实战 | 商业银行安全新挑战及其应对
欢迎金融科技工作者积极投稿!
投稿邮箱:newmedia@fcmag.com.cn
——金融电子化
文 / 中国建设银行运营数据中心 姜兆龙 刘云鹏
背景介绍
随着业务电子化、服务线上化的不断推进,商业银行信息系统安全建设已取得长足的进步,但目前新态势对其安全运行提出新的挑战,主要体现在以下方面:一是从资产管理角度来看,各大型商业银行IT资产规模普遍数以万计,自有业务还在高速增长;部分银行实行提供基础设施、赋能合作伙伴、构建金融生态圈的金融科技战略,内外资产边界不再泾渭分明,上述态势加剧了IT资产治理的复杂性。二是从系统构建角度来看,随着金融创新的蓬勃发展,为快速满足客户日新月异的需求,各商业银行普遍实行双模IT的发展战略,但敏态IT对银行的信息安全建设提出了新挑战。三是从开源软件管控角度来看,商业银行普遍引入了开源软件提升研发效率,加快信息系统的构建,但近年来知名开源软件高危漏洞频出,商业银行需要形成系统化的管控方法,趋利避害。四是从网络安全监控体系来看,DDoS攻击的强度、复杂程度及向量不断增加,各类安全事件处置的时间窗口不断缩短,对安全运营能力提出新要求。五是从流程管理角度看,商业银行普遍有安全管控体系,但需要构建对应的IT系统对其形成良好支撑,避免运动式、离线式的安全管理。六是从监管层面来看,《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律先后颁布、等保2.0标准开始实施,对商业银行合规提出了新要求。
为应对上述新形式的变化,商业银行需要构建以资产治理为核心、以流程管控为支撑、以业务合规为指引,覆盖开源软件管控、敏态安全保证和运行安全监控的安全运营体系,如图1所示。流程管控需要补齐短板,将现有离线或半离线的安全管控流程进行线上化、闭环化迁移;业务合规需要落实专职人员加强各类安全相关法律法规及标准的解读,覆盖业务系统设计、构建、运行全生命周期。
图1 安全运营体系建设
安全视角资产建设
1.基于安全运营视角存在的不足。商业银行普遍基于配置管理数据库(CMDB)系统对组织的IT资产进行数字化管理。但是从安全运营的视角审视存在诸多不足,体现在如下方面。
(1)视角差异:CMDB通常以资源的视角构建,服务于基础设施,但是安全运营更注重从应用系统的视角看资产。导致CMDB数据从安全运营人员视角来看割裂化、参照性差。
(2)覆盖不足:数据资产实现了对通用类型的服务器、虚拟机等设备的覆盖,但未覆盖路由交换、存储等专用设备。随着以无人银行为代表的万物互联技术的发展,物联网设备在银行得到广泛应用。目前各类专用设备和物联网设备相关漏洞的不断披露,对此类资产的收录亟待实现。
(3)关联缺失:虽然有统一的CMDB管理数据资产,但实际应用中资产管理呈现部门化特征,各部门对同一资产有不同角度的解读,数据孤立、关联困难,资产价值的发挥存在较大局限性,难以满足纵深防御体系对资产的需求。
(4)同步滞后:CMDB主要服务于ITSM流程,ISTM本身是一种离线式服务过程,导致CMDB数据实时性不高,与组织资产实际存在一定背离,部分组织更呈现“重前置审批、轻变动管控”的问题。
2.构建支撑安全运营的CMDB。针对上述问题商业银行需要在资产治理进行以下提升,构建支撑安全运营的CMDB,如图2所示。
图2 安全视角的CMDB建设
(1)构建资产的多角度视图,实现以应用系统层为核心的,宽维度、多层次的资产呈现,满足各业务部门对资产的不同需求。需要在资产管理设计阶段做好资产建模,理清层次间的派生关系,避免“断链”,实现资产库对安全运营的有效支撑。
(2)实现资产的流程嵌入,使资产管理成为变更申请的必要组成部分,实现资产管控与流程管控的同步,实时反映资产现状。流程设计上要对ITIL和敏捷开发模式双支持。
(3)推进资产的自动化采集,可采用资产扫描和主机Agent部署等多种方式提升资产采集的自动化水平,使资产采集实现通用设备和专用设备的全覆盖;构建内网之间、内外网间资产的关联关系,实现基于数据流向的全程资产测绘,满足纵深防御的新需求。
(4)提升资产的数据质量,将变更流程导致的资产变动、资产采集探测的资产现状,与资产库数据进行比对、多角度校验和必要的人工审核,实现资产库对运营现状的精准反应。
(5)重视组织架构对资产的支撑,构建资产与组织机构、与机构人员的对应关系,实现资产归属的精准化,提升商业银行应对各类网络安全事件的响应速度。
开源软件管控
开源软件以其开放、共享、灵活的特性在商业银行得到广泛应用,以Spring、Hadoop、Tensorflow为代表的项目已形成了良好生态圈,成为商业银行微服务、大数据及人工智能的默认框架。
1.开源软件存在的风险问题。开源软件风险问题需日益重视,主要体现在以下方面。
(1)选型缺乏管控:部分银行的开源软件的引入呈弱管控的状态,软件及其版本的选择权下放至开发人员。部分开源软件如Struct2、Mongdb等频发严重漏洞,据相关组织自2014年以来统计数据,NPM和MavenCentral数据库中的漏洞数量分别增长了954%和346%。开源软件不当引入会对银行系统的安全运行造成严重威胁。
(2)引入来源多样:商业银行企业内部针对开源软件的没有构建完善的介质库,开发人员的软件下载渠道各异,缺乏安全扫描,直接部署于生产环境,导致引入病毒木马的风险。
(3)更新维护延迟:商业银行对披露的开源漏洞,受制于缺少漏洞情报库、资产治理水平以及管理因素,没有或很少及时采取缓解及解决措施,导致1Day漏洞存在成功利用的风险。
(4)证书风险:目前证书主要有GPL、Apache、BSD等类型,部分证书存在“强传染性”,有法律及企业声誉风险,需进行深入分析。
2.构建漏洞管理平台,加强开源软件管控。为应对上述风险问题,商业银行需构建漏洞管理平台,加强对开源软件管控。
(1)一个对接:即与资产库进行对接,全局性的掌握组织各IT系统开源软件的使用现状。
(2)二个建设:即进行威胁情报库和介质库的建设。威胁情报库的建设就是每日跟踪CNVD各大安全公司应急响应中心的公开情报,形成企业级威胁情报库;介质库的建设就是搭建Maven、Npm等私有服务器,项目组的开发库依赖,均指向该服务器,杜绝私自引入,实现既能保证引入软件安全性,又能便捷支持项目开发。
(3)三个流程:即引入评审流程、资产匹配流程和评估整改流程。引入评估流程是对开源软件的引入,需要综合社区成熟度、github等平台的folk数目、历年披露的高危漏洞和修复及时性、证书传染性等综合评价,确定开源软件是否可引入。随后与官方网站同步并经木马查杀后,方可进入介质库。资产匹配流程是实现资产库与情报库信息自动化匹配,实现资产脆弱性的T+0发现机制。评估整改流程是若资产匹配流程命中,需有线上化流程支撑关联研判、缓解措施部署和版本升级,维护应用系统的安全性,并同步更新介质库该软件底线版本。
(4)四个能力:即实现资产匹配自动化、威胁情报集中化、整改流程线上化、风险整改闭环化。
敏态安全保证
敏捷开发以其快速迭代、快速满足用户响应为特点,可有效支持商业银行零售业务的开展,使用日益广泛。商业银行敏捷工作的开展主要存在两方面问题,部分商业银未将安全嵌入敏捷中,呈现DevOpsSec,安全管控滞后。部分银行,尤其是存在多个开发中心的大型银行,尚未建立起全行统一的安全流水线,安全工具并未基于企业实际进行定制,导致软件安全评价不一、准出不一。为更好地在敏捷开发过程中落实安全,各银行需要安全前移、标准统一,如图3所示。
图3 敏捷态安全保证
安全前移:即将安全活动前移至系统需求分析阶段,覆盖从需求分析至生产运行的全生命周期。商业银行需定期组织对敏捷团队的开发人员和运维人员的培训工作;将安全需求、设计、编码、测试及部署的各类工具嵌入到持续集成流水线中,实现工具化、自助化和自动化。
标准统一:即构建全行统一的安全流水线,避免工具链重复性建设,形成制度、评价、准出统一,构建组织统一的敏捷视图。需要注意的是工具链的检测规则需按组织实际进行“本土化”改造,提升检测效率;组织高层需要给安全团队赋予足够的话语权,保证标准统一工作落地。
近年来,流水线上各阶段常用的工具JIRA、Gitlab等均有高危漏洞披露,安全人员需要定期进行检测更新,避免高价值目标失陷。此外,根据PaloAltoNetworks披露的数据,目前有30%的docker镜像存在漏洞,其中26.2%的漏洞由命令执行、路径穿越等高危漏洞组成,安全人员需定期进行镜像安全扫描、修补漏洞就及镜像替换工作,保证运行安全。
安全监控体系提升
目前,安全防控已经从传统的边界防御向纵深防御转变,强调多级防御、及时检测和阻断。各商业银行普遍部署有防火墙、IPS、Waf等防护设备,构建了安全设备防御链。但网络攻防一直是此消彼长的过程,一面是黑客攻击武器的智能化,对攻击事件的发现和处置提出了更高要求;一面是各类新型安全防护产品不断推出,SOAR技术也日益发展。商业银行应从以下方面加强建设。
一是加强对DDOS重视。Akamai观测发现仅在2021年一季度,超过50Gbps的攻击比2019年全年还多,预计未来TB级别的流量攻击亦不鲜见。商业银行作为高价值组织更易受到DDos的威胁,企业自身一方面要留存一定的带宽,另外需要做好与IDC服务器及云服务商的联动,以应对大和超大规模的DDOS攻击。
二是加强流量监控能力。在串联防护能力建设方面,可引入RASP和DBF,完善防御链。RASP将自身注入到应用程序中,与应用程序融为一体,实时监测、阻断攻击,使程序自身拥有自保护能力。DBF实现数据库的访问行为控制、危险操作阻断、可疑行为审计。通过部署观察者模式的WAF、APT检测产品及流量回溯设备,搭建旁路防御体系。
三是推进安全运营智能化。根据思科相关报告显示,43%的中国企业认为公司存在“网络安全疲劳”现象,远高于30%的全球平均水平,大量的安全告警和其中虚假警报是引发“网络安全疲劳”的原因之一,安全设备的堆叠又是导致安全告警增加的重要原因。SOAR的建设亟待进行。通过SOAR的构建,可以实现多安全设备告警进行归类和关联分析,提高告警准确性、可将重复工作编排成剧本实现自动化处置,减少对专业人员的依赖。
未来展望
随着网络攻击日益专业化、工具化、智能化,规则静态化、重南北流量的纵深防御体系将被以证书和认证为核心的零信任网络取代,商业银行可在VPN等远程办公领域开展零信任的试点应用。应用加密、协议加密广泛应用,将弱化现有基于网络流量的安全设备检测能力,并对其性能和高可用提出新要求,商业银行需引入动态验证、动态混淆等防护新技术,弥补防御体系的不足。网络攻击日益迅速、精准,将进一步缩短应急响应和处置的时间窗口,商业银行需不断提升SOAR的自动化处置能力。网络攻击目的从炫技向获取经济利益转变,商业银行需加强对业务逻辑漏洞重视,需加强网络安全设备与风控系统联动,安全运维人员与应用开发者的联动,做到及早发现、及早处置。
(栏目编辑:张丽霞)
往期精选:
(点击查看精彩内容)
● 实战 | 探索敏捷研发转型之路,从0到1打造敏捷标杆团队
《金融电子化》新媒体部:主任 / 邝源 编辑 / 傅甜甜 潘婧