- 数据分析
- 数据治理
- 产品解决方案
- 行业解决方案
- 案例
- 数据资产入表
- 赋能中心
- 伙伴
- 关于
时间:2022-01-27来源:别软弱浏览数:412次
2021 GOLF+ IT新治理领导力论坛于2021年12月24日线上召开。本次大会旨在“新治理融惠创新,数字化行稳致远”,围绕“治效兼顾,构筑科技治理新生态”和“XOPS创新,领航运维发展新脉络”两大主题展开。
网络安全作为2021年全球热门关键词,是IT新治理模式下不可或缺的话题。本次论坛特设“安全与风险治理分论坛”。将针对当前复杂的科技风险治理环境,邀请以金融行业、通信行业为主的一线研发运营安全一体化(DevSecOps)、软件供应链安全技术实践者,以及模型风险治理的行业专家,就当前在该领域获得的研究成果、实践经验心得等议题展开探讨,从不同角度分析科技治理过程中存在的风险和安全隐患,互通切实可行的治理方法与技术手段,共同维护网络安全,为政府和企业营造安全可控的网络空间环境。
国信证券股份有限公司信息安全运营负责人王福于“安全与风险治理分论坛”发表《信息安全监控及应急响应体系的建立及运营》主题演讲。
【演讲实录】
大家好,我是国信证券信息技术总部安全运营负责人王福,今天的演讲主题是信息安全监控及应急响应体系的建立与运营,主要分为三部分:
一、金融行业信息系统特点和信息安全风险。
二、信息安全监控和应急响应体系。
三、信息安全实战化攻防演练,提升监控和应急响应的有效性。
首先,知己知彼,金融行业信息系统特点及信息安全风险。
金融行业信息系统普遍存在以下四个主要特点,但在券商行业更加突出。
一、及时性和有效性。在券商行业,如何对客户的委托进行及时有效的交易,是IT系统最基本、最核心的需求。
二、准确性和可靠性。在数据化的时代,IT数据是IT资产的重要表现形式,IT系统需要保证这些数据资产的准确性和可靠性。
三、连续性和可扩性。相较于其他行业,券商行业的信息系统对于交易量的预测性较差,比如电商行业对于自身交易量有较好的预测能力,如双十一、双十二的交易量会激增。而券商行业因为市场行情波动性难以预测,IT系统的可靠性更需要得到保证。能够弹性地扩容,是券商行业比较大的特点。
四、安全性和保密性。这是今天的重点内容,券商系统的安全性、保密性是必须保证的。
基于以上的四个特点,金融行业信息系统面临的主要信息安全风险分为以下三个方面。
一、数据泄露。一方面是客户数据泄露。客户数据包括客户的手机号、身份证号等敏感信息,这类数据泄露可能对公司造成负面影响,所以也是信息安全工作的重中之重,一定要保护好客户数据安全。另外一方面是公司内部敏感信息泄露。相较于其他行业,券商行业有更多受监管要求不能对外披露的敏感信息,保障这些敏感信息的安全性和保密性也是工作重点。
二、公司声誉不良影响。如果公司网站等对外发布平台被篡改为政治敏感或其他不当内容,这会对公司的声誉造成严重影响。如果公司邮箱中大盘类被盗或对外发送垃圾邮件,这也会对公司的声誉产生不良影响。
三、业务系统不可用。由于网络攻击导致业务系统不可用,如系统遭受来自外部的DDoS攻击、资源消耗型攻击,或攻击者攻入了生产系统内部,获得了系统或核心数据库的权限,进行破坏,从而导致生产系统的不可用。
基于以上风险,我们一直在思考如何建设形神兼备的安全监控和应急响应体系。此处分为两部分:纵深检测防御系统和监控应急响应团队。
一、纵深检测防御体系。攻击者对公司发起攻击时,攻击者至少会在网络层留下痕迹,通过一套多层次、全方位的纵深检测防御体系,至少可以在一个层次检查到攻击行为,那么纵深防御体系就是有效的。
二、监控应急响应团队。其核心战斗力是针对不同攻击场景做好对应的检测规则和应急处置预案。在攻击真正发生前,提前针对不同的攻击方式、攻击场景做好预判和演练。其次,组建分层次、职责清晰的监控应急团队,将他们分为一、二线,分别负责不同职责。最后,“以赛代练”。通过常态化攻防演练,在实战中打造具备7*24小时应急处置能力的专业化监控应急响应团队。
上图是纵深监控及应急响应体系。我们建立了以安全运营中心(SOC)为核心的多层次全方位的纵深防御及监控体系。
首先,WEB应用防护墙(WAF)实现了对于WEB应用层的攻击检测和安全防护。
其次,NIDS和IPS实现了基于网络流量层(南北向和东西向)的攻击检测及实时攻击阻断能力。
再次,基于主机入侵检测系统、防病毒系统实现主机层的攻击检测和防御。
最后,内外网部署蜜罐系统实现了基于“欺骗”的安全防御体系。
上图是对纵深防御体系的细化,核心模块包括安全防护系统、安全监控系统、安全监控与事件管理平台,以及事件管理平台。辅助模块包括CMDB、互联网资产管理平台和威胁情报辅助平台,基础模块包括日志采集和数据存储。
纵深防御体系有以下三个特点。
一、实现了网络阻断系统和其他安全系统的联动阻断机制,如网络入侵检测系统、主机入侵检测系统,还有WAF安全检测系统。通过和网络组系统的实时联动,实现7*24小时针对互联网攻击的IP阻断机制,能够解放最基本的应急处置工作量。
二、基于日志采集的基础模块,建设攻击检测规则。公司数据中台可以收集到许多日志,包括但不限于操作系统日志、WEB应用日志和防火墙网络设备日志,以及安全告警、东西向和南北向全流量的回溯。它也是攻击研判过程中的基础模块。
三、在SOC里实现SOP功能。通过SOP自定义自动化应急处置功能,实现了失陷主机的自动化网卡禁用功能。当一个主机被失陷时,可以通过SOP功能实现网卡阻断的功能点。攻击IP的风险也在 SOP里实现,这能够提升应急处理效率。在某些场景里面,经常进行数据分析或处置操作,当需要将操作规范化时,将其存储到SOP,下次可以在相同的攻击场景里通过SOP一键实现这些操作。
安全的本质是人与人的对抗,硬实力并不是决定性的,团队的建设才是最核心的。监控和应急响应团队的建设可以分为以下四部分:响应处置、分析研判、安全预警和复盘优化。
一、响应处置。根据不同影响性把安全事件分成不同级别和类别,并提前设立不同的处置预案,方便后续做好应急处置工作。
二、分析研判。将监控团队分为一线和二线。一线负责对告警进行初步分析和研判,处理大部分告警,并把他们不确定或觉得有问题的告警交由二线处置。二线负责对告警进一步研判,如果发现告警是真实的攻击,那么需要做应急处置工作,如上级的排查或操作,也包括后续的溯源处置。分层次的分工可以让应急响应更加有效率地进行。
三、安全预警。通过自动化手段监控有效性验证。纵深防御体系是否正常工作需要通过自动化方式来保证。我们需要保证数据源和监控数据的有效性,如日志采集、流量监控是否全面,客户端覆盖率是否有保证,自动化手段能更好地保证数据源和监控数据的有效性。除此之外,还要保证监控规则本身的有效性,如针对某个外部需要的告警是否一直有效,还是由于某些原因导致它已失效,这种特殊情况必须通过自动化的方式保证监控的有效性。
四、复盘优化。通过监控团队的每日站立会,对当天所有安全事件进行总体的分析和回顾,通过讨论的形式,对当天所有告警的具体处置的准确性、有效性进行保证。除此之外,还会讨论当天总体的外部攻击情况,做好明天或当天晚上的应急响应部署工作。
仅仅建设硬实力和软实力是不够的,还需要通过实战化的攻防演练提升团队能力。开展实战化攻防演练的原因有以下三点。
一、监控及应急响应体系经历的真实攻击不足,需要通过实战化的演练来验证监控和应急响应体系的准确性、全面性和有效性。原因有两方面,一方面是人员问题,每个人的工作经历参差不齐。另外一方面是公司本身所遭受的攻击不足。
二、随着监控系统和应急响应手段越来越复杂,需要通过实战化的演练来优化应急响应处置工作的规范化和标准化。
三、监控响应团队存在人员流动,实战经验少,需要通过实战化的演练来保持团队人员的技术能力和团队合作能力。
实战化攻防演练包括以下四种形式。
一、整合内外部人力资源。公开演练分为攻击队和防守队,如果在攻击方人力资源不能常态化的情况下,可以邀请外部安全公司参与攻防演练。通过整合内外部人力资源的形式,保证演练水平。具体演练包括不同的形式,如黑盒、白盒和黑盒。不同形式的作用不同。白盒的形式对于攻击防守双方来说完全是公开的,它更像是沙盘或剧本化的推演,可以保证监控团队对于处置预案的熟悉程度。而黑盒的形式对双方来说是双盲的攻击,更加接近真实的攻击,这种形式可以模拟真实攻击来验证现在的建设水平。
二、在真实的生产环境搭建靶场。在生产环境中做好安全隔离,保障靶场本身的安全性。通过这样的方式模拟真实的攻击场景中对公司生产环节的攻击。靶场环境里的监控防御体系和生产环境是完全等同的,如果在靶场里它对某个攻击会发出告警,那么在真实的生产环境里就同样会发出告警,通过这种完全等同的方式保证演练的有效性。
三、通过ATT&CK模型,“场景化”梳理常见攻击手法,“沉浸式”开展攻防演练,如反序列化漏洞。
四、以应急预案的形式整理总结成果及经验,为后续真实攻击提供处置依据。
通过攻防演练,我们总结了30多个攻击场景,80多个攻击实战演练子项,以及80多个应急处置预案。上图右半部分是目前我们所做的攻击场景,它是根据ATT&CK模型不同杀伤链的不同环节制定的。
实战化攻防演练的收获主要体现在以下三方面。
一、人员方面。人员得以熟悉各类攻防场景,攻防技术能力有较大提升。
二、技术方面。新增监控规则,覆盖更多监控场景,安全监控能力有显著提高。
三、流程方面。建立应急响应流程,形成应急响应预案,人员协同更加紧密,事件处置更加规范。
攻防演练对监控系统和人员能力的提升有非常大的帮助。通过实战化攻防演练,可以不断提升并保持团队人员的能力。
