群星防禦平臺選什麼區段
“十四五”開局之年,陝西省聯社以數字化轉型為契機,切實履行保障客戶資訊保安的社會責任,加強資料安全整體態勢感知,透過建設基於威脅情報驅動的資料安全主動防禦平臺,持續提升資料安全防護水平。微步線上參與了該平臺的建設與實施。現該案例已入選第五屆農村中小金融機構科技創新優秀案例的“資訊保安優秀案例”並在金科創新社網站“案例庫”中展示。
本文轉自金科創新社案例庫:
http://www。fintechinchina。com/index/article/info。html?type=2&id=3651
01 專案背景及目標
伴隨著全球範圍的數字化浪潮,資料已經成為新一代核心生產要素,資料紅利背後的資料安全形勢日益嚴峻,資料洩漏、個人隱私竊取等安全事件呈現出突發的態勢。在此背景下,國家相繼頒佈了《網路安全法》、《資料安全法》、《個人資訊保護法》等重要法律法規,資料安全防護已提升到國家安全戰略層面。銀行機構作為關鍵基礎設施單位,在經營活動中沉澱了大量個人客戶資訊、金融資訊、交易資訊,形成全社會可信度最高的一類資料,自然成為資料安全重點保護的行業。
陝西省聯社積極落實國家資料保護法律法規,以自身數字化轉型為契機,切實加強個人金融資訊保護,持續推動資料安全技術防護體系建設,完成了傳統資料安全防護系統建設,嚴守資料安全底線。但這些傳統安全防護系統採用“豎井式”部署架構,側重於基於網路邊界的靜態防禦,此種策略能夠應對傳統駭客攻擊,但無法防禦新形勢下的高階可持續攻擊(APT),且不同防護裝置之間的資料相對割裂,形成資訊孤島,只能獲取區域性的攻擊資訊,無法構建出完整的攻擊鏈條,難以發現並追蹤真實的攻擊行為和攻擊者身份。在新形勢、新業態下急需建設一套覆蓋全網,具備全面深度威脅檢測、感知全網安全態勢的防禦系統,抵禦APT攻擊,降低金融資料洩露風險。
“十四五”開局之年,陝西省聯社以數字化轉型為契機,切實履行保障客戶資訊保安的社會責任,加強資料安全整體態勢感知,透過建設基於威脅情報驅動的資料安全主動防禦平臺,持續提升資料安全防護水平。該平臺將藉助外部專業威脅情報資訊,全面、及時、準確監測內外部威脅,降低網路攻擊和資料洩露風險。結合異常規則、大資料、機器學習、威脅建模等先進檢測技術,對承載金融敏感資料的網路進行檢測,透過對攻擊事件的聚合和關聯分析,全面提升針對攻擊威脅的檢測、發現、分析、定位和溯源能力,從正常行為中發現未知威脅事件,利用情報線索預測未來可能發生的安全事件,從“被動式”向“預判主動式”轉變,實現資料安全威脅的主動防禦,構建適應新形勢下的資料安全防護體系,提升資料安全和個人金融資訊防護水平。
02 專案方案
基於威脅情報驅動的資料安全主動防禦平臺採取旁路流量映象部署方式,集中採集全閘道器鍵流量和傳統安全防護裝置日誌,實現省聯社資料中心安全檢測全覆蓋。結合威脅情報資訊,高效匯聚真實有效攻擊資料,形成全網整體安全態勢,採用旁路阻斷技術,有效對發現的威脅進行封禁處置。
平臺總體上劃分為資料輸入模組、資料標準化模組、威脅檢測模組、資料展示模組和響應處置模組,架構如下:
圖1 平臺總體架構圖
資料輸入模組
包括流量資料、終端日誌以及資產資料的接入。支援實時、全面地採集跨網路訪問(南北向)和內網區域間訪問(東西向)的雙向流量;利用終端Agent採集接入終端的活動日誌和可疑檔案等;可透過Syslog、Kafka等方式接入各類網路、主機和安全裝置日誌,如DNS日誌、HTTP/HTTPS訪問日誌、VPN登入日誌等。
資料標準化模組
利用高效能協議解析引擎將接入的原始流量解析為結構化報文,透過正規化化、資料抽取、欄位解析和事件對映等技術將流量資料和日誌資料深度解析成標準格式,在對資產資料進行內容豐富的同時,為進一步的威脅檢測做準備。
威脅檢測模組
主要包含本地實時監測、本地非同步分析和雲端檢測三部分,運用威脅情報、機器學習、簽名特徵檢測、異常檢測、行為基線、資料回撈等技術,在發現實時攻擊的基礎上,實現對歷史資料的關聯分析和智慧聚合。
資料展示模組
對資產發現情況和威脅識別情況進行全面展示,根據威脅型別和入侵程度展示失陷主機、攻擊成功事件、針對性攻擊、內網滲透、外部攻擊和敏感資料洩漏等事件,並展示攻擊過程鏈條。全面展示發現的業務資產情況,包括系統名稱、域名、IP、開放埠與服務、API介面及其訪問量等資訊,以及後臺暴露面、弱口令、撞庫事件、敏感資訊漏洞等風險。
響應處置模組
對高可信攻擊IP和目標主機進行重點監控,根據歷史流量資料中的攻擊行為還原攻擊者畫像,為攻擊回溯提供支撐;支援對海量資料日誌進行快速檢索查詢,支援以Syslog、HTTP API等形式將日誌輸出至第三方系統;支援聯動第三方防火牆或旁路阻斷模組/裝置進行自動化封禁阻斷。
03
創新點
引入高可信威脅情報資料,提升網路攻擊事件研判能力
1. 事前情報預警,提前防範
透過引入外部高質量情報,可提前發現針對銀行業的情報資訊(攻擊者IP、特徵、手法等)。將提前獲取的攻擊IP、域名、payload等情報提前加入到安全防護裝置中,形成基於情報的事前預警機制,及時發現、分析、阻斷攻擊事件,做到“防患於未然,先人一步”,有效提升傳統安全裝置防禦能力。
2. 事中對威脅事件關聯分析,展示完整威脅攻擊鏈
將傳統防護裝置的防護日誌和自身流量檢測能力相結合,利用威脅情報對海量日誌告警進行驗證過濾,對抽象告警資訊進行上下文關聯豐富,按照攻擊者、攻擊告警時間等特徵對同一駭客團伙行為進行歸類合併,形成攻擊者完整攻擊鏈條,運維人員可聚焦在真正的威脅上,降低安全運維壓力。
3. 形成駭客攻擊畫像,協助事後取證與樣本分析
利用沙箱等靜態與動態分析技術,進一步分析提取樣本的特徵簽名與網路行為等資訊。結合威脅情報中的攻擊者特徵與資產內容,發現該攻擊事件所屬團伙以及背景資訊,明確攻擊者攻擊資產、攻擊工具、攻擊手段、攻擊特徵等資訊,形成攻擊者“畫像”,掌握攻擊者心態、意圖、手法,從而提升應急響應能力,做到“知己知彼”,彌補實戰攻防中不對等的態勢。
高效的威脅處置能力,集中阻斷全網威脅
1. 採用旁路網路阻斷技術,解決威脅處置的短板
利用TCP協議原理,在檢測到威脅流量或事件時,以中間人身份,主動模擬傳送重置連線資料包,中斷攻擊者與受威脅主機的網路連線。在不改變網路拓撲的情況下,對惡意連線進行了集中有效阻斷,實現了覆蓋全網的“分散式防火牆”功能,部署簡單,實戰效果好。
2。 聯動第三方阻斷類裝置
對檢測發現的惡意攻擊IP、域名等資訊,可自動同步給第三方阻斷類裝置,透過阻斷類裝置API或外部資源呼叫方式,聯動第三方阻斷類裝置進行阻斷。
IT資產梳理全覆蓋,減少資產暴露面
透過採集關鍵流量資料,並對流量進行識別,被動梳理出埠、服務、中介軟體、Web應用、域名等資產。特別是可梳理出應用系統開放的API介面,記錄API呼叫資訊,識別使用弱口令的介面,滿足人民銀行《商業銀行應用程式介面安全管理規範》的安全運維管理要求。
實時被動檢測資料資產,檢測資料調取情況,記錄調取資料的IP、指紋等資訊,對異常訪問請求進行記錄。實時監測網內檔案傳輸內容,以全域性視角檢視內部傳輸、外部上傳檔案內容,有效抵禦了內部資料洩露風險和外部上傳木馬風險。
利用被動監聽技術實現對外暴露後臺和管理頁面的實時監控,及時發現後臺頁面對外暴露風險,識別對後臺頁面的撞庫行為,判斷撞庫是否成功。
04 技術實現特點
平臺依託高可信威脅情報資料,透過分析網路流量、傳統安全防護裝置日誌、終端日誌等安全資料,利用高精準規則、威脅情報、異常行為、機器學習、行為基線等技術,研究並動態識別出網路中的資產、威脅及風險,發現持續針對性滲透攻擊、撞庫威脅、敏感資料竊取等事件,以及尚未掌握的新型攻擊手段、APT、0-Day等未知威脅。透過提取攻擊特徵屬性、完整還原攻擊鏈條,對攻擊滲透路徑進行內部溯源,對攻擊團伙特徵進行畫像,利用旁路阻斷技術集中防禦。構建集持續檢測、深入分析、內外溯源、定位取證、隔離阻斷為一體的主動防禦體系。
全網威脅感知
在不改變現有網路結構的情況下,採集的全網映象流量,實現對內外部攻擊的精準識別,包括“外對內”、“內對內”、“內對外”等攻擊行為。透過對全網流量的深度檢測和對傳統安全裝置日誌彙總分析,為安全運維人員提供“上帝視角”,將全網安全威脅和攻防態勢輸出到威脅態勢圖中,為安全運維人員全面掌控風險和決策提供資料支援。
攻擊精準識別
聚焦於發現真正安全威脅,利用機器學習、異常分析、威脅建模、關聯分析等技術與威脅情報能力相結合,實現對零散、區域性的攻擊告警資訊的智慧聚合。在大量告警日誌中確認出針對性攻擊事件,自動為攻擊IP標註威脅特徵標籤,判斷攻擊事件是否成功,並可還原網路攻擊鏈條。
資產全面梳理
“萬物皆流量”,基於流量的資產識別能夠明確現有IT資產使用情況,以流量視角發現IP、域名、埠、協議、服務、WEB站點、API等資產及其開放情況,並自動識別其關聯關係。採用被動式流量進行資產識別,可實時掌握網內新增資產,特別是可以識別主動掃描類系統難以發現的API資產,有效彌補主動掃描類資產發現系統的不足。
攻擊團伙畫像
利用威脅情報資料與出入站流量、日誌進行碰撞,對攻擊者進行畫像和手法分析。從攻擊特徵、活躍度、攻擊手法、攻擊目標系統等多個維度分析攻擊行為,研判駭客的主要攻擊目標和最終意圖,實現對攻擊團伙的聚類分析,例如透過攻擊畫像聚合隱藏在大量代理IP、秒撥IP偽裝下的真實攻擊者身份。透過對攻擊者和攻擊目標的彙總和畫像,提前掌握駭客攻擊目標,可以做到提佈防。
失陷主機檢測
透過多種手段發現失陷主機:一是利用高可信的C2地址、Webshell、特徵檔案等失陷指標(IOC)情報資料與網路流量、日誌進行碰撞,可以識別存在反連行為的被控失陷主機;二是基於深度學習的DGA域名模型和DNS隧道通訊模型進行檢測,覆蓋常見典型入侵控制手法;三是建立主動外聯行為特徵基線模型,實時檢測心跳連線、不常見域名連線等異常行為,發現未知威脅。
05 專案過程管理
本專案於2021年2月啟動,2021年8月正式投入執行,專案建設週期為7個月,專案主要經歷了需求分析、功能測試、部署實施、正式上線、持續運營等5個階段。專案具體建設過程如下:
需求分析階段
時間週期:
2021年2月
工作內容:
主要進行前期預研,根據本單位網路安全現狀完成需求分析與功能的確認,並對系統技術架構、部署模式進行研究。
功能測試階段
時間週期:
2021年3月至2021年4月
工作內容:
根據前期預研形成的解決方案開展功能測試,驗證平臺各功能模組與實際需求的符合情況,並與傳統WAF、IPS、SOC等安全裝置效果進行對比,形成功能測試報告。
部署實施階段
時間週期:
2021年5月至2021年7月
工作內容:
根據實際網路結構和平臺部署模式形成實施方案,完成全閘道器鍵節點雙向流量採集,並將部分傳統防護裝置日誌進行收集彙總;完成平臺的部署實施,配置檢測防護策略,完善防護資產資訊。
正式上線階段
時間週期:
2021年8月
工作內容:
正式上線執行,對生產網路資料進行分析,最佳化資產梳理情況,總結安全威脅與攻擊場景。協調開發和運維團隊對平臺中發現的業務系統脆弱性進行修復,根據發現的問題最佳化平臺策略。
持續運營階段
時間週期:
2021年9月起
工作內容:
上線後的持續運營階段,將平臺納入常態化安全運營流程中。基於威脅感知、資產梳理等能力,持續向WAF、IPS等安全裝置輸出策略最佳化規則。定期向運維團隊反饋新增的業務系統脆弱性以進行整改,逐步收斂暴露面,消除安全威脅,降低資料洩漏風險。
06 運營情況
平臺自上線以來,共採集省聯社3個數據中心網路的30餘個關鍵網路節點,覆蓋了全網主要業務流量資料。採集接入的網路流量峰值達14Gbps。上線後共發現外部攻擊30萬餘次,透過關聯聚合分析與智慧判定,歸納出攻擊事件1500件,其中具有針對性的攻擊28起,尚未出現攻擊成功的安全事件。
透過全網流量自動準確發現關鍵資產1300餘個,識別主要開放埠近2000個,其中確認涉及對外開放的服務約240項,並自動形成了域名、IP、埠、服務、API介面、對外開放情況的關係圖譜。
透過自主學習與異常分析,發現轄內法人機構190餘臺終端請求訪問98個惡意DGA域名,部署終端取證Agent,對受感染終端上的惡意程序與程式進行了精確定位和與清除,彌補傳統終端安全軟體在此方面的不足。
07 專案成效
平臺的建設實現了全網統一安全運營、提升了安全運營時效,解決了傳統安全裝置檢測率低、處置不及時、關聯分析不準確等問題,具體成效如下:
1)全網統一安全運營。
只需一個安全管理中心即可實時掌握全網安全狀態,從外部攻擊、內網滲透、失陷破壞等多個維度展現了內外網攻擊事件,對全網整體安全態勢進行評估,幫助決策者快速感知全網安全等級,為日常安全運營以及重大安全決策提供支撐。
2)提升安全運營時效。
改變了以往在大量告警日誌中尋找可疑攻擊線索的局面,消除了大量誤報和無用日誌的干擾。安全運維人員可以聚焦於針對性攻擊事件,結合威脅情報資訊以及直觀的攻擊特徵、原始報文展示資訊,做到快速判研事件狀態並選擇處置措施。極大的提升了事件處置效率,縮減了投入的人力和時間。
3)梳理關鍵資產資訊。
透過自動化構建資產資訊,明晰了關鍵資產的開放情況和暴露面,釐清了關鍵業務的訪問資料流,梳理了所有業務API介面。對資產存在的弱口令、撞庫、敏感資訊洩漏等風險進行有效監測。
4)協同聯動處置響應。
創新性採用旁路阻斷技術、聯動第三方阻斷裝置和終端Agent檢測功能。在發現攻擊行為或惡意連結訪問後,可依據原本安排好的決策劇本,結合資料資訊進行智慧決策,自動阻斷惡意網路連線,或聯動終端Agent程式定位惡意程序,實現網路攻擊事件的智慧聯動處置。
5)主動安全防禦。
引入了高質量的商業威脅情報資料,可以及時掌握國內外最新網路安全態勢,並對本機構自身網路威脅態勢進行精準研判分析。透過高準確度、高專業度、高更新率的情報服務能力,使得可以先人一步發現並阻斷最新網路攻擊威脅,實現新型網路攻擊形勢下的主動安全防禦,防患於未然。
08 經驗總結
威脅情報驅動的資料安全主動防禦平臺的建設創新性地引入威脅情報,推動了資料安全防護從被動向主動轉變,提升了主動應對資料安全威脅的能力。平臺運用了機器學習、大資料、異常檢測、威脅建模、行為基線等多種技術進行攻擊檢測,構建了統一安全防護大腦,提升了持續檢測、溯源取證、風險預警等安全能力,減少了網路攻擊可能造成的資料洩露風險,為陝西省聯社數字化轉型築牢了資料安全防線。該平臺具備部署簡單、覆蓋面廣、檢測準確率高等特點,對中小銀行機構資料安全防護具有一定的適用性,有利於中小型銀行在新形勢、新態勢下,利用科技手段提升資料安全性,減少資料洩露造成的經濟和聲譽損失,為銀行業務整體快速發展提供安全保障。
“十四五”期間,陝西省聯社將抓住改革浪潮機遇,積極向數字化、服務化轉型,加強資料安全治理,關注資料安全和個人資訊保護,實現金融資料全生命週期的安全監測與防禦,利用零信任、擬態防禦、人工智慧等新興安全技術,完善資料安全技術防護體系,持續提升資料安全與個人網路安全防護能力,助力農村金融業務創新和快速發展。