中小型银行实战攻防演练经验分享
随着银行业务快速发展的需要,银行不断拥抱互联网+,在通过互联网为用户提供方便的金融业务的同时,原本相对封闭的金融系统不得不更多地暴露在互联网上,从而扩大了银行业务在互联网侧的受攻击面。大型银行按照国家及监管要求,持续网络安全方面建设投入,已逐步提升了互联网安全防御能力,降低了网络攻击产生的安全风险。但以城商行、农信银行等机构为代表的中小型银行,由于体量等方面的因素,网络安全建设方面投入跟不上业务发展的需求变化,导致无法应对当前复杂的网络安全形势。
反观实战攻防演练的演变,越来越接近于实战化,演练过程中采用的攻击手段与在互联网侧遭受到的真实攻击手段基本一致,在近两年的实战攻防演练中也可以看到,除了传统的应用系统渗透外,0day攻击、1day攻击、Nday攻击、网络钓鱼、定向水坑、物理攻击等攻击方式层出不穷,这些方式相互结合,对网络安全体系的抗攻击能力提出了非常高的要求。
用一个案例对实战化攻击方式进行说明:
2019年某次实战攻防演练中,攻击队将目标锁定为某城商行,首先利用该城商行应用系统聊天窗口存在的XSS漏洞,向该银行客服人员发送包含恶意代码的文件,并通过客服电话成功诱导客服点击该文件,成功地控制了该行客户人员的终端。并配合其他辅助技术手段,以客服人员办公用机为互联网防线的突破口,成功渗入内网,在该单位“重边界、轻内网”的安全防护机制下,内网的防御机制脆弱,攻击队利用常规漏洞及弱口令等常用的攻击方式,在内网顺利拿下多个内网服务器及数据库权限,并最终获得了个人网银系统的主机权限。
从上面的案例可以看出,中小型银行在应对实战攻防演练上还面临着巨大的挑战。如何做好实战攻防演练的准备工作,我们总结了如下经验,希望对您有所参考价值!
1、易受攻击的系统与设施需要重点关注
通过多年来的实战攻防演练分析发现,银行客户在实战攻防演练中容易被攻击的系统主要集中在门户网站、信用卡系统、网银、电子商城等应用系统,除了这些核心业务系统外,一些非业务类的应用、中间件、平台等都可能作为主要攻击路径成为攻击者突破的重点,常见的攻击路径包括客服系统、教育培训系统、邮件系统等,也包括分支机构、开发测试网、金融云平台、第三方接入区、VPN、集权类系统、可以接入内部网络的个人终端等基础支撑环境。
2、以协同优先为原则,组织实战攻防演练工作
实战攻防演练是一个多军种作战、高频对抗的过程,在实战过程中,对“组织”的有效性有很高的要求,中小型银行可以考虑由行内高层领导挂帅,协调整体的演练工作;网络安全部门作为主责方,牵头实战攻防演练的整体工作落实;数据中心作为主防单位,负责安全设备部署、安全监控等工作的落实;开发中心作为重要的处置单位,配合安全部门和数据中心整改已发现的应用系统问题。
3、强化积极防御能力,降低被攻陷的可能
在实战攻防演练防守期间,除了传统的防护设备,如防火墙、WAF、IDS/IPS之外,要采用网络安全滑动标尺模型中的叠加演进的理念,既要审视与补充原有纵深防护体系中对内网防护能力的不足,又要构建全面的安全监测能力,例如通过部署流量层面的威胁检测手段以及主机侧行为监测手段,并结合专业人员的威胁分析能力,及时发现进入到内网的攻击行为,并采取有效的处置措施,降低攻击带来的影响。
4、吸取大行经验,细节决定成败
由于实战攻防演练与渗透测试不同,攻击队会高度模拟黑客攻击的模式采用不限制攻击路径的方式开展攻击,所以,攻击的范围可能会被无限延伸,对于中小型银行,需要在有相对完善安全防御体系的基础上关注细节,避免因一些小的疏漏而失去全局,经过与各大银行实战攻防演练经验总结,提供细节关注点示例如下:
(1)掌握真实的资产信息。在实战过程中,与目标业务系统相关的分支机构及其他系统也会是攻击的重点对象,这就需要对资产有整体的掌握,在日常安全工作中以及在前期筹备阶段可以进行内、外部的资产梳理,如在实战中发现异常,可以快速定位,及时处理。
(2)梳理边界,汇总网络出口。尽可能地将出口归束在总行出口,减小暴露面、缩小攻击面,避免网络存在太多或不掌握的互联网出口,在此基础上结合攻击场景,梳理防范措施,并部署全流量威胁监测设备,监测流量尽量覆盖全面,提升安全监测能力。
(3)口令与权限管理。双因素认证、权限管控应是安全防护的标配,但因一些特殊原因,可能存在部分业务、设备、系统并未实现双因素认证、权限管控的情况,这需要对口令及权限进行检查和整改,利用流量监测或主机防护等设备,对弱口令等问题进行发现,并及时让相关部门/中心对发现的弱口令问题进行整改。
(4)建立业务红线机制。攻击者的很多攻击并不能被传统的防御设备/系统所监测到,这需要针对演练中报备的目标业务系统建立安全红线机制,一旦发现异常,就进行告警,常见主要的红线手段有:流量异常(三次握手不完整)、严格访问IP白名单(只要不是白名单中的访问IP,触发安全红线告警)。
5、通过实战攻防演练推动安全防护能力建设
实战攻防演练是阶段性的,但是安全工作是持久的,除了定期进行安全评估和渗透测试,有必要常态化组织开展本机构的实战攻防演练工作,评估当前安全防护状况,加强组织内部协调。同时将实战演练时开展的安全工作下沉到日常工作中,避免在实战攻防演练前期短时间的突击,才能达到更好的效果。
6、提升内部人员防护能力才是根本
安全的本质是人的对抗,提升企业内部安全人员自身的能力,才是从源头上提升安全能力。通过场景化安全运营培训,利用虚拟化平台,模拟实战化场景,采用创新的分组轮循式实操教学方式,为客户单位培养优秀的网络安全防护岗位人员,有效提升本单位发现和处置当前多种网络攻击的防护能力。
实战攻防演练的最佳实践
近年来,奇安信参与了众多国家级、省市级以及大型企业的实战攻防演练,积累并总结出一套完整的实战攻防演练防守经验及最佳实践。奇安信实战攻防演练防护框架如下:
为了更好地应对实战攻防演练工作,中小型银行客户需要经历如下几个过程:
筹备阶段:中小型银行在接到演练通知,应首先成立实战攻防演练指挥工作小组,并明确分工;其次,演练指挥小组要合理地制定演练目标,围绕演练目标,完善现有防御体系;最后,演练指挥小组需要协同内部、外部资源,制定实战攻防演练过程中各类方案及流程。
检查阶段:检查阶段的目标是收缩行内的暴露面、减少行内互联网侧敏感信息。安全检查需要从互联网侧和内网侧开展重点内容的检查,降低互联网侧的暴露面和敏感信息,同时加强内网侧弱口令、常规漏洞的整改,提升集权系统安全基线,限制攻击者在内网快速渗透和移动。
预演练阶段:中小型银行客户在此阶段可以组织一次或者两次预演练,采用互联网、内网等不同的攻击场景和路径,检验现有防御体系的有效性和安全运营团队协同的有效性。
值守阶段:在正式实战攻防演练阶段,指挥小组采用协同安全的理念,加强合作,协同内部部门之间、外部安全厂商之间通力合作、明确分工,一起做好正式实战攻防演练的攻击监测、分析和处置工作,尽量保证演练期间少丢分、不丢分。
总结阶段:组织复盘,针对过程中的不足,予以优化;针对演练过程中的优点,总结提炼并固化到日常的安全运营工作中,从而提升整体的安全防御能力。
