从容应对服务安全风险 众邦银行的服务器安全进阶之路

“当我们管理的服务器数量只有几台时，一个安全工程师就完全能应对；当需要管理的服务器数量达到几十台、上百台的时候，就必须要一个安全团队的介入了；而当服务器的数量达到上千，甚至上万台规模的时候，就不是靠简单靠堆人就能解决的了，可能前脚我们把这批服务器的漏洞给修复了，后脚其他服务器又爆出新的0day漏洞，或者在某个机房还有几台早该下线的服务器还在运行，安全人员始终要处于一个提心吊胆的状态。

服务器安全其实是一个量变到质变的过程，你管的服务器越多，攻击面暴露就越多、安全风险越高、被入侵的可能性越大，尤其是云计算带来的云主机&容器数量激增、生命周期变化、安全边界模糊、东西向缺乏管理以及多云混合环境等问题，都给我们的服务器安全管理带来了巨大的挑战。”

武汉众邦银行成立于2017年，是国内首家专注服务小微大众的互联网交易银行，目前位于国内民营银行第一梯队，服务客户数超过3500万。

成立以来，众邦银行始终秉承“专注产业生态，帮扶小微企业、助力大众创业”的使命，以交易场景为依托，以线上业务为引领，以供应链金融为主体，以大数据风控为支撑，着力打造三个银行，即“打通交易与场景的互联网交易银行，致力于产融深度融合的供应链金融银行，数字化驱动科技赋能的开放型数字银行”。

服务器安全面临的三大难题

为应对层出不穷的网络攻击，众邦银行现已建成了完善的边界安全的体系，防火墙、IPS、WAF对常见的网络攻击形式有非常良好的发现和阻断效果。

然而，加密流量攻击、内存马无文件攻击、0day等新型高级攻击手法开始大行其道，仅依靠边界防御很难实现对这些攻击的完全阻断，一旦黑客绕过边界防御体系并入侵到服务器本地，就很难从外围做攻击监测和溯源。

与此同时，随着众邦银行的业务规模不断扩大，服务客户数量不断提升，日益增加的服务器数量，使得系统、应用、端口等核心资产快速增加，管理难度日益增加。

“目前，众邦银行数据中心资产数量已经相当可观，再通过传统人工方式清点资产的方式效率非常低，无法实时了解主机上的细粒度资产变化。”

众邦银行安全负责人表示，例如Web中间件资产、影子资产、应用版本、系统账号信息等；暴露面、资产梳理颗粒度粗放、资产运营机制缺失等资产管理问题，严重制约了网络安全水平提升，成为阻碍当前网络安全建设与运营的一道鸿沟。主要体现在以下几个方面：

第一，传统扫描工具存在识别效率低、误报高、业务影响大等问题，对服务器操作系统、中间件、Web应用的漏洞弱口令等资产的脆弱面风险发现，缺乏精细化的管理工具，无法快速定位。

第二，加密流量、免杀Webshell、无文件攻击等对抗手法持续升级，单纯通过网络层面很难做到体系化的安全防御，无法对主机层面的恶意账号、非法/可疑进程、混淆操作指令等主机入侵行为进行监测，传统网络监测手段只能覆盖20%左右的攻击行为。

第三，高级威胁潜伏安全事件发现周期长，安全事件发生后难以快速检测并溯源，难以追踪攻击行为如何进入主机、恶意文件是如何获得对计算机的访问权限并尝试运行的，及时发现，并溯源响应。

三大举措从容应对服务器安全挑战

“服务器安全作为数字资产安全最后也是最重要的一道门，其重要性不言而喻。”众邦银行安全负责人说。

众邦银行希望通过奇安信椒图服务器安全管理系统（以下简称：椒图）针对现网资产进行自动梳理，实现资产“心中有数”；依托椒图主机入侵检测和溯源能力，提前发现主机上的安全风险，并结合现网NGSOC建设全网监测闭环体系，实现先进性、完整性、针对性的实战效果，大幅提升现网安全建设成熟度。

经过一段时间的磨合与实战化运营，众邦银行实现了以下几个目标：

首先是资产管理，全局在握。

通过在云主机上部署椒图轻量级agent，众邦银行构建了基于资产视角细粒度自动化资产库，包括服务器配置信息、应用、端口、进程、账户、计划任务等13多类、数百项服务器核心资产，实时感知资产变化，让资产管理准确、高效；同时支持全局资产搜索功能，可快速搜索全量资产数据，当出现最新的漏洞时，可以在快速定位受影响的业务资产。

在此基础上，众邦银行实现了对分散在多个数据中心服务器的统一管理，将系统、版本、业务状况放在全局统管视角，并及时对存在问题的资产进行了快速排查，避免了因为shadow it导致的安全风险。 

其次是风险识别，自我洞见。

椒图风险检测模块，能够从多个维度对众邦银行所有服务器进行脆弱性扫描和整体评估分析，帮助安全运营团队随时掌握系统中漏洞和病毒、Webshell、弱口令等其他风险情况。众邦银行负责人表示，目前椒图可以帮助众邦银行自动识别系统和应用高危漏洞数量近700项，基本覆盖所有主流可利用的漏洞。

除了风险识别的功能外，众邦银行还基于椒图系统配置核查、系统服务核查、web应用核查等多维度基线检查能力，构建自动化风险检测体系，实现攻击面的及时发现和有效管理。

第三是联防联动，能力进阶。

服务器安全从来不是“单打独斗”，而是需要协同联动。

基于EDR智能分析引擎、实战化威胁情报等多维度的威胁检测技术的联动，众邦银行实现了对服务器端发生的命令执行、文件操作和网络IO进行持续监控，还原基于ATT&CK框架的完整攻击链，并自动生成多维度溯源报告，包括前、中、后阶段的：暴力破解、异常登陆、后门检测、反弹shell、本地提权、Webshell、无文件攻击、横向移动等，甚至包括进程树、可疑文件下载等多维度信息，大幅提升了椒图告警的可研判性。安全运营团队能够通过运营、不断优化规则及检测引擎，持续降低误报率。

同时，众邦银行还将椒图的服务器告警信息，实时推送至公司已经部署的奇安信态势感知与安全运营平台（NGSOC），包括资产信息、失陷主机信息、恶意文件信息、以及服务器端全量行为日志进行记录和分析，对云上、云下的安全事件进行统一梳理和分析，从而构建全网监测闭环体系；当安全事件发生后，安全运营团队还通过NGSOC下发处置动作到椒图SSK引擎，实现联防联动、快速处置，缩小安全事件影响范围和影响时间，提高大幅提升处置效率。

以硬实力获得客户认可

众邦银行安全负责人表示，奇安信椒图资产清点、风险识别及入侵检测能力，帮助众邦银行构建了服务器端“预防-响应-溯源”的主动防御体系，让服务器安全原本的“无从下手”到如今的“从容应对”，以更贴近实战化的安全方案方案，提升了现网的安全成熟度和联防联动能力，匹配了攻防常态化的安全需求。