关基之后的第一场重保“考试”应答指南
关基之后的第一场重保“考试”应答指南
“关基”威胁与重视程度同步提升
近年来,针对关键信息基础设施(以下简称关基)的攻击层出不穷,带来的社会影响也愈发严重,关基安全直接影响到国家安全、经济发展、国计民生和公共利益等多个方面,也因此强化关基安全保护能力是我国十四五期间的重要任务之一。
金融机构网络安全保障要求提高
金融行业在国民经济发展中占据重要地位,影响国家产业经济稳定性,因此其信息系统与网络设施符合《关键信息基础设施安全保护条例》范围要求。与此同时《金融数据安全》系列等多项金融行业安全标准、政策和规范的出台,金融行业网络安全规范体系逐步完善。
在疫情影响刺激下,数字化转型加速,银行、证券和保险等金融单位积极利用大数据、人工智能、区块链等技术赋能业务、提升效率,同时也给金融网络安全保障带来新的挑战。而金融行业因其高价值特点,又常常成为网络攻击的首选目标,在国庆、春节等重要时期亦是如此(全网DDoS监测数据显示,春节期间DDoS事件与前一周相比上升24%),产生的社会影响也更为剧烈。
Q:如何在严峻的攻击形势下,保障金融信息系统在重要时期的平稳运行?在金融较为完善的防护体系基础上,如何提供保障?
A:长亭团队基于在金融安全领域的多年耕耘,以及自身丰富的安全实战经验,将重保时期保障工作分为“前”“中”“后”3个阶段,共计6个维度和16项关键动作,最终形成“金融机构重大活动安全保障方案”。
方案结构示意图
阶段1-重保前
Q:如何评价现有安全防护体系,发现自身薄弱环节?
A:依据等保规定、纵深防御安全框架等进行安全防护体系评估,或参考广受金融客户认可的-长亭科技安全攻防能力成熟度评估模型,明确与行业标杆的差距,并以雷达图的形式展现,为安全能力的提高与体系的完善提供方向和依据。
Q:如何有效完成组织资产的发现梳理,收敛资产暴露面?
A:基于资产台账,明确资产范围与状态,利用资产发现设备(如长亭洞鉴(X-Ray)安全评估系统、长亭牧云(Cloudwalker)主机安全管理平台)梳理域名及主机开放的服务、互联网入口、网站、移动/PC终端、网络和设备,下线不良资产,清理无用账号,关闭非必要的服务和端口,收敛组织资产的互联网暴露面。
Q:如何尽可能全面排查安全威胁,安全防护手段的评估,可以依靠哪些手段?
A:借助安全评估类产品(如洞鉴(X-Ray))或主机安全防护产品(如牧云(Cloudwalker))对金融机构内外网资产,如门户网站、电子银行、在线客服、OA系统、运营管理平台等进行基础配置项的合规检查,发现弱口令等安全隐患,发现并评估漏洞的危险性与影响范围,采取相应风险处置方式。而针对重要且易受攻击的网络资产,采取渗透测试与专项评估进行深度风险发现。
Q:针对发现的威胁与防御短板,有哪些可采取的加固措施?
A:长亭基于多年参与金融行业安全建设经验,总结出重保时期网络安全产品部署框架,借助该框架长亭安服团队辅助金融机构明确设备覆盖范围、流量接入完整性,综合多种防护监测体系构建之法,根据机构情况给出适用的防护监测体系构建方案。并进行策略有效性验证与优化,基于调整后的策略验证覆盖度,通过安全测试的方式确认策略的覆盖度,抗绕过,抗淹没等多项指标。
重保综合布防体系示意图
Q:在进行完善加固后,如何进行防护体系能力的检验?
A:开展攻防演练,进一步验证防护体系完备程度,检查短板。实践是检验真理的唯一标准,长亭团队通过模拟真实攻击者,对金融行业核心信息系统发起可控的网络攻击,以实战检验金融机构各项防护能力,发现薄弱环节及时进行修正和优化。防守方按照监测分析、事件研判、应急处置、联络协调进行分工分组,以真实重保流程进行事件的应急处置及上报。
阶段2-重保中
Q:缺人、缺经验,重保期间如何实现7*24小时的保护?
A:7 * 24小时专家值守服务、7*24小时的现场或远程事件应急响应服务、长亭情报运营中心提供情报共享服务,解决金融机构缺人、缺经验、缺情报的问题。协助机构掌握网络整体安全态势,及时发现风险,采取措施进行应对和处置,将对业务的影响降至最低。
阶段3-重保后
Q:重保结束之后,除了总结汇报,还有什么工作?
A:长亭科技按照实际情况完成各维度防守数据汇总、统计、分析判断和汇报工作,对重保活动进行全面工作总结,及时解决重保中发现的网络安全问题,并提出优化建议。为切实保障业务安全,适应常态化攻防环境,协助建立适用于金融机构自身业务情况和安全需求的网络安全保障长效机制。
重保时期金融机构安全保障经验分享
在某次重保活动前,某金融机构邀请长亭科技参与重保前的攻防演练模拟。在攻击模拟中,由多家厂商组成的攻击队利用数十个漏洞和十几条攻击路径,拿下该单位上千台主机的权限。总结复盘显示,前期攻击队利用钓鱼邮件等社工手段进行了信息收集,并利用泄漏的信息成功通过VPN进入内网,使用漏洞利用和弱口令破解等手段成功控制堡垒机、网闸以及终端管理软件,进而实现靶机权限的获取。
测试模拟结果差强人意,无法满足重保活动要求。此时长亭重保团队临危受命,梳理网络现状,发现高危风险,并提出解决方案,进行重保前网络安全防护能力提升和体系优化。
问题发现:机构使用的星型网络存在先天缺陷,专线接入区直通靶标,来自会员专线网的攻击,可直通靶标系统。
针对方案:在重保前的布防阶段,紧急部署了多台防火墙,并将会员流量引至防火墙检测,随时做好封禁准备。并通过部署HIDS微蜜罐、蜜罐、WAF、全流量检测探针的方式,增强安全风险与未知威胁的检测能力。
问题发现:开发测试过程疏于管理,测试资产的上线下线未做及时登记,安全策略难以下发。
针对方案:快刀斩乱麻,将开发测试划分专区进行了“孤岛化”处理,只允许特定的局域网终端访问此区域并完全(理论上)断掉互联网。
问题发现:内部“未知资产”梳理阻碍重重,网络拓扑图和实际网络结构偏差大,真实网络结构两眼一摸黑。
针对方案:扫描器扫描客户IP段,发现互联网暴露资产,针对内网、专线网以及仅开放特定白名单等难以使用扫描器发现的资产,客户密切沟通配合,基于团队经验,结合扫描器流量收集识别发现未知资产的。
最终经过重保团队和机构安全团队的不懈努力,顺利完成重保前的安全检测和加固工作,并在重保期间圆满完成安全值守保障工作。
出色的技术实力、专业的服务态度、全流程的护航体验,长亭重保服务广受金融行业认可,先后为多家银行、证券和保险机构提供重要时期保障服务并圆满完成任务。关于金融重保方案的详细了解、重保服务的具体内容,欢迎致电:400-327-707