金融领域VPN强化监控及防护方案

admin 2022年9月29日18:20:44企业安全评论12 views2541字阅读8分28秒阅读模式

金融领域VPN强化监控及防护方案


金融行业背景

2020年初以来,各金融机构认真执行中国人民银行、银保监会等监管机构关于加强金融服务和强化金融支持防控新冠肺炎疫情的要求,纷纷开启远程办公的工作模式。新冠疫情反复影响着人们的正常工作生活,抗击疫情的第三个年头,远程办公安全却成了金融企业面临的共同难题。疫情防控常态化大背景下,金融行业大多数员工采取了居家办公的方式,使用VPN远程访问业务时出现的威胁也随之增多。传统基于边界的VPN防护体系已无法有效应对从外部发起的攻击,在面对外部攻击时,一旦攻击者突破了VPN边界,那么接下来的横向攻击将不再受到阻碍。因此,传统的安全防御体系无法有效应对远程办公带来的种种安全风险,急需一种新的安全架构方案来解决此问题。

VPN进到金融内网后权限无限放大,VPN在提供便捷办公同时谁来监控它呢?按金融客户属性制定一套轻量化解决方案,建设投入安全设备是Web应用防火墙WAF、全流量双向威胁检测系统UTS。


现状需求分析

目前受疫情影响金融领域大多数员工或驻场外派人员处于居家远程办公状态,通过VPN访问业务系统缺乏有效的检测与防护手段,近年的SDP(零信任)、SASE(安全访问服务边缘)等解决方案也能解决远程办公诸多问题,如果客户坚持要保留原有的VPN,加强VPN威胁检测防护能力的需求就迫在眉睫,现状分析如下:

01

数据安全场景

  • 员工VPN账号被泄露后,黑客就会以“合法身份”窃取数据。通过VPN访问的业务系统存在大量的弱密码,业务系统账号密码极易出现破解。
  • VPN是基于用户角色粗粒度的静态授权,一旦成功登录VPN进入内网就可以为所欲为。正常情况员工应只被允许在规定的权限内对应用或者数据库进行操作,但通过VPN访问的站点权限过大,无法限制VPN访问的站点资源,更无法对站点进行分组设置。
  • 通过VPN访问业务系统导致信息泄露。应用系统漏洞是无法避免的,若对应用过度授权,对于已经突破边界进入到内部的攻击者来说,就可以随意扫描内网,轻松找到存在漏洞的系统并加以利用,进而通过提权来访问到更具价值的信息。

02

运营安全场景

加固VPN安全防护设备增多,就会产生运营问题,例如威胁告警量增大、分析难度增加,做不到智能联动分析就容易导致误报漏报情况出现。为了实现行为和威胁的关联、攻击的溯源、网络的威胁、用户的行为和重要与专项安全业务场景分析,因此建议采用态势感知系统进行运营管理。

03

检测防御场景

  • 通过VPN访问WEB业务系统暂时还无法做到会话监听,会导致遭受的攻击难以复现。另外对VPN访问业务系统异常行为也无有效的监控手段,再就是通过VPN进行远程操作时无法对行为数据进行审计分析,例如VPN不具备DPI能力,对于常规协议、工控协议、数据存留等无法进行有效的鉴别。

  • VPN自身不具备威胁检测能力,检测能力包括入侵检测、WEB攻击检测、恶意文件检测、APT检测,例如恶意文件、隐蔽隧道、水坑攻击、勒索病毒检测的缺失就会有造成很大风险。另外建议业务系统登录鉴权使用多因素认证,多层权限校验会有效降低异常行为发生。

  • 通过VPN访问缺乏威胁分析能力,无法应对威胁事件、攻击者、实现主机、漏洞等分析,例如通过VPN进行内部钓鱼邮件攻击,束手无策。

  • 单纯VPN环境下暂无响应处置能力,在发现威胁后不支持快速响应阻断数据外发行为,例如通过VPN发起的攻击只能听之任之。

金融领域VPN强化监控及防护方案

图 1:VPN现状问题展示


方案总体设计

金融领域VPN强化监控及防护方案

图2:远程办公连接VPN拓扑图(红色字体为新增检测及防护系统)

根据金融客户当前网络环境(图2),原有访问流量由运营商入口进入,但现有防护方式都在互联网出口后和VPN前,对VPN进来的流量无相应防护手段。所以建议在VPN后再添加WEB应用防火墙、双向全流量检测系统实现对VPN方式的访问流量进行检测和防护。增加双向全流量检测系统UTS,能对VPN后的流量威胁分析溯源并实现复杂场景攻击行为的分析,并对通用恶意行为进行防护;增加WAF,对七层威胁和针对HTTP协议的攻击手段进行防护。通用场景下,金融行业领域在办公区域安全防护手段如图所示:

金融领域VPN强化监控及防护方案

图3:金融领域办公区域安全推荐产品


结合行业通用方案,再针对金融客户的网络环境分析及总结,推荐增加WEB应用防火墙、双向全流量检测系统对VPN后的内网安全进行监控和防护。绿盟VPN强化方案(WEB应用防火墙、双向全流量检测系统)在金融客户已有IT架构和安全体系的基础之上,进一步助力金融企业打造统一、安全、易管理的VPN访问网络,能有效监控应用接口,提高数据访问安全性,降低安全管理成本,守护企业数字资产安全,同时还能兼顾资源访问的便捷性与高效性。
基于金融的现状,大部分客户已经拥有抗拒绝服务系统、WEB应用防火墙、入侵检测系统、双向全流量检测系统等安全设备,再加上VPN强化防护系统后会产生更多的威胁告警量,分析难度增加,建议使用态势感知平台将所有安全设备做智能联动分析,从而实现智能的威胁检测和安全运营分析。

金融领域VPN强化监控及防护方案

图4:智能威胁检测和安全运营分析


金融行业案例

某商业银行前期受疫情影响,大部分员工采取居家办公的形式,通过VPN连接业务系统,存在较大的安全风险,因此决定进一步加强对VPN服务器的威胁检测能力。以下为商业银行在DMZ区增加的应用防火墙WAF、入侵防御系统IPS、双向全流量检测系统UTS等防护手段。

金融领域VPN强化监控及防护方案

图5:某商业银行VPN监控案例


零信任安全解决方案

金融客户如果计划重新搭建访问框架或对VPN进行彻底异构改造,解决VPN访问形式线路不稳、无多因素认证(MFA)、存在横向移动、权限粗放等弊端,绿盟零信任整体解决方案同样也可以做到。

绿盟零信任安全解决方案是主动防御的安全架构,基于设备评估和用户认证,持续集成分析和验证信任关系,以此在不可信网络中构建安全系统,从而降低和消除安全风险。

金融领域VPN强化监控及防护方案

图6:绿盟零信任整体解决方案

方案基于业务流的自动微隔离技术,多维风险与信任评估技术 ,面向资产网络的策略自动化编排技术,实现全面感知、最小授信、持续评估、动态决策四大核心能力,完成从安全感知、风险决策到资源管控的安全管理闭环,适用于移动办公、多云、大数据等数字化安全访问场景。

微信公众号:nsfocusfbd 

金融领域VPN强化监控及防护方案

原文始发于微信公众号(绿盟科技金融事业部):金融领域VPN强化监控及防护方案

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月29日18:20:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  金融领域VPN强化监控及防护方案 http://cn-sec.com/archives/1324152.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: