东方证券办公网防护建设:网络防护更轻松,只因做对三件事
证券是金融行业的重要组成部分,对网络安全非常重视,然而券商机构的安全建设也存在着诸多痛点,既要满足合规和效果的双重需求,也要克服组织结构与人员能力的制约。券商如何克服行业性痛点,建设效果显著的安全防护体系?从东方证券的办公网安全建设经验中,我们或许能探知到一些答案。
回顾这两年证券行业对网络安全的需求,一些变化已经悄然发生:
“等保2.0”合规要求已经从文件到落地。
2021年9月3日,证监会发布《证券期货业网络安全等级保护基本要求》、《证券期货业网络安全等级保护测评要求》2项金融行业标准。这意味着券商在做网络安全建设的合规工作时,所依照的要求和要规划的工作将变得更加清晰;
网络安全态势的变化,要求安全建设要以效果导向。
面向行业、企业的针对性攻击增加,勒索软件猖獗且短时间内无法根治,新的攻击手法和团伙层出不穷。作为金融行业的重要组成部分,上接各大金融主体,下承万千用户,券商的网络安全建设也必须与时俱进,引入新技术、新产品、新方法论,能够防护不断出现的新威胁、高级威胁。
而反观证券行业现有的安全建设,多多少少都会有下面这几点问题:
安全建设跟不上业务发展需求,缺少统一管控
由于技术能力和资金投入所限,券商机构无法在成立初期就构思出完善、合理的安全建设体系,安全能力无法跟上业务发展的速度,往往缺少统一管控、调度的规章制度,很难进一步制定并下发统一安全策略。这必然导致安全能力无法全局覆盖,从而出现安全盲区。
分支机构网络安全需求和人员素质之间的矛盾
券商往往有许多分公司、营业部,资产多、攻击面广,资产的上下线和开放关闭都不受安全团队管控。而由于成本和人员能力限制,防火墙、上网行为管理等网络防护设施很难在分支机构出效果,分支机构的安全建设水平无法与总部相比,在攻防演练中,从分支机构攻击总部的事件屡见不鲜。
汇报结构制约安全能力发挥
在一些券商的组织架构中,安全团队往往需要向网络部、IT部汇报,安全措施推动落地难,调动资源难,沟通成本高,需要为业务牺牲。这不仅导致日常安全运营效果打折扣,也会影响大型攻防演练成果。
东方证券的安全团队需要管理总部与170余家分支营业部的网络安全。而仅从办公网防护来看,东方证券已经能做到1小时内快速响应事件,并具备较好的高级威胁防护能力。那么,东方证券做对了哪几件事?
01从组织架构和职责范围下手,让安全团队更有战斗力
与大部分券商不同,东方证券的安全团队是“垂直化管理”,边界安全、负载均衡、waf、防火墙等全套安全防护设施都归安全团队管辖,写规则和测试都在安全团队内部完成,阻断和响应只需在团队内部循环,在日常应急响应和大型攻防演练中,协同成本较低,战斗力较强。
但安全团队也不是什么都管。服务器和应用的安全基线,如弱密码、用户管理、服务器补丁、代码安全等问题,还是需要安全团队和其他部门协同完成。
在当今网络环境中,IT基础设施建设、IT运维、应用开发等场景都离不开网络安全,东方证券的应对之法将安全团队的职责进行了明确,在扩大安全团队能力边界的同时,也聚焦了安全团队所需要应对的场景,确保了安全团队的应急响应能力。
02IT基础架构充分考虑网络安全需求
东方证券在IT基础架构上与大部分券商最大的不同,在于东方证券的170余家营业部也做了内外网隔离,杜绝办公网和互联网之间的访问互通。
首先,营业部的内外网隔离能部分代替权限管理的工作,关闭了部分设备对外访问、下载的通道。其次,内外网隔离也能让资产管理和攻击面收敛更容易,无论在总部还是分支营业部,资产、服务和端口上新都需要经过安全团队确认,还能统一下发安全策略。
虽然实施起来有一定成本,但效果也显而易见。东方证券对营业部进行内外网隔离的做法,不仅降低了后续的管理成本,更重要的是缩减了对外暴露的攻击面,极大减轻了网络安全风险,这对于日常运营和大型攻防演练都大有裨益。
反之,如果分公司、营业部多种机构在IT基础架构层面未曾考虑网络安全需求,则会造成权限管理混乱、资产和攻击面不清晰等后果,不仅增加安全人员的工作量,安全效果也会大打折扣。
因此,券商机构在规划IT基础架构建设时,应当将网络安全也作为考虑因素,在建设伊始就为后续的集中管控创造条件。
03根据总部和分支机构的不同业务特点,进行安全产品的选型和部署
在办公网防护方面,东方证券根据总部和分支营业部的不同业务特点,对安全产品进行了具有针对性的选型和部署。
在总部,东方证券针对流量侧部署了NTA和NDR类产品,做分析和检测;针对终端侧则部署了防病毒、上网行为管理,在较外层服务器上还部署了EDR设备,确保对高级威胁的快速发现和定位。
同时,东方证券还搭建了一套日志平台,接入waf、沙盒、防病毒软件、NTA/NDR、EDR等安全设备的日志,统一进行分析和编排,并通过防火墙完成阻断。
证券行业对分支营业部的安全管理较为松散,东方证券主要部署了上网行为管理,杀毒软件和桌管软件,对营业部的PC进行初步管控。然而,东方证券很快发现,由于能访问互联网,分支营业部的PC容易被新型威胁和高级威胁侵入,而上网行为管理和杀毒软件无法对这类威胁进行防护和检测,更不用说处置响应。同时,东方证券也发现,总部需要对新型、高级威胁进行防护。
“我们需要把安全工作左移,防患于未然。”因此,在了解过市场上的诸多防护方案以后,东方证券选择了OneDNS企业版。
这款基于DNS的轻量级防护SaaS软件结合了微步在线的威胁情报能力,能够自动拦截木马、蠕虫、恶意软件发起的C&C连接,做到让威胁不出网,还能统一下发安全策略,做到一定程度的统一管控,很适合多职场、多分支机构的使用场景。
根据总部终端较为集中、办公网分区较为完备的特点,东方证券采取统一更改DNS指向的方式,数分钟则可完成对总部的防护。而针对分支营业部无专业IT人员支持、人员计算机水平不高的特点,东方证券则要求各营业部一键安装agent,也能在很短时间内完成部署。
目前,东方证券的总部及170余个营业部已经全面接入OneDNS,不仅能做到对网络威胁的即时检出和防护,还能对出问题的终端进行精准定位和取证。
谈到未来对办公网防护的设想,东方证券安全团队表示,券商机构应当寻求IT基础设施、组织架构和网络安全需求之间的最优解。东方证券正在规划让办公网终端的进域,从而进行统一的访问、软件下载等权限的管理.
同时也在进一步规划各个检测和防护产品之间的联动系统,在检测层面,尝试流量和终端联动,在响应和处置层面,尝试更高级的编排和更多样化的自动阻断处置方式。“划分安全边界,确保边界范围内可控,相关权限可以细颗粒度管理,这就是我们接下来在办公网防护上的目标。”
