洞排查处置管理流程,形成了线上闭环管控机制。同时将PDRR模型与漏洞应急响应融为一体,建立起覆盖总分行、境外机构、分子公司的全集团漏洞运营管理体系,利用渗透测试、安全众测、漏洞扫描、红蓝对抗、威胁情报、风险评估等手段,实现早识别、早发现、早预警和早处置。
同时,安全漏洞运营管理系统从安全的视角重新审视信息系统资产,根据各类安全要素建立S-CMDB,一方面利用威胁情报的漏洞信息,结合资产的安全属性,实现快速定位,建立“资产—属主—漏洞”的横向关联,为漏洞处置提供决策依据;另一方面通过系统实现工单自动流转,减轻安全人员、运维人员人为操作负担,提高漏洞排查处置效率,并建立漏洞修复时长、修复比例、成功率等可追踪、易衡量的关键指标,对单个资产及全量资产脆弱性评估进行可视化呈现,实现由脆弱性驱动安全能力全面提升的效果。
4.动态应急响应体系。为提升安全告警响应效率,从海量安全告警中提取真正有价值的威胁行为,快速压制恶意攻击,农业银行建立了安全告警双路动态响应机制,从传统的应急预案方式转换为基于自研告警策略集的自动化响应机制,解决安全告警响应策略少、效率低、调整难的问题。
农业银行基于自身安全防护架构和业务特点,自研了一系列告警策略,基于安全日志、网络流量、系统日志、应用日志、威胁情报等,采用多场景、多级别、多层嵌套的方式,从事件场景、攻击频度、情报匹配等多个维度,针对不同的攻击手段、攻击渠道、攻击阶段等研制了多套策略集合,且策略间可以进行多层灵活嵌套调用,不同策略集合可根据外部安全态势灵活调整,快速切换。一方面实现了对高确定度、无实质性影响的攻击行为直接进行封禁压制;另一方面对于隐蔽的高可疑攻击行为,通过关联模型进行深挖,提升告警准确性,进行人工分析处置。通过近200个多维度场景模型设计,确保了监控能力的全面性。同时,还自研了智能化的编排封禁功能,综合考虑业务影响、IP危害度、IP信誉度、地域信息等多种因素,且可根据历史信息进行自学习,最终确定封禁的时长,并联动封禁系统,实现精细化、自动化、智能化的攻击压制。从整体上有效提升了策略的灵活性、告警的准确性、处置的高效性。
应用价值及意义
未来随着物联网、区块链、人工智能等新技术的发展普及和信息系统复杂性的增加,网络安全攻击手段必然更加多样,黑客黑产对银行造成的威胁也将更加严重。农业银行经过全感知动态响应安全防控体系建设,进一步提升了整体安全防护水平,经受住了内外部实战检验,建立了“三横一纵”的安全防护架构,加强了总分行第三方合作伙伴外联区域及邮件出口的安全防护能力,并实现了一体化外联区域管理,提升了总、分行科技人员的网络安全综合能力。同时建立了同业最广泛的主机安全防线,积累了安全策略库、内部情报库、资产漏洞库等多类具有高复用价值的信息安全知识性资产,实现了全集团安全漏洞运营的线上化、指标化、提前化,以及攻防对抗中的实战化、体系化、常态化。整个体系建设为农业银行的数字化转型和金融科技发展提供了强大的安全保障,也为农业银行客户的信息安全和资金安全保驾护航。
(栏目编辑:张丽霞)
往期精选:
(点击查看精彩内容)
● 实战 | 探索敏捷研发转型之路,从0到1打造敏捷标杆团队
● 实战 | 打造银行数字化园区网络——华夏银行数字化园区建设实践
《金融电子化》新媒体部:主任 / 邝源 编辑 / 傅甜甜 潘婧