12可持续的网络安全运营实践|证券行业专刊·安全村

admin 2022年12月22日12:22:54评论7 views字数 8189阅读27分17秒阅读模式

12可持续的网络安全运营实践|证券行业专刊·安全村

12可持续的网络安全运营实践|证券行业专刊·安全村


引  言

在《网络安全法》、《关键基础设施保护条例》等法律法规逐步健全、实施的大环境下,网络运营者在网络安全防护方面的意识也逐步增强,持续开展网络安全体系建设,大大改善了过去“不设防”的局面。然而,网络安全是一项持续改进优化的系统工程,没有一蹴而就、一成不变、一劳永逸的“银弹”。网络运营者要时刻警醒被攻破只是时间的问题,需要做好时刻被破防的准备,不能抱有不会遭受或者不被攻破的侥幸。历次国家专项网络安全实战攻防演习结果也显示了各网络运营者依然存在或多或少的安全问题。网络运营者唯有建立起可持续的网络安全运营体系,充分协同安全专业团队和网络安全防御技术体系,尽快发现威胁、尽快处置风险,汲取短板教训,并在下一次网络安全事件发生前做好全面准备,才能应对瞬息万变的复杂网络空间和日新月异的金融科技环境。本文结合实际工作实践,介绍了公司建立可持续的网络安全运营体系的历程和经验,以及在网络安全运营过程中的实践案例。


一、网络安全运营概述

近年来,网络安全上升到国家战略层面。习近平总书记在“4.19”网信工作会议中要求加快构建关键基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力,强调了网络安全运营能力。公安部网络安全保卫局郭启全副局长在2019年中国网络安全等级保护和关键信息基础设施保护大会上提出了“三化六防”的新思想,要求网络运营者要落实网络安全工作实战化、体系化、常态化的思路,以及动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控的措施。

多位资深网络安全专家从不同的角度给出了对“网络安全运营”的理解与定义。从安全风险管理的角度,可将网络安全运营定义为“安全人员使用安全系统、制定安全策略、推动解决安全风险的过程”;从安全能力提升的角度,认为“一切围绕着提升安全能力开展的工作都属于安全运营”;从网络安全事件处置的角度,网络安全运营可概括为“有计划、有组织、成体系化地实施安全工作”;安全运营作为安全运维的超集,意味着“以业务发展为基础,以事件核查为线索,以能力提升为关键,以持续优化为根本,跟进业务发展并提供分工细化的安全服务,持续优化”。平安银行的网络安全运营经历了从“事件驱动”到“数据驱动”进而到“价值驱动”的发展过程,体现了网络安全运营为业务价值服务的本质,提出“明确目标与工作机制,拆解细化工作内容,制定评价风险监测指标”的安全运营思路。

综上,网络安全运营作为动态地实现网络安全目的的系列活动,至少包含三个必备的要素:一是明确的网络安全目标,多数专家会从提升人员安全意识与能力、解决系统安全风险的角度,制定与网络运营者的战略目标保持一致的网络安全运营目标,并根据工作优先级确定相应的工作计划和策略,其最终目的依然是保障业务持续发展。二是有效的手段、措施和流程,网络安全运营有机结合网络安全技术工具与管理体系,充分利用可用的资源,包括但不限于团队建设、安全投入、最佳实践经验与内外部技术支撑等,尽快发现并处置安全风险,减少损失、降低影响,最大限度地实现安全目标。三是持续优化与提升,可借鉴PDCA模型。网络安全运营活动必须有恰当的检测和验证方法,以确保对应的手段、措施和流程执行到位并行之有效,再根据检测和验证的结果进行持续改进。


二、网络安全运营体系的建设历程

公司网络安全运营体系的建设大体上可分为规划建设、运营优化和持续改进三个阶段,在每个阶段均围绕着一个符合当前阶段发展特性的网络安全目标开展相关工作。

规划建设阶段的目标是搭建网络安全技防体系,实现风险的全面可视与架构式的整体威胁防御。制定可行的网络安全规划,作为公司战略规划的重要组成部分,争取公司支持,并投入相应的资源。在安全规划的框架下,组建专业的安全团队,信息技能点覆盖安全规划、安全管理、渗透测试、风险量化、数据分析等方向;建设“分区分域、横向隔离、纵向认证”的纵深防御体系,部署准入认证、防病毒、防火墙、防数据泄露、WAF、流量分析、行为审计、威胁情报、安全分析中心等安全工具,采取“边界合围”的战术,实现全流量态势感知与威胁防控,为开展安全活动提供必备的条件,化“被动防护”为“主动防御”,为网络安全运营工作打好基础。

12可持续的网络安全运营实践|证券行业专刊·安全村

图1 网络安全运营核心内容

运营优化阶段的目标是围绕提升安全团队的“安全风险监测能力”、“安全应急响应能力”和“网络威胁预警能力”,持续优化网络安全防御体系,实现网络安全风险“看得见、控得住、快速处置、预防巩固”,总结提炼安全运营场景,建立“外防、内控、固本、外联、预警”的常态化安全运营机制。

1. 在“外防”方面,通过安全信息与事件管理平台和安全操作中心,对网络流量、安全日志、应用日志、系统日志进行聚合、关联分析和交叉验证,提炼网络安全场景,形成常态化运营机制,增强全方位、立体化的威胁感知能力。开展基于攻击链的网络威胁捕猎架构研究,将蜜罐体系贯通于攻击链的各个环节,实现网络威胁全链路监测与失陷溯源;研究应用级业务分流的陷阱捕获方案,设计基于业务逻辑的攻击捕猎探针,将蜜罐技术由“被动”提升为“主动”,提高蜜罐捕猎的有效性;研究攻击链模型各个攻击阶段中的攻击者画像技术,探测攻击者的攻击意图和手法,分析、追溯网络安全威胁事件。

2. 在“内控”方面,持续开展网络安全风险量化与闭环管理。从IT资产的风险管理出发,逐步完善并丰富IT资产的安全属性维度,量化IT资产的风险值,从更精确的角度反映网络安全的风险程度,并指导网络安全运营工作的重点方向。开展日常应急演练与渗透测试,总结共性风险问题,通过日常操作风险防控、安全运维审计,从源头上减少安全风险的数量和威胁程度。

3 “固本”要求安全团队将安全能力向运维、研发双向渗透,提升全员、全局与全过程的安全水平。通过团队建设、技能培训和应急演练,提升安全团队本身的技术和管理水平,以应对瞬息万变的网络环境和日新月异的技术应用;在能力提升的过程中逐步固化安全响应相关流程和经验,提升安全应急响应的效率;增加安全团队与业务、研发、质控、运维的沟通与协作,在信息系统全生命周期内嵌入安全活动,通过安全需求分析、威胁建模、源代码审计与分析、交互式应用安全测试、上线测评等工具和技术,推动安全左移,赋能各团队从源头开始安全治理,从根本上强化各干系人的安全意识与技能。

4. “外联”要求安全团队站在更高的层次对国家网络安全政策和国内外网络安全形势有足够深刻的认识和理解,通过与专业安全机构、行业安全专家的合作、沟通与交流,建立情报共享、联防联控、守望相助的协同机制,全面保障公司网络安全运营工作。

5. “预警”聚焦威胁的快速发现与定位,利用威胁情报增强全流量态势感知与威胁防控的能力,构建安全威胁监测模型,纳入常态化的安全运营场景。同时,采集数据库、中间件、业务应用、用户行为与网络流量等多维度数据,提炼网络安全画像特征向量,通过机器学习聚类业务安全场景,针对异常状态进行安全事件分析。

网络安全运营机制将持续改进,向更完善、自适应的阶段发展。一是将网络安全活动融入到技术架构中,成为信息系统全生命周期的原生元素,实现安全从无到有再到“无”;二是持续保障业务安全健康发展,体现网络安全工作对业务的价值;三是实现安全需求逐步成为业务需求的一部分,业务天生具备安全属性和防御功能,实现业务系统的安全自愈。


三、网络安全运营实践

网络安全运营实践中,安全风险的全面量化可视是基础,防控措施的及时精准有效是目标。本节将结合实际案例,从IT资产安全风险量化管控、威胁响应与安全能力提升方面介绍公司网络安全运营的工作经验。


(一)IT资产安全风险量化管控

1. IT资产识别与安全管理

为实现IT资产安全风险的全面量化可视,首先需要实现IT资产的全面识别与安全管理。

在技术层面,可采取不同的策略来发现、监控互联网侧资产与内网侧资产的暴露面:

(1)对于互联网侧资产,首先,在互联网边界部署全流量威胁监测系统,利用其资产发现功能,全面监测暴露在互联网侧的IT资产;其次,采购外部供应商的资产检测服务,对所有互联网侧资产进行实时监控,掌握互联网IT资产的状态与变化情况;最后,定期抓取运维管理平台中信息系统上线与互联网边界防火墙的变更记录。将以上数据进行汇总比对与关联分析,全面掌握互联网侧的IT资产暴露面。

12可持续的网络安全运营实践|证券行业专刊·安全村

图2 互联网资产监测

(2)对于内网侧资产,首先,借助运维条线建设动态IT资产管理平台的契机,定期开展全网IT资产排查、域间流量分析和域间防火墙策略命中情况的梳理,通过IT资产数据的时序比对,掌握内网资产变化情况;其次,在运维条线资产管理的基本属性(IP、端口、服务实例、人员)增加操作系统、数据库、中间件版本、访问关系、漏洞关联信息等安全属性,在此基础上开展全面IT资产风险的量化工作。

12可持续的网络安全运营实践|证券行业专刊·安全村

图3 内网资产风险量化

在管理层面,完善信息安全管理制度,明确公司各部门和人员在IT资产使用与管理方面的职责,与各部门和人员的考核结果挂钩,形成制度威慑;上线IT资产认领流程,对于技术手段发现的、未明确责任人的IT资产,利用画像和聚类算法,实时对其进行智能分析,并将分析结果推送至相关人员进行认领和确认,对于长期没有有效业务流量的,及时提交下线变更流程予以停用。另外,借助第三方渗透测试服务,结合重大事件时间节点,不定期地对公司开展渗透测试活动,将其结果作为IT资产管理的参照数据来源。对于未纳入控制范围内的IT资产,及时进入应急处置流程,落实管理手段,并最终实现IT资产的全覆盖管理。

12可持续的网络安全运营实践|证券行业专刊·安全村

图4 IP资产认领

2. 漏洞管理

IT资产的漏洞主要来源于四个方面:一是历史老旧系统遗留,由于源代码丢失或开发商失联导致无法修复,二是特殊业务模式导致某些不安全的使用方式(如共享文件),三是系统研发过程中由于安全设计缺失、或未遵循安全规范等导致的系统漏洞和业务逻辑漏洞,四是开源软件包、开发工具等研发工具链引入的安全漏洞。

前两类漏洞通常会无修复方案,或者修复方案可能会导致业务异常。可结合IT资产管控的过程控制相关风险。可根据访问关系设置白名单控制策略,并定期审计控制策略的执行情况,控制漏洞的影响范围和威胁来源;维护相关漏洞的台账清单,采取“消存量、控增量”的策略,配合运维条线的变更操作,逐步淘汰老旧系统、改进旧业务模式,将相关漏洞带来的安全风险控制在可接受的范围内。

对于后两类漏洞,可在信息系统的全生命周期嵌入安全活动,并结合安全编排与自动化响应平台来实现信息资产脆弱性的发现、跟踪与闭环处置。

在设计研发阶段,尽可能降低漏洞来源,设定基本的安全模板,限定使用安全版本范围的操作系统、中间件、工具链等;建立本地代码库镜像,采用白名单的形式对设定可引用的代码库版本;引入软件成分分析工具,对代码库中使用的第三方库等进行核查,并定期维护第三方库列表备查。

在质控与测试阶段,利用交互式应用安全测试工具,结合黑盒测试,充分覆盖软件代码逻辑路径,确保系统不带“病”上线。

在运行阶段,定期开展常态化的全网主机登录扫描和应用扫描,定期开展渗透测试。软件成分库信息、扫描结果、渗透测试结果用于更新IT资源的安全属性,与威胁情报信息共同输入自动化响应平台进行交叉比对分析,对于存在安全风险的,通过ITSM问题工单进行闭环跟踪处置。

3. 全面风险量化管控

风险量化管控主要包括风险识别、风险评估和风险处置三个环节。在风险识别环节,基于可持续的IT资产安全管理,整合安全、网络、维护、运行系统数据形成数据集市,设立动态可配置的评估规则,实施资产分级分类与量化评估,依托于漏洞管理与风险监测的核心数据,结合数据集市抽取的评估指标,提炼安全风险模型,实现对风险的有效识别。

在风险评估环节,一方面沿用漏洞的严重程度、利用难易、影响范围等传统量化评估项,另一方面,结合外部威胁情报、行业安全情报、安全报告文档与历史攻击数据对风险评估项进行加权调节,并引入时效机制,落地风险评估与优先级排序,实现动态可伸缩的风险评估机制。

在风险处置环节,参照风险评估结果推动风险的消解,在可承受的风险容忍度下,综合技术与管理措施,以性价比较高的方案处置安全风险,以达到安全与业务的平衡点。同时,设置风险处置的跟踪闭环机制,基于积累的风险数据进行复盘分析,结合安全培训赋能安全意识提升,推动安全左移,促进风险量化管理水平提升。

在安全风险全面量化管理过程中,漏洞发现数、漏洞处置数、漏洞处置比例可作为反映安全风险管理的直观指标。下图是公司内网漏洞管理工作的效果跟踪展示,其中横轴为工作开展的时间线。在第5周之前,由于IT资源的安全属性数据尚不完备,登录扫描等漏洞发现机制也未执行到位,所以发现的内网漏洞绝对值较小,但处置率尚可;从第5周开始,自动化响应平台开始接入带有全部安全属性的IT资源管控平台数据,历史遗留漏洞等“老、大、难”问题开始显现,导致发现的漏洞数量大幅上升,漏洞整改率急剧下降;经过十几周的持续运转,漏洞整改率逐步恢复到较高水平,并且新发现的内网漏洞也逐步减少,内网安全情况得到极大改善。

12可持续的网络安全运营实践|证券行业专刊·安全村

图5 内网漏洞管理工作的效果

(二)威胁感知与安全能力提升

安全威胁同时来自于外部与内部。在互联网侧,攻击者时刻在对互联网资产进行扫描和攻击尝试,采用各种手段绕过公司的安全防御体系,以达到突破边界、获取权限或数据、破坏信息系统等目的;在内网,内部人员的安全意识薄弱,可能会无意或有意绕过安全措施进行未授权访问,或导致被社工钓鱼进而导致安全防御措施失效,危害程度比来自互联网的威胁更甚。

需要从网络的整体和架构角度建立起纵深防御体系,贯彻执行“分区分域、横向到边、纵向到底”的思想,除在网络域边界设置防火墙等访问控制措施之外,在域内可部署高交互蜜罐,在主机上可配置HIDS,各防御节点的流量、行为和情报数据经过收集和汇总,实现对网络运行状态实时监控和全面可视化。

12可持续的网络安全运营实践|证券行业专刊·安全村

图6 互联网流量威胁监测

12可持续的网络安全运营实践|证券行业专刊·安全村

图7 蜜罐实时大屏

在此基础上,安全团队需要从两方面持续提升相关工作能力。一是安全风险监测能力,安全团队可利用网络画像、关联分析、时序分析、聚类分类等大数据和人工智能手段,有效地从监测到的网络运行状态中发现异常模式,提炼安全场景,实现威胁行为的及时感知。二是安全应急响应能力,通过应急演练、实战攻防等,熟悉安全应急响应的流程,积累安全应急响应相关经验,并可进一步固化为标准操作步骤或安全应急响应脚本,利用安全编排与自动化响应工具,及时处置安全风险,提升安全应急响应的效果和效率。

以网络邮件攻防为例,账号口令安全管理工作是基础,包括设置强口令策略、随机化初始口令、强制第一次登录系统后改密、试错超过阈值之后锁定账号、对攻击来源进行分析阻断、定期更新弱口令库、设置口令重置管理流程等。此外,通过网络安全运营的威胁情报与监控预警,提升对网络邮件攻击的威胁响应与应急处置能力。

12可持续的网络安全运营实践|证券行业专刊·安全村

图8 账号口令安全管理与运营

具体地,将邮件网关日志、邮件蜜罐日志汇总至日志分析平台,经过清洗、解析、汇总,结合网络威胁情报,建立邮件账号威胁模型,抽象出口令爆破、撞库等攻击模式,实现对邮件系统当前遭受网络威胁的可视化。将登录账号信息与源IP进行关联分析,可发现单用户从多IP登录,多用户从单IP登录、单用户异地登录、单IP多用户失败但单用户成功登录、多个IP尝试登陆多个用户均属于异常情况,分别对应账号泄露、账号共享、账号爆破、账号撞库等安全威胁。

12可持续的网络安全运营实践|证券行业专刊·安全村 12可持续的网络安全运营实践|证券行业专刊·安全村

图9 邮件攻击模式

其中一种典型的攻击模式是低频攻击。与基于账号的口令爆破不同,每个攻击IP仅以低频率进行一次或两次账号登录尝试,导致基于频率和绝对数量的检测手段失效。此时,可在一定的检测时间窗口内,考察尝试登录的IP与存在登录行为的账号之间的关系,如黄点表示存在登录尝试行为的源IP,黑点表示邮件账号,二者之间的连线表示一次登陆尝试,可能发现如图9的两种关系模式。从左图中的攻击模式可以推断存在多个团伙在对邮件服务进行撞库攻击,且有4个账号处于极度的危险状态;从右图中的攻击模式可以推断存在对邮件服务进行基于口令的账号列举攻击,可能会导致邮件系统账号用户名泄露。

可根据威胁的严重程度设计对威胁来源的响应处置策略。以账号口令爆破为例,对于攻击质量不高,如被爆破的账号与公司实际情况相差较大,且未对系统业务造成实际影响的,可继续观察其行为,一方面避免惊动攻击方采取过激手段,另一方面可以积累模式识别的样本,促进检测手段的提升;但对于已经掌握了公司账号编码规律,甚至开始精准破解某些关键人员账号的行为,要立即进行阻断,避免损失扩大。

在安全编排与自动化响应平台上,不同的响应处置策略落地成类似下图的、不同的自动化响应的场景脚本。对于需要阻断的情况,场景脚本与邮件网关进行联动,将处置攻击IP的平均时间从手动处置时的12h下降至1min,有效提升了邮件系统攻击决策处置的效率。

12可持续的网络安全运营实践|证券行业专刊·安全村

图10 邮件攻防安全应急响应脚本

另外,安全运营工作不能仅仅依靠安全团队,如果可以调动起网络、运维甚至业务部门的员工,提升安全团队之外员工的基本安全能力和安全意识,可起到事半功倍的效果,反之亦然。

在管理层面,完善安全管理制度,明确各员工安全责任,对较为常见的数类高危行为(如弱口令、远控、端口映射等)进行禁止,与员工考核结果挂钩,形成制度威慑;利用员工入职、新员工培训、网络安全周、重大事件保障等机会,不定期开展线上与线下的网络安全培训活动,培训手段包括但不限于讲座、海报、楼宇视频轮播、食堂游戏活动、安全知识竞赛等,对于参与度好、结果出色的部门和人员进行适当的奖励,形成良好的安全氛围。

12可持续的网络安全运营实践|证券行业专刊·安全村

图11 高危操作审计

在技术层面,设置满足安全管理要求的网络结构,开展内网流量与安全策略的命中比对分析,定期梳理、审计、优化网络安全策略;根据员工特殊的办公、运维、业务操作等需求,提供可审计的操作环境,对操作记录进行全程记录;结合重大事件时间节点,不定期地组织面向全公司的网络安全钓鱼演练活动,以实战促进网络安全意识的良性发展。

12可持续的网络安全运营实践|证券行业专刊·安全村

图12 钓鱼邮件演练


四、回顾与展望

公司在历次网络安全攻防演习中的防御效果,显示“外联、外防、内控、固本、预警”的网络安全运营体系经过了实战的检验,是可行的、有效的。但每一次仍会暴露出网络安全工作的不同短板,或是防御体系不够完善,或是团队能力不足,亦或是公司整体安全文化匮乏。网络安全工作永远在路上,也从另一角度说明了网络安全运营是持续改进的过程。

需要意识到的是,实现“风险的量化、可视、可控,故障的感知、回溯、定位,安全行动的快速、准确、有效”远不是终点,最终目的依然是保障业务持续安全发展。未来,期望网络安全运营工作实现与具体系统的解耦,不脱离人但也不依赖人,通过构建业务的标准、规范与流程化,继续推行网络安全运营工作的线上化、数字化、自动化与智能化,纳入人的主观能动性,保持网络安全运营体系与机制的灵活创新,将网络安全工作融入信息技术架构和业务体系,实现网络安全工作的无感、智能和自愈。



参考文献
[1] 郭启全,“认真落实网络安全等级保护制度,构建新时代国家网络安全综合防控体系”,2019
[2] 胡珀,“安全运营体系建设”,2020
[3] 吴佳伟等,“证券行业互联网系统自动化安全运营实践”,交易技术前沿,2021
[4] 高鹤,“小米安全运营落地与实践”,2020
[5] 吕毅,“从安全运维向安全运营转变的思考”,2017
[6] 宋歌,“平安银行安全运营之路”,2020

作者介绍

C+O2长江证券。


RECOMMEND


往期回顾

全量安全资产管理-进阶实践|安全村
基于欺骗防御技术的“事前预警”系统与效益分析|证券行业专刊·安全村
兼顾实战与合规的重要数据与个人信息防护探索|科技创新型企业专刊·安全村

关于 安全村文集·证券行业专刊

证券行业自身低时延的业务要求以及业务中断的敏感性给安全防护带来了很大的挑战。专刊汇集了证券基金期货行业网络安全防护的最新经验、成果和解决方案,为大家分享一线安全规划、运营、建设的心得和实践经验。
12可持续的网络安全运营实践|证券行业专刊·安全村

关于 安全村

安全村始终致力于为安全人服务,通过博客、文集、专刊、沙龙等形态,交流最新的技术和资讯,增强互动与合作,与行业人员共同建设协同生态。
投稿邮箱:[email protected]

原文始发于微信公众号(SecUN安全村):12可持续的网络安全运营实践|证券行业专刊·安全村

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年12月22日12:22:54
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   12可持续的网络安全运营实践|证券行业专刊·安全村http://cn-sec.com/archives/1478407.html

发表评论

匿名网友 填写信息